امروزه استفاده از دیواره آتش لایه کاربرد (Web Application Firewall) در حال گسترش می باشد. همه گیری نرم افزارهای موبایل مبتنی بر API و اپلیکیشن های مبتنی بر وب موجب افزایش تهدیدات و به تبع آن نیاز بیشتر به ابزارهای امنیتی جدید برای سازمانها شده است.
در این مطلب برخی از ویژگی هایی که در زمان تهیه یه WAF به آن نیاز است لیست شده است:
ویژگی های فنی:
» حفاظت جامع در برابر حملات پیشرفته لایه 7 و تهدیدات روز صفر
» مدیریت متمرکز مبتنی بر وب با داشبورد پویا با پیکربندی آسان و استقرار و مدیریت کاربر پسند.
» شناسایی و جلوگیری از نفوذ و محافظت از شبکه ها در برابر هکرهایی که می توانند مخفیانه به سیستم نفوذ کنند.
» ثبت و گزارش جامع
» دارای حافظه نهان (Cache)، به همراه فشرده سازی و سایر بهینه سازی های HTTP/TCP برای تسریع ارائه سرویس
» بارگذاری تراکنش های SSL جهت کاهش حجم کار و افزایش عملکرد
» امکان Load Balancing برای توزیع بار در میان سرورهای وب خوشهای
» امکان failover برای افزایش اطمینان دسترسی خدمات
» تولید و بکارگیری امضای SSL رایگان مورد تایید Let’s Encrypt برای خدمات مبتنی بر وب
» لایسنس اصلی و دریافت آپدیت از سرور شرکت اصلی (سرورهای کرک شده و غیرمعتبر بروزرسانی غیرقابل قبول است)
» نصب و آموزش مدیریت رایگان در محل خریدار
» حداقل ویژگی های سخت افزار:
دارای 8 پورت 10/100/1000 یا بیشتر
4GB RAM or higher
CPU Intel-Based
SSD 120GB or more
Console Serial RS232 management
2*USB Ports or more
مقابله با انواع حملات لایه کاربرد وب از جمله:1. جعل درخواست بین سایتی(Cross-site request forgery)
2. اسکریپت بین سایتی (XSS Cross Site Scripting (XSS))
3. تزریق کد SQL (SQL injection)
4. حملات مهم OWASP نسخه 2021:
• کنترل دسترسی ناقص(Broken access control)
• شکست در رمزنگاری (Cryptographic Failures)
• تزریق (Injection)
• طراحی ناامن (Insecure Design)
• پیکربندی اشتباه امنیتی(Security misconfiguration)
• استفاده از مؤلفههایی قدیمی و آسیب پذیر (Vulnerable and Outdated Components)
• شکست در شناسایی و احراز هویت (Identification and Authentication Failures)
• نقص نرم افزاری و یکپارچگی داده ها (Software and Data Integrity Failures)
• خرابی های ثبت و مانیتورینگ امنیتی (Security Logging and Monitoring Failures)
• جعل درخواست سمت سرور (Server-Side Request Forgery (SSRF))
دیگر ویژگی های امنیتی و نرم افزاری:HTTP Header Security
Automatic profiling (white list)
Forceful browsing
Directory/path traversal
Routing (Static, Dynamic)
Quality of Service (QoS)
Multi-WAN (with Failover)
Centralized Management
Fast engine
IDS/IPS
Gateway AV
Routing (Static, Dynamic)
Quality of Service (QoS)
Multi-WAN (with Failover)
از برندهای فعال وف در کشور می توان به FortiWeb، F5، WebRoam اشاره کرد.
با توجه به افزایش چشمگیر تهدیدات سامانه مدیریت یکپارچه تهدیدات، جزء جداناشدنی شبکه های سازمانی کئچک، متوسط و بزرگ هست.
چندین شرکت در تولید UTM ها فعالند من جمله، سایبروم (cyberoam)، محصول Fortigate (فورتیگیت) شرکت فورتینت (Fortinet)، سکورایت کوییک هیل (Quick Heal Seqrite)، وبروم (Webroam)، سوفوس (Sophos).
مثل خیلی از نرم افزارهای بزرگ که در هند تولید می شوند، تجهیزات امنیتی یو تی ام نیز سهم بزرگی از تولیدات خود را در هند تشکیل می دهند. شرکت کوییک هیل، سایبروم، وبروم هر سه شرکت هندی می باشند، سوفوس انگلیسی هم با خریداری شرکت سایبروم، اقدام به تولید یو تی ام در کشور هند کرده است.
کوییک هیل هم نسخه جدید خود را طراحی مجدد نموده و با ظاهری زیباتر و پرفرمنسی بهتر توانسته بخشی از بازار را به خود اختصاص دهد.
سوفوس هم در کنار یو تی ام ضعیف آستارو (متن باز)، یو تی ام سایبروم را با برند جدید به بازار ارائه می دهد که سهم خوبی در بازار به دست آورده. البته با کوچ برخی نیروهای سایبروم به شرکتهای رقیب مانند وبروم، کمی مشکل در تولید نسخه های جدیدتر دارد که حتما مدیران آن در حال رفع نقص آن می باشند.
فورتینت هم با همان ظاهر و سیستم عامل فورتی او اس در حال بازاریابی و فروش می باشد.
