IT技術互動交(jiao)流(liu)平台(tai)

广西体彩网官网

發布日期(qi)︰2020-02-19 08:08:34

IPS(入侵防護系di)常└AF(Web應(ying)用防護系di)常├嬌畈酚you)不同的使用場景,隨著(zhou)Web應(ying)用發展帶來的復雜度(du),對安全性要求也(ye)日趨增高(gao),Waf的出(chu)現是(shi)順應(ying)了市(shi)場和技術的需要。

Web應(ying)用防護無(wu)疑是(shi)一個熱門話(hua)題(ti)。由于技術的發展成(cheng)熟和人們對便利性的期(qi)望越來越高(gao),Web應(ying)用成(cheng)為主流(liu)的業務系di)吃zai)體。在Web上“安家”的關鍵業務系di)持性灘氐氖菁壑zhi)引(yin)起攻(gong)擊(ji)者的青(qing)睞,網上流(liu)傳(chuan)的Web漏洞(dong)挖掘和攻(gong)擊(ji)工具讓攻(gong)擊(ji)的門檻降低(di),也(ye)使得很多(duo)攻(gong)擊(ji)帶有(you)盲目和隨機(ji)性。比(bi)如利用GoogleHacking原理的批量查(cha)找具有(you)已知漏洞(dong)的應(ying)用程序,還有(you)SQL批量注入和掛馬等。但對于重要的Web應(ying)用(比(bi)如運營商或(huo)金融),始終有(you)受(shou)利益驅(qu)動的黑客進行持續的跟蹤。

如果說傳(chuan)統的“大而全”安全防護產品能抵御(yu)大多(duo)數由工具產生的攻(gong)擊(ji)行為,那麼(me)對于有(you)針對性的攻(gong)擊(ji)行為則力(li)不從you)摹6AF正(zheng)是(shi)應(ying)需求而生的一款高(gao)端專業安全產品,這也(ye)是(shi)市(shi)場需求細化的必然(ran)趨勢。但由于其部署和功能方(fang)面與(yu)IPS有(you)類似(si),有(you)人提出(chu)疑問,為什麼(me)不能用IPS,或(huo)者說WAF與(yu)IPS有(you)什麼(me)異同?誰更適合保(bao)護Web服務器?

這些疑問其實是(shi)有(you)道理的,差(cha)異化的產生在于高(gao)端需求是(shi)不同的,從而需要細化功能貼合具體需求和符(fu)合應(ying)用現狀的產品,這也(ye)是(shi)用戶需求是(shi)隨著(zhou)業務自身的發展所決(jue)定(ding)的。

保(bao)鏢和保(bao)安

為了更好的理解兩款產品差(cha)異性,我們先用這個保(bao)鏢(WAF)和保(bao)安(IPS)比(bi)喻來描述。

大樓(lou)保(bao)安需要對所有(you)進出(chu)大樓(lou)人員進行檢查(cha),一旦發現可疑人員則禁止他入內,但如果混進“貌似(si)忠良”的壞人去(qu)撬保(bao)險櫃(gui)等破壞行為,大樓(lou)保(bao)安是(shi)無(wu)能為力(li)的。

私人保(bao)鏢則是(shi)指(zhi)高(gao)級別、更“貼身”的保(bao)護。他通常只(zhi)保(bao)護特(te)定(ding)的人員bao) 允孿刃枰﹫斫獗槐bao)護人的身份、習(xi)慣、喜好、作息、弱點等,因(yin)為被保(bao)護人的工作是(shi)需要去(qu)面對不同的人,去(qu)不同的場合,保(bao)鏢的職責不能因(yin)為危險就(jiu)阻止、改變(bian)他的行為,只(zhi)能去(qu)預(yu)見可能的風(feng)險,然(ran)後量身定(ding)做合適的保(bao)護方(fang)案。

這兩種角色的區別在于保(bao)安保(bao)護的是(shi)整個大樓(lou),他不需要也(ye)無(wu)法知道誰是(shi)最需要保(bao)護的人,保(bao)鏢則是(shi)明確(que)了被保(bao)護對象名(ming)單,需要深(shen)刻(ke)理解被保(bao)護人的個性特(te)點。

通過上面的比(bi)喻,大家應(ying)該明白(bai)兩者的之所以會感覺相似(si)是(shi)因(yin)為職責都是(shi)去(qu)保(bao)護,但差(cha)異在于職能定(ding)位(wei)的不同。從技術原理上則會根(gen)據定(ding)位(wei)來實現。下面通過幾(ji)個層面來分(fen)析WAF和IPS的異同。

