تشخیص حملات مخفی از دید سیستمهای تشخیص نفوذ و فایروالهای عادی
در لایههای پایین
فایروال برنامههای تحت وب (ASPA WAF)
گسترش روزافزون استفاده از فضای مجازی و ارتباطات اینترنتــی، فضای تعاملات را به نحو گستردهای تحت تاثیر قرار داده است. مهمترین واسط شرکتها، موسسات و حتی افراد حقیقی در چنین فضایی، وبسایتهای آنها میباشد. این گستردگی کاربرد با خطرات مهمی نظیر حملات سایبری بر روی این سایتها مواجه است. طبق گزارش موسسات فعال در زمينهي تحليل امنيت فضاي مجازي، در حال حاضر بيش از70 درصد حملات اينترنتي، از آسیبپذیریهای وب موسسات منشا گرفته است.
فايروال برنامههاي کاربردي تحت وب(WAF)، با تمرکز بر پیامهای ارسالی در لایه کاربرد شبکه و پروتکلهای مربوط به وب، حملاتی را که از دید سیستمهای تشخیص نفوذ و فایروالهای عادی در لایههای پایینتر پنهان میماند، تشخیص میدهد.
فایروال برنامههای کاربردی وب شرکت فنی مهندسی آسپا با استقرار در کنار کارگزارهاي وب يک سازمان و تمرکز بر روي ترافيک وب، حملات تحت وب را تشخيص داده و مانع از نفوذ هکرها به وبسايتها ميگردد. محصول ASPA WAF در مد عملیاتی پراکسی معکوس عمل میکند که باعث میشود بدون نیاز به هر گونه تغییری در وب سایتها و اپلیکیشنهای موجود، تعداد قابل توجهی از آنها مورد حفاظت قرار گیرند.
این محصول امکان محافظت در برابر اکثر حملات رایج و نیز آسیبپذیریهای معرفی شده توسط OWASP رافراهم میکند.
- آسپا وف چیست؟
- چرا آسپا وف؟
- ویژگیهای فنی
سامانه ASPA WAF که منطبق بر نيازمنديهاي بند 6.6 استاندارد PCI DSS V3.0 و ISO/IEC 27001 طراحی شده است تمام آسیبپذیریهای مهم اعلام شده توسط OWASP را پوشش میدهد. مدل پراکسی معکوس به کار گرفته شده و پیادهسازی در قالب سخت افزار تحت شبکه باعث میشود استقلال وبسایتها و اپلیکیشنهای موجود حفظ شده و بدون هیچ تغییری در آنها تعداد زیادی سرویسدهندهی مجزا مورد حفاظت قرار گیرند. در این سامانه بروزترین قوانین امنیتی و امضاء حملات توسعه یافته در چند آزمایشگاه بینالمللی نرمافزار با هم ترکیب شده و با مطالعات دقیق افزونگیهای آنها از بین رفته است. مجموعه قوانین اختصاصی آسپا در بازههای زمانی مختلف بهروزرسانی شده و همراه با آخرین تغییرات در برنامههای اجرایی سامانه، به صورت آفلاین و آنلاین از طریق سرورهای بروزرسانی داخل ایران در اختیار مشتریان قرار میگیرد. رمزگشـایی پروتـکل HTTPS در این سامـانه اجـازه میدهد محتوای رمز شده کنترل و از حملات رمزنگاری شده جلوگیری شود. علاوهبراین امکان استفاده از HTTPS Offloading به صورت مجزا برای کاهش بار پردازشی سرویسدهندههای مورد حفاظت فراهم شده است. استفاده از آنتیویـروس با قابلیـت نصـب آنتی ویـروس سفارشی مشتری، از بارگذاری فایلهای مخرب جلوگیری میکند.
بومیبودن فناوری استفاده شده در ASPA WAF به تایید کارگروه ارزیابی و تشخیص صلاحیت شرکتهای دانشبنیان رسیده است. وجود دانش بومی باعث میشود پشتیبانی قوی برای مشتریان فراهم شود. تولید مجموعه قوانین سفارشیشده برای رفع نیازها و آسیبپذیریهای خاص هر مشتری قسمتی از این پشتیبانی است. علاوهبراین دانش، توجه ویژه ما به ارتقاء مولفههای QoS ما را از سایر رقبا متمایز میسازد. طراحی Web Cache تخصصی برای پردازش محتوای استاتیک و نیز استفاده از الگوریتمهای فشردهسازی سازگار با تمام مرورگرها، باعث میشود علاوهبر افزایش امنیت، سرعت وب مشتریان به نحو چشمگیری افزایش یابد. الگوریتمهای به کار رفته برای محتــواهای پویا و نیز فشردهســـازی SSL نیز کـــاراست. ویژگیهایی نظیـــر Ultra Cache و همبستهسازی اختصاصی هشدارها مزایای دیگریست که در نسخههای بعدی به سامانه افزوده خواهد شد.
