Web Application Firewall (WAF)ဆိုတာ
user တစ်ယောက်က website တစ်ခုကို web broswer ( firefox တို ...google chrome တို့ ကနေ)ခေါ် ကြည့်တဲ့အခါ....web service request လုပ်တယ်ပေါ့...အဲဒီ request ကိုသူ့ရဲ့ web server က process လုပ်ပြီး reply လုပ်ပါတယ်... user က firefox တို့ ...chrome တို့ မှာ...www.google.com လို့ ရိုက်လိုက် တဲ့အခါ...အဲဒီ google request သည် internet ပေါ်ကနေအဆင့်ဆင့်ဖြတ်ပြီးတော့ google server ဆီကို သွားပါတယ်...
google server ကနေအဲဒီ user request အတွက်သူ့ရဲ့ web page ကို reply လုပ်ပေးလိုက်တဲ့အတွက် ကျွန်တော်တို့က google web page ကြီးကို user ရဲ့ firefox (သို့ ) google chrome မှာမြင်တွေ့ နေရ တာဖြစ်ပါတယ်....( တစ်ချို့ network တွေမှာတော့ အဲဒီလို web traffic request/reply ကိုပိုမြန်ဆန် အောင် Web Caching Server လိုမျိုးထားတတ်ကြပါသေးတယ်...ဒါကဗဟုသုတအနေနဲ့ ပြောတာပါ)
 |
| WAF deny for such malicious attack |
ဒါကပုံမှန် web traffic flow ပါ...နောက်ပိုင်းနည်းပညာတွေတိုးတက်လာတဲ့အခါကျတော့..cyber criminal တွေကသူ့တို့ စက်တွေထဲကနေ malicious code တွေ....DDOS packets တွေ....အခြားသောနည်းလမ်း တွေနဲ့ web server တွေကို attack လုပ်တာမျိုးတွေလုပ်တဲ့အတွက် web server တွေဟာ secure ဖြစ်ဖို့ အရေးကြီးလာပါတယ်....
တကယ်လို့ user ဘက်ကလာတဲ့ web traffic သည်ရိုးရိုး web traffic လား....နည်းလမ်းတစ်ခုခုနဲ့ server ကို attack လုပ်ဖို့ လား....ဒါတွေကိုစစ်ဆေးဖို့ အတွက် web server ဘက်မှာ Application firewall တစ်ခုထည့်လိုက်ပါတယ်.....ဘာဖြစ်လို့ application layer အထိစစ်ဆေးတဲ့ firewall ကိုလိုတာ လဲဆိုတော့.user ဘက်ကလာတဲ့ traffic ကို OSI 7-layers လို့ ပဲခေါ်ခေါ်-- TCP DoD -layers လို့ပဲခေါ် ခေါ်အကုန်လုံးကိုစစ်ပြီးမှ web server ဆီကို access လုပ်ခွင့်ပေးမယ်.....
တကယ်လို့ Web Application firewall က session လာချိတ်တဲ့ web traffic သည် malicious packet တစ်ခုခုဖြစ်ပြီး dangerous ဆိုရင်တော့ firewall က drop လုပ်လိုက်ပြီ....ဒီတော့ကျွန်တော်တို့ server အန္တရယ်ကင်းသွားပြီပေါ့...ဒါက web application ရဲ့ အလုပ်လုပ်တဲ့ပုံစံပါပဲ...ကဲ..ကျွန်တော့်ရဲ့ web server ကိုလာတဲ့ attack ကို ကျွန်တော့်ရဲ့ WAF က မသင်္ကာစရာ web traffic ကို deny လုပ်ထားတာ
ကျွန်တော့်ရဲ့ WAF က OWASP လို့ခေါ်တဲ့ Open Web Application Security Project ရဲ့ vulnerable signature file ကိုအသုံးပြုပါတယ်...အဲဒီ signature file တွေစုထားတဲ့ database ကို Core Rule Set (CRS) Engine လို့ ခေါ်ပါတယ်...ကျွန်တော်ရဲ့ WAF က အဲဒီ CRS Engine ကြီးနဲ့ run ပါတယ်......အဲဒီ CRS Engine က default behavior က detection only ပါ...ကျွန်တော်တို့ က engine ရဲ ့default behavior ကို WAF အဖြစ် enable လုပ်မှသာ WAF အဖြစ် operate လုပ်မှာပါ
ကဲ..ဒါကတော့ Web Infrastructure ပိုင်းကို security ထားတာပါ...တကယ်လို့ DDOS လိုမျိုး network based attack ဆိုရင်ရော....ဒါဆိုရင်ကျွန်တော့်ရဲ့ zabbix ကနေ ddos malicious packet လွှတ်ပြီး attack လုပ်ပါတယ်...
