Black
Hat: Open Source Web Application Firewall Comes to Microsoft IIS
Sau
10 năm trong Apache, ứng dụng web tường lửa nguồn mở
nổi tiếng ModSecurity đang mở rộng dấu vết của mình
sang máy chủ web IIS của Microsoft.
After
10 years on Apache, the popular open source ModSecurity web
application firewall is expanding its footprint to Microsoft's IIS
web server.
By Sean Michael Kerner |
July 24, 2012
Bài được đưa lên
Internet ngày: 24/07/2012
LAS
VEGAS. Đối với thập niên vừa qua, những người sử
dụng máy chủ web Apache đã có khả năng hưởng lợi từ
ứng dụng web tường lửa nguồn
mở ModSecurity
(WAF). Tại hội nghị an ninh Mũ
Đen tuần này, các lập trình viên của ModSecurity
lần đầu tiên sẽ làm cho WAF sẵn sàng cho máy chủ web
Microsoft IIS cũng như máy chủ web nguồn mở nginx.
Một WAF là một mẩu
sống còn của hạ tầng an ninh Internet giúp lọc các yêu
cầu đi vào tới các ứng dụng, đưa ra một tường lửa
cho những chỗ bị tổn thương của ứng dụng. Ryan
Barnett, nhà nghiên cứu về an ninh tại Trustwave, người đỡ
đầu thương mại hàng đầu đằng sau ModSecurity, đang
thiết lập để chính thức đưa ra các phiên bản mới
của ModSecurity trong một “Cuộc nói chuyện Tốc độ
cao” tại Mũ Đen.
Trong một cuộc phỏng
vấn với eSecurity Planet, Barnett đã giải thích rằng
một thập kỷ qua khi ModSecurity từng lần đầu được
xây dựng, Apache từng là máy chủ web phổ biến nhất và
điều đó giải thích vì sao nó đã được chọn như là
nền tảng ban đầu. Hướng nhanh tới ngày nay, và Apache
vẫn là máy chủ web phổ biến nhất thế giới, nhưng nó
bây giờ đang đối mặt với sự cạnh tranh ngày một gia
tăng từ cả Microsoft IIS và nginx. Ông đã lưu ý rằng
Apache chiếm khoảng 60% thị trường các máy chủ web hiện
nay, nghĩa là ModSecurity còn chưa phục vụ cho khoảng 40%
còn lại.
Nỗ lực để mang
ModSecurity qua Microsoft IIS đặc biệt không phải là thứ
duy nhất mà Trustwave và cộng đồng nguồn mở đã làm.
Barnett nói rằng họ lần đầu đã phải có sự hỗ trợ
của Trung tâm Ứng cứu An ninh của Microsoft (MSRC).
Trustwave từng là một đối tác của MSRC theo chương trình
Bảo vệ Tích cực của Microsoft (MAPP), nó đưa ra cho các
đối tác các dữ liệu trước trong các chỗ bị tổn
thương của Bản vá Ngảy thứ ba trong một nỗ lực để
cho phép vá được nhanh hơn.
LAS
VEGAS. For the last decade, Apache web server users have been able to
benefit from the open source ModSecurity
Web Application Firewall (WAF). At the Black
Hat security conference this week, ModSecurity developers will
for the first time make their WAF available for the Microsoft IIS web
server as well as the nginx open source web server.
A
WAF is a critical piece of Internet security infrastructure that
helps to filter inbound requests to applications, providing a
firewall for application vulnerabilities. Ryan Barnett, security
researcher at Trustwave, the leading commercial sponsor behind
ModSecurity, is set to formally release the new versions of
ModSecurity in a "Turbo Talk" at Black Hat.
In
an interview with eSecurity
Planet, Barnett
explained that a decade ago when ModSecurity was first being built,
Apache was the most popular web server and that's why it was chosen
as the initial platform. Fast forward to today, and Apache is still
the most popular web server in the world, but it is now facing
increasing competition from both Microsoft IIS and nginx. He noted
that Apache roughly holds 60 percent of the web server market now,
meaning that ModSecurity was leaving 40 percent un-served.