✔️ پشتيباني از پروتکل HTTPS
✔️ شناسايي حملات رايج(OWASP Top Ten)
✔️ بروز بودن لیست حملات مطابق آخرین تغییرات امضاهای OWASP در سال 2020
✔️ شناسایی پویشگرها، باتهای تحت شبکه و سایر بدافزارها
✔️ شناسایی آدرسهای موجود در لیستهای سیاه spam از مراجع به روز دنیا
✔️ شخصيسازي ليست الگوهاي حمله مورد نظر
✔️ سفارشيسازي پارامترهاي پروتکل Http(s)
✔️ کنترل بارگذاري (ضد ویروس و کنترل حجم)
✔️ جلوگيري از حملات جستجوی فراگیر بر روي فرمها
✔️ قابلیت تشخیص DoS
✔️ قابلیت جلوگیری از slow DoS
✔️ قابلیت تشخیص DoS در بازههای طولانی به صورت سیاستپذیر
✔️ قابلیت ارایه Cache سیاستپذیر
✔️ قابلیت ارایه Cache سیاستپذیر در حافظه اصلی (RAM) برای کاهش مؤثر زمان پاسخ
✔️ قابلیت فشردهسازی محتوای سیاستپذیر سازگار با مرورگرهای استاندارد
✔️ امکان افزودن قوانین جدید به صلاحدید راهبر سیستم
✔️ بررسي اسناد XML و json
✔️ پشتيباني از کوکیها
✔️ بررسی پاسخهای سرویس دهندههای تحت حفاظت
✔️ جلوگيري از نشت اطلاعاتInformation Leakage) )
✔️ پشتيباني از Port Forwarding
✔️ امکان تعريف سرويس دهندههاي اصلي بر اساس آدرس ثابت يا نام DNS
✔️ امکان معرفي چند سرويس دهنده اصلي براي هر سايت
✔️ امکان تسهيم بار بين سرورهاي واقعي ارايه دهنده خدمات
✔️ امکان خصوصيسازي سيستم امتيازدهي(سیستم تشخیص ناهنجاری)
✔️ توانایی شناسایی کارگزارهای موتورهای جستوجو و سازگاری با آنها برای جلوگیری از کاهش رتبه SEO سایتها
✔️ قابلیت امتیازدهی کاربران و استفاده از لیست سیاه خودکار برای شناسایی کاربران تکرار کننده خطا
✔️ قابلیت شناسایی خودکار هشدارهای مثبت کاذب و ارایه گزارش و تولید قوانین استثنائات مرتبط
✔️ قابلیت پشتیبانگیری خودکار
✔️ قابلیت ارسال خودکار فایلهای پشتیبان از طریق SSH
✔️ قابلیت دسترسی بالا High Availability به صورت Active/Passive
✔️ قابلیت interface bonding(LACP)
✔️ تقویت امنیت SSL
✔️ بهره گیری از امکانات امنیتی مرورگرها با ارسال سیاستهای سازگار با آنها
✔️ پشتیبانی از VLAN
✔️ عدم محدودیت در تعریف تعداد آدرسهای IP
✔️ قابلیت افزودن سیاستهای routing ایستا
✔️ قابلیت ارسال ایمیل مطابق سیاست راهبر سیستم و نیز در صورت تشخیص خرابی
✔️ قابلیت ارسال syslog
✔️ ثبت تمام فعالیتهای راهبر سیستم بدون قابلیت حذف و تغییر و امکان جست و جو
✔️ ثبت تمام دسترسیهای کاربران اعم از دسترسیهای بدخواهانه و دسترسیهای عادی
✔️ ثبت جزییات درخواستهای بدخواهانه با ارایه مقادیر بدخواهانه و محل آسیبپذیری بههمراه پارامترهای مورد سوء استفاده
✔️ قابلیت فیلتر نویسی بر روی دسترسیهای کاربران
✔️ قابلیت فیلتر نویسی بر روی درخواستهای بدخواهانه
✔️ قابلیت ارایه گزارشهای آماری از حملات شناسایی شده
✔️ توانایی پاسخ دهی به یکصد هزار تراکنش HTTP در ثانیه
✔️ پشتیبانی از NTP
✔️ خصوصیسازی صفحات خطای نشان داده شده به کاربران
✔️ خصوصیسازی لیست حملات
✔️ کاهش بار پردازشی حاصل از رمزگشایی پروتکل HTTPS با امکان HTTPS Offloading
✔️ بازنویسی آدرسها در پاسخ سرویسدهنده URL rewriting
✔️ قوانین استثناء پیشفرض برای سازگاری با زبان فارسی
✔️ قوانین استثنای پیشفرض برای سازگاری با سیستمهای مدیریت محتوای معتبر
✔️ قابلیت مدیریت پهنای باند و تعریف تعداد اتصال و نرخ تراکنش HTTP برای کاربران (هر آدرس IP)
✔️ قابلیت مدیریت پهنای باند و تعریف تعداد اتصال و نرخ تراکنش HTTP بهصورت کلی بر روی هر سایت
✔️ قابلیت ایجاد قوانین بر اساس موقعیت جغرافیایی کاربران (Geo Location)
✔️ امکان تعريف مسيرهاي مجاز و غیر مجاز
✔️ مدهای عملیاتی:
• مد مميز: در اين مد سيستم هيچ واکنش فعالي انجام نميدهد و فقط به رويدادنگاري و ارايه گزارش ميپردازد.
