Mũ đen: Tường lửa ứng dụng web nguồn mở đến với Microsoft IIS

Black Hat: Open Source Web Application Firewall Comes to Microsoft IIS

Sau 10 năm trong Apache, ứng dụng web tường lửa nguồn mở nổi tiếng ModSecurity đang mở rộng dấu vết của mình sang máy chủ web IIS của Microsoft.

After 10 years on Apache, the popular open source ModSecurity web application firewall is expanding its footprint to Microsoft's IIS web server.

By Sean Michael Kerner | July 24, 2012

Theo: http://www.esecurityplanet.com/windows-security/black-hat-open-source-web-application-firewall-comes-to-microsoft-iis.html

Bài được đưa lên Internet ngày: 24/07/2012

LAS VEGAS. Đối với thập niên vừa qua, những người sử dụng máy chủ web Apache đã có khả năng hưởng lợi từ ứng dụng web tường lửa nguồn mở ModSecurity (WAF). Tại hội nghị an ninh Mũ Đen tuần này, các lập trình viên của ModSecurity lần đầu tiên sẽ làm cho WAF sẵn sàng cho máy chủ web Microsoft IIS cũng như máy chủ web nguồn mở nginx.

Một WAF là một mẩu sống còn của hạ tầng an ninh Internet giúp lọc các yêu cầu đi vào tới các ứng dụng, đưa ra một tường lửa cho những chỗ bị tổn thương của ứng dụng. Ryan Barnett, nhà nghiên cứu về an ninh tại Trustwave, người đỡ đầu thương mại hàng đầu đằng sau ModSecurity, đang thiết lập để chính thức đưa ra các phiên bản mới của ModSecurity trong một “Cuộc nói chuyện Tốc độ cao” tại Mũ Đen.

Trong một cuộc phỏng vấn với eSecurity Planet, Barnett đã giải thích rằng một thập kỷ qua khi ModSecurity từng lần đầu được xây dựng, Apache từng là máy chủ web phổ biến nhất và điều đó giải thích vì sao nó đã được chọn như là nền tảng ban đầu. Hướng nhanh tới ngày nay, và Apache vẫn là máy chủ web phổ biến nhất thế giới, nhưng nó bây giờ đang đối mặt với sự cạnh tranh ngày một gia tăng từ cả Microsoft IIS và nginx. Ông đã lưu ý rằng Apache chiếm khoảng 60% thị trường các máy chủ web hiện nay, nghĩa là ModSecurity còn chưa phục vụ cho khoảng 40% còn lại.

Nỗ lực để mang ModSecurity qua Microsoft IIS đặc biệt không phải là thứ duy nhất mà Trustwave và cộng đồng nguồn mở đã làm. Barnett nói rằng họ lần đầu đã phải có sự hỗ trợ của Trung tâm Ứng cứu An ninh của Microsoft (MSRC). Trustwave từng là một đối tác của MSRC theo chương trình Bảo vệ Tích cực của Microsoft (MAPP), nó đưa ra cho các đối tác các dữ liệu trước trong các chỗ bị tổn thương của Bản vá Ngảy thứ ba trong một nỗ lực để cho phép vá được nhanh hơn.

LAS VEGAS. For the last decade, Apache web server users have been able to benefit from the open source ModSecurity Web Application Firewall (WAF). At the Black Hat security conference this week, ModSecurity developers will for the first time make their WAF available for the Microsoft IIS web server as well as the nginx open source web server.

A WAF is a critical piece of Internet security infrastructure that helps to filter inbound requests to applications, providing a firewall for application vulnerabilities. Ryan Barnett, security researcher at Trustwave, the leading commercial sponsor behind ModSecurity, is set to formally release the new versions of ModSecurity in a "Turbo Talk" at Black Hat.

In an interview with eSecurity Planet, Barnett explained that a decade ago when ModSecurity was first being built, Apache was the most popular web server and that's why it was chosen as the initial platform. Fast forward to today, and Apache is still the most popular web server in the world, but it is now facing increasing competition from both Microsoft IIS and nginx. He noted that Apache roughly holds 60 percent of the web server market now, meaning that ModSecurity was leaving 40 percent un-served.

The effort to bring ModSecurity over to Microsoft IIS in particular was not one that Trustwave and the open source community embarked on alone. Barnett said that they first had to get the support of the Microsoft Security Response Center (MSRC). Trustwave had already been a partner of the MSRC by way of the MAPP (Microsoft Active Protections Program), which provides partners with advance data on Patch Tuesday vulnerabilities in an effort to enable faster patching.

With commercial rules that Trustwave sells for ModSecurity, the company provides "virtual patching" for Microsoft application vulnerabilities. In that way, enterprises that are not able to patch their applications immediately can get a virtual patch deployed on their WAF that insulates them from vulnerability.

Even though Microsoft IIS is not an open source web server, Barnett stressed that ModSecurity for IIS is open source and remains licensed under the open source Apache v2.0 license. The source code for the new release is set to be freely available as of Wednesday on the Sourceforge open source code repository.

Với các qui định thương mại mà Trustwave bán đối với ModSecurity, công ty này cung cấp “việc vá ảo” cho những chỗ bị tổn thương của các ứng dụng Microsoft. Theo cách đó, các doanh nghiệp mà không có khả năng vá các ứng dụng của họ ngay lập tức có thể có được một bản vá ảo được triển khai trong WAF mà cách ly chúng khỏi chỗ bị tổn thương.

Thậm chí dù Microsoft IIS không phải là một máy chủ web nguồn mở, thì Barnett cũng đã nhấn mạnh rằng ModSecurity cho IIS là nguồn mở và vẫn giữ được cấp phép theo giấy phép nguồn mở Apache v2.0. Mã nguồn cho phiên bản mới được thiết lập để tự do sẵn sàng vào hôm thứ tư trên kho mã nguồn mở Sourceforge.

