ونظرا للمعدل الذي نواصل فيه مشاهدة الهجمات السيبرانية، فمن الواضح أنه لا تزال هناك فجوة واسعة في الكيفية التي يتم بها تطبيق الضوابط الأمنية على التطبيقات على شبكة الإنترنت. لقد قمت بتجربة عدد من الحلول لمساعدتي في حل هذه المشكلة ليس فقط لتأمين بل أيضا لتحسين طلبات HTTP إلى خادم ويب.
هذه حالة مستعملة تصف مشكلة واجهتني بموقع منتدى معجبين عندما تم إستشارتي للمساعدة على تحسين الأمن والأداء. يقوم الموقع على مشغل vBulletin ويعمل تحت Linux Apache MySql و PHP (LAMP).
هنا...
المشكلة ١ - الأمن
قضايا موثقة تتعلق باستمرار هجمات رفض الخدمة، وخاصة فيضان SYN. وبالنظر إلى طبيعة الهجوم، فإن تنفيذ عمليات الإعدام لم يكن كافيا ببساطة. كل شهرين، كان الموقع ينزل مرة أخرى. وبسبب الموارد المحدودة، كان علي تنفيذ مجموعة جديدة من الضوابط التي تتجاوز وظائف جدار الحماية التقليدي.
المشكلة ٢ - الأداء
كان الموقع يعاني من مشكلات في الأداء تسمى شوتباك، والتي سمحت للأعضاء بالدردشة في الوقت الحقيقي باستخدام طلبات نشر HTTP. عادة ما يكون هذا الأمر على ما يرام حتى يكون لديك كم كبير من المستخدمين. وعند هذه النقطة، يمكن لبرنامج Shutbox تعطيل وحدة المعالجة المركزية (CPU) عند تمرير الطلبات بين قاعدة البيانات والعودة إلى محرك الأقراص الثابتة وتقديمها إلى المستخدم.
الحل
حل المشكلة ١: جدار حماية تطبيق ويب - ModSecurity
يلزم توفر جدار حماية هجين لنظام منع أختراق التطبيقات (IPS) الذي يتسم بحساسية البروتوكول - جدار حماية تطبيق الويب. لم يعد جدار الحماية التقليدي الموجود في النطاق مع منفذ ٨٠ مفتوح للعالم كافيا كهجمات مثل SQL Enging و Cross Site Scripting (XSS) و Cross Request المزور (XSRF) أو HTTP DoS.
ما الذي يمكن أن أحصل عليه من تكلفة فعالة دون المساس بأهداف توفير ضوابط أمنية متعمقة من خلال التصدي لجميع أشكال الهجمات كما ذكرت أعلاه؟ - وزارة الأمن
ModSecurity عبارة عن جدار حماية لتطبيق ويب (WAF) من Trusted WaveSpiderLabs في التي تقوم بتصفية كل من البيانات الواردة والصادرة والقادرة على إيقاف حركة المرور الضارة باستخدام مجموعة من القواعد المحددة مسبقا.
نموذج تقليدي
طلب HTTP (المنفذ ٨٠ يمر عبر جدار الحماية) —> خادم الأباتشي
نموذج آمن
طلب HTTP —> ModSecurity —> خادم الأباتشي
تتسم ميزة ModSecurity بتعدد الاستخدامات إلى حد كبير، كما أنها فعالة للغاية في توفير طبقة أمان إضافية أستثنائية لخدمات الويب. فهو لا يوفر حماية على مستوى التطبيق فحسب، بل يمكنه أيضا المساعدة على تخفيف آثار الاستغلالات التي لا تحتوي على أي وحدات أو برامج غير مرقعة كمتجه هجوم. يعد هذا الحل واحدا من الحلول الموصى بها لتقليل أربع نقاط ضعف على الأقل من بين أفضل ١٠ نقاط ضعف التي يتميز بها مزود الخدمة المعتمد من Owasp.
قاعدة ModSecurity لحظر حقن SQL False
# حقن SQL أعمى
SecRule REQUEST_FILENAME|ARGS|ARGS_NAMES|REQUEST_HEARS|XML:/*!REQUEST_HEADS:Compeer "@pm.user_sys.user_objects@spid@spmsysaces.user_aces.tabindex.charsymans.user_type select jsetnotnotnull sys.user_tables_symantes.user_tab_ardssymantes_widyaly mysqqql.user.sys.all_tagres msysposizris msysmards msysques"
"الطور:٢،t:no،t:url فك التشفير Uni،t:htmlEntityDecod،t:sgland،t:t:replaceAntes،t:ضغط WhiteSpace،pass،nloog،skip:١"
مرحلة SecAction:٢،pass،nloog،skipAfter:٩٥٩٠٠٧
SecRule REQUEST_FILENAME|ARGS|ARGS_NAMES|REQUEST_HEARS|!REQUEST_HEADQUARTERER:Comer "(؟:b(؟:s(؟:ys.(؟:user_؟:t(؟:ab_column|le)|rigerger|s)|s)|s)|view)s(؟:onconsties|atalog))|all_tabar|lab)|ailtb.{٠،٤٠}b(؟:substring|user))|m(؟:sys(؟(؟:queeri|ac)e|brelad|column|object)s|ysql.user)|c(؟:oncontentit_type|harindex)|instanotnotnotnull)b r)W+()|@@spidb)"
"الطور:٢،capt،t:no،t:htmlEntityDecod،t:replaceAntes،t:replySpace،ctl:dictLogParts=+E،السجل،audio،السجل،msg:'هجوم حقن SQL False'،id:'٩٥٠٠٠٠٧٧'،العلامة:web '_LAW/SQL_GENG'، logdata:'٪{TX.٠}'، الخطورة:' ٢"
