🍪 Można ciasteczko?

Ta strona chce wykorzystywać pliki cookie do analizowania ruchu oraz mierzenia skuteczności i personalizacji reklam zgodnie z polityką prywatności. Zgadzasz się?

PORADNIKI

7 min. czytania

WAF (Web Application Firewall): ochrona aplikacji i stron internetowych

Bezpieczny serwer

Fot. Freepik

Mateusz Mazurek

Mateusz Mazurek

Przedsiębiorca internetowy. Wydawca i autor blogów. Od ponad 16 lat wymagający klient dziesiątek różnych firm hostingowych.

O mnie Kontakt

Co to jest WAF (Web Application Firewall)? Jak działa ochrona aplikacji i stron internetowych? Przed czym chroni? Jak uruchomić WAF?

Spis treści
Serwer

Każdy administrator strony internetowej powinien być zaznajomiony z tematem bezpieczeństwa lub zlecić takie działania firmom czy osobom, które się na tym znają. Chodzi o to, by zapewnić stronie jak najlepszą ochronę przed różnego rodzaju atakami.

Czy Twoja strona, nawet jeżeli jest to mały blog, może stać się celem hakerów? Teoretycznie każda strona narażona jest na ataki hakerskie. Według badania firmy Positive Technologies z 2019 roku, włamywacze byli w stanie skutecznie zaatakować 9 na 10 aplikacji internetowych, w 39% z nich uzyskując nieautoryzowany dostęp, a w 16% pełną kontrolę. 

Jakie może mieć to konsekwencje? Przede wszystkim problemy z dostępnością Twojej strony. Może ona po prostu przestać działać, a Ty już sam wiesz najlepiej, jakie to niesie dla Ciebie skutki (np. w sklepie internetowym będzie to brak sprzedaży).

Ważna są również dane:

  • te, które Ty stworzyłeś, np. Twoje artykuły na blogu czy baza produktów w sklepie internetowym. Ich przywrócenie może być możliwe, jeśli wybierzesz hosting, który wykonuje kopie zapasowe. Jeśli często aktualizujesz dane na swojej stronie, zwróć uwagę na częstotliwość backupu u dostawców hostingowych (niektórzy operatorzy robią kopie nawet kilka razy na dobę).
  • te, które związane są z funkcjonowaniem strony, np. baza klientów w sklepie, dane pacjentów w systemie rejestracji online, itp. Ty odpowiadasz za to, żeby nie trafiły w niepowołane ręce. Powinieneś być ogólnie zaznajomiony z rozporządzeniem RODO i karami pieniężnymi za nieodpowiednią administrację danych. Przypomnę tylko karę ponad 2,8 mln zł, jaka została nałożona na sklep internetowy Morele.net za niewystarczające zabezpieczenie danych około 2 mln 200 tys. klientów.

W skrócie: ataki cyberprzestepców mogą wywołać poważne straty finansowe. Warto sięgnąć po garść statystyk z raportu HISCOX – dowiesz się m.in, że mediana kosztów (lub inaczej mówiąc mediana straty finansowej) ataku cybernetycznego wynosi 57 000 dolarów(!).

Dlatego zdecydowanie warto wybrać bezpieczny hosting stron WWW, który oprócz tego, że będzie zgodny z RODO, zapewni też odpowiednie zabepzieczenia dla umieszczonych na nim stron interneotwych. Jednym z takich zabezpieczeń jest WAF.

Czy WAF zapewni Twojej stronie 100-procentowe bezpieczeństwo? NIE. Żadna ochrona nie zapewni 100% bezpieczeństwa. Niemniej jednak technologia WAF to popularna ochrona aplikacji internetowych (np. stron, blogów, sklepów), która zmniejsza prawdopodobieństwo skutecznego ich zaatakowania i warto wybrać hosting, który ma ją wdrożoną.

Co to jest WAF?

WAF (Web Application Firewall) to system pomagający chronić aplikacje internetowe (czyli np. blogi, sklepy online, firmowe strony), monitorując ruch, jaki dociera do strony internetowej i blokując niepożądane działania. Jest to pewnego rodzaju tarcza, która ma odfiltrować złośliwy ruch za pomocą określonych reguł

Ruch to przede wszystkim użytkownicy, którzy docierają do Twojej strony. Najczęściej są to normalni internauci, którzy chcą po prostu obejrzeć zawartość strony. 

Zdarzają się jednak cyberprzestępcy lub specjalne aplikacje, które wyszukują luki w zabezpieczeniach lub próbują dodać złośliwy kod do Twojej strony. Web Application Firewall analizuje ten ruch i wychwytuje wszelkie podejrzane działania, blokując tym użytkownikom czy botom dostęp do strony.

WAF (Web Application Firewall) - ilustracja działania
WAF (Web Application Firewall) – ilustracja działania

WAF działa w oparciu o listy:

  • biała lista: przepuszczany jest ruch, który spełnia określone kryteria i reguły
  • czarna lista: blokowany jest ruch, który może świadczyć o przeprowadzeniu ataku

Porównaj te listy do sytuacji, które mogą wydarzyć się w “realu”:

Wyobraź sobie spektakl w teatrze, na który mogą wejść tylko zaproszeni goście. Ochroniarz przed wejściem sprawdza, czy dana osoba znajduje się na liście. Jeżeli nie, nie ma prawa wejść. To przykład białej listy.

Słyszałeś o zakazach stadionowych? To coś w rodzaju czarnej listy. Jeżeli jakiś kibic wszczął kiedyś awanturę na stadionie, mógł zostać wpisany na czarną listę. Przed wejściem na stadion każdy może zostać poproszony o okazanie dowodu osobistego. Ochroniarz nie wpuści osoby, która znajduje się na czarnej liście – ma zakaz wejścia na stadion.

