绿盟WEB应用防火墙产品白皮书

Size: px

Start display at page:

Download "绿盟WEB应用防火墙产品白皮书"

践殷舒
5 years ago
Views:

1 2010 绿盟科技

3 目录一. 前言... 1 二. 来自 WEB 的安全挑战 WEB 安全概况 WEB 安全事件业界异口同声国内 WEB 安全热点... 3 三. 新兴 WEB 应用防火墙技术... 4 四. 绿盟 WEB 应用安全交付解决方案概述二维防护体系双向在线清洗 OWASP Top 智能应用层 DDoS 攻击防护绿盟安全研究中心人性化 O&M 系统典型应用网页篡改在线防护网页挂马在线防护敏感信息泄漏防护合规五. 结论附录 A 攻击分析 A.1 攻击手段 A.1.1 SQL 注入 A.1.2 跨站脚本 A.1.3 CSRF A.2 攻击时机 A.3 攻击动机绿盟科技 - I -

4 插图索引图 4.1 NSFOCUS WAF 二维防护体系... 6 图 4.2 NSFOCUS WAF 双向内容清洗... 7 图 4.3 NSFOCUS WAF 系统监控... 9 图 4.4 NSFOCUS WAF 安全报表绿盟科技 - II -

5 一. 前言随着机构的计算及业务资源逐渐向其数据中心高度集中,WEB 成为一种普适平台, 越来越多地承载了各类机构的核心业务, 如电子政务电子商务运营商的增值业务等来自 Gartner 的数据表明, 当前网络上 75% 的攻击是针对 WEB 应用的这些攻击可能导致网站遭受声誉损失经济损失甚至政治影响各类网站客户已逐渐意识到 WEB 安全问题的重要性, 但传统安全设备 ( 防火墙 /IPS) 解决 WEB 应用安全问题存在局限性, 而整改网站代码需要付出较高代价从而变得较难实现同时, 很多关系国计民生的重要网站, 面临监管机构安全合规的要求对于机构的 IT 决策者来说, 面临的最大挑战在于如何缓解针对 WEB 业务的各类安全威胁, 高效保障 WEB 应用的可用性和可靠性优化业务资源和提高应用系统敏捷性本文内容将主要包含如下部分 : 来自 WEB 的安全挑战新兴 WEB 应用防火墙技术绿盟 WEB 应用安全交付解决方案此外, 为了更好地了解当前 WEB 应用面临的安全挑战, 附录 A 将从攻击三要素角度进行攻击分析, 供有兴趣的读者阅读 2010 绿盟科技 - 1 -

6 二. 来自 WEB 的安全挑战 2.1 WEB 安全概况 WEB 安全事件 WEB 的开放性带来丰富资源高效率新工作方式的同时, 传统网络边界正逐渐消失, 机构的重要资产暴露在越来越多的威胁中现今 WEB 安全问题对人们来说已屡见不鲜, 以下是收录于国际安全组织 WASC 1 WHID 2 项目中的几起最新安全事件 : 年 5 月 26 日, 法国移动运营商 Orange France 提供照片管理的网站频道被曝存在 SQL 注入漏洞, 黑客利用此漏洞获取到 245,000 条用户记录 ( 包括姓名及明文方式的密码 ) 年 1 月 26 日, 土耳其黑客采用 SQL 注入攻击, 篡改了美国军方两台重要服务器的网页年 1 月 26 日, 印度驻西班牙使馆网站被挂马 ( 通过 iframe 攻击植入恶意代码 ) 对去年网络世界 (Network World) 的报导, 人们也记忆犹新 2008 年 5 月 13 日, 在中国大陆香港及台湾地区有数万个网站遭遇新一轮 SQL 注入攻击, 并引发大规模挂马在过去的 4 个月中, 之前已有 3 次大规模攻击, 受害者包括某知名防病毒软件厂商网站欧洲某政府网站和某国际机构网站在内的多家互联网网站, 感染页面数最多超过 10,000 页面 / 天业界异口同声包括 IBM 3 Websense 4 Sophos 5 MessageLabs 6, Cisco 7, APWG 8, MITRE 9, Symantec 10 Trend Micro 11 SecureWorks 12 ScanSafe 13 以及 IC3 14 在内的安全厂商及安全机构, 其公布的数据安全报告均表明 :WEB 应用安全已成为当前首要安全问题 1 Web Application Security Consortium, 2 The Web Hacking Incidents Database, 3 X-Force 2008 Mid-Year Trend Statistics, 4 Websense security Labs State of Internet Security Q3 Q4, 2008, 5 Security Threat report: 2009, 6 MessageLabs Intelligence: 2008 Annual Security Report, 绿盟科技 - 2 -

