Ini adalah pos yang diadaptasi dari rajutan Twitter saya.
Sebab ada impression lebih 200 orang. Aku akan mulakan bebenang Tembok Api Aplikasi Sesawang atau dalam Bahasa Inggeris, Web Application Firewall
Rujukan istilah tembok api oleh PRPM DBP: prpm.dbp.gov.my/Cari1?keyword=
https://t.co/sDIF3zfFTM
— 🏴🪐Ahmad Aizuddin Aizat 🔜 FURUM🇲🇾 2021 (@ak47suk1) May 24, 2021
Kalau aku cerita pasal WAF ni dalam Bahasa Melayu ni; Ada yang nak follow ke?#OpsBedil
Menurut Kamus Oxford, tembok api ini adalah sistem komputer yang
menghalang pengguna tanpa izin mengakses maklumat sulit tetapi masih
membenarkan mereka mengakses maklumat yang dibenarkan dan diizin.
oxfordlearnersdictionaries.com/definition/eng…
oxfordlearnersdictionaries.com/definition/eng…
Ada pelbagai jenis tembok api mengikut OSI layer berapa. Ingat lagi tak
nasihat saya untuk anda memahami seberapa banyak yang boleh mengenai OSI
layer kalau anda berhasrat untuk terjun dalam bidang keselamatan
maklumat(information security)?
Penjelasan mengenai OSI model di Wikipedia. Tapi saya rasa gambar kucing
di bawah lebih membantu anda ingat susunan layer di dalam model OSI
ini.
Kalau anda berurusan dengan keselamatan sesawang seperti saya, anda akan
lebih banyak kepada Transport layer ke atas(sehingga Application
Layer). Untuk Network Layer anda sebagai ahli keselamatan sesawang akan
berkongsi separuh tanggungjawab dengan ahli keselamatan rangkaian
Kerentanan aplikasi sesawang == web application vulnerability.
Tembok api tradisional tidak dapat mengesan dan menangkis serangan
aplikasi sesawang ini disebabkan peranti ini fokus kepada Network Layer
OSI model.
Senang cakap, WAF fungsinya menjadi barisan hadapan untuk menangani cubaan eksploitasi kerentanan aplikasi web oleh penyerang ke atas aplikasi sesawang sesebuah organisasi. WAF adalah contoh tembok api Application Layer OSI model
web.archive.org/web/2011041510…
Ok kita sambung kuliah WAF kita hari ni. Jadi, semua layer dalam OSI ni
ada tembok api mereka tersendiri. Tembok api tradisional berfungsi untuk
melindungi rangkaian pada lapis ketiga OSI. Tembok api tradisional ini
fungsinya membuka dan menutup port.
Ini contoh rekabentuk tembok api tradisional. Anda sebagai firewall
admin akan buka port yang penting seperti 80(HTTP), 8080(HTTP-alt),
443(HTTPS). Port 21(FTP), 23(Telnet), 3389(RDP/Remote Desktop) kita
tutup.
Banyak organisasi yang buka port RDP ke awam. Pakai katalaluan yang
lemah pulak tu. Dapat kat penyerang, diorang la ni tak pacak
cengkerang(shell) dah. Depa jalankan perisian tebusan terus. Nak pulak
Windows server tu jugak tempat hangpa simpan sandaran(backup).
Ibarat hangpa cedera parah dijirus air garam pekat kaw-kaw. Pedihnya,
sakitnya tuh di sini. Kalau perlu buka port RDP. Pastikan hanya boleh
diakses melalui VPN atau allowlist IP yang dibenarkan sahaja.
Oh aku terlupa nak beritahu perisian tebusan itu adalah istilah Bahasa Melayu untuk ransomware.
Walaupun kita hanya buka port HTTP. Banyak peluang untuk penyerang
melakukan cubaan serangan ke atas aplikasi sesawang. Cookie
stealing/cookie tamper/curi biskut, Local/Remote File Inclusion, SQL
Injection, Remote Code Execution dan lain-lain kerentanan aplikasi
sesawang.
