כיצד ליישם יישום WEB והגנת API עם ZEVENET (WAAP)

פורסם ב-24 בפברואר, 2023

מה הם יישום אינטרנט והגנה על API (WAAP)

הגנת יישום אינטרנט ו-API (WAAP) היא התפתחות מתקדמת של מוצר האבטחה ZEVENET, חומת האש של אפליקציות אינטרנט (WAF). ה-WAAP מציע את אותן תכונות כמו WAF מסורתי, אך גם מגן על ממשקי API מלבד יישומי אינטרנט.

עם האבולוציה של שירותי הענן וה-SaaS (Software as a Service), הצורך בשילוב סביבות שונות קידם את השימוש ב-API, מה שמספק את הפתרון הטוב ביותר לתזמור כל אותם שירותים. פונקציונליות זו הופכת את ה-WAAP למתקדם יותר מה-WAF, שכן ניתן לפרוס A WAAP בקצה של רשת המכילה שירותים ציבוריים או להגדיר אותו באותה סביבה עם ADC.

אז זה כאן המקום שבו ZEVENET ADC וה-WAAP מתאחדים לעבוד יחד ולהציע הגנה על יישומי אינטרנט וממשקי API לפני מסירת אפליקציה.

מדוע נדרש WAAP

מכיוון שניתן לגשת בקלות לממשקי API ויישומי אינטרנט באינטרנט, אבטחה היא דאגה גדולה מכיוון שנחשפים נתונים רגישים. תוקף עלול לגרום לפרצת אבטחה כדי להשיג מידע פרטי. לכן, WAAP הכרחי מכיוון שאבטחת אינטרנט מסורתית לא תטפל במשימות הבאות:

התאמת חתימה אינה מספיקה עבור אבטחת יישומים:
התוכן של יישומי אינטרנט וממשקי API משתנה ללא הרף. אז קשה להשיג את החתימה של התוכן. מכיוון שתוכן וממשקי API שמפרסמים באינטרנט ממשיכים להשתנות, המערכת דורשת למידה מתמדת.

חסימת תנועה בהתבסס על מקור IP או יציאת יעד אינה מספיקה:
חומות אש מסורתיות חוסמות כתובות IP ויציאות, אך מידע זה מוצפן בדרך כלל. מנגנון לפענוח, ניתוח התוכן והצפנה מחדש הוא חיוני. אנו משתמשים במנגנון TLS, כך שה-WAAP יכול להציע רמה עמוקה יותר של אבטחה.

תעבורת HTTP(S) היא כיום הנפוצה ביותר והיא יכולה להציע מורכבות בניתוח: רוב תעבורת האינטרנט מופנית לפרוטוקול Layer 7 HTTP(S) של מודל OSI, ומציעה מורכבות בהתנהגות פרוטוקול ה-HTTP המוגדר ב- שנות ה-80 ועד לפרוטוקולים מודרניים המשמשים היום. זה מחייב את פתרון האבטחה לא רק להשתמש במנגנון IPS או IDS אלא גם להיות מסוגל להגן מפני התקפות על השכבה העליונה במודל OSI, פרוטוקולי שכבה 7 כמו HTTP ו-HTTPS.

אילו תכונות WAAP יכול להציע ש-WAF מסורתי לא יכול

ה-WAAP מציע יכולות אדירות ש-WAF מסורתי לא יכול להציע:

אוטומציה ולמידה: ה-WAAP הוא אלמנט חי המשולב בתוך ADC. תכונת אבטחה זו מקבלת מידע ולומדת כל הזמן תוך שימוש במנגנונים כמו זיהוי DoS, זיהוי רובטים, הגנת פרוטוקול ואכיפה, בין היתר. מנוע ה-WAAP דורש ערוץ לקבלת נתוני INPUT, שבו מנוע ה-WAAP מקבל כל הזמן מידע חדש ומשווה את המידע המתקבל לנתונים המעובדים והנבדקים.

ממשקי API ומיקרו-שירותים מאובטחים: על בסיס יומי, מהנדסים בונים ממשקי API ומיקרו-שירותים כדי להציע שירותים ציבוריים. ה-WAAP חייב להגן על נקודות קצה אלו, תוך התחשבות במידע החשוף.

