WAF നിയമങ്ങളും അവയുടെ മറികടക്കൽ രീതികളും
ഒരു വെബ് ആപ്ലിക്കേഷൻ ഫയർവാൾ (WAF) നിങ്ങളുടെ വെബ്സൈറ്റിനായുള്ള ഒരു ഡിജിറ്റൽ സുരക്ഷാ കാവൽക്കാരനായി പ്രവർത്തിക്കുന്നു. ആക്രമണകാരികൾ നിങ്ങളുടെ ആപ്ലിക്കേഷനിൽ എത്തുന്നതിന് മുമ്പ് അവരെ തടയാൻ ഇത് HTTP ട്രാഫിക് പരിശോധിക്കുന്നു.
പരമ്പരാഗത ഫയർവാളുകൾ നിങ്ങളുടെ നെറ്റ്വർക്കിനെ സംരക്ഷിക്കുന്നു. എന്നാൽ ഒരു WAF നിങ്ങളുടെ പ്രത്യേക വെബ് ആപ്പുകളെ സംരക്ഷിക്കുന്നു. SQL Injection, Cross-Site Scripting (XSS) തുടങ്ങിയ ഭീഷണികളെ കണ്ടെത്താനായി ഇത് റിക്വസ്റ്റുകളും (requests) റെസ്പോൺസുകളും (responses) പരിശോധിക്കുന്നു.
WAF-കൾ എങ്ങനെ പ്രവർത്തിക്കുന്നു:
- സിഗ്നേച്ചർ അധിഷ്ഠിത കണ്ടെത്തൽ (Signature-Based Detection): അറിയപ്പെടുന്ന മാലീഷ്യസ് കോഡുകളുടെ പാറ്റേണുകൾ ഇത് തിരയുന്നു.
- അനോമലി അധിഷ്ഠിത കണ്ടെത്തൽ (Anomaly-Based Detection): റിക്വസ്റ്റുകളിൽ പെട്ടെന്നുണ്ടാകുന്ന വർദ്ധനവ് പോലുള്ള അസാധാരണമായ പെരുമാറ്റങ്ങളെ ഇത് അടയാളപ്പെടുത്തുന്നു.
- റെപ്യൂട്ടേഷൻ അധിഷ്ഠിത കണ്ടെത്തൽ (Reputation-Based Detection): അറിയപ്പെടുന്ന മോശം IP അഡ്രസ്സുകളിൽ നിന്നുള്ള ട്രാഫിക് ഇത് തടയുന്നു.
- ബിഹേവിയറൽ അനാലിസിസ് (Behavioral Analysis): കാലക്രമേണയുള്ള മാലീഷ്യസ് ഉദ്ദേശ്യങ്ങൾ കണ്ടെത്താൻ ഇത് ഉപയോക്താക്കളുടെ സെഷനുകൾ പഠിക്കുന്നു.
WAF-കൾ ഇവയും നൽകുന്നു:
- വെർച്വൽ പാച്ചിംഗ് (Virtual Patching): സ്ഥിരമായ പരിഹാരത്തിനായി നിങ്ങൾ പ്രവർത്തിക്കുമ്പോൾ തന്നെ, സുരക്ഷാ പിഴവുകൾ ഉപയോഗിച്ചുള്ള ആക്രമണങ്ങളെ ഇത് തടയുന്നു.
- റേറ്റ് ലിമിറ്റിംഗ് (Rate Limiting): ഒരു ഐപിയിൽ നിന്നുള്ള റിക്വസ്റ്റുകൾ പരിമിതപ്പെടുത്തുന്നതിലൂടെ ഇത് ബ്രൂട്ട്-ഫോഴ്സ് (brute-force) ആക്രമണങ്ങളെ തടയുന്നു.
- ജിയോ-ഐപി ബ്ലോക്കിംഗ് (Geo-IP Blocking): പ്രത്യേക ഭൂമിശാസ്ത്രപരമായ മേഖലകളിൽ നിന്നുള്ള ട്രാഫിക് ഇത് തടയുന്നു.
