در عصر مدرن حملات سایبری پیچیده و نوآوریهای دنیای دیجیتال، برای کسبوکارها بسیار مهم است که تهدیداتی را که با آن مواجه هستند به بهترین شکل رفع کنند. در این راه سازمانها از ابزارهای متفاوتی استفاده میکنند. این امر به ویژه در مورد استفاده از فایروالها صادق است، Web Application Firewall و Network Firewall از سازمانها در برابر انواع مختلف حملات محافظت میکنند. بنابراین درک اهمیت و تفاوت بین امنیت WAF و امنیت فایروال شبکه که به جلوگیری از حملات وب و حملات شبکه گستردهتر کمک میکند، ضروری است.
به طور سنتی، کسبوکارها از دادهها و کاربران خود با فایروالهای شبکه محافظت میکنند که فاقد انعطافپذیری و شفافیت برای محافظت در برابر تهدیدات امنیتی مدرن هستند. اما افزایش استفاده از (BYOD-Bring Your Own Device)، Public Cloud و نرم افزار به عنوان سرویس (SaaS) به این معنی است که آنها باید یک فایروال برنامه وب (WAF-Web Application Firewall) را به استراتژی امنیتی خود اضافه کنند. این امر محافظت در برابر حملات علیه Web Application را افزایش میدهد، که در یک سرور Remote ذخیره میشوند، از طریق یک interface اینترنتی در مرورگر ارائه میشوند، و اهداف جذابی برای هکرها محسوب میشوند.
امنیت WAF
WAF با هدف قرار دادن HTTP از برنامههای کاربردی وب محافظت میکند. این نوع فایروال با فایروال استاندارد که مانعی بین ترافیک شبکه خارجی و داخلی ایجاد میکند متفاوت است.
یک WAF بین کاربران خارجی و وب اپلیکیشن قرار میگیرد تا تمام ارتباطات HTTP را تجزیه و تحلیل کند. سپس درخواستهای مخرب را قبل از رسیدن به کاربران یا برنامه های وب شناسایی و مسدود میکند. در نتیجه، WAF ها برنامههای کاربردی وب و سرورهای وب حیاتی برای کسب و کار را از تهدیدات روز صفر (Zero-day) و سایر حملات لایه برنامه ایمن میکنند. این امر به طور فزاینده ای اهمیت پیدا میکند زیرا کسب و کارها و ابتکارات دیجیتالی جدید همه روزه گسترش مییابند که میتواند وب اپلیکیشنهای جدید و API را در برابر حملات آسیب پذیر کند.
امنیت فایروال شبکه
فایروال شبکه از یک شبکه محلی (LAN) امن در برابر دسترسی غیرمجاز محافظت میکند تا از خطر آسیب دیدن توسط حملات جلوگیری کند. هدف اصلی آن جداسازی یک منطقه امن از یک منطقه دارای امنیت کمتر و کنترل ارتباطات بین این دو است. بدون آن، هر رایانهای با آدرس پروتکل اینترنت عمومی (IP) خارج از شبکه قابل دسترسی است و به طور بالقوه در معرض خطر حمله قرار دارد.
ترافیک Application در مقابل ترافیک شبکه
فایروالهای شبکه سنتی دسترسی غیرمجاز به شبکههای خصوصی را کاهش میدهند یا از عبور آن جلوگیری میکنند. پالیسیهای فایروال ترافیک مجاز برای ورود به شبکه را تعریف میکنند و هرگونه تلاش برای دسترسی مسدود میشود. نمونههایی از ترافیک شبکه که به جلوگیری از ورود آن کمک میکند، کاربران غیرمجاز و حملات صورت گرفته توسط آنها یادستگاههایی با محافظت ضعیف در منطقهای با امنیت کمتر قرار دارند.
WAF به طور خاص ترافیک برنامه (Application) را هدف قرار میدهد. از ترافیک و برنامههای کاربردی HTTP و HTTPS در مناطق رو به اینترنت شبکه محافظت میکند. این امر کسب و کارها را در برابر تهدیداتی مانند حملات XSS، DDoS و حملات ورود SQL ایمن میکند.