پس از خریداری شرکت سایبروم توسط سوفوس، بخشی از متخصصین خبره سایبروم از آن جدا شده و شرکت وبروم را تاسیس کردند. وبروم با پایداری بالاتر و امکانات مدیریتی و مانیتورینگ خود توانسته به یکی از بهترین برندهای حال حاضر دنیا تبدیل شود. قیمت مناسب در کنار فناوری های تک این شرکت توانسته بازار خوبی را در عرض چند سال اخیر به خود اختصاص دهد.
در این مقاله می خواهم بخشی از توانایی های امنیتی یک UTM (سیستم مدیریت یکپارچه تهدیدات) قدرتمند را شرح دهم.
نسل ابتدایی فایروال، تنها قابلیت حفظ امنیت با امکان مسدود کردن IP ها و پورت های (لایه Networking) قابل استفاده در شبکه را داشتند.
با ارائه تئوری Stateful Firewall نسل بعدی فایروال ها متولد شدند. این دست فایروال ها علاوه بر قابلیت های نسل قبلی امکان رهگیری کانکشن و ارتباط ها و State (حالت) اتصال را داشتند. از مهمترین مزایای آنها جلوگیری از سرقت (شنود) اطلاعات Packet Sniffing می باشد.
با قدرتمندتر شدن فایروال ها حملات و تهدیدها هم موثرتر می گشتند. حملاتی مانند حملات انکار سرویس DoS درخواست های بیش از اندازه از منابع و در نتیجه از کار انداختن شبکه و حملات توزیع شده انکار سرویس (Distributed Denial of Service) یا DDOS با استفاده از چندین سیستم درخواست های کاذب به شبکه ارسال می گردند نیاز به فایروال های قدرتمندتر را لازم می کرد.
در ضمن بستن پورت و IP کار زیادی برای افزایش امنیت نمی کردند، زیرا برای برقراری ارتباط حتما باید پورت و IP ای باز باشد و مهاجمان از طریق پورتهای باز حمله می کردند.
راهکارهای آنالیز پکت مانند IDS/IPS (شناسایی و جلوگیری از نفوذ غیرمجاز) به همراه ضد پورت اسکنرها، ضد DoS و ضد DDoS از دیگر راهکارهای امنیتی بودند که در دنیای امنیت عرضه شدند.
آنتی ویروس در سطح گیتوی نیز به کمک دیگر امکانات امنیتی شبکه آمدند. بدین صورت که به محض دانلود فایلهای آلوده on the Fly (بر روی هوا) اقدام به اسکن و ویروس زدایی هرگونه مخرب شده و مانع بروز بدافزار به داخل شبکه سازمان می گردد. همچنین امکان اسکن ایمیل ها نیز پیش بینی شده است.
لیست سایتهای آلوده، کلاهبردارانه و ویروسی نیز می تواند به افزایش امنیت کمک شایانی نماید. بدین صورت که به کاربران سازمان اجازه مشاهده سایت های آلوده داده نمی شود و به صورت پیشگیرانه محافظت را تکمیل نماید.
ضد هرزنامه یا Anti-Spam از دیگر نیازهای امنیتی سازمانی برای جلوگیری از نفوذ ایمیل های ناخواسته و یا مخرب به داخل سازمان می باشد.
ضد جاسوس افزارها یا Anti-Spyware نیز برای جلوگیری از نفوذ این نوع بدافزارها به داخل سازمان ضروری به نظر می رسد.
کنترل دسترسی کاربران نیز می تواند به عنوان تکمیل کننده امنیت سازمانی مطرح گردد.
یو تی ام (UTM) های زیادی در کشور وجود دارند اما بازار تنها در دست تعدادی برند آمریکایی، هندی و اروپایی می گردد مانند سیکسو (Cisco)، آستارو (Sophos Astaro)، سایبروم (Cyberoam)، فورتیگیت (Fortigate)، جونیپر (Juniper) و وبروم (Webroam).
البته چند یو تی ام ایرانی هم در داخل درحال رشد می باشند که بر پایه نرم افزارهای متن باز موجود با تغییر پوسته و ظاهر می باشند. این یو تی ام ها از معایب نرم افزارهای متن باز برخوردارند. مثلاً سطح نرم افزاری پایین، استفاده از چندین نرم افزار اوپن سورس و عدم سازگاری، عدم پشتیبانی، ناسازگاریهای سخت افزاری، غیر product و محصول تجاری قابل عرضه بودن و...
با توجه به خروج سایبروم، از بین یو تی ام های موجود در بازار، می توان سیستم مدیریت یکپارچه تهدیدات Webroam هندی و Fortinet آمریکایی را به عنوان یکی از برندهای قابل انتخاب بررسی کرد. یو تی ام وبروم با مزایای بیشتری مانند دسترسی به پشتیبانی و بروزرسانی بدون مشکلات تحریم، امکانات کامل امنیتی، مدیریت و بهینه سازی شبکه ای نسبت به رقبا، قابلیت بالای سخت افزاری، قیمت مناسب، برخورداری از سیستم جامع امنیتی جهت مقابله فعال با تهدیدات و... از گزینه های مناسب برای مدیران آی تی ایرانی می باشد.