Kerentanan aplikasi sesawang == web application vulnerability.
Senang cakap, WAF fungsinya menjadi barisan hadapan untuk menangani cubaan eksploitasi kerentanan aplikasi web oleh penyerang ke atas aplikasi sesawang sesebuah organisasi. WAF adalah contoh tembok api Application Layer OSI model
Gambar yang aku lampirkan ini adalah sebahagian dari slaid subjek hari
ketiga Certified Incident Handling and Network Security Analyst(CIHNSA),
Web Security (Keselamatan Sesawang).
Lawati cyberguru.my/web/guest/inci… untuk maklumat lanjut.
Lawati cyberguru.my/web/guest/inci… untuk maklumat lanjut.
Saya tenaga pengajar untuk kelas hari ketiga ini. Dibantu oleh kohai
saya yang rajin untuk redraw balik rajah dan figura berkualiti HD dan
lebih enak mata memandang.
Ada 2 FAQ berkaitan WAF dan keselamatan sesawang yang biasa orang akan tanya.
1) Website saya ada SSL. Adakah saya selamat dari ancaman kerentanan aplikasi sesawang?
SSL tidak membantu langsung untuk mencegah kerentanan aplikasi web. Malah dalam sesetengah keadaan, menyukarkan lagi urusan menyiasat insiden pencerobohan ke atas laman sesawang.
SSL tidak membantu langsung untuk mencegah kerentanan aplikasi web. Malah dalam sesetengah keadaan, menyukarkan lagi urusan menyiasat insiden pencerobohan ke atas laman sesawang.
TLS punya susu, SSL dapat nama. TLS 1.3 adalah standard terkini untuk
HTTPS. protokol SSL versi 1 sampai 3 dah lama obsolete dan terkubur.
Tujuan anda pasang TLS untuk mengelakkan trafik antara pelanggan dan
pelayan sesawang anda diintip. Itu sahaja.
2) Saya dah pasang WAF ni, laman dan
aplikasi sesawang organisasi saya ni dah selamat gila babi tembak pun
tak matilahkan? Tak payahlah tampal/patch bug web app saya ni? It's not a
bug, it's a feature. 😁
Hahahahahahahahahahahahhahaha 🤣😹🤣😅
Jawapannya, tentulah tak cukup. WAF ni bagi saya sekadar mencuri/membeli
masa untuk anda tampal kesemua kerentanan aplikasi sesawang anda.
Saya nak kongsikan beberapa contoh WAF di pasaran. Antara yang terkenal
adalah peranti keluaran Barracuda Networks dan F5. Namun, la ni boleh
kata hampir kesemua tembok api dalam pasaran ada feature/module WAF. Ada
yang siap ada Deep Packet Inspection dan SSL Interception lagi.
Saya nak kongsikan satu kajian kes/case study mengenai WAF ni.
Mangsanya? Barracuda Networks. Ironis, saya tahu. Boleh baca blog
Acunetix pasal insiden ni
Penyerangnya.web.archive.org/web/2011041510…
Berdasarkan kajian kes Barracuda Networks Blind SQLi ni, walaupun kita
ada WAF, aplikasi sesawang kita masih lagi boleh digodam bila penyerang
dapat bypass atau WAF dimatikan untuk penyenggaraan laman sesawang.
An attacker bypass your web application firewall == Seseorang penyerang melangkaui tembok api aplikasi sesawang anda.
Kajian kes ini menjadi bukti bahawa tampalan keselamatan untuk aplikasi
anda tidak terhad kepada aplikasi sesawang wajib menjadi
keutamaan/prioriti/aula berbanding membeli peranti tembok api sesawang.
fdf tu pun dah bekerja di luar negara. 🙊
Khatamlah sudah bebenang tembok api aplikasi sesawang ini. Yang baik
semuanya dari Yang Maha Mengetahui. Yang buruk dariNya jua namun
majoritinya dari hamba Dia yang lemah lagi hina dina.
Tiada ulasan:
Catat Ulasan