7 而来自 WhiteHat Security 15 Accunetix 16 以及 WASC 17 的报告, 则更为关注定制化的 WEB 应用安全漏洞报告引用 OWASP Top 中的安全漏洞 -SQL 注入以及跨站脚本 (XSS) 为日前最主要的问题, 且认为此类问题较难通过补丁修补提供安全防护国内 WEB 安全热点来自中国互联网网络安全报告 ( 2008 年上半年 ) 19 数据显示 : 网页篡改事件特别是我国大陆地区政府网页被篡改事件呈现大幅增长趋势 2008 年上半年, 中国大陆被篡改网站总数达到个, 同比增加了 23.7% 2008 年 1 月至 6 月期间, 中国大陆政府网站被篡改数量基本保持平稳, 各月累计达 2242 个, 同比增加了 41% 近期各类媒体 ( 如新浪 ) 对网页篡改问题也进行了曝光, 从侧面表明日前国内对该问题的关注度年 4 月 Google 的数据表明 : 在过去 10 个月中,Google 通过对互联网上几十亿 URL 进行抓取分析, 发现有 300 多万个恶意 URL 其中, 中国的恶意站点占到了总数的 67% 7 Cisco 2008 Annual Security Report, 8 APWG Phishing Activity Trends Report - Q2/2008, 9 MITRE Vulnerability Type Distributions in CVE, 10 Symantec Internet Security Threat Report Trends for July December 07, 11 June 2008 Trend Micro Threat Roundup and Forecast 1H 2008, 12 SecureWorks, 13 ScanSafe September 2008 / 3Q08 Global Threat Report, 14 Web Site Attack Preventative Measures, 15 Sixth Quarterly Website Security Statistics Report, 16 Accunetix, 17 Web Application Security Consortium (WASC) Statistics Project 2007, All Your iframes Point to Us, Google Technical Report provos-2008a 2010 绿盟科技 - 3 -

8 三. 新兴 WEB 应用防火墙技术 WEB 应用安全问题本质上源于软件质量问题但 WEB 应用相较传统的软件, 具有其独特性 WEB 应用往往是某个机构所独有的应用, 对其存在的漏洞, 已知的通用漏洞签名缺乏有效性 ; 需要频繁地变更以满足业务目标, 从而使得很难维持有序的开发周期 ; 需要全面考虑客户端与服务端的复杂交互场景, 而往往很多开发者没有很好地理解业务流程 ; 人们通常认为 WEB 开发比较简单, 缺乏经验的开发者也可以胜任针对 WEB 应用安全, 理想情况下应该在软件开发生命周期遵循安全编码原则, 并在各阶段采取相应的安全措施然而, 多数网站的实际情况是 : 大量早期开发的 WEB 应用, 由于历史原因, 都存在不同程度的安全问题对于这些已上线正提供生产的 WEB 应用, 由于其定制化特点决定了没有通用补丁可用, 而整改代码因代价过大变得较难施行或者需要较长的整改周期针对上述现状, 专业的 WEB 安全防护工具是一种合理的选择传统的安全设备, 如防火墙 IPS, 作为整体安全策略中不可缺少的重要模块, 局限于自身的产品定位和防护深度, 不能有效地提供针对 WEB 应用攻击完善的防御能力针对 WEB 应用攻击, 必须采用专门的机制, 对其进行有效检测防护 WEB 应用防火墙 ( 以下简称 WAF) 正是这类专业工具, 提供了一种安全运维控制手段 : 基于对 HTTP/HTTPS 流量的双向分析, 为 WEB 应用提供实时的防护与传统防火墙 /IPS 设备相比较,WAF 最显著的技术差异性体现在 : 1. 对 HTTP 有本质的理解 : 能完整地解析 HTTP, 包括报文头部参数及载荷支持各种 HTTP 编码 ( 如 chunked encoding); 提供严格的 HTTP 协议验证 ; 提供 HTML 限制 ; 支持各类字符集编码 ; 具备 response 过滤能力 2. 提供应用层规则 :WEB 应用通常是定制化的, 传统的针对已知漏洞的规则往往不够有效 WAF 提供专用的应用层规则, 且具备检测变形攻击的能力, 如检测 SSL 加密流量中混杂的攻击 3. 提供正向安全模型 ( 白名单模型 ): 仅允许已知有效的输入通过, 为 WEB 应用提供了一个外部的输入验证机制, 安全性更为可靠 4. 提供会话防护机制 :HTTP 协议最大的弊端在于缺乏一个可靠的会话管理机制 WAF 为此进行有效补充, 防护基于会话的攻击类型, 如 cookie 篡改及会话劫持攻击并非对 WEB 服务器提供保护的盒子都是 WAF 在选择 WAF 产品时, 建议参考以下步骤 : 2010 绿盟科技 - 4 -

