• Thứ Sáu, 07/09/2007 10:44 (GMT+7)

    An toàn cho ứng dụng Web

    Bên cạnh giải pháp sửa lỗi bảo mật trong mã nguồn, hiện còn có nhiều giải pháp sử dụng các thiết bị bảo vệ lớp mạng, lớp ứng dụng để web được an toàn.

    Bên cạnh giải pháp (GP) sửa lỗi bảo mật trong mã nguồn, thị trường hiện còn có nhiều GP sử dụng các thiết bị bảo vệ lớp mạng, lớp ứng dụng (ƯD) để web được an toàn.

    Thiết bị bảo vệ lớp mạng

    GP này được hầu hết tổ chức, doanh nghiệp Việt Nam ứng dụng:dùng thiết bị có chức năng tường lửa (firewall), phòng chống xâm nhập (IPS) đặt tại cửa ngõ hệ thống mạng.

    Khi gói tin đi qua, thiết bị an ninh lớp mạng sẽ kiểm tra sự hợp lệ của địa chỉ nguồn, địa chỉ đích, các cổng (port) của gói tin (đối với firewall), các kiểu tấn công xâm nhập mạng đã biết trước và nếu các thông số này hợp lệ sẽ cho qua. Như hình trên, thiết bị an ninh mạng thông thường chỉ có khả năng bảo vệ kiểu tấn công mạng, không có khả năng bảo vệ sự tấn công khai thác các điểm yếu của ƯD. Như vậy thiết bị bảo mật chuyên dụng cho ƯD web sẽ bổ sung một lớp bảo mật trong hệ thống.

       

    Các ứng dụng web chứa nhiều thông tin quan trọng. Lớp ứng dụng web nếu bị tấn công sẽ gây ảnh hưởng đối với thông tin:
    - Bị đánh cắp các thông tin nhận dạng về khách hàng, về thẻ thanh toán
    - Thay đổi dữ liệu, lộ dữ liệu
    - Thay đổi website làm xấu hình ảnh công ty

     

    GP này sẽ ngăn chặn các kiểu tấn công lớp mạng: tấn công từ chối dịch vụ, tấn công phá gói tin... Tuy nhiên, để cho phép ƯD web chạy, bắt buộc thiết bị an ninh phải mở hai cổng 80 (http) và 443 (https) và đó là nguyên nhân khiến GP này không thể bảo vệ trước các tấn công lớp ƯD.

    Ngoài ra, tường lửa ở lớp mạng không "đọc" được các dữ liệu đã mã hóa như SSL và IPSEC. Hacker lợi dụng điểm này thông qua các kết nối mã hóa để dễ dàng vượt qua các firewall.

    Hiện nay, nhiều kỹ thuật tấn công ƯD mới và tinh vi có khả năng vượt qua các thiết bị an ninh lớp mạng, tấn công lên lớp ƯD. Như vậy GP này sẽ chỉ có khả năng bảo vệ các ƯD web khỏi sự tấn công từ lớp mạng, chưa có khả năng chống lại các tấn công lớp ƯD như: SQL Injection, Parameter Tampering, Buffer overflow (tràn bộ đệm), đánh cắp phiên, tiêm nhiễm các cookie, đánh lừa ... Kiểu tấn công lớp ƯD hoàn toàn có khả năng xâm nhập vào tận ƯD, cơ sở dữ liệu.

    Thiết bị bảo vệ lớp ƯD web

    Firewall ƯD web không cho phép truyền dữ liệu trực tiếp giữa 2 mạng, gói tin nào đi qua đều phải qua nó để kiểm tra nội dung. Nếu nội dung không chứa mã nguồn độc hại nó sẽ cho phép đi qua. Ngoài ra firewall ứng dung web còn cho phép ghi nhật ký các cuộc kết nối truyền dữ liệu để dễ dàng thực hiện kiểm tra sau này.

    Firewall ƯD web cho phép bảo vệ toàn diện các tài nguyên web, kiểm soát sự truy cập, ngăn chặn các dạng tấn công tại lớp ƯD như: SQL Injection, Cross site scripting, Virus & Web worm, Cookie Poisoning & theft, SQL Slammer, Site defacing.

    Nếu kết hợp hai GP nói trên sẽ ngăn chặn hầu hết các cuộc tấn công vào hệ thống ƯD web, đảm bảo cho giao dịch diện tử.

    GP kết hợp

    Trên thị trường hiện có GP toàn diện bảo vệ ƯD web ngay tại hai lớp mạng và ƯD của một số hãng như Net Continuum, F5 và Blue Coat. Trong đó, GP TrafficShield của hãng F5 nổi trội hơn nhờ công nghệ Application Flow Model (ƯD theo luồng).

    Trafficshield dựa theo mô hình bảo mật chắc chắn (Positive Security Model), tức là từ chối tất cả dịch vụ trừ những dịch vụ được phép (deny all unless allowed). Nhờ vậy, GP này tự động bảo vệ ƯD web với tất cả các kiểu tấn công ƯD như SQL injection, SQL Slammer, Site Defacing. Nó tự động tạo tiến trình cho tất cả hoạt động tương tác hợp pháp của người dùng với ƯD, hay nói nôm na là nó tự động "học" xem các ƯD web hoạt động thế nào (Application Flow Model), từ đó đưa ra tiến trình, mức độ bảo mật hợp lý để áp dụng.

    Sau khi TrafficShield "học" xong thì luồng ƯD "lạ” bị coi là không hợp lệ ngay lập tức sẽ bị ngăn chặn.

    TrafficShield còn có chế độ Active block mode - không cho phép người phát triển ƯD thêm các thành phần chức năng mới có thể gây ra lỗ hổng vào ƯD. Điều này ngăn chặn lập trình viên có ý đồ xấu nhúng mã độc hại vào ƯD hoặc hacker xâm nhập.

    Một số tổ chức như FPT, bộ Tài Chính, Hanoi Telecom, Vegasoft, Phú Nhuận Jewellery đã chọn sử dụng GP này của F5.

    Văn Anh Tuấn - CISSP

    ID: B0709_64