• مد فعال: در اين مد سامانه علاوهبر ثبت رويدادهاي امنيتي واکنشهاي مناسب را نيز از خود نشان ميدهد.
• مد غير فعال: غيرفعال کردن موقت سامانه بر روي تراکنشهاي يک سايت در اين مد انجام ميپذيرد.
✔️ ثبت وقايع و گزارشگيري
✔️ مدهاي عملياتي زیرسیستم گزارشگیری
براي هر سايت تعريف شده، سيستم گزارشگیری را ميتوان در سه مد عملياتي زير به کار گرفت:
• ثبت هشدارهاي خاص: براي اينکه مديران با حجم سرسامآور هشدارها مواجه نشوند، ميتوان اين گزينه را انتخاب نمود که در آن فقط هشدارهاي همبسته شده، رخدادهايي که وقوع يک حمله محتوم را گزارش ميکنند و نيز رخدادهايي که منجر به بروز حالت خطا در سرويسدهنده واقعي شده باشند ثبت ميشوند.
• ثبت همه رويدادها
• عدم ثبت هشدارها
✔️ امکان نشانگذاري بر روي رويدادها
✔️ امکان مشاهده گزارش خلاصه بر حسب پارامترهاي مختلف همراه با نمودار
✔️ گزارش تفکیکی از آمارههای مختلف
✔️ امکان تهیه گزارش با استفاده از فیلترهای پیچیده در قالب جداول و نمودارهای سه بعدی در سامانه وجود دارد. این گزارشها در ده بخش مجزای زیر ارایه میشوند:
• گزارش از رخدادهای نشانه گذاری شده بهصورت کلی
• گزارش از رخدادهای نشانهگذاری شده به تفکیک هر نام دامنه
• گزارش از رخدادها براساس میزان اهمیت
• گزارش از رخدادها براساس میزان اهمیت به تفکیک هر نام دامنه
• گزارش از تعداد رخدادها به تفکیک نوع پاسخ داده شده (HTTP Response code)
• گزارش از تعداد رخدادها به تفکیک نوع پاسخ داده شده (HTTP Response code) و تفکیک هر نام دامنه
• شناسایی 10 کلاینت که بیشترین تعداد رخداد را داشتهاند.
• شناسایی 10 کلاینت که بیشترین امتیاز منفی را گرفتهاند.
• شناسایی 10 کلاینت که مجموع امتیاز کارهای کم اهمیتشان بیشتر از دیگران است.
• شناسایی 10 کلاینت که مجموع امتیاز کارهای بسیار خطرناکشان بیشتر از دیگران است.
✔️ امکان مشاهده آمار حملات در نمودارهاي پوياي برخط براي حملات در بازههاي زماني مختلف
✔️ جدول پوياي 10 حمله مهم اخير
✔️ تحلیل هوشمند رخدادهای مثبت کاذب و تولید قوانین امنیتی هرس کننده بهصورت خودکار از تحلیلهای به دست آمده
✔️ توانایی گذردهی 4 گیگابیت در ثانیه در مورد بارگیری فایلهای حجیم
✔️ سازگاری با HTTPS و بررسی درخواستهای HTTPS
✔️ جلوگیری از حملات تزریق نویسه (XSS)
✔️ جلوگیری از حملات شمول فایل خارجی و محلی