УДК 004.056
ИССЛЕДОВАНИЕ МЕЖСЕТЕВЫХ ЭКРАНОВ ДЛЯ ВЕБ-ПРИЛОЖЕНИЙ С ОТКРЫТЫМ ИСХОДНЫМ КОДОМ
Владимир Геннадьевич Мельников
Сибирский государственный университет геосистем и технологий, 630108, Россия, г. Новосибирск, ул. Плахотного, 10, магистрант, тел. (952)938-59-98, e-mail: ranebull@yandex.ru
Анастасия Евгеньевна Гребень
Сибирский государственный университет геосистем и технологий, 630108, Россия, г. Новосибирск, ул. Плахотного, 10, студент, тел. (999)463-88-33, e-mail: knockdown09@gmail.com
Диана Георгиевна Макарова
Сибирский государственный университет геосистем и технологий, 630108, Россия, г. Новосибирск, ул. Плахотного, 10, ассистент кафедры информационной безопасности, тел. (383)343-91-11, e-mail: kaf.ib@ssga.ru
В работе рассматриваются различные межсетевые экраны для веб-приложений с открытым исходным кодом. Дано определение межсетевого экрана для веб-приложений. Описаны функции и принципы работы. Выделены наиболее популярные программные решения. Создана сравнительная таблица популярных программных решений. Сделаны выводы о том, какой межсетевой экран для веб-приложений более удобный в администрировании и эксплуатации.
Ключевые слова: межсетевой экран для веб-приложений, функции и принцип работы, открытый исходный код.
INVESTIGATION OF OPEN SOURCE FIREWALLS FOR WEB APPLICATIONS
Vladimir G. Melnikov
Siberian State University of Geosystems and Technologies, 10, Plakhotnogo St., Novosibirsk, 630108, Russia, Graduate, phone: (952)938-59-98, e-mail: ranebull@yandex.ru
Anastasia E. Greben
Siberian State University of Geosystems and Technologies, 10, Plakhotnogo St., Novosibirsk, 630108, Russia, Student, phone: (999)463-88-33, e-mail: knockdown09@gmail.com
Diana G. Makarova
Siberian State University of Geosystems and Technologies, 10, Plakhotnogo St., Novosibirsk, 630108, Russia, Assistant, Department of Information Security, phone: (383)343-91-11, e-mail: kaf.ib@ssga.ru
The paper discusses various open source firewalls for web applications. The definition of a firewall for web applications is given, functions and operating principles are described. The most popular software solutions are highlighted. A comparative table popular software solutions is offered. The conclusions about which firewall for web applications is more convenient in administration and operation are made.
Key words: firewalls for web applications, functions and principles, open source.
Целью данной работы было выявить и выбрать наиболее простое и удобное решение среди небольшого множества открытых программ.
Защита веб-приложений становится сложной задачей из-за их возрастающей интерактивности, усложняющегося поведения и поддержки новых протоколов. В 2015 году аналитическое агентство Gartner назвало компанию Positive Technologies одним из визионеров в рейтинге «магический квадрант для экранов защиты веб-приложений» (Magic Quadrant for Web Application Firewalls -WAFs) [1]. Такой рейтинг составляется только с прошлого года, поскольку речь идёт о новом типе средств защиты. WAF часто путают с межсетевыми экранами, системами обнаружения и предотвращения вторжений (IPS / IDS). Они умеют делать всё тоже самое, но список их возможностей гораздо шире, а сама логика работы более интеллектуальная.
Для защиты различных сервисов используются межсетевые экраны, системы обнаружения вторжения, антивирусное ПО и системы управления угрозами. Для веб-приложений существует своя специфика, и она предполагает, что за один сеанс работы пользователя с веб-сервером может осуществляться большое количество различных TCP-соединений, которые открываются с различных адресов, но имеют один (возможно динамический) идентификатор сессии. Это приводит к тому, что для эффективной защиты веб-трафика необходима платформа на основе полнофункционального реверс-прокси-сервера.
Для предотвращения таких угроз используется Web Application Firewall, защитный экран для приложений, осуществляющих передачу данных через HTTP и HTTPS. Его предназначение - решение проблем, связанных с угрозами конфиденциальности, целостности и доступности данных сайтов, которые можно получить, произведя эксплуатацию уязвимости, либо иным способом. В любом коде серьезного приложения возможны ошибки. Злоумышленники используют их, чтобы получить несанкционированный доступ к данным владельцев и пользователей сайтов. Необходимо не только своевременно обнаружить и блокировать атаки на приложения, но и устранить возможность эксплуатации уязвимостей [2].