事lu)氖shi)間軸

對于安全事lu)姆? you)三個時(shi)間點︰事前、事中、事後。傳(chuan)統的IPS通常只(zhi)對事中有(you)效,也(ye)就(jiu)是(shi)檢查(cha)和防護攻(gong)擊(ji)事lu) 淥礁鍪shi)間點是(shi)WAF獨有(you)的。

事前是(shi)指(zhi)能在事lu)? 巴 鞫  杓觳eb服務器來發現漏洞(dong),通過修復Web服務器漏洞(dong)或(huo)在前端的防護設(she)備上添加防護規則等ran) 鞫 佷衛叢yu)防事lu)?J潞笤蚴shi)指(zhi)即使Web服務器被攻(gong)擊(ji)了,也(ye)必須有(you)xing)撤來鄹墓δ埽 霉gong)擊(ji)者不能破壞di)臼蕁/p>

為什麼(me)不能具備事中的100%防護能力(li)?其實從以下lu)父齜fang)面就(jiu)知道對于事中只(zhi)能做到相對最佳防護而不能絕(jue)對,因(yin)為︰

1. 軟(ruan)件(jian)先天是(shi)有(you)缺(que)陷(xian)的,包括應(ying)用到第(di)三方(fang)的組件(jian)和函(han)數庫(ku)無(wu)法控制其安全性;

2. 應(ying)用程序在更新,業務是(shi)持續發展的、動態的,如果不持續監(jian)控和調整安全策略,也(ye)是(shi)會有(you)疏漏的;

3. 攻(gong)擊(ji)者永遠在暗處,可以對業務系di)掣傺芯浚 cha)找漏洞(dong)和防護缺(que)陷(xian),用各種變(bian)形繁雜的手法來探測,並(bing)用于攻(gong)擊(ji);

4. 任(ren)何防護設(she)備都難(nan)以100%做到沒有(you)任(ren)何缺(que)陷(xian),無(wu)論是(shi)各種算法還是(shi)規則,都是(shi)把(ba)攻(gong)擊(ji)影響降低(di)到最小化。

所以需要用一個可閉環(huan)又(you)可循環(huan)的方(fang)式去(qu)降低(di)潛(qian)在的威脅,對于事中疏漏的攻(gong)擊(ji),可用事前的預(yu)發現和事後的彌補,形成(cheng)環(huan)環(huan)相扣的動態安全防護。事前是(shi)用掃描方(fang)式主動檢查(cha)網站jing) ba)結果形成(cheng)新的防護規則增加到事中的防護策略中,而事後的防篡改可以保(bao)證即使疏漏也(ye)讓攻(gong)擊(ji)的步伐止于此,不能進一步修改和損壞di)疚募jian),對于要信譽高(gao)和完整性的用戶來說,這是(shi)尤ren) 匾 幕huan)fang) /p>

如果僅僅是(shi)對于事lu)氖shi)間軸有(you)區別,那麼(me)還是(shi)可以采用其他產品來進行輔助,但關鍵的是(shi)事中的防護也(ye)是(shi)有(you)深(shen)度(du)的差(cha)異,那麼(me)下面我們來談(tan)談(tan)對于事中的差(cha)異。

縱深(shen)度(du)差(cha)異

事中,也(ye)就(jiu)是(shi)實時(shi)防護,兩者的區別在于一個是(shi)縱橫度(du),一個是(shi)深(shen)度(du)。IPS凸顯的優勢在于縱橫度(du),也(ye)就(jiu)是(shi)對于網絡中的所有(you)流(liu)量進行監(jian)管,它面對的是(shi)海量數據,處理TCP/IP模型(xing)中xing)緦liu)量從物理層到jie)ying)用層是(shi)逐層遞交(jiao),IPS主要定(ding)位(wei)在分(fen)析傳(chuan)輸層和網絡層的數據,而再往上則是(shi)復雜的各種應(ying)用層協議報文,WAF則僅提供對Web應(ying)用流(liu)量全部層面的監(jian)管。

監(jian)管層面不同,如果面對同樣的攻(gong)擊(ji),比(bi)如SQL注入,它們都是(shi)可以防護的,但防護的原理有(you)區別,IPS基本是(shi)依靠靜(jing)態的簽名(ming)進行識別,也(ye)就(jiu)是(shi)攻(gong)擊(ji)特(te)征,這只(zhi)是(shi)一種被動安全模型(xing)。如下是(shi)一個Snort的告(gao)警規則︰

