Mặc dù các máy chủ có thể nâng cấp phần mềm, vá các bản vá được cung cấp, nhưng giải pháp này không thật sự an toàn. Vì sau khi nâng cấp, vá các bản vá có thể sẽ gây ra nhiều nguy cơ hơn. Do đó ta có thể sử dụng các thiết bị tường lửa, tường lửa ứng dụng Web, các phần mềm tường lửa, các thiết bị chống xâm nhập (IDS/IPS) để bảo vệ Website, che giấu các thông tin về máy chủ web, chống lại các tấn công nguy hiểm như SQL Injection, XSS... 2.2.1. Giải pháp sử dụng tường lửa
Trong các giải pháp an toàn, ta có thể sử dụng giải pháp tường lửa, có thể là thiết bị như của các hãng nổi tiếng thế giới như Checkpoint, Imperva hay phần mềm như ModSecurity, Iptables (Linux), PF (BSD Unix), ufw (Uncomplicated Firewall) để bảo vệ hệ thống máy chủ web.
2.2.1.1.Giải pháp với thiết bị tường lửa của CheckPoint
Từ việc phân tích các nguy cơ và các điểm yếu bảo mật đối với hệ thống ứng dụng web kể trên, việc trang bị một hệ thống phòng vệ và giảm nhẹ các rủi ro là một điều tất yếu để đáp ứng nhu cầu trao đổi thông tin và cạnh tranh trong kinh doanh như hiện nay, nhưng đầu tư thế nào cho hiệu quả về kinh tế và tương xứng với hệ thống cần bảo vệ không phải là một việc làm đơn giản. Dưới con mắt của các chuyên gia bảo mật thì các mức độ đầu tư sẽ được phân loại đối với từng mô hình ứng dụng web như sau:
a. Giải pháp bảo vệ ứng dụng web cho các tổ chức/doanh nghiệp vừa và nhỏ.
Đối với các tổ chức/doanh nghiệp vừa và nhỏ có một hệ thống ứng dụng web với phần lớn các thông tin tĩnh (ít thay đổi), không chứa các dữ liệu quý cũng như không có các giao dịch mua bán,… có thể trang bị một thiết bị an ninh tích hợp (UTM) và bổ sung thêm module tường lửa cho ứng dụng web.
Hình 2.20: Giải pháp CheckPoint UTM cho danh nghiệp vừa và nhỏ
Các tính năng trong thiết bị an ninh tích hợp:
- Tường lửa (Firewall): sẽ ngăn chặn các tấn công tại tầng mạng, các hành vi dò quét vào hệ thống…
- Ngăn chặn xâm nhập (IPS): sẽ loại bỏ các tấn công tập trung vào các điểm yếu của phần mềm ứng dụng web, của phần mềm cơ sở dữ liệu, tấn công khai thác điểm yếu của hệ điều hành.
- Thành phần mạng riêng ảo: cho phép kết nối VPN giữa trụ sở chính và các chi nhánh, và các nhân viên làm việc từ xa…
- Thành phần quét virus: loại bỏ worm, virus ẩn mình qua dịch vụ web và mail…
Thành phần tường lửa cho ứng dụng web bổ sung vào thiết bị an ninh tích hợp cho phép ngăn chặn các tấn công tận dụng các điểm yếu của ứng dụng web.
