Do ochrony wrażliwych sieci powszechnie używa się zapór sieciowych i urządzeń typu IPS. Oprócz nich rozwijana jest technologia analizy pracy aplikacji.

Technologia deep inspection, obecna we wszystkich najważniejszych zaporach sieciowych, potrafi dać sobie radę z niepożądanym ruchem. Na podstawie doświadczeń z analizą ruchu powstały narzędzia, które uczą się zachowania aplikacji WWW i na podstawie wyników pracy, chronią ją przed niepożądanymi połączeniami. Ich przykładem są urządzenia appliance firmy F5 Networks, przeznaczone do współpracy z serwerami WWW.

Urządzenie na styku

Są one instalowane pomiędzy zaporą sieciową a serwerem webowym, przejmują cały ruch i umożliwiają manipulację nim. Wspomagają one aplikacje eksploatowane w sieci, niezależnie od ich natury, technologii i sposobu licencjonowania. Oprócz typowych zasobów WWW i aplikacji online, wspierane są rozwiązania VoIP czy technologie strumieniowanego wideo. Zadaniem ochrony aplikacyjnej jest poprawa wydajności, niezawodności i bezpieczeństwa aplikacji w sieci.

„Technologia F5 znajduje się na styku aplikacji i sieci, gdyby umiejscowić ją w modelu ISO, zajmuje się ona ruchem od strony warstwy siódmej, schodząc w dół. Dla nas jedynym powodem, dla którego sieć istnieje, jest aplikacja” - mówi Zbigniew Skurczyński, dyrektor regionalny F5 Networks na Europę Wschodnią.

Urządzenie F5 realizuje warstwę wirtualną pomiędzy klientem a serwisami hostowanymi na istniejących serwerach. Warstwa ta inteligentnie separuje sesje użytkownika od aplikacji na serwerach. Dzięki temu, że klient nie pracuje bezpośrednio na serwerze, a jedynie na warstwie logicznej realizowanej przez to urządzenie, można do tej warstwy połączyć wiele serwisów, dowolnie manipulując ich strukturą. Zapytanie klienta zostanie przetworzone przez urządzenie wirtualizujące serwis, a następnie przekazane do serwerów hostujących daną aplikację.

W miarę wzrostu obciążenia, system może uruchomić dodatkowe serwery, np. w środowisku wirtualnym w całkowicie przezroczysty sposób.

Jedną z opcji urządzenia jest akceleracja ruchu i wyświetlania stron. Urządzenie, dzięki dynamicznie przygotowywanym politykom, potrafi rozpoznać logikę aplikacji i reagować na to, co robi użytkownik. Akceleracja obejmuje także zadania kompresji i terminowania ruchu SSL, co odciąża serwery WWW od intensywnych obliczeń matematycznych.

Polityki bezpieczeństwa

Istotą ochrony aplikacyjnej jest dokładna analiza pakietów pod kątem logiki aplikacji. Można opracować politykę, która zablokuje konkretne żądania użytkowników, polegające np. na otwarciu określonego okna lub zalogowaniu się do aplikacji z ustalonymi przywilejami. W ten sposób można odfiltrować polecenia, które mogą być potencjalnie szkodliwe.

Dodatkową opcją, udostępnianą programistom, jest specjalny język skryptowy, za którego pomocą można oprogramować zadania związane z analizą wartości przesyłanych w sesjach użytkowników. W ten sposób można odfiltrować zapytania, w których użytkownicy podali niewłaściwe parametry w polach aplikacji, wszelkie próby wstrzyknięcia kodu (SQL Injection). Ponadto można analizować ruch pod kątem występowania znaków pasujących do wzorca. Dodatkowa warstwa ochronna umożliwi modyfikację zapytań, aby usuwać ataki dnia zerowego, na które nie ma jeszcze aktualizacji producenta systemu operacyjnego czy aplikacji. W ten sposób można również chronić wrażliwe dane firmowe.

„System można tak skonfigurować, aby wyszukiwał kilkunastocyfrowe liczby, które mogą być numerem karty kredytowej albo innym wrażliwym numerem. Reguła może automatycznie zamieniać część z tych cyfr na inne znaki, chroniąc dane w firmie” - przekonuje Zbigniew Skurczyński.

Konkurencją dla IPS?

Chociaż pewne cechy urządzenia zazębiają się z ochroną, którą tworzą urządzenia IPS, rozwiązania ochrony aplikacji nie są dla nich konkurencją. Rozbieżność wynika z tego, że te pierwsze są wykorzystywane głównie do ochrony przed atakami kierowanymi przeciw serwerom i systemom operacyjnym, a rzadziej przeciw konkretnym aplikacjom. IPS nie potrafi wykryć niewłaściwych danych, wprowadzony do konkretnego pola, jego skuteczność przeciw popularnym atakom SQL Injection jest wysoce ograniczona. Nie można także dostosować go do ochrony konkretnej aplikacji. Z drugiej strony, bazując na mechanizmie sygnatur, IPS-y potrafią rozpoznać ataki kierowane przeciw serwerom i systemom operacyjnym, a niektóre z nich przeszłyby niezauważone przez narzędzia ochrony aplikacyjnej.

Z drugiej strony, takie narzędzia potrafią poradzić sobie z atakiem odmowy obsługi. Dzięki algorytmom sztucznej inteligencji, analizującym zachowanie aplikacji, potrafią wykryć próby ataku odmowy obsługi i skutecznie je zablokować. Niektóre IPS-y (np. McAfee Intrushield) posiadają sprawne mechanizmy obrony przed rozproszonymi atakami odmowy obsługi (DDoS), bazujące na informacjach statystycznych dotyczących ruchu. IPS przez pewien czas uczy się ruchu, a następnie, po wyjściu z trybu nauki, rozpoczyna ochronę aplikacji. Gdy z pewnego obszaru adresów bardzo radykalnie wzrośnie obciążenie serwera, wdrażane są algorytmy ochronne, które wyłączają takie połączenia. Czymś, co wyróżnia IPS-y od urządzeń ochrony aplikacji, jest wrażliwość na niestandardowy ruch sieciowy, taki jak komendy dla botnetów i ataki rozpoznawcze.

Zatem, chociaż oba rozwiązania analizują ruch w najwyższych warstwach, robią to zupełnie inaczej i dobrze się uzupełniają, zabezpieczając środowisko aplikacji WWW.