9 1. 结合业务需求明确安全策略目标, 从而定义清楚 WAF 产品必须具备的控制能力 2. 评估每一家厂商 WAF 产品可以覆盖的风险类型 3. 测试产品功能性能及可伸缩性 4. 评估厂商的技术支持能力 5. 评估内部维护团队是否具备维护管理 WAF 产品的必需技能 6. 权衡安全产出以及总成本成本不仅仅意味着购买安全产品 / 服务产生的直接支出, 还需要考虑是否影响组织的正常业务是否给维护人员带来较大的管理开销四. 绿盟 WEB 应用安全交付解决方案 4.1 概述绿盟 WEB 应用防火墙 ( 又称绿盟 WEB 应用防护系统, 以下简称 NSFOCUS WAF) 产品针对各类机构的 WEB 业务系统, 提供 WEB 安全和 WEB 应用交付融合的解决方案, 确保 WEB 业务在安全和性能两方面的收益最大化 : 1. 缓解 HTTP 及 HTTPS 应用下各类安全威胁, 如 SQL 注入 XSS 跨站伪造(CSRF) cookie 篡改以及应用层 DDoS 等, 有效应对网页篡改网页挂马敏感信息泄露等安全问题, 充分保障 WEB 应用的高可用性和可靠性 2. WEB 应用交付方面, 降低服务响应时间显著改善终端用户体验, 优化业务资源和提高应用系统敏捷性, 提高数据中心的效率和服务器的投资回报率 (ROI) 4.2 二维防护体系 NSFOCUS WAF 具有二维的防护体系 : 1. 纵向提供纵深防御 : 通过建立协议层次信息流向等纵向结构层次, 构筑多种有效防御措施 2. 横向 : 协助满足合规要求 ; 缓解各层安全威胁 ( 包括网络层 WEB 基础架构及 WEB 应用层 ); 降低服务响应时间显著改善终端用户体验, 优化业务资源和提高应用系统敏捷性 2010 绿盟科技 - 5 -

10 图 4.1 NSFOCUS WAF 二维防护体系 4.3 双向在线清洗 NSFOCUS WAF 支持完全反向代理方式, 作为 WEB 客户端和服务器端的中间人, 避免 WEB 服务器直接暴露于互联网上, 监控 HTTP/HTTPS 双向流量, 对其中的恶意内容进行在线清洗 2010 绿盟科技 - 6 -

11 图 4.2 NSFOCUS WAF 双向内容清洗 OWASP Top 10 区别于传统 IPS 设备基于静态规则的防护机制,NSFOCUS WAF 有效结合了静态规则与基于用户行为识别的动态防御机制, 应对 OWASP Top10 中的 WEB 应用安全问题 21, 对恶意应用流量进行双向清洗, 保护网站免于以下攻击 / 损失 : 21 关于防护细节, 参见技术白皮书绿盟 WAF 解读 OWASP Top 绿盟科技 - 7 -