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:“SQL Injection - Paranoid”; flow:to_server,established;uricontent:“.asp”;pcre:“/(%27)(‘)(--)(%23)(#)/i”; classtype:Web-application-attack; sid:9099; rev:5;

這里主要是(shi)檢查(cha)在SQL注入中提交(jiao)的元字(zi)符(fu),包括單引(yin)號( )和雙橫( -- ),從而避免(mian)注入1 or 1=1—之類的攻(gong)擊(ji)發生,但同時(shi)又(you)要考慮這些元字(zi)符(fu)轉換(huan)成(cheng)Hex值(zhi)來逃脫過濾檢查(cha),于是(shi)又(you)在規則里增加了si)潿雜ying)的十六進制編碼(ma)後的字(zi)符(fu)串。

當bi)唬  憂├ming)特(te)征來識別攻(gong)擊(ji)要考慮的東西還很多(duo),不僅元字(zi)符(fu)還有(you)SQL關鍵字(zi),包括︰select insert update等,以及這些關鍵字(zi)zhi)拇笮︵幢bian)形和拼接(jie),利用注釋逃脫過濾,如下所示例︰

使用me)笮︵椿煸擁淖zi)符(fu)︰SeLecTfRom“

把(ba)空格符(fu)替換(huan)為TAB符(fu)或(huo)回(hui)車符(fu)︰select[TAB]from

關鍵詞之間使用多(duo)個空格︰select from

字(zi)符(fu)串的數值(zhi)編碼(ma)︰0x414141414141 或(huo) 0x41004100410041004100

插入被數據庫(ku)忽略的注釋串︰sel/**/ectfr/**/om select/**/ from

使用數據庫(ku)支持zhi)囊恍┬zi)符(fu)串轉換(huan)功能︰char(65)或(huo)chr(65)

使用數據支持zhi)淖zi)符(fu)串拼接(jie)操作︰sel+ect +fr+om’”、“‘select from

可以設(she)想(xiang)一下,如果要檢測以上的變(bian)形字(zi)符(fu)後的攻(gong)擊(ji)則需要增加相應(ying)的簽名(ming)特(te)征,但更重要的是(shi)要充分(fen)考慮轉換(huan)編碼(ma)的種類,上面示例的snort的規則把(ba)可疑字(zi)符(fu)以及其轉換(huan)後的Hex值(zhi)放入同一條規則里檢查(cha),如果對于變(bian)形後繁多(duo)的攻(gong)擊(ji)種類,這是(shi)滯後的並(bing)且會造成(cheng)簽名(ming)臃fen)住/p>

對于比(bi)較粗淺的攻(gong)擊(ji)方(fang)式兩者都能防護,但市(shi)面上大多(duo)數IPS是(shi)無(wu)法對報文編碼(ma)做多(duo)重轉換(huan)的,所以這將導(dao)致攻(gong)擊(ji)者只(zhi)需構建(jian)諸(zhu)如轉換(huan)編碼(ma)、拼接(jie)攻(gong)擊(ji)語句(ju)、大小寫變(bian)換(huan)等數據包就(jiu)可繞過輸入檢查(cha)而直接(jie)提交(jiao)給應(ying)用程序。

而這恰恰又(you)是(shi)WAF的優勢,能對不同的編碼(ma)方(fang)式做強制多(duo)重轉換(huan)還原成(cheng)攻(gong)擊(ji)明文,把(ba)變(bian)形後的字(zi)符(fu)組合後在分(fen)析。那為什麼(me)IPS不能做到這個程度(du)?同樣還有(you)對于HTTPS的加密(mi)和解密(mi)

產品架構

大家知道IPS和WAF通常是(shi)串聯部署在Web服務器前端,對于服務器和客戶端都是(shi)透明的,不需要做任(ren)何wen)渲茫 si)乎都是(shi)一樣的組網方(fang)式,其實有(you)很大差(cha)異。首(shou)先ren)頤強純詞shi)面主流(liu)WAF支持zhi)牟渴鴟fang)式︰

l 橋模式

l 路由模式

l 反(fan)向代理

l 旁路模式(非串聯)

這兩者串聯部署在Web服務器前端時(shi),市(shi)面上的大多(duo)數IPS均采用橋模式,而WAF是(shi)采用反(fan)向代理模式,IPS需要處理網絡中所有(you)的流(liu)量,而WAF僅處理與(yu)Web應(ying)用相關的協議,其他的給予轉發,如下圖︰