b. Giải pháp cho các tổ chức/doanh nghiệp lớn
Đối với các tổ chức/doanh nghiệp lớn thường có một hệ thống web với rất nhiều dữ liệu quan trọng mang tính chất sống còn đối với tổ chức/doanh nghiệp, đồng thời thường xuyên diễn ra các giao dịch trực tuyến… đòi hỏi phải có độ an toàn, sẵn sàng cao. Cần triển khai hệ thống với nhiều lớp bảo
mật khác nhau, sử dụng các công nghệ bảo mật hàng đầu trên thế giới. Mô hình triển khai bảo mật có thể xây dựng dưới ba mức bảo mật như sau:
Hình 2.21: Giải pháp CheckPoint UTM cho doanh nghiệp lớn
• Mức 1: sử dụng thiết bị an ninh tích hợp (Check Point UTM-1): thành phần tường lửa trong thiết bị sẽ ngăn chặn các tấn công tại mức mạng, các tấn công dò quét. Thành phần IPS ngăn chặn các tấn công khai thác điểm yếu của các hệ điều hành, điểm yếu của phần mềm web, phần mềm cơ sở dữ liệu. Thành phần VPN cho phép thiết lập kênh riêng ảo với các chi nhánh, phòng giao dịch và các người dùng từ xa.
• Mức 2: sử dụng thiết bị tường lửa chuyên dụng cho ứng dụng web (NetContinuum) tạo thành lớp bảo vệ thứ hai.
o Thành phần Application Firwall kiểm soát mọi luồng dữ liệu đi đến mỗi máy chủ ứng dụng và thành phần Dynamic Application Protection (DAP) cho qua đối với các yêu cầu hợp lệ và ngăn chặn mọi yêu cầu bất hợp pháp. Các chính sách bảo mật được thiết lập cho từng phần của ứng dụng web với danh sách điều khiển truy cập web (Access Control Lists - ACL) có thể thiết lập luật cho từng trang web (URL), các tham số, thiết lập kiểm soát dữ liệu trên các trường của form nhập liệu và cho phép mã hoá các trường có thông tin quan trọng như trường nhập thông tin tài khoản, thông tin thẻ tín dụng…
o Cũng giống như các tường lửa lớp mạng được thiết kế để chống lại tấn công từ chối dịch vụ tại tầng mạng để bảo vệ tài nguyên mạng thì NetContinuum đưa ra giải pháp AppDoS (Application level Denial of Service) để chống lại tấn công từ chối dịch vụ tại tầng ứng dụng để bảo vệ tài nguyên tầng ứng dụng web.
o Thành phần Website Cloaking: làm giảm các nguy cơ tấn công bằng cách che giấu toàn bộ tài nguyên của ứng dụng web đằng sau nó. Sau khi che giấu trang web, hệ thống tự động kiểm tra để đảm bảo ứng dụng hoạt động theo đúng ý đồ của người phát triển ứng dụng web.
• Mức 3: có thể thiết lập thêm một mức bảo vệ thứ ba với thiết bị an ninh tích hợp (Check Point UTM-1) để phân tách mạng thành nhiều vùng mạng (zone) với các mức độ bảo mật khác nhau khi truy cập đến hệ thống máy chủ cơ sở dữ liệu và máy chủ ứng dụng web, chính sách trên thiết bị an ninh tích hợp này được siết chặt hơn so với thiết bị Mức 1. Đồng thời tại Mức 3 này cũng có thể sử dụng một thiết bị ngăn chặn xâm nhập (IPS) chuyên dụng để loại bỏ các tấn công vào ứng dụng trong trường hợp chúng vượt qua lớp bảo vệ thứ nhất và thứ hai hoặc các tấn công có nguồn gốc trong mạng.
c. Giải pháp bảo vệ ứng dụng web cho Intranet/Extranet (Web Security Portal)
Ngày nay, với sự phát triển mạnh của các kết nối Internet băng thông rộng và máy tính/thiết bị cá nhân, và tính chất của công việc, các tổ chức/doanh nghiệp cho phép nhân viên làm việc tại bất cứ đâu như: ở nhà, khách sạn, quán cafe internet, trên đường đi công tác,…và có thể làm việc bất kể thời gian nào và bất cứ nơi nào có kết nối Internet. Việc mở rộng phương thức làm việc có thể giúp cho hiệu quả làm việc của nhân viên tăng, chi phí giảm và giúp kéo dài thời gian hoạt động của doanh nghiệp, nhưng các tổ chức và doanh nghiệp lại phải đối đầu với nguy cơ thất thoát thông tin cũng như mất an toàn với hệ thống.
