امروزه استفاده از دیواره آتش لایه کاربرد (Web Application Firewall) در حال گسترش می باشد. همه گیری نرم افزارهای موبایل مبتنی بر API و اپلیکیشن های مبتنی بر وب موجب افزایش تهدیدات و به تبع آن نیاز بیشتر به ابزارهای امنیتی جدید برای سازمانها شده است.
در این مطلب برخی از ویژگی هایی که در زمان تهیه یه WAF به آن نیاز است لیست شده است:
ویژگی های فنی:
» حفاظت جامع در برابر حملات پیشرفته لایه 7 و تهدیدات روز صفر
» مدیریت متمرکز مبتنی بر وب با داشبورد پویا با پیکربندی آسان و استقرار و مدیریت کاربر پسند.
» شناسایی و جلوگیری از نفوذ و محافظت از شبکه ها در برابر هکرهایی که می توانند مخفیانه به سیستم نفوذ کنند.
» ثبت و گزارش جامع
» دارای حافظه نهان (Cache)، به همراه فشرده سازی و سایر بهینه سازی های HTTP/TCP برای تسریع ارائه سرویس
» بارگذاری تراکنش های SSL جهت کاهش حجم کار و افزایش عملکرد
» امکان Load Balancing برای توزیع بار در میان سرورهای وب خوشهای
» امکان failover برای افزایش اطمینان دسترسی خدمات
» تولید و بکارگیری امضای SSL رایگان مورد تایید Let’s Encrypt برای خدمات مبتنی بر وب
» لایسنس اصلی و دریافت آپدیت از سرور شرکت اصلی (سرورهای کرک شده و غیرمعتبر بروزرسانی غیرقابل قبول است)
» نصب و آموزش مدیریت رایگان در محل خریدار
» حداقل ویژگی های سخت افزار:
دارای 8 پورت 10/100/1000 یا بیشتر
4GB RAM or higher
CPU Intel-Based
SSD 120GB or more
Console Serial RS232 management
2*USB Ports or more
مقابله با انواع حملات لایه کاربرد وب از جمله:1. جعل درخواست بین سایتی(Cross-site request forgery)
2. اسکریپت بین سایتی (XSS Cross Site Scripting (XSS))
3. تزریق کد SQL (SQL injection)
4. حملات مهم OWASP نسخه 2021:
• کنترل دسترسی ناقص(Broken access control)
• شکست در رمزنگاری (Cryptographic Failures)
• تزریق (Injection)
• طراحی ناامن (Insecure Design)
• پیکربندی اشتباه امنیتی(Security misconfiguration)
• استفاده از مؤلفههایی قدیمی و آسیب پذیر (Vulnerable and Outdated Components)
• شکست در شناسایی و احراز هویت (Identification and Authentication Failures)
• نقص نرم افزاری و یکپارچگی داده ها (Software and Data Integrity Failures)
• خرابی های ثبت و مانیتورینگ امنیتی (Security Logging and Monitoring Failures)
• جعل درخواست سمت سرور (Server-Side Request Forgery (SSRF))
دیگر ویژگی های امنیتی و نرم افزاری:HTTP Header Security
Automatic profiling (white list)
Forceful browsing
Directory/path traversal
Routing (Static, Dynamic)
Quality of Service (QoS)
Multi-WAN (with Failover)
Centralized Management
Fast engine
IDS/IPS
Gateway AV
Routing (Static, Dynamic)
Quality of Service (QoS)
Multi-WAN (with Failover)
از برندهای فعال وف در کشور می توان به FortiWeb، F5، WebRoam اشاره کرد.
بعد از لاگین کردن به صفحات ورود (Captive Portal) می توانید به سایتهای http و https دسترسی داشته باشید. اما در برخی نسخه های کروم (72 و بالاتر)، برای ورود به برخی صفحات خصوصا کنترل پنل https دستگاهها (مثل مودم، UTM، فایروال، روتر، میکروتیک، استریسک و سرورهای Voip) که بر اساس IP در دسترس هستند با مشکل مواجه می شوید. با خطای صفحه زیر مواجه می شوید و از شما می خواهد که به صفحه لاگین ورود کنید و با کلیک بر روی دکمه Connect به سایت www.gstatic.com.generate_204 منتقل می شوید.
The Wi-Fi you are using (YOUR WIFI SSID) may require you to visit its login page.
این مشکل در مرورگرهای فایرفاکس، اینترنت اکسپلورر مشاهده نشده است.
راه حل:
با ورود به ریجیستری (Run > regedit) و مسیر HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet مدخل "EnableActiveProbing" را 0 کنید.
بعد سیستم را ریست کنید.
گزارشات بهدست آمده از رخدادهای حملات باجافزاری اخیر، خبر از شیوع گسترده #باجافزار STOP/Djvu در سطح کشور میدهد. باجافزار STOP برای اولین بار در اواخر سال ۲۰۱۷ میلادی مشاهده گردید. Djvu نسخه جدیدتر آن میباشد که ازنظر عملکرد شبیه والد خود میباشد.