محافظت در لایه 7 در مقابل لایه 3 و 4
تفاوت فنی کلیدی بین فایروال سطح Application و فایروال در سطح شبکه، لایه امنیتی است که روی آن کار میکنند. این دو فایروال با مدل OSI تعریف میشوند که عملکردهای ارتباطی را در سیستمهای مخابراتی و محاسباتی مشخص و استانداردسازی میکند.
WAFها از حملات در لایه 7 مدل OSI محافظت میکنند که سطح Application است. این مورد شامل حملات علیه برنامههایی مانند Ajax، ActiveX و JavaScript و همچنین دستکاری کوکیها، SQL و حملات URL میشود. WAF همچنین پروتکلهای برنامههای کاربردی وب یعنی HTTP و HTTPS را هدف قرار میدهند که برای اتصال مرورگرهای وب و سرورهای وب استفاده می شوند.
به عنوان مثال، یک حمله DDoS لایه 7، ترافیک زیدی به لایهی سرور میفرستد، جایی که صفحات وب در پاسخ به HTTP Request تولید و تحویل میشوند. WAF با عمل کردن به عنوان یک پروکسی معکوس که از سرور هدف در برابر ترافیک مخرب محافظت میکند و درخواستها برای شناسایی استفاده از ابزارهای DDoS را فیلتر میکند، این مشکل را کاهش میدهد.
فایروالهای شبکه در لایههای 3 و 4 مدل OSI کار میکنند که از انتقال داده و ترافیک شبکه محافظت میکنند. این شامل حملات DNS و FTP و همچنین SMTP، SSH و Telnet است.
حملات وب در مقابل دسترسی غیرمجاز
راهکار WAF از کسب و کارها در برابر حملات مبتنی بر وب که برنامهها را هدف قرار میدهند محافظت می کند. بدون فایروال برنامه، هکرها میتوانند از طریق آسیب پذیریهای Web Application به شبکه گسترده تر نفوذ کنند. راه حلهای امنیتی WAF از کسب و کارها در برابر حملات رایج وب مانند:
DDoS: تلاش برای ایجاد اختلال در یک شبکه، سرویس یا سرور با غلبه بر آن با سیل ترافیک اینترنتی. هدف آن تمام کردن منابع هدف است و دفاع از آن دشوار است زیرا ترافیک همیشه بدیهی نیست.
SQL Injection: نوعی حمله injection که هکرها را قادر میسازد تا دستورات مخرب SQL را اجرا کنند که سرور پایگاه داده را در پشت یک Web Application کنترل میکند. این مساله به مهاجمان امکان میدهد تا احراز هویت و اعتبار سنجی صفحه وب را دور بزنند و محتوای پایگاه داده SQL را بازیابی کنند، سپس رکوردهای آن را اضافه، اصلاح و حذف کنند. مجرمان سایبری میتوانند از SQL Injection برای دسترسی به اطلاعات مشتری، دادههای شخصی و مالکیت معنوی استفاده کنند. در سال 2017 در لیست ده تهدید برتر OWASP به عنوان تهدید شماره یک برای امنیت برنامه های وب قرار گرفت.
اسکریپت بین سایتی: یک آسیب پذیری امنیتی وب که مهاجمان را قادر میسازد تا تعاملات کاربر با برنامهها را به خطر بیاندازند. این اسکریپت مهاجم را قادر میسازد تا سیاستهای یکسانی که وبسایتهای مختلف را جدا میکند دور بزند. در نتیجه، مهاجم میتواند به عنوان یک کاربر واقعی ظاهر شود و به دادهها و منابعی که برای آنها مجوز دارد دسترسی داشته باشد.
فایروالهای شبکه از دسترسی غیرمجاز و ترافیک ورودی و خروجی شبکه محافظت میکنند. این فایروالها در برابر حملات سراسری شبکه علیه دستگاهها و سیستمهایی که به اینترنت متصل میشوند محافظت میکنند. نمونههایی از حملات شبکهای که اغلب استفاده می شوند عبارتند از:
دسترسی غیرمجاز (Unauthorized Access): مهاجمانی که بدون اجازه به یک شبکه دسترسی دارند و این کار را معمولا از طریق سرقت اعتبار و حسابهای در معرض خطر در نتیجه استفاده افراد از رمزهای عبور ضعیف، مهندسی اجتماعی و تهدیدات داخلی انجام میدهند.
