הבלוג חדש יחסית, ואני חושב שבתקופה הקצרה שהוא קיים הספקתי להגיד לא מעט פעמים את הביטוי "WAF".
אז מה זה בעצם WAF?
WAF הם ראשי תיבות של "Web Application Firewall".
WAF הוא סוג של תוכנה (או "פלאגין לשרת" אם תרצו) המשמש כפילטר אל מול בקשות HTTP (כלומר POST, GET וכו') המבוצעות לשרת במטרה לעצור התקפות אפליקטיביות המבוצעות מול שרת ה-WEB (כמו XSS, SQL Injection וכו').
את הסינית אמרנו, בואו נתחיל לפרק את זה לגורמים ונבחן איך זה קורה בפועל.
מהן "התקפות האפליקטיביות"?
התקפה אפליקטיבית היא התקפה המבוצעת על שכבת האפליקציה של מודל OSI.
בעיקר למי שלא מכיר: "מודל ה-OSI הוא מודל המציג את הפעולות השונות הנדרשות על-מנת להעביר נתונים ברשת תקשורת, ואת הסדר בין הפעולות השונות… המודל נוצר … בצורה של מודל שכבתי בעל 7 שכבות שכל שכבה בו מבצעת חלק מסוים מהפעולות הדרושות לביצוע התקשורת" (מתוך ויקיפדיה)
לדוגמא, השכבה הראשונה במודל תהיה השכבה הפיזית (כבל הרשת המחבר בין 2 מחשבים), השכבה השניה תהיה השכבה שמאפשרת את התקשורת (מבחינה לוגית בסיסית) בין אותם 2 מחשבים וכך הלאה.
מודל ה-OSI הוא חשוב, אבל לא עליו באנו לדבר לדבר היום – השכבה החשובה מבחינתנו היא השכבה השביעית והאחרונה – שכבת האפליקציה.
כלומר – מטרת ה-WAF היא לא להגן עלינו מהתקפות המשפיעות על הרשת (למשל: syn flood) או רוחב הפס, אלה על האפליקציה הסופית שלנו (בין אם מדובר ב-wordpress, drupal או כל אפליקציה כלשהי שאנחנו מפעילים ע"ג ה-WEB).
התקפה יכולה להיות מיועדת לצורך גניבת מידע או לצורך Defacement (השחתת אתר, כפי שיקירנו ההאקרים הפלסטינאים / אלג'יראים / מרוקאים / _________ (השלימו את החסר) מנסים לעשות מעת לעת).
מה ה-WAF בעצם עושה?
ה-WAF בעצם משמש כ"מסננת", כל בקשה שאתם שולחים לשרת (הצגת תמונה, עריכה של מאמר או סתם צפיה בעמוד) עוברת דרך מאגר החוקים המוגדרים ב-WAF, אם משהו בבקשה שביצעתם לשרת איננו תקין מבחינת החוקים המוגדרים ב-WAF, ה-WAF יסנן את הבקשה ולא ייתן לה להגיע לשרת.
אם הבקשה תקינה – הכול יעבוד ותוכלו לבצע את בקשתכם.
בתצוגה סכמטית פשוטה:
אבל כאן לא נגמרת עבודת ה-WAF.
ה-WAF יודע בעצם לקחת כל בקשה שלכם לשרת ולפרק אותה לגורמים – ובכך לנתח ולהגדיר על הפעולה חוקים, לדוגמא:
- POST: ה-WAF יודע להסתכל אל תוך בקשת ה-POST שלכם לצורך המשך ניתוח הבקשה.
- COOKIES: ה-WAF יודע לנתח את כלל ה-COOKIES ולפעול לפיהן (למשל, לא לנתח בקשות של אדם שמגיע עם COOKIES מסויימות).
- RESPONSE: ה-WAF יודע לנתח לא רק את הבקשה שלכם, אלה גם את התשובה של השרת (למשל, ניתן להגדיר כי כל עמוד פרוץ המכיל את המילה "HACKED" לא יחזור ללקוח).
רגע, WAF יכול למנוע פריצות לאתר שלי?
בהחלט כן.
מכיוון שה-WAF בודק כל בקשה המתבצעת לשרת, הוא גם יודע לחסום אותן.
ומכאן – אם חברת האחסון שלכם מבצעת את עבודתה כהלכה:
- סימן שהיא מפעילה עבורכם WAF
- סימן שה-WAF מתעדכן באופן קבוע אל מול הפרצות הקיימות בשוק
- סימן שה-WAF הוא מרכזי, ומתעדכן באופן אוטומטי בכלל השרתים, ללא בקשה או דרישה מהצד שלכם.
ובסופו של דבר – סימן שכמות הפריצות שאתם חווים (בהשוואה לחברת אחסון מתחרה ופחות מקצועית) – נמוכה משמעותית.
יופי! אז אני לא צריך לעדכן את האתר?
רגע רגע, hold your horses.
כל עוד מכונת הזמן שלי לא תחזור לעבוד, עדין פרצות יצאו לאוויר יותר מהר ממה שיספיקו לחסום אותן.
ולצערי, לא ניתן לחסום כל פרצה ברמת ה-WAF, ולכן עדכון האפליקציות לגרסאות האחרונות שלהם ובמהירות הוא עדין חשוב ואפילו קריטי.
מה שבעצם אני מנסה להגיד הוא ש-WAF הוא חלק חשוב ואפילו מרכזי מההגנה שחברת האחסון מציעה לכם (אבל בהחלט לא החלק היחיד), אבל עדין חשוב לזכור, שללא עדכונים שוטפים של האפליקציה האתר עדין יהיה חשוף (אומנם במידה מופחתת מאשר ולא היה לכם WAF) לפרצות, ו-WAF זה לא הכול – זה פשוט עוד שכבת הגנה.
ולסיום, קצת נתונים
חברת SPD מפעילה לאורך שנים וכחלק אינטגרלי מהשירות את שירות ה-SWAF (ראשי תיבות ל-SPD Web Application Firewall).
כתוצאה מכך, אנו יודעים לספור את כמות ההתקפות היומית, חודשית ושנתית שהמערכת חסמה לאורך השנים – דבר שללא ספק יציג את התרומה היוצאת דופן של מערכת WAF לאבטחת המידע לאתרים וללקוחות.
בשנה (בממוצע), המערכת חוסמת מעל ל-109,500,000 (!!!!) נסיונות פריצה, סריקה ותקיפה אל מול האתרים היושבים ב-SPD.
אתם מוזמנים לבקר בעמוד ה"אודות" באתר SPD על מנת לראות נתונים יומיים לגבי כמות ההתקפות הנבלמות במערכות אלו.
ולסיום סיומת
כמו שאומר הקמפיין של חברת ISP גדולה באתר בימים אלו:
יש חברת אחסון אתרים, ו…. יש חברת האחסון אתרים
בדקו ודרשו מחברת האחסון שלכם WAF, ואם אתם מרגישים שהאתר שלכם נפרץ לעיתים קרובות מידי, אולי זה הזמן לחשוב על להגר לחברת האחסון אחרת.
- ריבוי אתרים בחשבון = סיכון אבטחה - יולי 16, 2017
- Let's encrypt – תעודות SSL, ובחינם! - ינואר 17, 2017
- PHPMailer Exploit - דצמבר 28, 2016
השאר תגובה