CÓ HƯỚNG DẪN DEMO CỤ THỂ CÁC BƯỚC Đề tài được thực hiện nhằm mục đích tìm hiểu về nghiên cứu công nghệ WAF và triển khai bảo vệ hệ thống website với WAF mã nguồn mở cụ thể là ModSecurity. Chương 1: Tổng quan về WAF11.1. Giới thiệu chung về WAF11.1.1. Khái niệm WAF11.1.2. Phân loại WAF11.1.3. So sánh WAF với NetworkFirewall và IDSIPS31.1.4. Hoạt động của tường lửa ứng dụng web41.1.5. Lợi ích và tầm quan trọng của WAF51.2. Kiến trúc WAF61.2.1. Vị trí đặt WAF61.2.2. Mô hình bảo mật71.2.3. Mô hình hoạt động71.3. Các phiên bản WAF mã nguồn mở phổ biến81.3.1. ModSecurity81.3.2. WebKnight81.3.3. Shadow Daemon91.3.4. NAXSI91.3.5. F5 Advance91.4. Kết luận Chương 110Chương 2: Giới thiệu về ModSecurity WAF102.1. Tổng quan về ModSecurity102.2. Chức năng của ModSecurity112.3. Cấu trúc rule trong ModSecurity12
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ CHUN ĐỀ AN TỒN THƠNG TIN NGHIÊN CỨU CÔNG NGHỆ WAF VÀ TRIỂN KHAI BẢO VỆ HỆ THỐNG WEBSITE Ngành: An tồn thơng tin Mã số: 7.48.02.02 Sinh viên thực hiện: Võ Trà My – Lớp AT16E; Mã SV: AT160535 Người hướng dẫn: TS Phạm Duy Trung Khoa An tồn thơng tin – Học viện Kỹ thuật mật mã Hà Nội, 2022 BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ CHUYÊN ĐỀ AN TỒN HỆ THỐNG THƠNG TIN NGHIÊN CỨU CƠNG NGHỆ WAF VÀ TRIỂN KHAI BẢO VỆ HỆ THỐNG WEBSITE Ngành: An tồn thơng tin Mã số: 7.48.02.02 Sinh viên thực hiện: Võ Trà My Lớp AT16E Người hướng dẫn: TS Phạm Duy Trung Khoa An tồn thơng tin – Học viện Kỹ thuật mật mã Hà Nội, 2022 MỤC LỤC Danh mục hình ảnh iii Lời cảm ơn iv Lời nói đầu v Chương 1: Tổng quan WAF 1.1 Giới thiệu chung WAF 1.1.1 Khái niệm WAF .1 1.1.2 Phân loại WAF 1.1.3 So sánh WAF với NetworkFirewall IDS/IPS 1.1.4 Hoạt động tường lửa ứng dụng web .4 1.1.5 Lợi ích tầm quan trọng WAF .5 1.2 Kiến trúc WAF .6 1.2.1 Vị trí đặt WAF 1.2.2 Mơ hình bảo mật 1.2.3 Mơ hình hoạt động 1.3 Các phiên WAF mã nguồn mở phổ biến .8 1.3.1 ModSecurity .8 1.3.2 WebKnight .8 1.3.3 Shadow Daemon 1.3.4 NAXSI .9 1.3.5 F5 Advance .9 1.4 Kết luận Chương .10 Chương 2: Giới thiệu ModSecurity WAF 10 2.1 Tổng quan ModSecurity 10 2.2 Chức ModSecurity .11 2.3 Cấu trúc rule ModSecurity .12 2.3.1 VARIABLE 13 2.3.2 OPERATOR 14 i 2.3.3 ACTIONS .15 2.4 Quá trình xử lý ModSecurity 16 2.5 Kết luận Chương .18 Chương 3: Triển khai WAF với ModSecurity .19 3.1 Mơ hình thực nghiệm 19 3.2 Các bước thực .19 3.2.1 Cài đặt ModSecurity .19 3.2.2 Cấu hình ModSecurity 20 3.2.3 Cài đặt DVWA: .24 3.2.4 Triển khai ModSecurity DVWA 27 3.3 Kết luận chương 31 Kết luận 32 Tài liệu tham khảo: 33 Phụ lục 34 ii DANH MỤC HÌNH ẢNH Hình 1.1: Định nghĩa WAF Hình 1.2: So sánh WAF Firewall, IDS/IPS Hình 1.3: Mô hình hệ thống tường lửa ứng dụng Web (WAF) Hình 1.4: Hoạt động WAF Hình 1.5: Vị trí đặt WAF .7 Hình 2.1: Operation(1) 15 Hình 