Citrix The Web App Firewall wizard - WAF

1. WAF là gì?

Tường lửa ứng dụng web WAF (Web Application Firewall) được thiết kế để kiểm soát truy cập từ một mạng không tin cậy đến mạng tin cậy và ngược lại. Mọi luồng dữ liệu đi qua tường lửa được kiểm soát theo chính sách bảo mật định sẵn.

Trong những năm gần đây, xu hướng tấn công vào ứng dụng web đang ngày càng trở nên phổ biến. Các kỹ thuật tấn công được sử dụng chủ yếu là cross-site scripting, SQL injection, và nhiều các kỹ thuật khác… tất cả các kỹ thuật này đều nhắm vào lớp ứng dụng theo mô hình OSI. Các lỗ hổng trong ứng dụng web chủ yếu xảy ra do người lập trình không kiểm tra kỹ các tham số hay ký tự do người dùng nhập vào để "tương tác" với ứng dụng web. Để khắc phục các lỗi trên ứng dụng web, người lập trình cần hiểu và viết được các đoạn mã ở mức độ bảo mật nhất, tuy nhiên việc viết đoạn mã sao cho “bảo mật” nhất thường khó thực hiện, bởi các lý do sau:
- Thứ nhất, các đơn vị lập trình thường không có hoặc thiếu đội ngũ chuyên trách về việc kiểm tra và sửa lỗi bảo mật mã nguồn ứng dụng.
- Thứ hai, đôi khi áp lực phải hoàn thành ứng dụng web trong thời gian nhanh khiến cho các ứng dụng web được đưa vào vận hành mà không qua các khâu kiểm thử.
- Thứ ba, việc dùng các công cụ kiểm tra lỗi web tự động đôi khi cũng không tìm ra hết các lỗi khi được thực hiện bằng tay.
Do vậy, việc bảo mật một ứng dụng web đó là một quá trình phòng thủ theo chiều sâu bao gồm các khâu phát triển, vận hành, xây dựng cơ sở hạ tầng bảo vệ tốt và có một đội ngủ chuyên trách vấn đề bảo mật riêng cho web.

Tường lửa ứng dụng web (Web Application Firewall – WAF) là một giải pháp nhằm bảo vệ cho ứng dụng web tránh khỏi các lỗi bảo mật nói trên. WAF là một thiết bị phần cứng hoặc phần mềm được cài lên máy chủ có chức năng theo dõi các thông tin được truyền qua giao thức http/https giữa trình duyệt của người dùng và máy chủ web tại lớp ứng dụng. WAF có khả năng thực thi các chính sách bảo mật dựa trên các dấu hiệu tấn công, các giao thức tiêu chuẩn và các lưu lượng truy cập ứng dụng web bất thường. Đây là điều mà các tường lửa mạng khác không làm được.


Khi bạn cài đặt Tường lửa ứng dụng Web trên thiết bị Citrix, bạn tạo cấu hình bảo mật ban đầu, bao gồm policy, profile, signature.
- Policy này là một quy tắc xác định lưu lượng sẽ được lọc và quyết định xử lý.
- Profile xác định các mẫu và loại hành vi sẽ cho phép hoặc chặn khi lưu lượng được lọc.
- Các mẫu được gọi là signature, không được chỉ định trong profile, nhưng trong một đối tượng được liên kết với profile.

Signatures là một chuỗi hoặc mẫu phù hợp với loại tấn công đã biết. WAF chứa hơn một nghìn Signature, mỗi loại hướng vào các cuộc tấn công vào các loại máy chủ web và nội dung web cụ thể. Citrix luôn cập nhật danh sách với signature mới khi các mối đe dọa mới được xác định. Trong quá trình cấu hình, bạn chỉ định danh mục signature phù hợp với máy chủ web và nội dung mà bạn cần bảo vệ. Chữ ký cung cấp bảo vệ cơ bản tốt với chi phí xử lý thấp.

Các biện pháp bảo vệ nâng cao hơn được gọi là security check. Kiểm tra bảo mật là kiểm tra chặt chẽ hơn, theo thuật toán về yêu cầu đối với các kiểu hoặc loại hành vi cụ thể có thể chỉ ra một cuộc tấn công hoặc cấu thành mối đe dọa đối với các trang web và dịch vụ web được bảo vệ của bạn.


Khi người dùng yêu cầu URL trên một trang web được bảo vệ, WAF trước tiên sẽ kiểm tra yêu cầu để đảm bảo rằng nó không khớp với signature. Nếu yêu cầu khớp với signature, WAF sẽ hiển thị đối tượng lỗi hoặc chuyển tiếp đến URL lỗi được chỉ định. Signature không yêu cầu nhiều tài nguyên như security check.

