Un Web Application Firewall protejează doar stratul OSI 7? (Securitatea informațiilor, Aplicație Web, Firewall-Uri, Waf)

Bob Ortiz a intrebat.

Un Web Application Firewall (WAF) care protejează stratul 7 al aplicației, protejează și alte straturi ale modelul Open Systems Interconnection (OSI).?

Comentarii

  • Aceasta este una dintre întrebările la care se poate argumenta în ambele sensuri, dar profesorul va accepta doar răspunsul pe care l-a dat în clasă. –  > Por gowenfawr.
1 răspunsuri
gowenfawr

Din cauza necesității arhitecturale, Web Application Firewall (WAF) protejează împotriva atacurilor și la alte niveluri. Cu toate acestea, aceste protecții sunt în mare parte accidentale și nu sunt complete. Permiteți-mi să ilustrez acest lucru cu câteva exemple:

Stratul de prezentare – să presupunem că aplicația care trebuie protejată utilizează TLS. În acest caz, dispozitivul WAF trebuie, prin definiție*, să încheie conexiunea TLS a clientului pentru a decripta datele aplicației și pentru a le aplica logica sa de Firewall pentru aplicații.

În practică, acest lucru înseamnă că un potențial atacator nu interacționează niciodată cu stiva TLS de pe gazda țintă (aplicație). Și în timp ce backend-ul poate rula unul dintre numeroasele cadre de aplicații, care au toate propria implementare TLS cu propriile sale ciudățenii, WAF-ul va fi, în general, construit și vândut de cineva care a realizat că TLS este o afacere importantă pentru a o face corect. (Din experiența mea, F5 este destul de bun în ceea ce privește actualizarea TLS-ului lor, după cum este necesar).

Astfel, WAF-ul oferă protecție la nivelul de prezentare, de fapt (dacă nu ca un glonț de vânzare).

Stratul de sesiune – un WAF își va injecta adesea propriile cookie-uri de urmărire pentru a ajuta la detectarea și prevenirea persoanelor care se joacă cu datele de capăt de sesiune. Acest lucru se datorează parțial faptului că WAF trebuie să protejeze [orice] aplicație din backend, dar completează frumos faptul că „pentru [orice] aplicație aleatorie (oricare), presupuneți că a fost scrisă fără nicio protecție rezonabilă a sesiunii”.

Stratul de transport – La fel ca TLS, TCP va fi încheiat la WAF, ceea ce scutește serverul de aplicații de interacțiunea directă cu clientul. Orice modificare manuală a pachetelor, orice fragmente care se suprapun, orice jocuri de încălcare a stării se vor rupe împotriva WAF și nu a serverului de aplicații. Va fi WAF-ul mai capabil să le gestioneze? Greu de spus, dar atacatorul va fi în continuare departe de obiectivul său.

Stratul de rețea – din nou, prin terminarea conexiunilor și deschiderea altora noi către serverul de aplicații, WAF-ul va izola serverul de aplicații de atacurile de pe stratul IP… De exemplu, va aștepta până când 3WHS (3-Way Handshake) extern (client) este finalizat înainte de a iniția 3WHS intern (server), atenuând astfel sincopele.

Aceste protecții sunt, în general, accidentale și nu sunt proiectate. Producătorul WAF nu introduce în WAF-ul său capacitatea de inspecție statică a unui CheckPoint, de exemplu, ci doar așteaptă să aibă o conexiune externă validă și statică înainte de a deschide conexiunea internă. WAF-ul poate utiliza stiva OpenSSL TLS, la fel ca și serverul de aplicații, și ambele sunt vulnerabile la aceleași probleme… dar WAF-ul este la un pas distanță de datele utile ale aplicației la care atacatorul vrea să ajungă.


* Definiția pe care o folosesc aici este: „TLS modern preferă cifrele cu chei efemere care elimină capacitatea unui ascultător pasiv de a decripta traficul, așa că să presupunem că orice lucru cu TLS în zilele noastre va trebui să fie terminat pentru a fi decriptat”.