Ứng dụng Web application Firewall trong ngăn chặn tấn công lỗ hổng Website
Ngày đăng: 04/11/2019
Mod_Security là một module mở rộng cho các chương trình web server như Apache, Nginx, IIS và hoạt động như một firewall tại lớp ứng dụng web. Cùng với sự gia tăng về phương pháp tấn công web thì mod_security cũng đã cập nhật những rule và đưa ra nhiều cách phòng chống trong mã nguồn của chương trình.

Khi một client gửi request tới server thông thường request đó sẽ được gửi thẳng lên server để xử lý. Khi hệ thống có sử dụng Firewall thì request đó sẽ được lọc qua các luật được định trước khi gửi tới server. Khi 1 request được gửi tới, Modsecurity sẽ phân tích request đó thành các thành phần Request header, Request body. Bất cứ 1 trường nào trong mỗi phần vi phạm luật đã được đề ra thì sẽ tùy vào người cấu hình mà có response tương ứng (có thể chặn không cho truy cập hoặc có thể cho truy cập và chỉ lưu lại log để người quản trị phân tích sau này).

Mô hình xử lý của Nginx + Modsercurity:

Các giai đoạn xử lý:

-         Phase Request Header

-         Phase Request Body + application/x-www-form-urlencoded + multipart/form-data + text/xml

-         Phase Response Header

-         Phase Response Body

-         Phase logging

Cú pháp Rule:  SecRule Target Operator [Actions]

- Target: Quy định cụ thể mục tiêu của request hoặc response muốn kiểm tra. - Operator: xác định phương pháp và so khớp dữ liệu để kích hoạt Action. Thường dùng Regular expressions để tạo Pattern.

 - Actions: các hành động được thực hiện nếu phù hợp (matching) rule. Action có thể là allow hoặc deny các request; và quy định cụ thể các status code khi response cho client...

Request filtering: phân tích và cản lọc (filter) các request gửi đến Web Server trước khi chúng được đưa đến các modules khác để xử lý.

Understanding of the HTTP protocol: hiểu được giao thức HTTP. Có khả năng cản lọc dựa trên các thông tin ở HTTP Header hay có thể xem xét đến từng thông số, cookies của các request...

POST payload analysis: phân tích nội dung (payload) của POST requests.

Audit logging: Khả năng ghi lại các Request (bao gồm cả POST) để người quản trị có thể theo dõi nếu cần.

Theo dõi, phân tích luồng dữ liệu web theo thời gian thực: ModSercusity lưu lại tất cả các truy cập vi phạm các luật đã định trong bộ rule của nó. Dựa vào file log này người quản trị có thể theo dõi, phân tích được tình trạng của hệ thống Website.

Ngăn chặn các hính thức tấn công XSS vào hệ thống Website: XSS (CROSS-SITE SCRIPTING) kĩ thuật tấn công bằng cách chèn vào các website động (ASP, PHP, CGI, JSP ...) những thẻ HTML hay những đoạn mã script nguy hiểm có thể gây nguy hại cho những nạn nhân sử dụng. Các đoạn mã hầu hết được viết bằng Client Script (Javascript, Jscript hoặc thậm chí DHML,HTML…). ModSercurity có khả năng phát hiện hình thức tấn công XSS vào hệ thống Website.

ModSercurity đã được xây dựng thành công và hiện đang được triển khai trên máy chủ Nginx tại Trung tâm Dữ liệu.

Hiện tại đã áp dụng ModSercurity để ngăn chặn các hình thức tấn công lỗ hổng bảo mật ở 8 Website tại Trung tâm Dữ liệu. 

                                                                                                                                  V.Thắng-IID

Tin liên quan

Trang 1 / 85 - 847 dòngFirstPrevNextLast v
Trang 1 / 85 - 847 dòngFirstPrevNextLast v

Các đơn vị đối tác

TRUNG TÂM PHÁT TRIỂN HẠ TẦNG CÔNG NGHỆ THÔNG TIN ĐÀ NẴNG

Giấy phép: Số 151/GP-TTĐT do Sở Thông tin và Truyền thông cấp ngày 15/4/2015.

Trưởng Ban biên tập: Nguyễn Thị Huyền Thu, Phó giám đốc Trung tâm Phát triển hạ tầng Công nghệ thông tin Đà Nẵng.

Trụ sở: Tòa nhà 02 Quang Trung, Phường Thạch Thang, Quận Hải Châu, Tp Đà Nẵng.

Điện thoại: 84.236.3888.666 Fax 84.236.3888.879 Email: iid@danang.gov.vn.