איך ZEVENET עובד כ-WAAP

ZEVENET ADC כולל מודול Cybersecurity הנקרא IPDS (מערכת למניעת חדירות וזיהוי). מודול זה מציע יכולות WAAP, אוטומציה ולמידה עבור WEBs וממשקי API. ZEVENET כוללת חבילה בשם zevenet-ipds, וחבילה זו מתעדכנת מדי יום. לחבילה זו יש יותר מ-4 מנגנונים ליישומי אינטרנט והגנה על API. המאפיינים שלו הם:

חוקי רשימת חסימה

רשימות חסימה הן חלק ממנגנון אבטחה לקיבוץ תעבורה על סמך מיקום גיאוגרפי ומקורות שונים, כמתואר להלן:

גיאוגרפיה_*: רשימות חסימות אלה כוללות כתובות IP ורשתות המבוססות על מדינות.
TOR_צמתים: רשימת חסימות זו מתקבלת מפרויקט TOR. כאן נוכל למצוא את כתובות ה-IP המקור בהן מתפרסמת תעבורת TOR באינטרנט.
webexploit: חברי רשימת המקורות זוהו כמנצלי אינטרנט. תוקפים אלה ניסו לבצע מספר בקשות נגד שרתי אינטרנט כדי למצוא נקודות תורפה.
ssh_bruteforce: המקור הכלול הוא רשימה של תוקפי ssh המשתמשים בטכניקות של כוח גס כדי להשיג את המשתמש והסיסמה של השרת המותקף ssh.
תוכנות ריגול: המקור(ים) הכלולים הוא רשימה של טווחי כתובות IP של תוכנות ריגול ותוכנות פרסום זדוניות.
פרוקסי: מכיל TOR ופרוקסי פתוחים אחרים.
mail_spmmer: המקור הכלול הוא רשימה המבוססת על כתובות IP שזוהו שולחות דואר זבל.
רעים_עמיתים: המקור הנכלל הוא רשימה המבוססת על דיווחים על מעשים רעים ב-p2p.
wordpress_list: כל כתובות ה-IP שתוקפות את ג'ומלה, וורדפרס ושאר כניסות אינטרנט עם כניסות Brute-Force.
רשתות_פרטיות: המקור הכלול הוא רשימה המבוססת על כל כתובות מקור ה-IPv4 שאינן ניתנות לניתוב באינטרנט.
רשימת דואר: כל כתובות ה-IP שדווחו במהלך 48 השעות האחרונות כמי שהפעילו התקפות על השירות Mail, Postfix.
ssh_list: כל כתובות ה-IP שדווחו במהלך 48 השעות האחרונות כמי שהפעילו התקפות על שירות SSH.
ftp_list: כל כתובות ה-IP שדווחו במהלך 48 השעות האחרונות על התקפות על ה-FTP של השירות.
apache_list: כל כתובות ה-IP שדווחו במהלך 48 השעות האחרונות כמי שהריצו התקפות על השירות Apache, Apache-DDOS, RFI-Attacks
CIArmy: המקורות הכלולים כאן מוצעים על ידי פרויקט CIArmy. פרויקט זה מספק את מקור הנתונים המתקבל על ידי ניתוח תעבורה על סמך קבוצת זקיפים ברחבי האינטרנט.
בוגון: המקור הנכלל כאן טוען שהוא מאזור של שטח כתובות ה-IP השמור אך עדיין לא הוקצה או מואצל על ידי האינטרנט.

חוקי DOS

הפחתת מניעת שירות היא מערכת כללים שנועדה להגן או לצמצם את ההשפעה של התקפות על שירות שהופכת אותו לבלתי שמיש עקב כמויות עצומות של בקשות לא לגיטימיות. מנוע ZEVENET IPDS כולל טכניקות שונות לביצוע הגנת DoS ליישומי אינטרנט וממשקי API.