SecRule REQUEST_FILENAME|ARGS|REQUEST_HEADS|!REQUEST_HEADS:Commodier b(؟:
.(؟:user_(؟::t(؟:ab(؟:column|le)|riger)|object|view)s|c(؟:onconceits|atalog))|all_tables|tab)|alittb.{٠،٤٠}b(؟:substring|user)|m(؟:sys:queeri|ac)e|cord|object)s|ysql.user)|c(؟:onconcet_type|harindex)|atnotnull)b|(؟:location|instr)W+(|@@spidb)
"الطور:٢،capt،t:no،t:htmlEntityDecod،t:replaceAntes،t:replySpace،ctl:dictLogParts=+E،السجل،audio،السجل،msg:'هجوم حقن SQL False'،id:'٩٥٠٠٠٠٧٧'،العلامة:web '_LAW/SQL_GENG'، logdata:'٪{TX.٠}'، الخطورة:' ٢"
SecRule REQUEST_FILENAME|ARGS|REQUEST_HEADS|!REQUEST_HEADQUARTERS:المحكم "b(؟(؟:s(؟:s(؟:ys)؟(؟::process|tabl)e|مجموعة الملفات|الكائن)s|c(؟:o:nextivt|t)|at|ubstr(؟:ing)؟)|المستخدم_(؟::::::clitam|obicec)t|tab(؟:_column|le)|inind_column|user)s|كلمة المرور|group)|a(؟:tt|rel|typp)id|ll_obards)|object(؟(: العمود_(؟:name|id)|(؟:dba|mb)_users|xtypeW+bchar|ronum)b|t(؟:able_nameb|extposW+()"
حل المشكلة ٢: أداة تسريع تطبيقات الويب - ذاكرة التخزين المؤقت للورنيش
لحل المشكلة ٢، مشكلة الأداء، قمت بنشر حل تحسين HTTP يسمى ذاكرة التخزين المؤقت لورنيش.
ما هي ذاكرة التخزين المؤقت لورنيش؟ ذاكرة التخزين المؤقت للورنيش هي مسرع تطبيق ويب يقع أمام خادم تطبيق يستند إلى بروتوكول HTTP. يقوم هذا النظام بتخزين محتويات كافة الطلبات التي يقدمها المستخدمون في الذاكرة المتقلبة، وبالتالي تسريع سرعة كل عملية. كما يتكامل الورنيش بشكل جيد مع ModSecurity ليصبح جدار حماية لتطبيق ويب.
خاتمة
وقد أدى الجمع بين هاتين الأداتين إلى تحسين أمن خادم تطبيقات الشبكة وأدائه إلى حد كبير، وعززا بالتالي توافر الخدمات للمستخدمين. بينما تحتاج إلى معرفة مسبقة عن هجمات الويب، فإن فهم بناء الجملة لكل من ModSecurity و Varnesh Cache يتطلب تخطيطا عميقا وبعض الإلمام بالبرمجة حيث يجب عليك تكوين كافة القواعد يدويا. غير أنه من الجدير بالذكر أن كلا من ModSecurity و Varnesh-Cache هما أحران تحت ترخيص المصادر المفتوحة.
"الطور:٢،capt،t:no،t:htmlEntityDecod،t:replaceAntes،t:replySpace،ctl:dictLogParts=+E،السجل،audio،السجل،msg:'هجوم حقن SQL False'،id:'٩٥٠٠٠٠٧٧'،العلامة:web '_LAW/SQL_GENG'، logdata:'٪{TX.٠}'، الخطورة:' ٢"
SecRule REQUEST_FILENAME|ARGS|REQUEST_HEADS|!REQUEST_HEADQUARTERS:المحكم "b(؟(؟:s(؟:s(؟:ys)؟(؟::process|tabl)e|مجموعة الملفات|الكائن)s|c(؟:o:nextivt|t)|at|ubstr(؟:ing)؟)|المستخدم_(؟::::::clitam|obicec)t|tab(؟:_column|le)|inind_column|user)s|كلمة المرور|group)|a(؟:tt|rel|typp)id|ll_obards)|object(؟(: العمود_(؟:name|id)|(؟:dba|mb)_users|xtypeW+bchar|ronum)b|t(؟:able_nameb|extposW+()"
حل المشكلة ٢: أداة تسريع تطبيقات الويب - ذاكرة التخزين المؤقت للورنيش
لحل المشكلة ٢، مشكلة الأداء، قمت بنشر حل تحسين HTTP يسمى ذاكرة التخزين المؤقت لورنيش.
ما هي ذاكرة التخزين المؤقت لورنيش؟ ذاكرة التخزين المؤقت للورنيش هي مسرع تطبيق ويب يقع أمام خادم تطبيق يستند إلى بروتوكول HTTP. يقوم هذا النظام بتخزين محتويات كافة الطلبات التي يقدمها المستخدمون في الذاكرة المتقلبة، وبالتالي تسريع سرعة كل عملية. كما يتكامل الورنيش بشكل جيد مع ModSecurity ليصبح جدار حماية لتطبيق ويب.
خاتمة
وقد أدى الجمع بين هاتين الأداتين إلى تحسين أمن خادم تطبيقات الشبكة وأدائه إلى حد كبير، وعززا بالتالي توافر الخدمات للمستخدمين. بينما تحتاج إلى معرفة مسبقة عن هجمات الويب، فإن فهم بناء الجملة لكل من ModSecurity و Varnesh Cache يتطلب تخطيطا عميقا وبعض الإلمام بالبرمجة حيث يجب عليك تكوين كافة القواعد يدويا. غير أنه من الجدير بالذكر أن كلا من ModSecurity و Varnesh-Cache هما أحران تحت ترخيص المصادر المفتوحة.
Aucun commentaire:
Enregistrer un commentaire