The
effort to bring ModSecurity over to Microsoft IIS in particular was
not one that Trustwave and the open source community embarked on
alone. Barnett said that they first had to get the support of the
Microsoft Security Response Center (MSRC). Trustwave had already been
a partner of the MSRC by way of the MAPP (Microsoft Active
Protections Program), which provides partners with advance data on
Patch Tuesday vulnerabilities in an effort to enable faster patching.
With
commercial rules that Trustwave sells for ModSecurity, the company
provides "virtual patching" for Microsoft application
vulnerabilities. In that way, enterprises that are not able to patch
their applications immediately can get a virtual patch deployed on
their WAF that insulates them from vulnerability.
Even
though Microsoft IIS is not an open source web server, Barnett
stressed that ModSecurity for IIS is open source and remains licensed
under the open source Apache v2.0 license. The source code for the
new release is set to be freely available as of Wednesday on the
Sourceforge open source code repository.
Với các qui định
thương mại mà Trustwave bán đối với ModSecurity, công ty
này cung cấp “việc vá ảo” cho những chỗ bị tổn
thương của các ứng dụng Microsoft. Theo cách đó, các
doanh nghiệp mà không có khả năng vá các ứng dụng của
họ ngay lập tức có thể có được một bản vá ảo
được triển khai trong WAF mà cách ly chúng khỏi chỗ bị
tổn thương.
Thậm chí dù Microsoft
IIS không phải là một máy chủ web nguồn mở, thì Barnett
cũng đã nhấn mạnh rằng ModSecurity cho IIS là nguồn mở
và vẫn giữ được cấp phép theo giấy phép nguồn mở
Apache v2.0. Mã nguồn cho phiên bản mới được thiết lập
để tự do sẵn sàng vào hôm thứ tư trên kho mã nguồn
mở Sourceforge.
Trong khi bản thân
ModSecurity vẫn là nguồn mở, thì Trustwave như một thực
thể thương mại tiếp tục bán các qui định thương mại
cho sản phẩm này. Các qui định thương mại bổ sung cho
các tập hợp qui định nguồn mở cốt lõi, mà đưa ra
những bảo vệ chung cho các chỗ bị tổn thương của các
ứng dụng.
Barnett đã thừa nhận
rằng đi xuống các qui định nguồn mở của ModSecurity là
việc họ có thể tạo ra các xác thực sai. Cách để khắc
phục điều đó là với việc tinh chỉnh bổ sung của hệ
thống qua thời gian.
“Từ một viễn cảnh
của WAF, nhiều người mệt mỏi trong việc thử tiệt trừ
toàn bộ các dạng tấn công”, Barnett nói. “Nhưng thực
sự mục tiêu cuối cùng của bạn sẽ là gì với một
WAF là để giảm thiểu bề mặt giao diện tấn công”.
Barnett đã bổ sung
rằng một WAF không phải luôn có ngữ ảnh mã nguồn đầy
đủ của một ứng dụng được đưa ra và có các dạng
trung gian tấn công nhất định mà có thể bị bỏ qua.
Nói vậy, ông đã lưu ý rằng ModSecurity cung cấp một sự
phòng thủ cứng cỏi và sẽ giúp giảm rủi ro.
Tại Mũ Đen tuần
này, nhà nghiên cứu về an ninh Ivan Ritsic của Qualys đang
nói trong một phiên nơi mà ông sẽ nhặt ra các lỗ hổng
trong công nghệ WAF, với chủ đề chung rằng chúng sẽ
không an ninh như mọi người nghĩ. Trong khi Barnett nói ông
tôn trọng quan điểm của Ritsic, ông không nhất thiết
đồng ý rằng công nghệ WAF là không an ninh.