ഈ സുരക്ഷാ സംവിധാനങ്ങളെ മറികടക്കാൻ ആക്രമണകാരികൾ 'ഇവേഷൻ' (evasion) രീതികൾ ഉപയോഗിക്കുന്നു. ഈ തന്ത്രങ്ങളെക്കുറിച്ച് നിങ്ങൾ അറിഞ്ഞിരിക്കണം:
- എൻകോഡിംഗും ഒബ്ഫസ്ക്കേഷനും (Encoding and Obfuscation): URL, HTML, Base64 അല്ലെങ്കിൽ Hex എൻകോഡിംഗ് ഉപയോഗിച്ച് ആക്രമണകാരികൾ പേലോഡുകൾ (payloads) ഒളിപ്പിക്കുന്നു. ഇത് ലളിതമായ നിയമങ്ങൾക്ക് കോഡ് സാധാരണമായി തോന്നാൻ കാരണമാകുന്നു.
- HTTP പാരാമീറ്റർ പൊല്യൂഷൻ (HTTP Parameter Pollution - HPP): ഒരേ പേരുള്ള ഒന്നിലധികം പാരാമീറ്ററുകൾ അവർ അയക്കുന്നു. ഇത് WAF-ഉം ആപ്പും ഡാറ്റ വായിക്കുന്ന രീതിയെ ആശയക്കുഴപ്പത്തിലാക്കുന്നു.
- ഫ്രാഗ്മെന്റേഷൻ (Fragmentation): ഒരു ഒറ്റപ്പെട്ട ആക്രമണത്തെ ഒരു റിക്വസ്റ്റിന്റെ വിവിധ ഭാഗങ്ങളിലായി ചെറിയ കഷണങ്ങളായി അവർ വിഭജിക്കുന്നു.
- കേസ് സെൻസിറ്റിവിറ്റി (Case Sensitivity): ലളിതമായ ഫിൽട്ടറുകളെ ഒഴിവാക്കാൻ അവർ uNiOn sElEcT പോലുള്ള കീവേഡുകളുടെ കേസ് (casing) മാറ്റുന്നു.
- ബിസിനസ് ലോജിക് എക്സ്പ്ലോയിറ്റേഷൻ (Business Logic Exploitation): നിങ്ങളുടെ ആപ്പ് എങ്ങനെ പ്രവർത്തിക്കുന്നു എന്നതിനെ അവർ ചൂഷണം ചെയ്യുന്നു. ഒരു WAF-ന് ഇത് ഒരു സാധുവായ റിക്വസ്റ്റ് ആയി തോന്നാം, എന്നാൽ അത് ഒരു മോഷണശ്രമമായിരിക്കും.
സുരക്ഷിതമായിരിക്കാൻ എന്തുചെയ്യണം:
- പുതിയ ഭീഷണികൾ കണ്ടെത്താൻ നിങ്ങളുടെ WAF പതിവായി അപ്ഡേറ്റ് ചെയ്യുക.
- സംശയാസ്പദമായ പാറ്റേണുകൾ കണ്ടെത്താൻ നിങ്ങളുടെ ലോഗുകൾ (logs) പരിശോധിക്കുക.
- ഫാൽസ് പോസിറ്റീവ്സ് (false positives) കുറയ്ക്കാൻ നിങ്ങളുടെ നിയമങ്ങൾ ക്രമീകരിക്കുക (tune).
- ലെയേർഡ് സെക്യൂരിറ്റി (layered security) ഉപയോഗിക്കുക. ഒരു വലിയ പ്രതിരോധ തന്ത്രത്തിന്റെ ഭാഗം മാത്രമാണ് WAF.
ഒരു WAF സുപ്രധാനമായ ഒരു ഉപകരണമാണ്, എന്നാൽ അത് പൂർണ്ണമായ ഒരു പരിഹാരമല്ല. ആക്രമണകാരികൾക്ക് മുന്നേറാൻ കഴിയാതിരിക്കാൻ നിരന്തരമായ നിരീക്ഷണവും ക്രമീകരണങ്ങളും ആവശ്യമാണ്.
സ്രോതസ്സ്: https://dev.to/godofgeeks/waf-web-application-firewall-rules-and-evasion-49p8