12 攻击 / 损失 OWASP 十大漏洞网络钓鱼隐私侵犯身份窃取经济损失名誉损失 A1, A4, A7, A10 A2, A4, A6, A7, A10 A3, A4, A7, A8, A9, A10 A4, A5, A7, A10 A1 A 智能应用层 DDoS 攻击防护 NSFOCUS WAF 应用了自主研发的抗拒绝服务攻击算法, 可防护各类带宽及资源耗尽型拒绝服务攻击, 如对 SYN Flood 这种常见攻击行为能够有效识别, 并实时对攻击流量进行阻断, 确保了 WEB 业务的可用性及连续性基于动态防护机制,NSFOCUS WAF 可有效识别用户行为模式, 对 HTTP Flood 攻击进行实时检测防护绿盟安全研究中心安全攻防是一个动态过程, 安全产品面对的是充满智慧的对手绿盟科技拥有专门的安全研究机构, 能够及时跟踪发现互联网上新出现的 WEB 应用攻击类型, 并将研究成果具体应用于 NSFOCUS WAF 产品规则库和防护算法的更新, 帮助客户对抗最新攻击 4.4 人性化 O&M 系统 NSFOCUS WAF 从设计之初, 就充分考虑了网站安全运维人员对安全工具低管理开销运维价值显性化的需求, 提供了丰富的监控功能以及多维度多粒度的统计报表, 充分确保安全运维工作的有效 ( 有效果和有效率的 ) NSFOCUS WAF 提供安全事件访问情况设备负载以及安全缓存监控, 满足传统网络管理需求, 协助安全运维人员了解当前或历史的网站运行情况以及安全状态, 确保紧急情况下对安全事件能迅速定位 2010 绿盟科技 - 8 -

13 图 4.3 NSFOCUS WAF 系统监控 NSFOCUS WAF 提供了多维度 / 多粒度的统计报表, 包括基于告警分类 / 时段 / 区域统计的安全报表基于访问时段 / 区域 / 业务类型的访问统计报表流量趋势报表以及各类安全防护日志 ( 网络层访问控制 /URL ACL/DDoS 防护日志 /WEB 安全日志 /ARP 防护日志 /WEB 访问日志 ) 2010 绿盟科技 - 9 -

SQL 注入 XSS 等 ) 事后, 自动监控网站所有需保护页面的完整性, 检测到网页被篡改,

14 图 4.4 NSFOCUS WAF 安全报表 4.5 典型应用网页篡改在线防护按照网页篡改事件发生的时序,NSFOCUS WAF 提供事中防护以及事后补偿的在线防护解决方案事中, 实时过滤 HTTP 请求中混杂的网页篡改攻击流量 ( 如 SQL 注入 XSS 等 ) 事后, 自动监控网站所有需保护页面的完整性, 检测到网页被篡改, 第一时间对管理员进行短信告警, 对外仍显示篡改前的正常页面, 用户可正常访问网站网页挂马在线防护网页挂马为一种相对比较隐蔽的网页篡改方式, 本质上这种方式也破坏了网页的完整性网页挂马攻击目标为各类网站的最终用户, 网站作为传播网页木马的傀儡帮凶, 严重影响网站的公信度 2010 绿盟科技

15 当用户请求访问某一个页面时,NSFOCUS WAF 会对服务器侧响应的网页内容进行在线检测, 判断是否被植入恶意代码, 并对恶意代码进行自动过滤敏感信息泄漏防护 NSFOCUS WAF 可以识别并更正 WEB 应用错误的业务流程, 识别并防护敏感数据泄漏, 满足合规与审计要求, 具体如下 : 1. 可自定义非法敏感关键字, 对其进行自动过滤, 防止非法内容发布为公众浏览 2. WEB 站点可能包含一些不在正常网站数据目录树内的 URL 链接, 比如一些网站拥有者不想被公开访问的目录网站的 WEB 管理界面入口及以前曾经公开过但后来被隐藏的链接 WAF 提供细粒度的 URL ACL, 防止对这些链接的非授权访问 3. 网站隐身 : 过滤服务器侧出错信息, 如错误类型出现错误脚本的绝对路径网页主目录的绝对路径出现错误的 SQL 语句及参数软件的版本系统的配置信息等, 避免这些敏感信息为攻击者利用提升入侵的概率 4. 对数据泄密具备监管能力能过滤服务器侧响应内容中含有的敏感信息, 如身份证号信用卡号等合规如前文所述, 多数网站面临的实际情况为 : 大量早期开发的 WEB 应用, 由于历史原因, 都存在不同程度的安全问题对于这些已上线正提供生产的 WEB 应用, 由于其定制化特点决定了没有通用补丁可用, 而整改代码因代价过大变得较难施行或者需要较长的整改周期多数关系国计民生的重要网站, 同时还面临监管机构的合规要求 NSFOCUS WAF 提供的 WEB 应用安全解决方案切实可行, 在客户修补补丁或整改代码较为困难时, 提供虚拟补丁功能, 应对各类 WEB 应用安全挑战, 协助客户满足安全合规要求 2010 绿盟科技