حملات Man-in-the-Middle (MITM): مهاجمان ترافیک بین شبکه و سایتهای خارجی یا داخلی خود شبکه را رهگیری میکنند. این کار اغلب در نتیجه پروتکلهای ارتباطی ناامن است که مهاجمان را قادر میسازد دادهها را در جریان انتقال بدزدند، سپس اعتبار کاربر را به دست آورند و حسابهای کاربر راسرقت کنند.
Protocol escalation: مهاجمان به یک شبکه دسترسی پیدا میکنند و سپس از Protocol escalation برای گسترش دسترسی خود به سیستم استفاده میکنند. آنها میتوانند این کار را به صورت افقی انجام دهند، به موجب آن به سیستمهای مجاور دسترسی پیدا می کنند، یا به صورت عمودی با به دست آوردن Privilege بالاتر در همان سیستم.
انتخاب فایروال Application یا شبکه
فایروالهای شبکه استاندارد و WAF ها در برابر انواع مختلف تهدیدات از شبکه محافظت میکنند، بنابراین انتخاب مناسب بسیار مهم است. فایروال شبکه به تنهایی از کسب و کارها در برابر حملات علیه تهدیدات وب محافظت نمیکند. این حملات فقط از طریق قابلیتهای WAF قابل پیشگیری هستند. بنابراین بدون فایروال Appication، کسبوکارها میتوانند شبکه گستردهتر خود را برای حمله از طریق آسیبپذیریهای برنامههای وب باز بگذارند. با این حال، WAF نمیتواند از حملات در لایه شبکه محافظت کند، بنابراین باید به جای جایگزینی، فایروال شبکه را تکمیل کند.
راه حلهای مبتنی بر وب و شبکه در لایههای مختلف کار میکنند و از انواع مختلف ترافیک محافظت می کنند. بنابراین به جای رقابت، مکمل یکدیگر هستند. فایروال شبکه معمولا از دایرهی وسیع تری از انواع ترافیک محافظت میکند، در حالی که یک WAF با تهدیدات خاصی سروکار دارد که رویکرد سنتی نمیتواند پوشش دهد. بنابراین توصیه میشود که هر دو راه حل مورد استفاده قرار بگیرند، به خصوص اگر سیستم عاملهای یک کسب و کار به طور نزدیک با وب کار میکنند.
به جای انتخاب بین دو مورد، چالش بیشتر در انتخاب سیستم امنیتی WAF مناسب است که به بهترین وجه با نیازهای کسب و کار مطابقت داشته باشد. WAF باید یک شتابدهنده سختافزاری داشته باشد، ترافیک را کنترل کند و حملات مخرب را مسدود کند، به راحتی در دسترس باشد، و برای حفظ عملکرد با رشد کسبوکار، مقیاسپذیر باشد.
فایروال نسل بعدی (NGFW) در مقابل فایروالهای WAF و شبکه
خرید محصولات فایروال جداگانه برای محافظت از هر لایه امنیتی گران تمام میشود. این امر کسب و کارها را به سمت راهحلهای جامعی مانند فایروالهای نسل بعدی (NGFW) سوق میدهد. NGFW ها معمولا قابلیتهای فایروالهای شبکه و WAF ها را در یک سیستم مدیریت مرکزی ترکیب میکنند. آنها همچنین زمینه مناسب برای اجرای سیاستهای امنیتی فراهم میکنند، که برای محافظت از کسب و کارها در برابر تهدیدات امنیتی مدرن حیاتی است.
انتخاب و استفاده از فایروال مناسب در حفاظت از ترافیک شبکه نقش ضروری و حیاتی ایفا میکند و واجب است که مدیران ضمن برگزیدن فایروال مناسب با در نظر گرفتن شرایط شبکهی سازمان، نسبت به انجام به روز رسانیها و اقدامات لازم برای حفاظت از آن را انجام دهند.
