Zapory do aplikacji

Według różnych statystyk ok. 80% ataków hakerskich dotyczy portu 80, przez który przechodzi ruch webowy. Często ciężar ochrony aplikacji webowych spada na urządzenia warstwy sieciowej. Aplikacje webowe potrzebują jednak specjalnej ochrony.

Według różnych statystyk ok. 80% ataków hakerskich dotyczy portu 80, przez który przechodzi ruch webowy. Często ciężar ochrony aplikacji webowych spada na urządzenia warstwy sieciowej. Aplikacje webowe potrzebują jednak specjalnej ochrony.

Zapory zaprojektowane specjalnie do ochrony aplikacji webowych mogą rozpoznawać próby wykorzystania efektów przepełnienia bufora, przemycania fałszywych komend - SQL lub systemowych czy też manipulowania strumieniem danych. Rozpoznają one zagrożenia, których nie są w stanie wykryć zapory ogniowe warstwy sieciowej.

Pierwsze zapory były właściwie prostymi filtrami pakietów. Potem pojawiły się zapory z kontrolą kontekstową (stateful inspection), a następnie systemy wykrywania wtargnięć (intrusion detection). Najnowszą technologię ochronną Internetu reprezentują zapory ogniowe ze szczegółową kontrolą pakietów (deep packet inspection), uważane obecnie za najskuteczniejszy sposób obrony przed robakami, które mogą przenikać przez starsze technologie ochronne do sieci przedsiębiorstwa.

Analiza pakietów w kontekście stanów połączenia, rozkładanie ich na czynniki pierwsze oraz analiza strumienia pakietów tworzących indywidualną sesję umożliwiają zaporom aplikacyjnym identyfikowanie nieprawidłowych zachowań - w ramach poszczególnych protokołów - mogących być sygnałem nowej formy ataku.

Zapory ze szczegółową kontrolą pakietów są ostatnim produktem ewolucji technologii zapór ogniowych. Rozwiązania takie pojawiły się w ofertach firm: Check Point, Fortinet, NetScreen Technologies, IntruVert Networks, NetContinuum. Urządzenia tego rodzaju znajdują się też w ofercie Radware i Teros.

Pakiet dokładnie prześwietlony

Zapory do aplikacji

Zapora ogniowa ze szczególną kontrolą pakietów

Zapory aplikacyjne mogą rozpoznawać szkodliwy ruch nieidentyfikowany przez zapory stateful inspection. Te ostatnie analizują w pakiecie nagłówki poziomu sieciowego, dopiero jednak szczegółowa kontrola pakietów pozwala na wychwycenie ataku ukrytego w legalnym protokole - przez wyszukiwanie charakterystycznych sygnatur w kolejnych warstwach pakietu.

Systemy wykrywania włamań działają podobnie, ale ich reakcją jest alarm wysłany do administratora sieci, który decyduje, czy podejrzany ruch jest atakiem (praktycznie już będącym w toku). Zapory ze szczegółową kontrolą pakietów różnią się tym, że automatycznie podejmują działania zmierzające do blokowania wykrytego ataku. Analizują, jak przebiega realizacja protokołu i czy przebieg ten jest zgodny z polityką określającą poprawne wzorce ruchu.

Rozpoznanie robaków przedostających się przez Internet wymaga głębszego wglądu w zawartość pakietów i analizowania całego strumienia sesyjnego. Zapory muszą wykonywać to, co końcowy serwer, i podejmować decyzje na podstawie całej zawartości pakietu.

Zapora składa pakiety w ciąg reprezentujący sesję i analizuje, czy przebieg sesji jest typowy dla właściwego wykorzystania aplikacji. Nabywa wiedzę o każdej aplikacji na podstawie używanych przez aplikacje adresów URL, ich struktury i sposobu korzystania z cookie. Opierając się na tych informacjach, jest budowany profil pracy aplikacji i sposobu jej używania. Jest też tworzony model służący do analizy bieżących zachowań i wykrywania anomalii, które mogą być blokowane automatycznie lub oznaczone do kontroli przez personel IT.

Worm Blaster np. wykorzystuje protokół RCP (Remote Call Procedure). Wysyła wiadomości do pewnego zakresu adresów IP, poszukując maszyn podatnych na infekcję. W poprawnym modelu RCP zazwyczaj nie jest jednak wykorzystywany do systematycznego wysyłania wiadomości.

Wykrycie ataku przez zaporę ogniową poziomu aplikacyjnego wymaga właściwej reakcji. Bardziej pożądane jest blokowanie jedynie adresu IP źródła ataku niż całego ruchu korzystającego z danego portu.

Robak Blaster wykorzystuje np. port 135, często więc ten port blokuje się nawet wtedy, gdy jest on interfejsem dla poprawnych aplikacji Microsoftu używających RCP.

Implementacja zapory

Funkcje zapory aplikacji webowych są wykonywane w specjalizowanych urządzeniach, oprogramowaniu serwerowym bądź są integrowane w platformach ochrony lub przełącznikach sieciowych.

Programowe zapory warstwy aplikacyjnej są dobrym wyborem do ochrony jednego czy dwóch serwerów. Pewną zaletą może tu być to, że produkty programowe mogą rezydować na tym samym serwerze webowym co chroniona aplikacja. Produkty programowe są relatywnie niedrogie. Są dostępne również wersje bezpłatne.

Jednak dla dużych organizacji zaawansowane zapory stają się niemal koniecznością. Poza wyborem pomiędzy sprzętem a czystym oprogramowaniem w zaporach aplikacyjnych można poszukiwać mechanizmów białych i czarnych list sygnatur.

Podobnie jak w oprogramowaniu antywirusowym, czarne listy zawierają powszechne znane sygnatury ataków i po rozpoznaniu takich sygnatur w monitorowanym ruchu ostrzegają administratora lub blokują użytkownika. Wadą czarnych list jest to, że zapora z nieaktualną listą może przepuszczać niewłaściwy ruch.


TOP 200