2.2: Operation (2) 15 Hình 2.3: Quy trình xử lí ModSecurity 17 Hình 3.1: Mơ hình thực nghiệm 19 Hình 3.2: Cài đặt ModSecurity 20 Hình 3.3: nano /etc/ModSecurity/ModSecurity.conf 21 Hình 3.4: nano /etc/apache2/mod-available/security2.conf 22 Hình 3.5: nano /etc/apache2/sites-enabled/000-default.conf 23 Hình 3.6: Clone DVWA Github 24 Hình 3.7: Download DVWA thành công 24 Hình 3.8: Cấu hình DVWA 25 Hình 3.9: http://127.0.0.1/DVWA/setup.php 26 Hình 3.10: http://127.0.0.1/DVWA/login.php .26 Hình 3.11: Giao diện DVWA đăng nhập thành công 27 Hình 3.12: Giao diện SQL injection ban đầu 27 Hình 3.13: Tấn công SQL thành công 28 Hình 3.14: Trang web sau bật ModSecurity(SQL) 28 Hình 3.15: Log ghi lại sau thực công SQL 29 Hình 3.16: Giao diện trang thực công XSS .29 Hình 3.17: Tấn công XSS thành công 30 Hình 3.18: Trang web sau bật ModSecurity (XSS) 30 Hình 3.19: Log ghi lại sau thực công XSS 31 iii LỜI CẢM ƠN Trước hết, em xin gửi lời cảm ơn chân thành đến toàn quý thầy cô Học viện Kỹ thuật Mật mã, q thầy khoa An tồn thơng tin, chun ngành An tồn hệ thống thơng tin dạy dỗ, truyền đạt kiến thức quý báu cho em suốt bốn năm học tập rèn luyện trường Em xin gửi lời cảm ơn sâu sắc đến giáo viên hướng dẫn - Thầy Phạm Duy Trung, người nhiệt tình hướng dẫn em thực đề tài chuyên ngành An tồn hệ thống thơng tin Do thời gian trình độ cịn hạn chế, báo cáo khơng thể tránh khỏi thiếu sót Kính mong thầy bảo đóng góp ý kiến để báo cáo em hoàn thiện Em xin chân thành cảm ơn! SINH VIÊN THỰC HIỆN Võ Trà My iv LỜI NÓI ĐẦU Trong năm gần đây, xu hướng công vào ứng dụng web ngày trở nên phổ biến Các kỹ thuật công sử dụng chủ yếu cross-site scripting, SQL injection, nhiều kỹ thuật khác… tất kỹ thuật nhằm vào tầng ứng dụng mơ hình OSI Các lỗ hổng ứng dụng web chủ yếu xảy người lập trình khơng kiểm tra kỹ tham số hay ký tự người dùng nhập vào để tương tác với ứng dụng web Để khắc phục lỗi ứng dụng web, người lập trình cần hiểu viết đoạn mã mức độ bảo mật nhất, nhiên việc viết mã cho “bảo mật” thường khó thực hiện, lẽ sau: Thức nhất, đơn vị lập trình thường khơng có thiếu đội ngữ chun trách việc kiểm tra sửa lỗi bảo mật mã nguồn ứng dụng Thức hai, đơi áp lực phải hồn thành ứng dụng web thời gian nhanh khiến cho ứng dựng ểb đưa vào vận hành mà không qua khâu kiểm thử.Thức ba, việc dùng công cụ kiểm tra lỗi web tự động khơng tìm hết lỗi thực tay Do vậy, việc bảo mật ứng dụng web q trình phịng thử theo chiều sâu bao gồm khâu phát triển, vận hành, xây dựng sở hạ tầng bảo vệ tốt có đội ngũ chuyên trách vấn đề bảo mật riêng cho web Tường lửa ứng dụng web (Web Application Firewall – WAF) giải pháp nhằm bảo vệ cho ứng dụng web tránh khỏi lỗi bảo mật nói Đề tài thực nhằm mục đích tìm hiểu nghiên cứu công nghệ WAF triển khai bảo vệ hệ thống website với WAF mã