כללים אלה תוארו להלן:

דגלי TCP מזויפים:
בכל תעבורת TCP, מנות ה-TCP עוקבות אחר זרימה ידועה. התקפת BOGUS TCP היא התקפת TCP שבה זרימת ה-TCP אינה עוקבת אחר נתיב TCP צפוי. לדוגמה, החבילה עשויה לעקוב אחר נתיב SYN-FIN שהוא בלתי צפוי, במקום נתיב SYN-ACK. ZEVENET מנטר ושולט על זרימת TCP. אם מתקבלת חבילה בלתי צפויה, ZEVENET תוריד אותה.

מגבלת חיבור כוללת לכל IP מקור:
ZEVENET מיישמת מגבלת מקור המבוססת על מספר הבקשות לשנייה, וכאשר תגיע למגבלה לכל מקור IP, ZEVENET תפיל את החבילות הנכנסות.

הגבל חבילת RST לשנייה:
זוהי מתקפת DoS נפוצה שבה התוקף מנסה לפתוח שקע TCP, וברגע שמתקבלת חבילת התגובה של TCP, התוקף שולח חבילת TCP RST למארח.

מגבלת חיבור לשנייה:
ZEVENET מחיל מגבלת יעד המבוססת על מספר הבקשות לשנייה. אם תגיע המגבלה לכל יעד IP, ZEVENET תפיל את החבילות הנכנסות.

חוקי RBL

רשימת חורים שחורים בזמן אמת היא מערכת אבטחה המשמשת את שרתי הדואר להגנה מפני שולחי דואר זבל. אם שרת הדואר מקבל חיבור, הוא לוכד את ה-IP המקור ומנסה לפתור אותו מול שרתי DNS ידועים. אם רזולוציית ה-DNS עובדת, כתובת ה-IP המקור תזוהה כתוקף.

ZEVENET פיתחה את מנגנון האבטחה הזה ומאפשרת ללכוד כל מקור IP בזרימה מסוימת ולנסות לפתור את ה-IP המקור נגד אזור DNS. כל אזור DNS פותר כתובות IP של מקור על סמך התנהגויות שונות, ואזורים אלה תוארו להלן:

אזור all.rbl.zevenet.com: ה-IP המקור ינסה להיפתר כנגד כל תת-האזורים הכלולים ב-rbl.zevenet.com.
אזור apache.rbl.zevenet.com: המקור הכלול בתת-אזור זה מתייחס לתוקפים נגד מארחי אפאצ'י.
אזור asterisk.rbl.zevenet.com: המקורות הכלולים בתת-אזור זה מתייחסים לתוקפים נגד מארחי כוכביות.
אזור bruteforcelogin.rbl.zevenet.com: המקור הכלול בתת-אזור זה מתייחס לתוקפים שניסו להשיג משתמשים וסיסמאות כנגד שירותי מארח שונים באמצעות מנגנוני כוח גס.
אזור ftp.rbl.zevenet.com: המקור הכלול בתת-אזור זה מתייחס לתוקפים נגד מארחי FTP.
אזור mysql.rbl.zevenet.com: המקור הכלול בתת-אזור זה מתייחס לתוקפים נגד Mysql Hosts.
אזור ssh.rbl.zevenet.com: המקור הכלול בתת-אזור זה מתייחס לתוקפים נגד מארחי SSH.
אזור webmin.rbl.zevenet.com: המקור הכלול בתת-אזור זה מתייחס לתוקפים נגד Webmin web Application.
אזור apacheddos.rbl.zevenet.com: המקור הכלול בתת-אזור זה מתייחס לתוקפים נגד שרת האינטרנט, Apache, באמצעות מנגנון מניעת שירות מבוזרת.
אזור mail.rbl.zevenet.com: המקור הכלול בתת-אזור זה מפנה לתוקפים נגד מארחי דואר.

חוקי WAF

ZEVENET בודק תעבורת HTTP(S) בשתי דרכים:

1 - שימוש בכללים מוגדרים מראש המבוססים על ערכות כללים של OWASP (Open Web Application Security Project). ערכות הכללים הכלולות ב-ZEVENET 6 מבוססות על OWASP Core Rule Set גרסה 4. כללים אלו מתעדכנים מדי יום. אם יתרחש שינוי כלשהו בערכת הכללים של OWASP, עדכון חבילת ה-IPDS הבא יכלול את השינויים.

