Isnin, 2 Ogos 2021

Tembok api aplikasi sesawang/Web Application Firewall(WAF) 101

Ini adalah pos yang diadaptasi dari rajutan Twitter saya.

Sebab ada impression lebih 200 orang. Aku akan mulakan bebenang Tembok Api Aplikasi Sesawang atau dalam Bahasa Inggeris, Web Application Firewall Rujukan istilah tembok api oleh PRPM DBP:
prpm.dbp.gov.my/Cari1?keyword=

Menurut Kamus Oxford, tembok api ini adalah sistem komputer yang menghalang pengguna tanpa izin mengakses maklumat sulit tetapi masih membenarkan mereka mengakses maklumat yang dibenarkan dan diizin.

oxfordlearnersdictionaries.com/definition/eng…

Ada pelbagai jenis tembok api mengikut OSI layer berapa. Ingat lagi tak nasihat saya untuk anda memahami seberapa banyak yang boleh mengenai OSI layer kalau anda berhasrat untuk terjun dalam bidang keselamatan maklumat(information security)?
Penjelasan mengenai OSI model di Wikipedia. Tapi saya rasa gambar kucing di bawah lebih membantu anda ingat susunan layer di dalam model OSI ini.

Image

Kalau anda berurusan dengan keselamatan sesawang seperti saya, anda akan lebih banyak kepada Transport layer ke atas(sehingga Application Layer). Untuk Network Layer anda sebagai ahli keselamatan sesawang akan berkongsi separuh tanggungjawab dengan ahli keselamatan rangkaian

Ok kita sambung kuliah WAF kita hari ni. Jadi, semua layer dalam OSI ni ada tembok api mereka tersendiri. Tembok api tradisional berfungsi untuk melindungi rangkaian pada lapis ketiga OSI. Tembok api tradisional ini fungsinya membuka dan menutup port.
Ini contoh rekabentuk tembok api tradisional. Anda sebagai firewall admin akan buka port yang penting seperti 80(HTTP), 8080(HTTP-alt), 443(HTTPS). Port 21(FTP), 23(Telnet), 3389(RDP/Remote Desktop) kita tutup.

Image

Banyak organisasi yang buka port RDP ke awam. Pakai katalaluan yang lemah pulak tu. Dapat kat penyerang, diorang la ni tak pacak cengkerang(shell) dah. Depa jalankan perisian tebusan terus. Nak pulak Windows server tu jugak tempat hangpa simpan sandaran(backup).
Ibarat hangpa cedera parah dijirus air garam pekat kaw-kaw. Pedihnya, sakitnya tuh di sini. Kalau perlu buka port RDP. Pastikan hanya boleh diakses melalui VPN atau allowlist IP yang dibenarkan sahaja.
Oh aku terlupa nak beritahu perisian tebusan itu adalah istilah Bahasa Melayu untuk ransomware.

Walaupun kita hanya buka port HTTP. Banyak peluang untuk penyerang melakukan cubaan serangan ke atas aplikasi sesawang. Cookie stealing/cookie tamper/curi biskut, Local/Remote File Inclusion, SQL Injection, Remote Code Execution dan lain-lain kerentanan aplikasi sesawang.


 Image

Kerentanan aplikasi sesawang == web application vulnerability.

Tembok api tradisional tidak dapat mengesan dan menangkis serangan aplikasi sesawang ini disebabkan peranti ini fokus kepada Network Layer OSI model.


Image

Senang cakap, WAF fungsinya menjadi barisan hadapan untuk menangani cubaan eksploitasi kerentanan aplikasi web oleh penyerang ke atas aplikasi sesawang sesebuah organisasi. WAF adalah contoh tembok api Application Layer OSI model

Gambar yang aku lampirkan ini adalah sebahagian dari slaid subjek hari ketiga Certified Incident Handling and Network Security Analyst(CIHNSA), Web Security (Keselamatan Sesawang).
Lawati cyberguru.my/web/guest/inci… untuk maklumat lanjut.

Saya tenaga pengajar untuk kelas hari ketiga ini. Dibantu oleh kohai saya yang rajin untuk redraw balik rajah dan figura berkualiti HD dan lebih enak mata memandang.
Ada 2 FAQ berkaitan WAF dan keselamatan sesawang yang biasa orang akan tanya.

1) Website saya ada SSL. Adakah saya selamat dari ancaman kerentanan aplikasi sesawang?

SSL tidak membantu langsung untuk mencegah kerentanan aplikasi web. Malah dalam sesetengah keadaan, menyukarkan lagi urusan menyiasat insiden pencerobohan ke atas laman sesawang.
TLS punya susu, SSL dapat nama. TLS 1.3 adalah standard terkini untuk HTTPS. protokol SSL versi 1 sampai 3 dah lama obsolete dan terkubur. Tujuan anda pasang TLS untuk mengelakkan trafik antara pelanggan dan pelayan sesawang anda diintip. Itu sahaja.

2) Saya dah pasang WAF ni, laman dan aplikasi sesawang organisasi saya ni dah selamat gila babi tembak pun tak matilahkan? Tak payahlah tampal/patch bug web app saya ni? It's not a bug, it's a feature. 😁

Hahahahahahahahahahahahhahaha 🤣😹🤣😅

Jawapannya, tentulah tak cukup. WAF ni bagi saya sekadar mencuri/membeli masa untuk anda tampal kesemua kerentanan aplikasi sesawang anda.
Saya nak kongsikan beberapa contoh WAF di pasaran. Antara yang terkenal adalah peranti keluaran Barracuda Networks dan F5. Namun, la ni boleh kata hampir kesemua tembok api dalam pasaran ada feature/module WAF. Ada yang siap ada Deep Packet Inspection dan SSL Interception lagi.

web.archive.org/web/2011041423…

Pos blog dari Barracuda sendiri pasal insiden ni.
Penyerangnya.

web.archive.org/web/2011041510…

Berdasarkan kajian kes Barracuda Networks Blind SQLi ni, walaupun kita ada WAF, aplikasi sesawang kita masih lagi boleh digodam bila penyerang dapat bypass atau WAF dimatikan untuk penyenggaraan laman sesawang.
An attacker bypass your web application firewall == Seseorang penyerang melangkaui tembok api aplikasi sesawang anda.
Kajian kes ini menjadi bukti bahawa tampalan keselamatan untuk aplikasi anda tidak terhad kepada aplikasi sesawang wajib menjadi keutamaan/prioriti/aula berbanding membeli peranti tembok api sesawang.
fdf tu pun dah bekerja di luar negara. 🙊
Khatamlah sudah bebenang tembok api aplikasi sesawang ini. Yang baik semuanya dari Yang Maha Mengetahui. Yang buruk dariNya jua namun majoritinya dari hamba Dia yang lemah lagi hina dina.

Tiada ulasan:

carian google