TỔNG QUAN BẢO MẬT ỨNG DỤNG WEB/PORTAL (PHẦN 5)

1.2 Các giải pháp nhận dạng tấn công tấn công website

1.2.1 Sự phát triển của nhận dạng tấn công ứng dụng web

Hệ thống phát hiện xâm nhập (IDS) đã được sử dụng trong nhiều năm. Mục đích của nó là để phát hiện các cuộc tấn công bằng cách giám sát lưu lượng mạng hoặc sự kiện phát sinh của hệ điều hành. Sau đó hệ thống phát hiện xâm nhập đã nâng cấp thêm tính năng là phòng chống xâm nhập nhằm ngăn chặn các xâm nhập trái phép.

Hiện nay, khi đề cập đến phát hiện xâm nhập thì đa số người dùng nghĩ đến một hệ thống phát hiện xâm nhập mạng (NIDS). Một NIDS hoạt động ở mức TCP/IP và được sử dụng để phát hiện các cuộc tấn công dịch vụ mạng, bao gồm các máy chủ web. Hệ thống IDS được triển khai phổ biến và rộng rãi với mục đích là giám sát các gói tin trên mạng để phát hiện gói tin nguy hiểm.

Ngoài ra, hệ thống phát hiện xâm nhập dựa trên máy chủ (HIDSs) làm việc ở cấp độ máy chủ. Mặc dù HIDS có thể phân tích lưu lượng mạng (chỉ có lưu lượng truy cập mà đến với máy chủ duy nhất) nhưng công việc này thường là của NIDSs. HIDS chủ yếu giám sát đến các sự kiện diễn ra trên các máy chủ (ví dụ như người dùng đăng nhập vào và ra và thực hiện lệnh) và các thông báo lỗi hệ thống được tạo ra. Một HIDS có thể đơn giản như một đoạn script kiểm tra thông tin tin đăng nhập phát sinh các thông báo lỗi. Một số HIDS phức tạp hơn sử dụng giám sát cuộc gọi hệ thống trên một mức độ nhân hệ điều hành để phát hiện các tiến trình lạ, không an toàn.

Việc sử dụng một phương pháp để phát hiện xâm nhập là không hiệu quả. Do đó, hệ thống quản lý an ninh thông tin (SIM) được thiết kế để quản lý các sự kiện bảo mật được thống kê từ các điểm kiểm tra, nơi mà có thể giám sát các lưu lượng truy cập mạng, các sự kiện hệ điều hành hoặc bất kỳ thông tin an ninh thông tin khác có liên quan.

Nhiều loại NIDS được phát triển, trong đó có NIDS nhằm phát hiện xâm nhập cho các ứng dụng web. Mặc dù, NIDS cho các ứng dụng web được thiết kế để giải quyết tốt vấn đề trợ giúp phát hiện xâm nhập ứng dụng web. Tuy nhiên, các NIDS này không thể thực hiện đầy đủ phát hiện các xâm nhập tiềm năng với các ứng dụng web vì những lý do sau đây:

• NIDSs được thiết kế để làm việc với giao thức TCP/IP. Web lại dựa trên giao thức HTTP, là một nội dung hoàn toàn mới với các vấn đề và thách thức riêng đối với giao thức TCP/IP.

• Vấn đề thực sự là các ứng dụng web không phải đơn giản là sử dụng giao thức HTTP. Thay vào đó, HTTP chỉ được sử dụng để thực hiện trao đổi dữ liệu của các ứng dụng cụ thể. Có thể xem như mỗi ứng dụng được xây dựng giao thức riêng của mình trên đầu trang của HTTP.

• Nhiều giao thức mới được triển khai trên HTTP (dịch vụ Web, XML-RPC, và SOAP) làm tăng mức độ phức tạp ứng dụng web lên.

• Các vấn đề khác, như sự bất lực của NIDS để giám sát dữ liệu đi qua kênh mã hóa SSL (hầu hết các ứng dụng web sử dụng để đảm bảo an toàn) và không có khả năng để đối phó với một số lượng lớn lưu lượng truy cập web.

Các nhà cung cấp của NIDSs đã phát triển các chức năng mở rộng để chống lại những thách thức trên như khả năng hiểu HTTP tốt hơn (như dữ liệu chuyển qua lại giữa người dùng và ứng dụng web). Các bức tường lửa chuyên sâu có thể kiểm tra ở mức độ cao hơn.

Cuối cùng, một loại IDS đã ra đời đó là tường lửa ứng dụng web (WAF). WAF còn được gọi là các cổng ứng dụng web, được thiết kế đặc biệt để bảo vệ các ứng dụng web. Các yêu cầu kết nối thay vì đi trực tiếp đến các ứng dụng web thì sẽ được đưa đến một WAF kiểm tra và kết nối nếu WAF cho rằng yêu cầu này an toàn.

Nhận dạng tấn công ứng dụng web

Nhận dạng tấn công ứng dụng web

WAF được thiết kế hoàn toàn để đối phó với các cuộc tấn công vào ứng dụng web và phù hợp nhất cho mục đích phát hiện và ngăn chặn tấn công ứng dụng web. NIDS phù hợp cho các giám sát ở cấp độ mạng và không thể thay thế cho mục đích đó.

(còn tiếp phần 6)
* Lưu ý: Các bản sử dụng nội dung vui lòng ghi tên tác giả. Xin cảm ơn.

Comments

comments