Każdy z tych modeli działania ma swoje wady i zalety. Często stosowany jest model hybrydowy, czyli połączenie dwóch powyższych list. 

Jak to może wyglądać w praktyce?

  • sprawdzenie, czy adres znajduje się na czarnej liście (jeśli tak, ruch jest blokowany). Czarna lista adresów IP jest aktualizowana, jeśli w przeszłości doszło do jakiegoś ataku z konkretnego IP, jest on już zablokowany (znajduje się na czarnej liście).
  • analiza, czy żądanie dostępu do strony nie narusza reguł i nie wygląda na podejrzane. Brane są pod uwagę różne wskaźniki behawioralne, które sprawdzają, czy dane żądanie nie wykazuje niestandardowych zachowań.
    • jeśli coś wygląda podejrzanie, adres IP może trafić na czarną listę i ruch do strony zostanie zablokowany
    • jeśli nie, ruch do strony zostaje dopuszczony

Warto wspomnieć, że czasem aplikacja może źle ocenić normalny ruch, np. Twój adres IP, który często wywołuje stronę lub gdy logujesz się do aplikacji podczas urlopu (z zupełnej innej lokalizacji geograficznej). W związku z czym zostaniesz zablokowany lub np. poproszony o wykonanie testu CAPTCHA, co w przypadku częstego korzystania ze strony będzie uciążliwe. Można ten problem rozwiązać poprzez dodanie Twojego adresu IP do białej listy.

Dla jakich stron przeznaczony jest WAF? Web Application Firewall jest bardzo uniwersalnym rozwiązaniem – sprawdzi się m.in. w sklepach internetowych, witrynach firmowych czy blogach opartych na popularnych systemach zarządzania treścią (np. WordPress, Joomla). Warto wspomnieć, że WordPress także może być podatny na ataki, np. poprzez zainstalowane wtyczki, które mają luki w zabezpieczeniach.

Przed czym chroni WAF?

Jeżeli nie jesteś specjalistą w obszarze bezpieczeństwa internetowego, wystarczy Ci ogólna informacja, że WAF chroni Twoją stronę przed włamaniami i złośliwym oprogramowaniem. 

Gdybyś jednak chciał zgłębić ten temat, wiedz, że WAF pomoże chronić Twoją stronę w następujących sytuacjach:

  • DDoS – atak z wielu komputerów, który obciąża wszystkie zasoby i uniemożliwia stronie funkcjonowanie – w podstawowym zakresie.
  • Brute Force – łamanie haseł poprzez sprawdzanie wszystkich możliwych kombinacji.
  • Malware – złośliwe oprogramowanie, które może zainfekować np. Twój blog na WordPressie.
  • Zero-day exploit – wykorzystywanie luk w aplikacjach internetowych, które nie zostały jeszcze naprawione przez twórców.
  • SQL Injection – wykorzystywanie zapytań SQL do bazy danych.
  • Cross Site Scripting – umieszczenie przez hakerów niepożądanych skryptów w kodzie strony.

Jak uruchomić WAF?

Istnieją dwie główne drogi wdrożenia technologii WAF:

  • dostawca hostingowy: niektórzy operatorzy hostingów oferują technologię WAF. Możesz zainteresować się tym podczas wyboru hostingu. Jeżeli masz wątpliwości, czy Twój obecny dostawca wspiera Web Application Firewall, po prostu skontaktuj się z nim i zapytaj o to.
  • rozwiązanie w chmurze (Cloud-Based WAF): sprawdź dostawców CDN (Content Delivery Network), np. CloudFlare. To dobry sposób, aby nie tylko przyspieszyć swoją stronę www, ale także skorzystać z WAF. Będzie to wymagało zmian w DNS, aby serwer operatora odbierał cały ruch.

Jaki jest koszt wdrożenia Web Application Firewall?

Niektórzy dostawcy hostingowi oferują WAF zupełnie za darmo (tzn. w cenie hostingu). Rozwiązania oparte na chmurze dla średniej wielkości stron czy sklepów, kosztować mogą od kilku do kilkudziesięciu dolarów miesięcznie. Popularny dostawca CDN Cloudflare oferuje WAF w pakiecie za 20 dolarów miesięcznie (nie jest to jednak koszt samego WAF, w tym pakiecie otrzymujemy przede wszystkim szerokie rozwiązanie CDN). 

Firma Quttera, która skupia się na bezpieczeństwie stron www za podstawowy pakiet życzy sobie 10 dolarów na miesiąc.

Jaką wiedzę muszę posiadać, aby skorzystać z WAF?

Tak naprawdę wystarczy zdecydować się na odpowiednie rozwiązanie, np. jakiś hosting z WAF, a administratorzy dokonają już odpowiedniej konfiguracji. Ty jako właściciel strony nie musisz nic robić. Aplikacja będzie dbała o to, by zabezpieczyć Twoją stronę przed atakami, a administratorzy serwera będą optymalizować jej działanie. Na niektórych hostingach podstawowa technologia WAF nazwana jest ModSecurity (mod_security).

W przypadku rozwiązań chmurowych dostaniesz dostęp do panelu, w którym będzie mógł sprawdzić statystyki, np. ilość odrzuconych żądań i ich lokalizację (pochodzenie).

Jeżeli zastanawiasz się, czy warto skorzystać z WAF, odpowiedź powinna brzmieć zawsze “TAK”. Pozwoli to zwiększyć prawdopodobieństwo skutecznej ochrony przed atakami na Twoją stronę i stratami finansowymi. Jest to rozwiązanie, które łatwo wdrożyć, a koszt jest relatywnie niski. W przypadku Web Application Firewall nie masz zbyt wiele do roboty – Twoim głównym zadaniem jest jedynie jego wdrożenie poprzez wybór odpowiedniej formy.