2 - שימוש בכללים שהתקבלו מספקי צד שלישי או בכללים מותאמים אישית שתוכננו על ידך, הלקוח שלנו. ZEVENET משתמש בתמיכה במנוע ModSecurity כדי לקבוע כללים של צד שלישי או ליצור כללים משלך המבוססים על שפת ה-HTTP של מנתח.

כברירת מחדל, ZEVENET IPDS כולל מנות אבטחה נגד ההתקפות הבאות:

הזרקת SQL (SQLi)
סקריפטים חוצה אתרים (XSS)
הכללת קבצים מקומיים (LFI)
הכללת קבצים מרחוק (RFI)
הזרקת קוד PHP/Java/Ruby/Perl
הלם קרב
הזרקת מעטפת יוניקס
קיבוע מושב
זיהוי סקריפטים/סורקים/בוטים

ערכות הכללים שנמצאות ב-ZEVENET 6 כוללות:

REQUEST-905-COMMON-EXCEPTIONS
כללים אלה משמשים כמנגנוני חריגים להסרת תוצאות שווא נפוצות שעלולות להיתקל בהן.
בקשה-911-שיטה-אכיפה
שיטות בקשה מותרות.
REQUEST-913-SCANNER-DETECTION
בודק סורקים כמו סורקים, בוטים, סקריפטים וכו'.
REQUEST-920-פרוטוקול-אכיפה
מאמת בקשות HTTP ומבטל מספר רב של התקפות שכבת יישומים.
REQUEST-921-PROTOCOL-ATTACK
בודק לאיתור התקפות פרוטוקול.
REQUEST-930-APPLICATION-ATTACK-LFI
בודק עבור התקפות יישומים באמצעות Local File Inclusion (LFI).
REQUEST-931-APPLICATION-ATTACK-RFI
בודק עבור התקפות יישומים באמצעות Remote File Inclusion (RFI).
REQUEST-932-APPLICATION-ATTACK-RCE
בודק עבור התקפות יישומים באמצעות ביצוע קוד מרחוק (RCE).
REQUEST-933-APPLICATION-ATTACK-PHP
בודק עבור התקפות יישומים באמצעות PHP.
REQUEST-934-APPLICATION-ATTACK-GENERIC
בדוק אם יש התקפות יישומים באמצעות Node.js, Ruby ו- Perl.
REQUEST-941-APPLICATION-ATTACK-XSS
בודק עבור התקפות יישומים באמצעות XSS.
REQUEST-942-APPLICATION-ATTACK-SQLI
בודק עבור התקפות יישומים באמצעות SQL Injection.
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION
בודק עבור התקפות יישומים באמצעות קיבוע הפעלה.
REQUEST-944-APPLICATION-ATTACK-JAVA.
בודק עבור התקפות יישומים באמצעות Java.

מנוע ה-IPDS הוא מנגנון אינטליגנציה של איומים עבור יישומי אינטרנט והגנת API. הוא מתעדכן מדי יום באמצעות חבילת zevenet-ipds, שפועלת בתור הליבה של המנוע, ושומרת על מנוע זה מעודכן עם כללי ZEVENET ואלו המותאמים אישית על ידי הלקוח.

ערכת חוקי הליבה של zevenet-ipds משתמשת במנגנונים שונים ליצירת כללי אבטחה אלה, כמו חציית נתונים של צד שלישי, ניתוח יומני זקיף או ניתוח Big-Data מול מידע פרטי. אם אתה מזהה שמערכת הליבה של ZEVENET IPDS כוללת כמה כתובות IP של מקור או כללים כתוצאות שגויות, צור איתנו קשר, ונשמח לתקן את הבעיה בהקדם האפשרי.

תשתף:

תיעוד על פי תנאי הרישיון לשימוש חופשי במסמכים של גנו.

האם המאמר הזה היה מועיל?

יש לא

מאמרים נוספים