رعایت نکات امنیتی
در پی هشدار وضعیت نارنجی و قرمز برای بسیاری از سازمانهای زیرساختی و حیاتی کشور توسط سازمان پدافند غیرعامل، رعایت نکات امنیتی زیر توسط مدیر امنیت شبکه سازمانها ضروری می باشد:
- اطمینان از بروزرسانی اندپوینت سکیوریتی سکورایت کوییک هیل (آنتی ویروس) سرور.
- اطمینان از بروزرسانی سامانه یکپارچه مدیریت تهدیدات (UTM) سکورایت کوییک هیل یا وبروم و...
- درصورت امکان غیرفعال کردن سرویس ریموت دسکتاپ ویندوزهای (خصوصا سرورها)
- غیرفعال کردن پورت فورواردینگ (NAT) و یا DMZ در فایروال / مودم / روتر / یو تی ام /... برای دسترسی به کلاینتها از طریق آی پی های ولید.
- غیر فعال کردن دسترسی مستقیم به ریموت دسکتاپ و یا تغییر پورت پیش فرض 3389
- استفاده از رمزهای پیچیده برای همه کاربران شبکه (خصوصا اکتیو دایرکتوری با دسترسی ادمین دامنه)
- اطمینان از فعال بودن ماژول جلوگیری از نفوذ غیرمجاز (IDS/IPS) در سطح آنتی ویروس و UTM
- تهیه پشتیبان گیری و قطع دسترسی هارد از کلاینت و نگهداری در جای امن
- اطمینان از فعال بودن برنامه های پشتیبان گیری خودکار مانند وبروم بکاب
- تهیه بکاب از فایلها و پایگاههای داده سرورها
- اطلاع رسانی به کاربران برای تهیه بکاب از اطلاعات موجود در هارد دیسک محلی
- کاهش سطح دسترسی کاربران به اطلاعات اشتراکی (فقط خواندنی) تا حد امکان
- نصب آنتی ویروس بر روی همه کلاینتهای شبکه. ( در صورت عدم امکان نصب، قطع دسترسی کلاینتها به سرورهای مهم و زیرساخت شبکه)
- بستن پورتهای باز غیرضرور ورودی و خروجی از طریق UTM و آنتی ویروس
- نصب وصله ها و آپدیت های امنیتی توسط Patch Management کوییک هیل
- عدم نصب برنامه های غیرضرور بر روی سرورها و یا کلاینتها
- آگاهی از آخرین اطلاعات و اخبار امنیتی
با توجه به افزایش چشمگیر تهدیدات سامانه مدیریت یکپارچه تهدیدات، جزء جداناشدنی شبکه های سازمانی کئچک، متوسط و بزرگ هست.
چندین شرکت در تولید UTM ها فعالند من جمله، سایبروم (cyberoam)، محصول Fortigate (فورتیگیت) شرکت فورتینت (Fortinet)، سکورایت کوییک هیل (Quick Heal Seqrite)، وبروم (Webroam)، سوفوس (Sophos).
مثل خیلی از نرم افزارهای بزرگ که در هند تولید می شوند، تجهیزات امنیتی یو تی ام نیز سهم بزرگی از تولیدات خود را در هند تشکیل می دهند. شرکت کوییک هیل، سایبروم، وبروم هر سه شرکت هندی می باشند، سوفوس انگلیسی هم با خریداری شرکت سایبروم، اقدام به تولید یو تی ام در کشور هند کرده است.
کوییک هیل هم نسخه جدید خود را طراحی مجدد نموده و با ظاهری زیباتر و پرفرمنسی بهتر توانسته بخشی از بازار را به خود اختصاص دهد.
سوفوس هم در کنار یو تی ام ضعیف آستارو (متن باز)، یو تی ام سایبروم را با برند جدید به بازار ارائه می دهد که سهم خوبی در بازار به دست آورده. البته با کوچ برخی نیروهای سایبروم به شرکتهای رقیب مانند وبروم، کمی مشکل در تولید نسخه های جدیدتر دارد که حتما مدیران آن در حال رفع نقص آن می باشند.
فورتینت هم با همان ظاهر و سیستم عامل فورتی او اس در حال بازاریابی و فروش می باشد.
پس از خریداری شرکت سایبروم توسط سوفوس، بخشی از متخصصین خبره سایبروم از آن جدا شده و شرکت وبروم را تاسیس کردند. وبروم با پایداری بالاتر و امکانات مدیریتی و مانیتورینگ خود توانسته به یکی از بهترین برندهای حال حاضر دنیا تبدیل شود. قیمت مناسب در کنار فناوری های تک این شرکت توانسته بازار خوبی را در عرض چند سال اخیر به خود اختصاص دهد.