PORADNIKI

7 min. czytania

WAF (Web Application Firewall): ochrona aplikacji i stron internetowych

Bezpieczny serwer

Fot. Freepik

Co to jest WAF (Web Application Firewall)? Jak działa ochrona aplikacji i stron internetowych? Przed czym chroni? Jak uruchomić WAF?

Spis tre┼Ťci
Serwer

Ka┼╝dy administrator strony internetowej powinien by─ç zaznajomiony z tematem bezpiecze┼ästwa lub zleci─ç takie dzia┼éania firmom czy osobom, kt├│re si─Ö na tym znaj─ů. Chodzi o to, by zapewni─ç stronie jak najlepsz─ů ochron─Ö przed r├│┼╝nego rodzaju atakami.

Czy Twoja strona, nawet je┼╝eli jest to ma┼éy blog, mo┼╝e sta─ç si─Ö celem haker├│w? Teoretycznie ka┼╝da strona nara┼╝ona jest na ataki hakerskie. Wed┼éug badania firmy Positive Technologies z 2019 roku, w┼éamywacze byli w stanie skutecznie zaatakowa─ç 9 na 10 aplikacji internetowych, w 39% z nich uzyskuj─ůc nieautoryzowany dost─Öp, a w 16% pe┼én─ů kontrol─Ö. 

Jakie mo┼╝e mie─ç to konsekwencje? Przede wszystkim problemy z dost─Öpno┼Ťci─ů Twojej strony. Mo┼╝e ona po prostu przesta─ç dzia┼éa─ç, a Ty ju┼╝ sam wiesz najlepiej, jakie to niesie dla Ciebie skutki (np. w sklepie internetowym b─Ödzie to brak sprzeda┼╝y).

Wa┼╝na s─ů r├│wnie┼╝ dane:

  • te, kt├│re Ty stworzy┼ée┼Ť, np. Twoje artyku┼éy na blogu czy baza produkt├│w w sklepie internetowym. Ich przywr├│cenie mo┼╝e by─ç mo┼╝liwe, je┼Ťli wybierzesz hosting, kt├│ry wykonuje kopie zapasowe. Je┼Ťli cz─Östo aktualizujesz dane na swojej stronie, zwr├│─ç uwag─Ö na cz─Östotliwo┼Ť─ç backupu u dostawc├│w hostingowych (niekt├│rzy operatorzy robi─ů kopie nawet kilka razy na dob─Ö).
  • te, kt├│re zwi─ůzane s─ů z funkcjonowaniem strony, np. baza klient├│w w sklepie, dane pacjent├│w w systemie rejestracji online, itp. Ty odpowiadasz za to, ┼╝eby nie trafi┼éy w niepowo┼éane r─Öce. Powiniene┼Ť by─ç og├│lnie zaznajomiony z rozporz─ůdzeniem RODO i karami pieni─Ö┼╝nymi za nieodpowiedni─ů administracj─Ö danych. Przypomn─Ö tylko kar─Ö ponad 2,8 mln z┼é, jaka zosta┼éa na┼éo┼╝ona na sklep internetowy Morele.net za niewystarczaj─ůce zabezpieczenie danych oko┼éo 2 mln 200 tys. klient├│w.

W skr├│cie: ataki cyberprzestepc├│w mog─ů wywo┼éa─ç powa┼╝ne straty finansowe. Warto si─Ögn─ů─ç po gar┼Ť─ç statystyk z raportu HISCOX ÔÇô dowiesz si─Ö m.in, ┼╝e mediana koszt├│w (lub inaczej m├│wi─ůc mediana straty finansowej) ataku cybernetycznego wynosi 57 000 dolar├│w(!).

Dlatego zdecydowanie warto wybrać bezpieczny hosting stron WWW, który oprócz tego, że będzie zgodny z RODO, zapewni też odpowiednie zabepzieczenia dla umieszczonych na nim stron interneotwych. Jednym z takich zabezpieczeń jest WAF.

Czy WAF zapewni Twojej stronie 100-procentowe bezpiecze┼ästwo? NIE. ┼╗adna ochrona nie zapewni 100% bezpiecze┼ästwa. Niemniej jednak technologia WAF to popularna ochrona aplikacji internetowych (np. stron, blog├│w, sklep├│w), kt├│ra zmniejsza prawdopodobie┼ästwo skutecznego ich zaatakowania i warto wybra─ç hosting, kt├│ry ma j─ů wdro┼╝on─ů.

Co to jest WAF?

WAF (Web Application Firewall) to system pomagaj─ůcy chroni─ç aplikacje internetowe (czyli np. blogi, sklepy online, firmowe strony), monitoruj─ůc ruch, jaki dociera do strony internetowej i blokuj─ůc niepo┼╝─ůdane dzia┼éania. Jest to pewnego rodzaju tarcza, kt├│ra ma odfiltrowa─ç z┼éo┼Ťliwy ruch za pomoc─ů okre┼Ťlonych regu┼é

Ruch to przede wszystkim u┼╝ytkownicy, kt├│rzy docieraj─ů do Twojej strony. Najcz─Ö┼Ťciej s─ů to normalni internauci, kt├│rzy chc─ů po prostu obejrze─ç zawarto┼Ť─ç strony. 

