وبینار: فایروال برنامه وب ۱۰۱

مقدمه

• ارائه‌دهندگان: ایوان فلوگراد و موریس مک‌مولن
• موضوع: معرفی و تنظیم فایروال برنامه وب (WAF)
• هدف: توضیح اینکه WAF چیست و چگونه می‌تواند در برابر آسیب‌پذیری‌های برنامه وب محافظت کند

شروع به کار

• شرکت‌کنندگان: تشویق به پرسش سوالات از طریق پنل سوالات
• ضبط: وبینار ضبط خواهد شد و بعداً در دسترس خواهد بود
• ارائه‌دهنده: موریس مک‌مولن، مدیر محصول در Progress

چرا WAF؟

• آسیب‌پذیری‌های برنامه‌های وب: شایع در هر دو برنامه‌های خانگی و پیشرو در بازار
• انگیزه‌های هکرها: سرقت داده، اخاذی از طریق باج‌افزار، آسیب به شهرت از طریق پخش بدافزار (وکتورینگ)
• تصور غلط شایع: سازمان‌های کوچک نیز ممکن است هدف قرار گیرند

مبانی WAF

• عملکرد: به عنوان یک پراکسی بین کاربران و برنامه‌های وب عمل می‌کند تا ترافیک مخرب را بررسی و مسدود کند
• قوانین: از مجموعه‌ای از قوانین پویا برای جلوگیری از حملات استفاده می‌کند
• یکپارچگی: با خدمات امنیتی و نظارتی خارجی کار می‌کند
• OWASP Top Ten: هدف قرار دادن آسیب‌پذیری‌های اصلی شناسایی شده توسط OWASP، سازمانی که بر امنیت برنامه‌ها متمرکز است

انواع حملات

• تزریق SQL: اصلاح دستورات SQL برای دستیابی به دسترسی غیرمجاز یا ایجاد آسیب
• کنترل دسترسی ناقص: اجازه می‌دهد کاربران خارج از مجوزهای تعیین شده خود با اصلاح درخواست‌های HTTP عمل کنند

آسیب‌پذیری‌ها و حفاظت مستمر

• خطرات نرم‌افزارهای شخص ثالث و منبع باز: آسیب‌پذیری‌ها ممکن است از به‌روزرسانی‌ها یا اجزای بدون نگهداری بیایند
• CVEs: فهرستی از آسیب‌پذیری‌ها و موارد مواجهه مشترک، جزئیاتی در مورد آسیب‌پذیری‌های شناخته شده ارائه می‌دهد

راه‌اندازی WAF در LoadMaster

• راه‌اندازی آسان: فعال کردن WAF با یک تیک ساده روی خدمات مجازی پیکربندی شده
• منابع پرمصرف: نیاز به CPU و حافظه اضافی دارد
• سفارشی‌سازی: تنظیم آستانه امتیازدهی عدم تطابق و سطوح پارانویا برای تنظیم دقیق تنظیمات WAF
• مجموعه قوانین: فعال/غیرفعال کردن قوانین خاص با توجه به نیازهای برنامه و افزودن قوانین سفارشی در صورت نیاز

امکانات اضافی

• مسدودسازی شهرت IP: مسدود کردن آدرس‌های IP که به عنوان منابع فعالیت مخرب شناسایی شده‌اند
• مسدودسازی جغرافیایی: مسدودسازی می‌تواند به تمام کشورها در صورت لزوم گسترش یابد

بهترین روش‌ها و توصیه‌ها

• به‌روزرسانی‌های منظم: ضروری برای حفظ محافظت در برابر آسیب‌پذیری‌های جدید
• تنظیم دقیق: تنظیم تنظیمات WAF برای تعادل بین محافظت و ترافیک قانونی
• استقرار موازی: ابتدا اجرای WAF به صورت موازی با ترافیک زنده برای آزمایش

سوالات و پاسخ‌ها

• انواع حملات: OWASP Top Ten شامل انواع مختلف حملات مانند پیکربندی‌های نادرست و استفاده از اجزای قدیمی
• نتایج مثبت کاذب: با تنظیم دقیق و رفع مشکلات از طریق رابط کاربری بررسی می‌شود
• ترافیک رمزگذاری شده: تخلیه SSL در لود بالانسر برای بازرسی
• گزینه‌های استقرار: در تمامی پلتفرم‌ها به جز سخت‌افزار X1 به دلیل نیاز به منابع در دسترس است
• پیکربندی‌های متعدد: امکان داشتن تنظیمات متفاوت WAF برای برنامه‌های مختلف در یک LoadMaster
• ترکیب با سایر تدابیر امنیتی: CAPTCHA، پچینگ منظم و پیش‌احرازه توصیه می‌شود

منابع

• وب‌سایت OWASP: منبع جامع اطلاعاتی برای امنیت برنامه‌ها و آسیب‌پذیری‌ها
• نسخه آزمایشی: در دسترس برای آزمایش WAF در یک محیط کنترل شده
• پشتیبانی: مستندات و تیم پشتیبانی برای کمک در دسترس هستند

نتیجه‌گیری

• خاتمه وبینار: سوالات پاسخ داده شد و پرسش‌های بیشتر می‌توانند مطرح شوند
• گام‌های بعدی: تشویق شده‌اند تا نسخه آزمایشی LoadMaster با WAF فعال را دانلود و آزمایش کنند