Trong khi bản thân ModSecurity vẫn là nguồn mở, thì Trustwave như một thực thể thương mại tiếp tục bán các qui định thương mại cho sản phẩm này. Các qui định thương mại bổ sung cho các tập hợp qui định nguồn mở cốt lõi, mà đưa ra những bảo vệ chung cho các chỗ bị tổn thương của các ứng dụng.

Barnett đã thừa nhận rằng đi xuống các qui định nguồn mở của ModSecurity là việc họ có thể tạo ra các xác thực sai. Cách để khắc phục điều đó là với việc tinh chỉnh bổ sung của hệ thống qua thời gian.

“Từ một viễn cảnh của WAF, nhiều người mệt mỏi trong việc thử tiệt trừ toàn bộ các dạng tấn công”, Barnett nói. “Nhưng thực sự mục tiêu cuối cùng của bạn sẽ là gì với một WAF là để giảm thiểu bề mặt giao diện tấn công”.

Barnett đã bổ sung rằng một WAF không phải luôn có ngữ ảnh mã nguồn đầy đủ của một ứng dụng được đưa ra và có các dạng trung gian tấn công nhất định mà có thể bị bỏ qua. Nói vậy, ông đã lưu ý rằng ModSecurity cung cấp một sự phòng thủ cứng cỏi và sẽ giúp giảm rủi ro.

Tại Mũ Đen tuần này, nhà nghiên cứu về an ninh Ivan Ritsic của Qualys đang nói trong một phiên nơi mà ông sẽ nhặt ra các lỗ hổng trong công nghệ WAF, với chủ đề chung rằng chúng sẽ không an ninh như mọi người nghĩ. Trong khi Barnett nói ông tôn trọng quan điểm của Ritsic, ông không nhất thiết đồng ý rằng công nghệ WAF là không an ninh.

Barnett đã lưu ý rằng trong năm 2011, đã từng có một thách thức tiêm SQL với ModSecurity nơi mà các nhà nghiên cứu đã được yêu cầu thử lẩn tránh WAF. Trong kết quả đầu tiên, 9 người khác nhau đã thấy những lẩn tránh, nhưng mất ít nhất 10 tiếng đồng hồ cho những lẩn tránh đó được phát hiện.

While ModSecurity itself remains open source, Trustwave as a commercial entity continues to sell commercial rules for the product. The commercial rules supplement the core open source ruleset, which provide generic protections for application vulnerabilities.

Barnett admitted that the downside of the generic open source ModSecurity rules is that they can generate false positives. The way to get around that is with additional tuning of the system over time.

"From a WAF perspective, a lot of people get tied up in trying to totally eradicate different types of attacks," Barnett said. "But really what your end goal should be with a WAF is to reduce the attack surface."

Barnett added that a WAF doesn't always have the full code context of a given application and there are certain types of attack vectors that can be missed. That said, he noted that ModSecurity does provide a solid defense and will help to reduce risk.

At Black Hat this week, Qualys security researcher Ivan Ritsic is speaking in a session where he will be poking holes in WAF technology, with the general theme being that they aren't as secure as people think. While Barnett says he respects Ritsic's view, he doesn't necessarily agree that WAF technology is insecure.

Barnett noted that in 2011, there was a SQL Injection challenge with ModSecurity where researchers were asked to try to evade the WAF. In the final result, nine different people found evasions, but it took a minimum of 10 hours for those evasions to be discovered.

“Bất kỳ công nghệ nào cũng có các vấn đề và vấn đề chính của Ivan là vấn đề không phù hợp trở kháng”, Barnett nói.

Barnett đã giải thích rằng sự không phù hợp về trở kháng xảy ra khi công nghệ an ninh phân tích, bình thường hóa, và phân tích cú pháp dữ liệu khác nhau so với cách mà hệ thống đích làm việc. Khi có một sự không phù hợp trở kháng, thì sẽ có rủi ro về sự lảng tránh.

“Đây là một vấn đề cần phải được giải quyết”, Barnett nói. “Điều đó giải thích vì sao nó giúp để có ModSecurity trực tiếp được nhúng vào trong IIS của Microsoft, ví dụ thế, sao cho bạn sẽ không có nhiều vấn đề”.

Nói vậy, ông đã lưu ý rằng việc kiểm thử đối với những lảng tránh là quan trọng sống còn để giúp luôn liên tục làm cho ModSecurity an ninh hơn và giúp những người sử dụng hiểu được bất kỳ hạn chế tiềm năng nào.

Barnett đang nói trong một Cuộc nói chuyện Nhanh (Turbo Talk) hôm thứ tư và cũng đang giới thiệu ModSecurity mới cho IIS trong khi diễn ra trình diễn các công cụ của Kho vũ khí của Mũ Đen. Mã nguồn cũng được thiết lập để sẵn sàng công khai vào hôm thứ tư.

"Any technology has issues and Ivan's main issue is the issue of impedance mismatch," Barnett said.

Barnett explained that impedance mismatch occurs when security technology analyses, normalizes, and parses data differently than how the destination system operates. When there is an impedance mismatch, there is the risk of evasion.

"It is a problem that needs to be dealt with," Barnett said. "That's why it helps to have ModSecurity directly embedded in Microsoft IIS for example, so you won't have as many issues."

That said, he noted that testing for evasions is critically important to help continually make ModSecurity more secure and to help users understand any potential limitations.

Barnett is speaking in a Turbo Talk on Wednesday and is also demoing the new ModSecurity for IIS during the Black Hat Arsenal tools demonstration. Code is set to be publicly available on Wednesday as well.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com