16 五. 结论随着 WEB 应用的丰富, 各类攻击工具不断的普遍和强大, 互联网上的安全隐患越来越多随着客户核心业务系统对网络依赖程度的增加,WEB 应用攻击事件数量将会持续增长, 损失严重程度也会剧增因此, 政府企业等各类组织都必须有所对策以保护其投资利润和核心业务为了弥补目前安全设备, 如防火墙 /IPS 对 WEB 应用攻击防护能力的不足, 我们需要一种新的安全工具用于保护重要信息系统不受 WEB 应用攻击的影响这种工具不仅仅能够检测目前复杂的 WEB 应用攻击, 而且必须在不影响正常业务流量的前提下对攻击流量进行实时阻断这类工具相对于目前常见的安全产品, 必须具备更细粒度的攻击检测和分析机制 NSFOCUS WAF 提供了业界领先的 WEB 应用攻击防护能力, 保证 WEB 应用的连续性和高可用性同时, 针对当前的热点问题, 如 SQL 注入攻击网页篡改网页挂马敏感信息泄漏等,NSFOCUS WAF 提供最佳安全 - 成本平衡点, 有效降低安全风险 2010 绿盟科技

17 附录 A 攻击分析一个恶意的攻击者必须具备 MOM 22 三要素, 即攻击手段 (Method) 时机 (Opportunity) 以及攻击动机 (Motive) 理论上, 能够成功遏制其中某一个要素, 攻击就不会发生控制攻击时机或者影响攻击者的动机, 通常非常困难从安全防护的角度来说, 人们应该考虑如何遏制攻击手段, 尽管这也不是一件容易的事情为了更好地了解当前 WEB 应用面临的安全挑战, 以下将对攻击三要素进行简单分析 A.1 攻击手段安全威胁的技术根源在于安全漏洞的存在安全漏洞可能是 TCP/IP 协议设计之初未考虑安全因素系统以及 WEB 应用程序自身的缺陷, 也可能是配置错误导致 Symantec 全球互联网安全威胁 2008 年下半年趋势分析报告显示,2008 年监测到的所有漏洞中,WEB 应用漏洞占 63%, 相较 2007 年的 53% 呈上升趋势下文将简要介绍 SQL 注入 XSS 及 CSRF 这三类 WEB 应用安全漏洞 SQL 注入 XSS 以及 CSRF 同为 OWASP Top 10 中的安全漏洞相对来说,SQL 注入及 XSS 更广为人知, 而人们对 CSRF 关注较少实际上,CSRF 也是一类被广为利用的 WEB 应用安全漏洞 2007 年年底,Gmail 被曝存在一个 CSRF 漏洞 23 当某 Gmail 用户访问一个恶意站点时, 该恶意站点将向 Gmail 发出 HTTP 请求, 而 Gmail 将此请求处理为自己与该用户之间正进行的会话的一部分 2007 年 11 月, 某 WEB 攻击者利用此漏洞, 将一个过滤器注入到 David Airey 的 Gmail 账户中 24 过滤器将 David Airey 的所有邮件均转发给了攻击者, 攻击者从中获取到很多敏感信息 A.1.1 SQL 注入 SQL 注入的成因在于对用户提交 CGI 参数数据未做充分检查过滤, 用户提交的数据可能会被用来构造访问后台数据库的 SQL 指令如果这些数据过滤不严格就有可能被插入恶意的 22 Charles P. Pfleeger, and Shari Lawrence Pfleeger, Security in Computing, Prentice Hall, the 3rd edition, 2003, pp Petko D. Petkov. Google Gmail hijack technique, September David Airey. Google s Gmail security failure leaves my business sabotaged, December davidairey.co.uk/google-gmail-security-hijack/ 绿盟科技