ခုလောလောဆယ်တော့ attack လုပ်တဲ့ traffic တွေအကုန်လုံး server ဘက်က forbidden လုပ်လိုက် တယ်...ကျွန်တော့်ရဲ့ Web Serverဘက်ကိုသွားကြည့်ဦးမှ....ဘာတွေဘယ်လိုတွေဖြစ်ကုန်ပြီလဲ...
ကဲ...လာတဲ့ malicious packet တွေ ( DDOS packet) တွေအကုန်လုံးကို deny လုပ်လိုက်ပါတယ်...... attack လုပ်တဲ့ zabbix PC ရဲ့ IP ( 192.168.58.171) ကိုလည်းတွေ့ သလို ...သူ attack လုပ်တဲ့အချိန် ကိုလည်း Log file ရဲ့ ရှေ့ဆုံးမှာတွေ့ရပါတယ်....ဒါက local ထဲမှာပဲ security measure လုပ်လို့ ဒါကို တွေ့ ရတာပါ...တကယ်လို့ အဲဒီ malicious user က external network ( Internet ) ကလာတဲ့ဟာဆို ရင် attack လုပ်တဲ့ အချိန်...IP နဲ့..attack parameters တွေကို web server ရဲ့ WAF မှာရှိတယ်...
ဒါက ကျွန်တော့်ရဲ့ local network မှာ pre-deploy လုပ်ထားတာကိုပြတာပါ....တကယ်တမ်းမှာတော့ WAF ကို third-party အနေနဲ ့ဝန်ဆောင်မှုပေးတဲ့ vendor တွေရှိပါတယ်...charges ယူပြီးကျွန်တော်တို့ ကို service ပေးပါတယ်....CloudFlare ကိုကြားဖူးကြမှာပါ...ClouldFlare သည် third-pary WAF ပါပဲ
cloudflare ကအခကြေးငွေယူပြီး သင့်ရဲ့ website နဲ့ data တွေကိိုအကောင်းဆုံး protect လုပ်ပေးပါ တယ်...တကယ်လို ့သင်က cloudflare ကိုသုံးမယ်ဆိုရင် user တွေ request လုပ်သမျှ web traffic တွေအကုန်လုံးဟာ cloudflare ကိုအရင်ဆုံးဖြတ်ပါမယ်....secure ဖြစ်တော့မှအထဲက web service တွေကို access လုပ်ခွင့်ပေးမှာပါ....
တကယ်လို့ သင်က third-party WAF service တွေကို trust မဖြစ်ဘူးဆိုလည်း..ကိုယ်ကိုတိုင် WAF တွေ တည်ဆောက်ပြီးအသုံးပြုနိုင်ပါတယ်....ကျွန်တော်လေ့လာပြီးစမ်းသပ်ထားသမျှကို ပြန်လည် မျှဝေပေးခြင်း ဖြစ်ပါတယ်....အသေးစိတ်သိချင်တယ်ဆိုရင်တော့ email ကနေတဆင့်ဆက်သွယ်နိုင်ပါတယ်...
အားလုံးပဲပညာဗဟုသုတကြွယ်ဝတိုးတက်ကြပါစေ...
လေးစားစွာဖြင့်
Phyo Sithu
B.Sc ( Physics)
Diploma in IT
CEH - EC-Council
No comments:
Post a Comment