橋模式和反(fan)向代理模式的差(cha)異在于︰橋模式是(shi)基于網絡層的包轉發,基本都沒有(you)協議棧,或(huo)只(zhi)能簡單的模擬部分(fen)協議棧,分(fen)析網絡報文流(liu)量是(shi)基于單包的方(fang)式,所以要處理分(fen)片報文、數據流(liu)重組、亂序報文、報文重傳(chuan)、丟(ding)包都不具備優勢。同時(shi)網絡流(liu)量中包括的協議種類是(shi)非常多(duo)的,每種應(ying)用層協議都有(you)自身獨特(te)的協議特(te)征和格式要求,比(bi)如Ftp、SSH、Telnet、SMTP等,無(wu)法把(ba)各種應(ying)用流(liu)量放到jie)ying)用層協議棧來處理。

WAF系di)襯誶兜男 檎皇shi)經過修改和優化的,能完全支持Http應(ying)用協議的處理,這意味著(zhou)必須遵(zun)循RFC標準(zhun)(Internet Requests For Comments)來處理Http報文,包括如下主要RFC︰

l RFC 2616 HTTP協議語法的定(ding)義(yi)

l RFC 2396 URL語法的定(ding)義(yi)

l RFC 2109 Cookie是(shi)怎樣工作的

l RFC 1867 HTTP如何POST,以及POST的格式

RFC中對Http的request行長度(du)、URL長度(du)、協議名(ming)稱長度(du)、頭部值(zhi)長度(du)等都是(shi)有(you)嚴格要求的,以及傳(chuan)輸順序和應(ying)用格式,比(bi)如Html參數的要求、Cookie的版本和格式、文件(jian)上傳(chuan)的編碼(ma) multipart/form-data encoding等,這些應(ying)用層內容只(zhi)能在具有(you)xing)暾ying)用層協議棧的前提下才(cai)可正(zheng)確(que)識別和控制,對于不完整的丟(ding)包,重傳(chuan)包以及偽造的畸(ji)形包都會通過協議校驗機(ji)制來處理。

上一節提到的WAF對Https的加解密(mi)和多(duo)重編碼(ma)方(fang)式的解碼(ma)正(zheng)是(shi)由于報文必須經過應(ying)用層協議棧處理。反(fan)之,IPS為什麼(me)做不到?是(shi)由于其自身的橋模式架構,把(ba)Http會話(hua)”打(da)碎“成(cheng)多(duo)個數據包在網絡層分(fen)析,而不能完整地從應(ying)用層角度(du)來處理和組合多(duo)個報文,並(bing)且應(ying)用層協議繁多(duo),全部去(qu)支持也(ye)是(shi)不現實的,產品的定(ding)位(wei)並(bing)不需要這樣。下一節的nan) xi)模式更是(shi)兩者的截(jie)然(ran)不同的防護機(ji)制,而這一huan)ji)制也(ye)是(shi)有(you)賴(lai)于WAF的產品架構。

基于學習(xi)的主動模式

在前面談(tan)到IPS的安全模型(xing)是(shi)應(ying)用了靜(jing)態簽名(ming)的被動模式,那麼(me)反(fan)之就(jiu)是(shi)主動模式。WAF的防御(yu)模型(xing)是(shi)兩者都支持zhi)模 街鞫 J皆謨AF是(shi)一個有(you)效驗證輸入的設(she)備,所有(you)數據流(liu)都被校驗後再轉發給服務器,能增加應(ying)用層邏輯組合的規則,更重要的是(shi)具備對Web應(ying)用程序的主動學習(xi)功能。

學習(xi)功能包括︰

1. 監(jian)控和學習(xi)進出(chu)的Web流(liu)量,學習(xi)鏈(lian)接(jie)參數類型(xing)和長度(du)、form參數類型(xing)和長度(du)等;

2. 爬蟲功能,爬蟲主動去(qu)分(fen)析整個Web站點,並(bing)建(jian)立正(zheng)常狀態模型(xing);

3. 掃描功能,主動去(qu)掃描並(bing)根(gen)據結果生成(cheng)防護規則。

基于學習(xi)

Tag標簽︰系di)/a>  
  • 广西体彩网官网

About IT165 - 廣(guang)告(gao)服務 - 隱私聲明 - 版權申明 - 免(mian)責條款 - 網站地圖 - 網友投稿(gao) - 聯系方(fang)式
本站內容來自于互聯網,僅供用于網絡技術學習(xi),學習(xi)中請遵(zun)循相關法律法規
广西体彩网官网 | 下一页