Barnett đã lưu ý rằng
trong năm 2011, đã từng có một thách thức tiêm SQL với
ModSecurity nơi mà các nhà nghiên cứu đã được yêu cầu
thử lẩn tránh WAF. Trong kết quả đầu tiên, 9 người
khác nhau đã thấy những lẩn tránh, nhưng mất ít nhất
10 tiếng đồng hồ cho những lẩn tránh đó được phát
hiện.
While
ModSecurity itself remains open source, Trustwave as a commercial
entity continues to sell commercial rules for the product. The
commercial rules supplement the core open source ruleset, which
provide generic protections for application vulnerabilities.
Barnett
admitted that the downside of the generic open source ModSecurity
rules is that they can generate false positives. The way to get
around that is with additional tuning of the system over time.
"From
a WAF perspective, a lot of people get tied up in trying to totally
eradicate different types of attacks," Barnett said. "But
really what your end goal should be with a WAF is to reduce the
attack surface."
Barnett
added that a WAF doesn't always have the full code context of a given
application and there are certain types of attack vectors that can be
missed. That said, he noted that ModSecurity does provide a solid
defense and will help to reduce risk.
At
Black Hat this week, Qualys security researcher Ivan Ritsic is
speaking in a session where he will be poking holes in WAF
technology, with the general theme being that they aren't as secure
as people think. While Barnett says he respects Ritsic's view, he
doesn't necessarily agree that WAF technology is insecure.
Barnett
noted that in 2011, there was a SQL Injection challenge with
ModSecurity where researchers were asked to try to evade the WAF. In
the final result, nine different people found evasions, but it took a
minimum of 10 hours for those evasions to be discovered.
“Bất kỳ công nghệ
nào cũng có các vấn đề và vấn đề chính của Ivan là
vấn đề không phù hợp trở kháng”, Barnett nói.
Barnett đã giải thích
rằng sự không phù hợp về trở kháng xảy ra khi công
nghệ an ninh phân tích, bình thường hóa, và phân tích cú
pháp dữ liệu khác nhau so với cách mà hệ thống đích
làm việc. Khi có một sự không phù hợp trở kháng, thì
sẽ có rủi ro về sự lảng tránh.
“Đây là một vấn
đề cần phải được giải quyết”, Barnett nói. “Điều
đó giải thích vì sao nó giúp để có ModSecurity trực
tiếp được nhúng vào trong IIS của Microsoft, ví dụ thế,
sao cho bạn sẽ không có nhiều vấn đề”.
Nói vậy, ông đã lưu
ý rằng việc kiểm thử đối với những lảng tránh là
quan trọng sống còn để giúp luôn liên tục làm cho
ModSecurity an ninh hơn và giúp những người sử dụng hiểu
được bất kỳ hạn chế tiềm năng nào.
Barnett đang nói trong
một Cuộc nói chuyện Nhanh (Turbo Talk) hôm thứ tư và cũng
đang giới thiệu ModSecurity mới cho IIS trong khi diễn ra
trình diễn các công cụ của Kho vũ khí của Mũ Đen. Mã
nguồn cũng được thiết lập để sẵn sàng công khai vào
hôm thứ tư.
"Any
technology has issues and Ivan's main issue is the issue of impedance
mismatch," Barnett said.
Barnett
explained that impedance mismatch occurs when security technology
analyses, normalizes, and parses data differently than how the
destination system operates. When there is an impedance mismatch,
there is the risk of evasion.
"It
is a problem that needs to be dealt with," Barnett said. "That's
why it helps to have ModSecurity directly embedded in Microsoft IIS
for example, so you won't have as many issues."
That
said, he noted that testing for evasions is critically important to
help continually make ModSecurity more secure and to help users
understand any potential limitations.
Barnett
is speaking in a Turbo Talk on Wednesday and is also demoing the new
ModSecurity for IIS during the Black Hat Arsenal tools demonstration.
Code is set to be publicly available on Wednesday as well.
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.