Nếu một yêu cầu vượt qua kiểm tra signature, WAF sẽ áp dụng security check nếu nó được enable. Security check yêu cầu xác minh rằng request phù hợp với trang web hoặc dịch vụ web của bạn và không chứa tài liệu có thể gây ra mối đe dọa. Nếu yêu cầu không vượt qua security check, WAF sẽ clear request và sau đó gửi lại cho thiết bị Citrix ADC (hoặc thiết bị ảo Citrix ADC) hoặc hiển thị đối tượng lỗi. Nếu yêu cầu vượt qua security check, nó sẽ được gửi lại cho thiết bị Citrix ADC, và chuyển tiếp yêu cầu đến máy chủ web được bảo vệ.

Khi trang web hoặc dịch vụ web gửi response cho người dùng, WAF sẽ áp dụng kiểm tra bảo mật responde nếu được bật. Responder kiểm tra phản hồi về rò rỉ thông tin cá nhân nhạy cảm, dấu hiệu của sự sai lệch trang web hoặc nội dung khác không nên có. Nếu phản hồi không kiểm tra bảo mật, WAF sẽ xóa nội dung không nên có hoặc chặn phản hồi. Nếu phản hồi vượt qua kiểm tra bảo mật, nó sẽ được gửi lại cho thiết bị Citrix ADC, chuyển tiếp nó tới người dùng.

2. Cấu hình WAF trên Citrix
2.1 Bật tính năng Application Firewall

Để bật tính năng Aplication Firewall ta vào
Configuration>System > Setting > Configure Basic Features

Click chọn Aplication Firewall sau đó nhấn OK




2.2 Cấu hình Application Firewall

Chọn Configuration > Security > Application Firewall > Application Firewall Wizard

Click chọn Create New Configuration

• Name: tên tùy chọn
• Profile Type: chọn Web Aplication (HTML)

Next để sang bước kế tiếp

• Specify Rule ta để mặc định với Expression là true – toàn bộ lưu lượng.

Next để tiếp tục



Select Signature

• Click chọn Create New Signature
• Chọn Simple -> mode đơn giản
• Chọn Advanced -> mode nâng cao

Default thì Signature được disable nên để áp dụng vào WAF ta cần phải enable và bật phần block các phần phù hợp để bảo vệ máy chủ Web.



Để có thể bảo vệ Web tốt hơn thì hãng Citrix luôn cập nhật Signature mới, với những version mới các lỗ hỗng ngày càng được phát hiện đầy đủ hơn, phòng chống tốt hơn khi bị tấn công.
Mẫu này chứa danh sách cấu hình sẵn của hơn 1.300 chữ ký, ngoài danh sách đầy đủ các từ khóa SQL, chuỗi đặc biệt SQL, quy tắc biến đổi SQL và ký tự đại diện SQL. Nó cũng chứa các mẫu bị từ chối cho XSS, và các thuộc tính và thẻ được phép cho XSS
Signature WAF được lấy từ các quy tắc do Snort công bố, đây là một hệ thống ngăn chặn xâm nhập nguồn mở có khả năng thực hiện phân tích lưu lượng thời gian thực để phát hiện nhiều loại tấn công và thăm dò. https://www.snort.org/
Với bộ Signature này ta có thể phòng chống đa dạng các loại tấn công phổ biến hiện nay, từ đó tối ưu hóa việc bảo mật cho hệ thống máy chủ Web của doanh nghiệp.




Default thì WAF sẽ không block khi các cuộc tấn công nhằm vào Web diễn ra, nó chỉ thu lại Log về các cuộc tấn công.



Để xem lại Policy vừa tạo ta vào Security > Application Firewall > Policies > Application Firewall Policies

Khi 1 cuộc tấn công vượt qua kiểm tra Signature thì nó sẽ được kiểm tra lần 2 bằng Security check nếu được bật.
Phần Security check này đảm bảo cho hệ thống được an toàn hơn. Kiểm tra request lần nữa để ra soát các cuộc tấn công. Từ đó đưa ra phương án xử lí là block các request đó.

Tiến hành chọn block các lỗ hổng bảo mật cần thiết để bảo vệ Web app khi các cuộc tấn công vượt qua kiểm tra signature.
Vào Security > Application Firewall > Profiles. Chọn vào Profile cần edit



Tiếp theo chọn Security Checks

• Chọn Block các lỗ hổng để bảo vệ Web Service
• Chọn Log để tiến hành lấy Log khi có request vi phạm bảo mật.
• Chọn Stats để tiến hành hiển thị thông tin trên giao diện monitor.
• Chọn Learn để tiến hành học request vi phạm lỗi và lưu lại vào Learned Rule.