Zdarzaj─ů si─Ö jednak cyberprzest─Öpcy lub specjalne aplikacje, kt├│re wyszukuj─ů luki w zabezpieczeniach lub pr├│buj─ů doda─ç z┼éo┼Ťliwy kod do Twojej strony. Web Application Firewall analizuje ten ruch i wychwytuje wszelkie podejrzane dzia┼éania, blokuj─ůc tym u┼╝ytkownikom czy botom dost─Öp do strony.

WAF (Web Application Firewall) - ilustracja działania
WAF (Web Application Firewall) ÔÇô ilustracja dzia┼éania

WAF działa w oparciu o listy:

  • bia┼éa lista: przepuszczany jest ruch, kt├│ry spe┼énia okre┼Ťlone kryteria i regu┼éy
  • czarna lista: blokowany jest ruch, kt├│ry mo┼╝e ┼Ťwiadczy─ç o przeprowadzeniu ataku

Por├│wnaj te listy do sytuacji, kt├│re mog─ů wydarzy─ç si─Ö w ÔÇťrealuÔÇŁ:

Wyobra┼║ sobie spektakl w teatrze, na kt├│ry mog─ů wej┼Ť─ç tylko zaproszeni go┼Ťcie. Ochroniarz przed wej┼Ťciem sprawdza, czy dana osoba znajduje si─Ö na li┼Ťcie. Je┼╝eli nie, nie ma prawa wej┼Ť─ç. To przyk┼éad bia┼éej listy.

S┼éysza┼ée┼Ť o zakazach stadionowych? To co┼Ť w rodzaju czarnej listy. Je┼╝eli jaki┼Ť kibic wszcz─ů┼é kiedy┼Ť awantur─Ö na stadionie, m├│g┼é zosta─ç wpisany na czarn─ů list─Ö. Przed wej┼Ťciem na stadion ka┼╝dy mo┼╝e zosta─ç poproszony o okazanie dowodu osobistego. Ochroniarz nie wpu┼Ťci osoby, kt├│ra znajduje si─Ö na czarnej li┼Ťcie ÔÇô ma zakaz wej┼Ťcia na stadion.

Ka┼╝dy z tych modeli dzia┼éania ma swoje wady i zalety. Cz─Östo stosowany jest model hybrydowy, czyli po┼é─ůczenie dw├│ch powy┼╝szych list. 

Jak to mo┼╝e wygl─ůda─ç w praktyce?

  • sprawdzenie, czy adres znajduje si─Ö na czarnej li┼Ťcie (je┼Ťli tak, ruch jest blokowany). Czarna lista adres├│w IP jest aktualizowana, je┼Ťli w przesz┼éo┼Ťci dosz┼éo do jakiego┼Ť ataku z konkretnego IP, jest on ju┼╝ zablokowany (znajduje si─Ö na czarnej li┼Ťcie).
  • analiza, czy ┼╝─ůdanie dost─Öpu do strony nie narusza regu┼é i nie wygl─ůda na podejrzane. Brane s─ů pod uwag─Ö r├│┼╝ne wska┼║niki behawioralne, kt├│re sprawdzaj─ů, czy dane ┼╝─ůdanie nie wykazuje niestandardowych zachowa┼ä.
    • je┼Ťli co┼Ť wygl─ůda podejrzanie, adres IP mo┼╝e trafi─ç na czarn─ů list─Ö i ruch do strony zostanie zablokowany
    • je┼Ťli nie, ruch do strony zostaje dopuszczony

Warto wspomnie─ç, ┼╝e czasem aplikacja mo┼╝e ┼║le oceni─ç normalny ruch, np. Tw├│j adres IP, kt├│ry cz─Östo wywo┼éuje stron─Ö lub gdy logujesz si─Ö do aplikacji podczas urlopu (z zupe┼énej innej lokalizacji geograficznej). W zwi─ůzku z czym zostaniesz zablokowany lub np. poproszony o wykonanie testu CAPTCHA, co w przypadku cz─Östego korzystania ze strony b─Ödzie uci─ů┼╝liwe. Mo┼╝na ten problem rozwi─ůza─ç poprzez dodanie Twojego adresu IP do bia┼éej listy.

Dla jakich stron przeznaczony jest WAF? Web Application Firewall jest bardzo uniwersalnym rozwi─ůzaniem ÔÇô sprawdzi si─Ö m.in. w sklepach internetowych, witrynach firmowych czy blogach opartych na popularnych systemach zarz─ůdzania tre┼Ťci─ů (np. WordPress, Joomla). Warto wspomnie─ç, ┼╝e WordPress tak┼╝e mo┼╝e by─ç podatny na ataki, np. poprzez zainstalowane wtyczki, kt├│re maj─ů luki w zabezpieczeniach.

Przed czym chroni WAF?

Je┼╝eli nie jeste┼Ť specjalist─ů w obszarze bezpiecze┼ästwa internetowego, wystarczy Ci og├│lna informacja, ┼╝e WAF chroni Twoj─ů stron─Ö przed w┼éamaniami i z┼éo┼Ťliwym oprogramowaniem. 

