2.8.4.1 Tại sao phải xây dựng tƣờng lửa ứng dựng web?
Internet banking là một hệ thống hoạt động dựa trên các ứng dụng trên nền web, hệ thống web phục vụ khách hàng của Internet Banking gặp rất nhiều nguy cơ tấn công nhƣ:
Tấn công lợi dụng các điểm yếu của hệ thống nhƣ không có cơ chế kiểm tra dữ liệu đầu vào, kiểm soát phiên làm việc không an toàn, cấu hình hệ thống có lỗi hay các lỗi trong hệ điều hành máy chủ web.
Nhiều dạng tấn công vào các ứng dụng web nhƣ cross-site scripting, SQL injection… Các điểm yếu thƣờng gặp với các ứng dụng web là:
Các hệ điều hành và phần mềm máy chủ web thƣờng có rất nhiều lỗi và cần đƣợc cập nhật các bản vá một cách thƣờng xuyên, rất nhiều ngân hàng không có đủ nhân lực để rà soát lại các lỗi trên hệ thống của mình.
Trong hoàn cảnh phải tăng cƣờng các ứng dụng web để cạnh tranh với các đối thủ, các ngân hàng thƣờng không có đủ thời gian cần thiết để chạy thử các ứng dụng cũng nhƣ kế hoạch triển khai các ứng dụng này một cách chi tiết an toàn.
Hầu hết các ngân hàng đều có áp dụng các giải pháp nhƣ hệ thống phòng chống xâm nhập, tƣờng lửa nhƣng không thể ngăn chặn các cuộc tấn công kiểu này (tấn công nhằm vào lỗi lập trình hay lỗi phần mềm ) vào ứng dụng web.
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
2.8.4.2 Khái niệm về hệ thống tƣờng lửa ứng dụng web
Tƣờng lửa ứng dụng web là một giải pháp nhằm đảm bảo an toàn thông tin cho các ứng dụng web, nó có thể là thiết bị phần cứng hay phần mềm thƣờng đƣợc triển khai ngay sau hệ thống tƣờng lửa và hệ thống phòng chống xâm nhập để bảo vệ máy chủ web hoặc máy chủ cơ sở dữ liệu.
2.8.4.3 Hoạt động của tƣờng lửa ứng dụng web
Tƣờng lửa ứng dụng web (WAF) có 2 kiểu hoạt động chính là:
Positive security(chủ động): WAF sẽ xem xét các luồng giao thông mạng và chỉ cho phép các kết nối mà nó đã kiểm tra và xác định là tốt, các kết nối còn lại sẽ bị chặn. Negative security (bị đông): WAF cho phép tất cả các kết nối chỉ ngăn chặn các đoạn mã độc hại,
Thiết bị WAF có nhiều chế độ hoạt động khác nhau, một thiết bị hỗ trợ những chế độ nào là do nhà sản xuất quyết định. Một số chế độ hoạt động của WAF là:
Reverse Proxy: WAF hoạt động inline và có địa chỉ IP, nó sẽ đóng vai trò trung gian giữa client và server (nhận các request tới server và xử lý rồi trả cho client, ngăn chặn các kết nối không hợp lệ). Tuy nhiên khi hoạt động ở chế độ này làm thay đổi kiến trúc mạng và tăng độ trễ của các truy vấn trả lời.
Transparent Proxy: WAF hoạt động gần giống chế độ reserve proxy nhƣng WAF không cần có địa chỉ ip, nó hoạt động trong suốt giữa client và server nên khi triển khai dễ dàng vì không làm thay đổi kiến trúc mạng.
Layer 2 Bridge: WAF ở giữa hệ thống tƣờng lửa và máy chủ web, hoạt động nhƣ một thiết bị chuyển mạch lớp 2, không làm thay đổi kiến trúc mạng không ảnh hƣởng đến hoạt động của mạng.
Network monitor: WAF chỉ lắng nghe và xử lý các kết nối đến thông qua cổng giám sát, chế độ này thƣờng dùng để test tƣờng lửa ứng dụng web trong khi triển khai trong thực tế.
Host based hay Server based: là tƣờng lửa ứng dụng web dạng mềm đƣợc cài đặt trên máy chủ để bảo vệ máy chủ khỏi nguy cơ bị tấn công, tuy nhiên do sử dụng nguồn tài nguyên từ máy chủ nên sẽ làm giảm tốc độ mạng, cần phải cân nhắc kĩ yếu tố tốc độ khi triển khai tƣờng lửa ứng dụng web dạng này.
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
Tăng tốc SSL: làm tăng tốc độ mã hóa SSL với giao thức https đƣợc áp dụng rộng rãi trên các dịch vụ internet banking tại ngân hàng.
Bộ nhớ đệm: khi đóng vai trò proxy, tƣờng lửa ứng dụng web sẽ dùng bộ nhớ đệm để tăng tốc các URL đƣợc truy cập nhiều
Nén: hỗ trợ nén nội dung, giảm tải cho đƣờng truyền. Cân bằng tải.
2.8.4.4 Lựa chọn WAF thích hợp cho hệ thống Internet Banking
Trên thị trƣờng hiện có khá nhiều nhà cung cấp sản phẩm tƣờng lửa ứng dụng web từ phần mềm mã nguồn mở nhƣ Modsecurity đến các sản phẩm thƣơng mại từ Netcotinuum, Imperva, F5…nên các ngân hàng gặp khá nhiều khó khan cho việc lựa chọn sản phẩm phù hợp với hệ thống của mình.
Để lựa chọn một sản phẩm WAF tốt cần thỏa mãn các tiêu chí sau:
Thỏa mãn các tiêu chuẩn bảo mật của PCI DSS (đây là chuẩn bảo mật đƣợc đƣa ra bởi PCI Security Standards Council giúp bảo mật cho các hệ thống ngân hàng). Ngăn chặn đƣợc các cuộc tấn công nhằm vào top 10 điểm yếu của ứng dụng web đƣợc đƣa ra hàng năm bởi OWASP.
Phân tích kết nối và trả lời (cho phép, cảnh báo, chặn) dựa trên các chính sách an ninh và luật.
Có thể hoạt động theo 2 kiểu chủ động và bị động.
Hỗ trợ các giao thức phổ biến nhƣ HTML, DHTML, CSS, HTTPS, SSL… và SOAP, XML…
Có ngăn chặn mất dữ liệu.
Chống tấn công vào chính tƣờng lửa ứng dụng web. Ngăn chặn các hành vi session token tampering.
Tự động cập nhật và update các bản vá an ninh từ nhà sản xuất.
Phân tích chống tấn công trên bất kì giao thức hoặc định dạng dữ liệu nào đƣợc ứng dụng web sử dụng hoặc chuyển thông tin đến ứng dụng web.
Khả năng fail open hay fail close phụ thuộc vào chính sách an ninh của hệ thống.