מה זה WAF?
בתרגום פשוט, ה-WAF, או Web Application Firewall בשמו המוארך, היא חומת אש אפליקטיבית.
בעצם מדובר בתוכנה העוזרת להגן על יישומי אינטרנט על ידי סינון וניטור תנועת HTTP בין האפליקציה לאינטרנט. ה-WAF משמש כמגן על יישום האינטרנט בכך שהוא מסנן תנועה המגיעה לשרת דרכו, ורק אחרי שבקשות ה-HTTP עוברת סדרת "חוקים" שנקבעו מראש, רק אז הן מועברות לשרת. כך התנועה המגיעה לשרת היא תנועה "נקייה", ולא זדונית.
איך עובד ה- WAF?
רשת האינטרנט מבוססת על פי מודל TCP/IP, הנקרא גם מודל ארבעת השכבות (או 5 שכבות, תלוי לאיזה אסכולה אתם משתייכים).
המודל מפרט את הפעולות הנדרשות על מנת להעביר נתונים ברשת התקשורת של המחשבים, והוא בעצם יישום מופשט של המודל הישן יותר OSI, המורכב משבע שכבות.
ה-WAF הוא חומה חיצונית נוספת, הממוקמת בשכבה השביעית והחיצונית של במודל OSI. כלומר ה-WAF ממוקמת בין השרת לבין הלקוח (דפדפן) ומנטרת את התקשורת בינהם, על ידי חוקים שהוגדרו מראש.
ה"חוקים" של ה-WAF הם בעצמם פרוטוקולים, שתפקידם להגן מפני ניצול פגיעויות ידועות. יש שתי גישות לנושא ליצירת פרוטוקלים ל-WAF. ניתן לעשות blacklist, בעצם רשימה שחורה שמסננת תנועה על פי התקפות ידועות, כמו סלקטור קלאסי במועדון. המודל הזה נחשב קל יותר להטמעה, אך גישה זו לרב אינה יעילה במיוחד, משום שהאחראי על ה-WAF יצטרך לעדכן תקנות חדשות.
לעומת זאת, WAF הפועל על פי allowlist מאפשר רק לתנועה שאושרה להגיע לשרת, כמו שומר בכניסה למסיבת VIP. המודל מצריך מאמץ בשלבים הראשונים של הגדרת התעבורה המותרת, אך לא יצטרך עדכונים רבים. במודל זה ניתן להשתמש גם בלמידה אוטומטית.
WAF- הגנה על יישומי אינטרנט
כמו שאמרנו, ה-WAF מגן מפני מתקפות אפליקטיביות ידועות. פרויקט ה-OWASP הוא קהילה אינטרנטית המספקת מידע, מאמרים, מתודלוגיות וכלים בתחום אבטחת אתרים אפליקטיביים. אולי המסמך המוכר ביותר של הקהילה הוא ה-OWASP Top 10– עשרת האיומים החמורים ביותר על אתרים אפליקטיביים, לשנה הנוכחית. חלק קטן מהרשימה המכובדת כוללת:
מתקפת XSS– זו המתקפה הנפוצה ביותר על אתרים אפליקטיביים, יותר מ-40% מכלל מתקפות אלה מבוצעות על ידי שיטה זו. היא מבוצעת על ידי הזרקת קוד לתוך שדות טופס של אתרים ואפליקציות- למשל טופס הרשמה, התחברות, השארת פרטים או חיפוש. המתקפה מנצלת חולשה ב- JAVASCRIPT, שפת תכנות פופלרית שעליה בנויים כל האתרים בימינו.
הזרקת SQL- דומה מאוד לקודמו, גם מתקפה זו מזריקה קוד למקומות רגישים באתר לדוגמא שדות טופס ושדות חיפוש, וכאשר מבוצעת על אתר לא מוגן יכולה לשלוף ממסד הנתונים של האתר מידע כמו שמות משתמש וסיסמאות.
מאגר קריפטוגרפי לא מאובטח -ישומי רשת שלא משתמשים בהצפנה ראוייה למידע רגיל כגון מספר כרטיס אשראי או מספר תעודת זהות, ובמקרה של פריצה- מידע המשתמש יהיה חשוף לפורץ.
מניעת שירות DDOS– מדובר בניסיון להפוך שירות אינטרנטי- כמו אתר- ללא זמין למשתמשים שלו, לרוב על ידי שיבוש זמני של השרת עליו מונח האתר- ומכאן מגיע שמו "מתקפת מניעת שירות". ישנם המון סוגים של DDoS, אבל העיקרון הוא להציף את האתר והשרת שלו בתנועה זדונית שתגרום להשבתה בשל עומס יתר, וזאת על ידי שימוש במכשירים רבים שנפרצו פעם ומנוצלים ללא ידיעת משתמש המכשיר.
הפופולריות של ה-WAF
הפופלריות של ה-WAF נובע מקלות ההטמעה שלו- מרבית המפתחים לא מתמחים באבטחת מידע, וארגונים רבים לא מעוניינים להשקיע בתהליכי אבטחה אחרים ונפרדים כמו מבדקי חדירות.
ה-WAF לעומת זאת, לא מצריך שינויים בקוד המקור של היישום, ובעצם ניתן להגדיר אותו כפלאגין לשרת המתווך בין הדפדפן לשרת.