Hình 2.22: Giải pháp CheckPoint UTM cho ứng dụng Web Internet/Intranet
Để giảm nhẹ rủi ro mất mát thông tin và mất an toàn hệ thống, các tổ chức/doanh nghiệp có thể xây dựng một “cổng truy cập” an toàn đến các tài nguyên thông tin. Các giải pháp trong đó:
• Thiết bị an ninh tích hợp (UTM): với các tính năng tường lửa, mạng riêng ảo, phát hiện và ngăn chăn xâm nhập, quét virus, lọc web,… tại cổng kết nối nhằm bảo vệ hệ thống trước các cuộc tấn công từ internet.
• Cổng truy cập web an toàn – web security portal (sử dụng giải pháp Check Point Connectra): cho phép tạo không gian làm việc cho các nhân viên bên ngoài mạng và các đối tác truy cập đến các tài nguyên bên trong như: truy cập web, sử dụng thư điện tử, chia sẻ file hay chạy các ứng dụng Client- Server qua kênh mã hoá SSL. Thành phần chống các tấn công trên tầng ứng dụng (Application Intelligence) và tường lửa cho ứng dụng web (Web Intelligence) giúp loại bỏ các tấn công từ bên ngoài và các tấn công ẩn mình qua kênh mã hoá SSL VPN vào hệ thống. Thành phần Integrity Clientless kiểm tra và loại bỏ sâu, các chương trình độc hại (worm, spyware, malware, …). Thành phần Integrity Secure Workspace kiểm tra sự tồn tại của các phần mềm tường lửa cá nhân, trình quét virus… trên máy truy cập từ xa theo chính sách trước khi cho phép kết nối đến các tài nguyên của hệ thống.
• Xác thực mạnh: xác thực mạnh 2 yếu tố kết hợp với cổng truy cập Connectra. Khi người dùng truy cập đến các tài nguyên của hệ thống, sử dụng các phương thức xác thực như One-Time-Password token, Grid token… Thông thường, các giải pháp xác thực truyền thống sẽ đòi hỏi hàng trăm đô-la đầu tư cho mỗi một người dùng, như vậy là quá tốn kém và khiến cho dự án cổng thông tin gặp khó khăn. Với giải pháp xác thực mạnh IdentityGuard của Entrust sẽ giúp các tổ chức/doanh nghiệp giải quyết bài toán này với một chi phí tối ưu nhất. Mỗi một nhân viên/đối tác sẽ được cấp một thẻ xác thực in ma trận một bảng như hình bên, mỗi một lần đăng nhập vào hệ thống, thay vì (hoặc thêm vào) việc hỏi mật khẩu, cổng truy cập thông tin sẽ hỏi vài giá trị trong một số ô ngẫu nhiên trên thẻ. Ví dụ: A3=? B5=? C2=?... Nếu giả sử lần đăng nhập đó bị lộ, kẻ xấu cũng không thể lợi dụng được lần sau. Tất nhiên bảng giá trị này sẽ thường xuyên được thay đổi và cấp lại cho nhân viên.
Thiết bị an ninh tích hợp hoặc thiết bị IPS chuyên dụng: có thể bổ sung bên trong mạng giúp tăng độ an toàn của hệ thống, phân chia mạng thành các vùng khác nhau và có các chính sách riêng cho từng vùng mạng, để ngăn chặn các tấn công có nguồn gốc từ bên trong mạng và loại bỏ các tấn công có thể vượt qua lớp bảo vệ thứ nhất tới vùng các máy chủ quan trọng.