18 SQL 代码, 从而非授权操作后台的数据库, 导致敏感信息泄露破坏数据库内容和结构甚至利用数据库本身的扩展功能控制服务器操作系统利用 SQL 注入漏洞可以构成对 WEB 服务器的直接攻击, 还可能用于网页挂马 A.1.2 跨站脚本 XSS 这类漏洞是由于动态网页的 WEB 应用对用户提交请求参数未做充分的检查过滤, 允许用户在提交的数据中掺入 HTML 代码 ( 最主要的是 > < ), 然后未加编码地输出到第三方用户的浏览器, 这些攻击者恶意提交代码会被受害用户的浏览器解释执行攻击者可以利用 XSS 漏洞借助存在漏洞的 WEB 网站转发攻击其他浏览相关网页的用户, 窃取用户浏览会话中诸如用户名和口令 ( 可能包含在 Cookie 里 ) 的敏感信息通过插入挂马代码对用户执行挂马攻击 XSS 漏洞的特点在于对存在漏洞的网站本身并不构成威胁, 但会使网站成为攻击者攻击第三方的媒介 A.1.3 CSRF CSRF 即跨站请求伪造, 从成因上与 XSS 漏洞完全相同, 不同之处在于利用的层次上, CSRF 是对 XSS 漏洞更高级的利用, 利用的核心在于通过 XSS 漏洞在用户浏览器上执行功能相对复杂的 JavaScript 脚本代码劫持用户浏览器访问存在 XSS 漏洞网站的会话, 攻击者可以与运行于用户浏览器中的脚本代码交互, 使攻击者以受攻击浏览器用户的权限执行恶意操作比如一个论坛应用存在 XSS 漏洞, 攻击者在论坛发言中设置恶意代码, 论坛管理员访问恶意发言以后他的当前访问论坛的会话受到劫持, 攻击者可以利用当前管理员高权限的会话执行一些普通用户无法完成的管理功能, 比如把某个用户加到管理员组利用论坛的备份功能获得 WebShell 等等 A.2 攻击时机目前, 我们正逐渐感知来自终端业务的融合, 应用服务提供商 (ASP) 与网络服务提供商 (NSP 的融合, 以及传统电信网与 IP 网的融合融合带来了新的商业模式和业务增长点, 用户可以随时随地访问互联网 WEB 应用发展至今, 除了面向公众提供丰富开放的服务, 也被广泛用于企业内部, 发挥关键的商业职能新应用带来了新的安全漏洞, 承载在新兴应用和技术的攻击也不断出现最为关键的是, 各类攻击软件的泛滥降低了技术门槛如 SQL 注入自动化攻击引擎实现了目标锁定发现注点及注入攻击全过程自动化, 尤其是自动完成发现注点这一关键步骤, 极大便利攻击者为其提升攻击成功率 2010 绿盟科技

19 A.3 攻击动机 WEB 应用攻击者的动机主要分为三类一类是为达到炫耀和泄愤的目的, 如对政府和重要组织进行网页篡改第二类是受经济利益驱使 WEB 应用的多元化及经济价值所在, 使得攻击者的驱动力从单纯的爱好转为经济利益驱使往往攻击者可以通过对一个合法站点进行入侵, 使其成为分发恶意代码的平台, 可能危害成千上万的最终用户, 最终获取高额的经济回报最后一类出于政治目的 2007 年 4 月到 5 月间, 爱沙尼亚的银行政府部门网站遭遇长达数周有组织的 DDoS 攻击期间, 政府网站被大肆篡改, 上面充斥反爱沙尼亚口号近期美国军方正筹建网络司令部, 应对未来的网络战, 可以看出国家级别的重视程度 2010 绿盟科技

冰之眼WEB应用防火墙产品白皮书

冰之眼WEB应用防火墙产品白皮书 2008 绿盟科技版权声明本文中出现的任何文字叙述文档格式插图照片方法过程等内容, 除另有特别注明, 版权均属绿盟科技所有, 并受到有关产权及版权法保护任何个人机构未经绿盟科技的书面授权许可, 不得以任何方式复制或引用本文的任何片断商标信息绿盟科技 NSFOCUS 冰之眼是绿盟科技的商标目录一. 前言... 1 二. 互联网网站面临挑战... 1 2.1 攻击分析... 2