Gdyby┼Ť jednak chcia┼é zg┼é─Öbi─ç ten temat, wiedz, ┼╝e WAF pomo┼╝e chroni─ç Twoj─ů stron─Ö w nast─Öpuj─ůcych sytuacjach:

  • DDoS ÔÇô atak z wielu komputer├│w, kt├│ry obci─ů┼╝a wszystkie zasoby i uniemo┼╝liwia stronie funkcjonowanie.
  • Brute Force ÔÇô ┼éamanie hase┼é poprzez sprawdzanie wszystkich mo┼╝liwych kombinacji.
  • Malware ÔÇô z┼éo┼Ťliwe oprogramowanie, kt├│re mo┼╝e zainfekowa─ç np. Tw├│j blog na WordPressie.
  • Zero-day exploit ÔÇô wykorzystywanie luk w aplikacjach internetowych, kt├│re nie zosta┼éy jeszcze naprawione przez tw├│rc├│w.
  • SQL Injection ÔÇô wykorzystywanie zapyta┼ä SQL do bazy danych.
  • Cross Site Scripting ÔÇô umieszczenie przez haker├│w niepo┼╝─ůdanych skrypt├│w w kodzie strony.

Jak uruchomi─ç WAF?

Istniej─ů dwie g┼é├│wne drogi wdro┼╝enia technologii WAF:

  • dostawca hostingowy: niekt├│rzy operatorzy hosting├│w oferuj─ů technologi─Ö WAF. Mo┼╝esz zainteresowa─ç si─Ö tym podczas wyboru hostingu. Je┼╝eli masz w─ůtpliwo┼Ťci, czy Tw├│j obecny dostawca wspiera Web Application Firewall, po prostu skontaktuj si─Ö z nim i zapytaj o to.
  • rozwi─ůzanie w chmurze (Cloud-Based WAF): sprawd┼║ dostawc├│w CDN (Content Delivery Network), np. CloudFlare. To dobry spos├│b, aby nie tylko przyspieszy─ç swoj─ů stron─Ö www, ale tak┼╝e skorzysta─ç z WAF. B─Ödzie to wymaga┼éo zmian w DNS, aby serwer operatora odbiera┼é ca┼éy ruch.

Jaki jest koszt wdro┼╝enia Web Application Firewall?

Niekt├│rzy dostawcy hostingowi oferuj─ů WAF zupe┼énie za darmo (tzn. w cenie hostingu). Rozwi─ůzania oparte na chmurze dla ┼Ťredniej wielko┼Ťci stron czy sklep├│w, kosztowa─ç mog─ů od kilku do kilkudziesi─Öciu dolar├│w miesi─Öcznie. Popularny dostawca CDN Cloudflare oferuje WAF w pakiecie za 20 dolar├│w miesi─Öcznie (nie jest to jednak koszt samego WAF, w tym pakiecie otrzymujemy przede wszystkim szerokie rozwi─ůzanie CDN). 

Firma Quttera, kt├│ra skupia si─Ö na bezpiecze┼ästwie stron www za podstawowy pakiet ┼╝yczy sobie 10 dolar├│w na miesi─ůc.

Jak─ů wiedz─Ö musz─Ö posiada─ç, aby skorzysta─ç z WAF?

Tak naprawd─Ö wystarczy zdecydowa─ç si─Ö na odpowiednie rozwi─ůzanie, np. jaki┼Ť hosting z WAF, a administratorzy dokonaj─ů ju┼╝ odpowiedniej konfiguracji. Ty jako w┼éa┼Ťciciel strony nie musisz nic robi─ç. Aplikacja b─Ödzie dba┼éa o to, by zabezpieczy─ç Twoj─ů stron─Ö przed atakami, a administratorzy serwera b─Öd─ů optymalizowa─ç jej dzia┼éanie. Na niekt├│rych hostingach podstawowa technologia WAF nazwana jest ModSecurity (mod_security).

W przypadku rozwi─ůza┼ä chmurowych dostaniesz dost─Öp do panelu, w kt├│rym b─Ödzie m├│g┼é sprawdzi─ç statystyki, np. ilo┼Ť─ç odrzuconych ┼╝─ůda┼ä i ich lokalizacj─Ö (pochodzenie).

Je┼╝eli zastanawiasz si─Ö, czy warto skorzysta─ç z WAF, odpowied┼║ powinna brzmie─ç zawsze ÔÇťTAKÔÇŁ. Pozwoli to zwi─Ökszy─ç prawdopodobie┼ästwo skutecznej ochrony przed atakami na Twoj─ů stron─Ö i stratami finansowymi. Jest to rozwi─ůzanie, kt├│re ┼éatwo wdro┼╝y─ç, a koszt jest relatywnie niski. W przypadku Web Application Firewall nie masz zbyt wiele do roboty ÔÇô Twoim g┼é├│wnym zadaniem jest jedynie jego wdro┼╝enie poprzez wyb├│r odpowiedniej formy.