d. Giải pháp bảo vệ cho ứng dụng web-hosting
Việc bảo vệ một hệ thống web được đặt trên các nhà cung cấp Internet (web-hosting) thường phải đối đầu với các khó khăn như: chi phí thường rất lớn cho việc bảo vệ riêng một hệ thống web, nhà cung cấp thường không muốn cho các khách hàng đặt thêm thiết bị bảo vệ vì họ phải đầu tư thêm không gian, tủ, nguồn cấp cho các thiết bị này,…
Vấn đề sẽ trở lên đơn giản hơn nếu nhiều khách hàng cùng sử dụng chung một hệ thống bảo vệ. khi đó giải pháp sẽ sử dụng 2 thành phần chính như sau:
• Thiết bị an ninh tích hợp (UTM): với tính năng tường lửa và ngăn chặn xâm nhập sẽ loại bỏ các tấn công tại lớp mạng và các tấn công khai thác điểm yếu của các ứng dụng và điểm yếu của các hệ điều hành.
• Tường lửa chuyên biệt cho ứng dụng web (NetContinuum): tạo ra các “tường lửa ảo” cho từng khách hàng, mỗi khách hàng có quyền quản trị “tường lửa ảo” của riêng mình. Trên mỗi “tường lửa ảo” này khách hàng có quyền thiết lập các chính sách bảo vệ của riêng mình như: o Chuẩn hoá bảng mã ký tự (Normalize the Session) sử dụng trong web, tránh việc hacker lợi dụng các điểm yếu liên quan đến bảng mã ví dụ như lỗi tràn bộ đệm liên quan đến bảng mã unicode.
Hình 2.23: Giải pháp CheckPoint UTM cho ứng dụng Web-hosting
• Dịch địa chỉ URL(Translate URL addresses) từ tên của DNS ngoài thành tên của DNS trong (Chuyển dịch địa chỉ Web - Web Address Translation) cho các giao dịch Web, tạo ra một địa chỉ khác cho người dùng truy cập đến thay vì truy cập thẳng vào địa chỉ thật nhằm che giấu cấu trúc của website.
• Tuỳ thuộc vào chính sách định ra mà có thể sửa lại cấu trúc đầu (Rewrite HTTP Header) của HTTP nhằm loại bỏ các thông tin không phù hợp chính sách hoặc các thông tin về hệ thống giúp khai thác điểm yếu của hệ thống.
• Kiểm tra URL theo danh sách điều khiển truy cập (Check URL ACLs) cho phép giới hạn truy cập vào một phần của website.
• Kiểm tra các tham số qua ACL (Check Parameter ACLs) cho phép loại bỏ các thông tin tấn công của Hacker khi lợi dụng các trang web cho phép
mã virus, các lệnh của hệ điều hành, các đoạn mã nguy hiểm,…trong các ô thông tin này.
• Kiểm tra các thông tin trong các mẫu nhập thông tin (Check Forms Tampering) như các ô nhập văn bản, ô lựa chọn (radio button) nhằm đảm bảo người dùng nhập đúng các thông tin yêu cầu và loại bỏ các mã tấn công được đưa vào máy chủ web qua đường này.
• Kiểm tra và loại bỏ các tấn công tràn vùng đệm (Check Field Buffer Overflow).
• Kiểm tra và loại bỏ các đoạn mã tấn công như SQL injection, Cross- Site Scripting,… (Check SQL/Script Injection).
• Che giấu các thông tin nhạy cảm của người dùng như thông tin về thẻ tín dụng và các thông tin nhạy cảm khác (Mask Credit Card numbers, and other sensitive data).
• Mã hoá và ký cho các thông tin Cookie (Encrypt or Sign Cookies).
• Hầu hết các máy chủ web đều cung cấp các thông tin về phiên bản của máy chủ web, phiên bản phần mềm,… trong code hoặc trên banner các hacker có thể dựa vào các thông tin này để tìm kiếm các điểm yếu của máy chủ web, các điểm yếu của phần mềm,…NetContinuum can thiệp và loại bỏ các thông tin này (Cloak all identifying banners and error codes).