Но разница в технологической платформе - не единственное, что отличает защиту веб-приложений.
Если говорить совсем просто, то веб-приложения отличаются от обычных приложений двумя вещами: огромным разнообразием и значительной интерактивностью. Это создаёт целый ряд новых угроз, с которыми традиционные межсетевые экраны не справляются: по оценкам Positive Technologies, в 2014 году 60 % атак на корпоративные сети осуществлялись через веб-приложения, невзирая на наличие традиционных защитных средств [1].
Именно здесь вступает в дело защитный экран для приложений, осуществляющих передачу данных через HTTP и HTTPS (рисунок).
©
Ф
Сервер
Исходный HTTP-трафик
Межсетевой экран для веб-приложений
Принцип работы межсетевого экрана для веб-приложений
На данный момент наиболее популярными решениями с открытым исходным кодом являются следующие межсетевые экраны для веб-приложений:
• ModSecurity;
• IronBee;
• NAXSI;
• Shadow Daemon.
На основе изученной документации была составлена сравнительная таблица (таблица).
Сравнительная таблица программных решений
Параметр/ШЛБ ModSecurity IronBee NAXSI Shadow Daemon
Дата последнего изменения 28.02.2018 09.12.2015 20.03.2018 06.03.2018
Поддержка веб-серверов Apache, IIS, Nginx Apache, Nginx Nginx Apache, Nginx
Поддержка ОС Debian, Centos, Ubuntu, Fedora, OS X, Centos, Ubuntu, Fedora, Debian, Centos, Ubuntu, Fedora, Debian, Centos, Ubuntu, Fedora,
Вариант установки Исходный код Исходный код Исходный код Исходный код, Docker-контейнер
Защита от атак XSS, SQL, Trojan, Information leakage, Common web attacks, Malicious activity LFI, RFI, RCE, XSS, SQL XSS,SQL SQL, XML, Code Injection, Command Injection, XSS, Backdoor access, LFI, RFI
Как видно из таблицы, наиболее предпочтительным вариантом в плане установки, администрирования и эксплуатации является Shadow Daemon [3].
Решение распространяется в специальном контейнере, которое не оказывает никакого влияние на хостовую систему, где будет запущен этот контейнер. Также такой вариант распространения снимает задачу компилировать программу из исходных кодов при выходе новой версии.
В заключение можно сказать, что помимо небольшого числа межсетевых экранов для веб-приложений с открытым исходным кодом имеется большое число проприетарных решений с закрытым исходным кодом, которые отличаются своими наработками, особенностями защиты, моделью распространения программного решения и так далее [4, 5].
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. WAF как новая парадигма защиты веб-приложений [Электронный ресурс]. - Режим доступа: http://www.computerra.ru/180630/waf-web-application-firewall/.
2. Актуальные киберугрозы, IV квартал 2017 года [Электронный ресурс]. - Режим доступа: https://www.ptsecurity.com/upload/corporate/ru-ru/analytics/Cybersecurity-threatscape-2017-Q4-rus.pdf.
3. Защита сайта с помощью WAF Shadow Daemon. [Электронный ресурс]. - Режим доступа: https://antiddos.biz/zashhita-sajta-pomoshhyu-waf-shadow-daemon/.
4. Мельников В. Г., Трифанов А. В. Методы обхода межсетевых экранов для приложений // Интерэкспо ГЕО-Сибирь-2017. XIII Междунар. науч. конгр. : Магистерская научная сессия «Первые шаги в науке» : сб. материалов в 2 т. (Новосибирск, 17-21 апреля 2017 г.). - Новосибирск : СГУГиТ, 2017. Т. 2. - С.113-117.
5. Звягинцева П.А., Крыжановская О.А. Оценка эффективности средств защиты информации // Интерэкспо ГЕО-Сибирь-2017. XIII Междунар. науч. конгр. : Национ. науч. конф. «Наука. Оборона. Безопасность-2017» : сб. материалов (Новосибирск, 17-21 апреля 2017 г.). - Новосибирск : СГУГиТ, 2017. - С. 199-201.
© В. Г. Мельников, А. Е. Гребень, Д. Г. Макарова, 2018