nguồn mở cụ thể ModSecurity Mục tiêu đặt thực đồ án là: Hệ thống kiến thức hệ mật WAF; Nghiên cứu ModSecurity ứng dụng WAF để triển khai bảo vệ website; Triển khai cài đặt ModSecurity Apache Kali Linux kịch công SQL injection, công XSS DVWA v Sau thời gian thực đề tài, mục tiêu đạt Tuy nhiên bảo mật website khỏi công lĩnh vực phức tạp, thời gian thực nghiên cứu chuyên đề tương đối ngắn nên chắn không tránh khỏi thiếu sót Rất mong góp ý thầy cô, bạn sinh viên để đề tài hoàn thiện SINH VIÊN THỰC HIỆN Võ Trà My vi CHƯƠNG 1: TỔNG QUAN VỀ WAF 1.1 Giới thiệu chung WAF 1.1.1 Khái niệm WAF WAF viết tắt Web Application Firewall – tường lửa ứng dụng web, công cụ giúp bảo vệ ứng dụng web cách lọc theo dõi lưu lượng trao đổi web server mạng Internet Một WAF hoạt động thông qua tập hợp quy tắc thường gọi sách Các sách nhằm mục đích bảo vệ chống lại lỗ hổng ứng dụng cách lọc lưu lượng truy cập độc hại Bằng cách triển khai WAF trước ứng dụng web, chắn đặt ứng dụng web Internet Mặc dù máy chủ proxy bảo vệ danh tính máy khách cách sử dụng trung gian, WAF loại proxy ngược, bảo vệ máy chủ khỏi bị lộ cách cho phép máy khách qua WAF trước đến máy chủ Hình 1.1: Định nghĩa WAF 1.1.2 Phân loại WAF a Phân loại mơ hình tường lửa định cấu hình dựa loại hoạt động bảo mật mà bạn yêu cầu: Blocklist Cấu hình WAF bảo vệ trang web ứng dụng dựa web khỏi bị khai thác cách lọc truyền liệu thông qua danh sách đặt trước mối đe dọa biết gọi Blocklist Bạn tạo Blocklist tự động thủ công Khi tường lửa nhận số gói liệu phù hợp với mối đe dọa ghi blocklist, ngăn chặn mục nhập chúng Blocklist tiết lộ mối đe dọa ngụy trang dạng yêu cầu thực lưu lượng mạng chặn hiệu tất mối đe dọa biết, chẳng hạn công DDoS Thiếu sót nó khơng hiệu trước mối đe dọa gây cho tổ chức, chẳng hạn công zero-day Allowlist Tường lửa WAF giám sát việc truyền liệu thông qua cấu hình bảo mật lập trình phép lưu lượng mạng phê duyệt trước Việc bật Allowlist cho trang web ứng dụng web bạn gặp cố danh sách thường chặn u cầu an tồn khơng gây hại cho hệ thống Điều do, theo thiết kế, Allowlist chặn tất lưu lượng truy cập mạng vào ứng dụng web cho phép người phê duyệt trước danh sách cho phép Hybird Loại tường lửa sử dụng kết hợp Allowlist Blocklist để tạo cấu hình kết hợp hai loại b Phân loại theo mơ hình triển khai, có ba cách mà WAF xây dựng sử dụng trực tuyến với cách sử dụng trường hợp khác nhau: Network-Based (Nền tảng mạng lưới): Network-Based cài đặt cục mạng Đặc điểm dạng việc cần bảo trì khơng gian lưu trữ Mục đích giảm thiểu độ trễ Đây WAF dựa phần cứng Cloud-Based (Nền tảng đám mây): Cloud-Based chạy đám mây, q trình cài đặt dễ dàng mà thơng thường cần yêu cầu thay đổi DNS Cài đặt dễ dàng, mang lại nhiều lợi ích kèm với tiện lợi khơng cần lưu trữ hay bảo trì chỗ Đây giải pháp WAF rẻ