• Nhận các yêu cầu và từ đó giới hạn các yêu cầu nhằm chống lại tấn công DoS (Queue Requests at Application Limits).
2.2.1.2. Giải pháp với thiết bị tường lửa ứng dụng web của Imperva
Imperva SecureSphere Web Application Firewall bảo vệ các ứng dụng Web và dữ liệu nhạy cảm trước các cuộc tấn công phức tạp như SQL injection, Cross-Site Scripting (XSS) và các cuộc tấn công “brute force”, ngăn chặn trộm cắp trực tuyến, các lỗ hổng dữ liệu từ các ứng dụng. SecureSphere đưa ra việc triển khai theo dạng drop-in, tự động hoá, an ninh thích hợp, và chi phí điều hành hoạt động thấp. Công nghệ Dynamic Profiling của Imperva tự động xây dựng một mẫu cách hành động hợp lý và nhận ra các ứng dụng
thay đổi theo thời gian, đảm bảo rằng các chính sách an ninh của SecureSphere được cập nhật thường xuyên và chính xác không cần tuỳ chỉnh.
Hình 2.24: Tính năng của hệ thống Imperva WAF
Imperva WAF có thể ngăn chặn được 31 dạng tấn công vào ứng dụng web và database:
• Web, HTTPS(SSL) and XML Vulnerabilities
• Sensitive Data Leakage (Social Security Numbers, Cardholder Data, PII, HPI)
• SQL Injection • Session Hijacking
• Cross Site Scripting (XSS) • Form Field Tampering • Known Worms
• Zero Day Web Worms • Buffer Overflow • Cookie Poisoning
• Denial of Service • Malicious Robots • Parameter Tampering • Brute Force Login • Malicious Encoding • Directory Traversal
• Web Server Software and Operating System Attacks • Site Reconnaissance
• OS Command Injection
• Cross-Site Request Forgery (CSRF) • Google Hacking
• Remote File Inclusion Attacks • Illegal Encoding
• HTTP Verb Tampering • Forceful Browsing • Credit Card Exposure • Patient Data Disclosure • Corporate Espionage • Phishing
• Data Destruction
• Anonymous Proxy Vulnerabilities
So sánh tính năng của Imperva WAF và một thiết bị phòng chống xâm nhập (IPS)
Hình 2.25: So sánh Imperva WAF với IPS
Một thiết bị IPS không thể phân tích được một yêu cầu html thành các thành phần, các trường … nên không chống được các tấn công:
• SQL Injections
• XSS
• Cross site request forgery
• Application speccific buffer overflow attack
• Zeroday
• Site scaning and reconnaissance
• OS command injections in form fields.
2.2.1.3. Sử dụng các phần mềm tường lửa
Những giải pháp sử dụng thiết bị ở trên sẽ đảm bảo cho website hoạt động tốt nhưng ngược lại chi phí cao. Do đó, đối với những website nhỏ, hay cá nhân, ta có thể sử dụng đến các phần mềm nguồn mở. Hiện nay có khá nhiều phần mềm tường lửa nguồn mở có thể hỗ trợ, bảo vệ website. Trên môi
distro linux, pf (package filter) có sẵn trên các hệ điều hành Unix như BSD, ufw (uncompicated firewall)... Trên môi trường windows có một số loại phần mềm miễn phí như CheckPoint ZoneAlarm, Comodo Firewall...
Các đặc điểm của các phần mềm tường lửa này:
• Các tường lửa này hoạt động từ tấng 3 đến tầng 7 trong mô hình OSI
• Hạn chế được các cuộc tấn công DoS, DdoS
• Ngăn chặn được cái tấn công phổ biến như SQL Injection, XSS, http fingerprinting, Directory Traversal...
• Giới hạn các cổng dịch vụ được mở.
2.2.2. Sử dụng thiết bị phát hiện và phòng chống xâm nhập (IDS/IPS)