فایروال F5: آشنایی با انواع فایروال‌های پلتفرم BIG-IP

فایروال F5: آشنایی با انواع فایروال‌های پلتفرم BIG-IP

امروزه بسیاری از افراد شرکت F5 را به عنوان تولیدکننده فایروال برنامه‌های کاربردی یا WAF می‌شناسند. اگرچه این شرکت با محصولات LTM® & GTM که هرکدام ماژول‌های BIG-IP هستند شناخته شد اما به تازگی ‌WAFها (یا همان مدیر امنیت برنامه‌های کاربردی یا ASM) به محبوبیت زیادی دست یافته‌اند.

محبوبیت اصلی F5 در ارائه محصولات “Load Balancing” است. دستگاه F5 با ویژگی Load Balancing تحت عنوان “BIG-IP” شناخته می‌شوند. فرض کنید چندین سرور داخل شبکه‌تان دارید. یکسری درخواست‌ها از سوی کلاینت‌ها برای شما ارسال می‌شود. BIG-IP این درخواست‌ها را بین سرورها تقسیم می‌کند و به جای یک سرور، از چندین سرور استفاده می‌شود.

سیستم BIG-IP همچنین مجهز به قابلیت SSL Offloading است و بهترین محصول برای خاتمه به ترافیک SSL / TLS محسوب می‌شود. شبکه‌ها معمولاً برای مقابله با بار اضافی رمزگذاری داده‌ها در سرور، از راهکار SSL Offloading استفاده می‌کنند؛ یعنی رمزگذاری SSL را از ترافیک ورودی و پپیش از رسیدن به مقصد حذف می‌کنند. بنابراین با استفاده از BIG-IP می‌توان ترافیک رمزنگاری نشده را به راحتی مشاهده کرده و مثل یک WAF سیاست‌های امنیتی را به آن اعمال کرد یا با استفاده از ASM قوانین دسترسی و شناسایی را پیاده‌سازی کرد.

این تغییر یک پیشرفت مهم محسوب می‌شود اما متأسفانه بسیاری از افراد نمی‌دانند که همه ماژول‌های خانواده BIG-IP امنیت محور هستند و قابلیت فایروال را دارند. حتی LTM ساده هم در اصل یک فایروال دارای مجوز ICSA سنتی بر اساس پورت و آی‌پی است که از چندین سال پیش ارایه شده است. در این مقاله جنبه‌های مختلف F5 از منظر یک فایروال که آن را تبدیل به کامل‌ترین و پیشرفته‌ترین فایروال موجود در بازار کرده‌اند بررسی می‌کنیم.

 

مدیر ترافیک محلی یا LTM

Local Traffic Manager یا به اختصار LTM ماژول اصلی در سیستم گواهینامه‌های F5 وجود دارد. LTM نیز مشابه سایر محصولات F5 روی سخت‌افزارهای درون سازمانی و همچنین روی پلتفرم‌های ابر محبوب مثل AWS، آژور و ابر گوگل قابل نصب است. LTM مثل یک پروکسی کامل عمل کرده و واسط بین کاربر و صفات وب است. سازمان‌ها نیز از این قابلیت LTM جهت فراهم کردن امکان کنترل کامل برای توسعه‌دهندگان برنامه‌های کاربردی استفاده می‌کنند. همچنین امکان اضافه کردن اتصالات سمت کلاینت و سمت سرور به صورت مستقل در LTM وجود دارد. LTM کامل‌ترین تعدیل کننده بار یا همان Load Balancer موجود در بازار و دارای قابلیت‌های بی‌شماری از جمله خاتمه و تخلیه ترافیک SSL / TLS، ساده کردن مدیریت گواهینامه‌ها، تعدیل بار ترافیک بر اساس عملکرد و مزارع سرور بسیار عظیم است. LTM یک فایروال مبتنی بر پورت و آی‌پی هم محسوب می‌شود. F5 دارای نقاط ورودی متعددی است و هیچ راهی برای ورود و خروج ترافیک از دستگاه وجود ندارد مگر اینکه شما این نقاط را به صورت صریح باز کنید. در ادامه به بررسی روش‌های مختلف ورود ترافیک به ماژول F5 BIG-IP LTM و خروج ترافیک از آن می‌پردازیم:

  • رابط مدیریتی: می‌توانید با استفاده از همین رابط، F5 را مدیریت کنید. این رابط یک پورت لن فیزیکی روی دستگاه‌های سخت‌افزاری F5 BIG-IP و یک رابط کاربری منطقی است که می‌توانید یک کارت شبکه یا NIC از دستگاه‌های مجازی را به آنها انتساب دهید. در حالت پیش فرض، رابط مدیریت برای پروتکل SSH به پورت 22 و برای دسترسی به وب با پروتکل HTTPS به پورت 443 گوش می‌کند. این رابط معمولاً روی یک آدرس خصوصی RFC-1918 قرار دارد و هرگز نباید آن را در معرض دسترسی از طریق اینترنت قرار داد. احراز هویت می‌تواند محلی باشد یا برای بعضی سرویس‌های دایرکتوری خاص مثل LDAP/ AD یا Active Directory انجام شود. کاربران از پروتکل LDAP برای جستجو و دستیابی به اطلاعات مدنظرشان در بستر اینترنت یا سازمان خود استفاده می‌کنند.

 

  • Self-IP: این آی‌پی‌ها اینترفیس‌های منطقی هستند که می‌توانید آنها را برای داده‌هایی که BIG-IP منتقل می‌کند، تعریف کنید. این آی‌پی‌ها را می‌توان به عنوان اینترفیس مرحله بعد یا اینترفیس خروج در نظر گرفت. اینترفیس LTM تنظیماتی برای قفل پورت (port lockdown) دارد که با استفاده از آن می‌توانید ترافیک را روی پورت‌های مختلف پذیرفته یا رد کنید. معمولاً درک صحیحی از این تنظیمات وجود ندارد. به‌ویژه اینکه تصور بسیاری از افراد این است که باید برای جریان یافتن ترافیک از self-ipها، آی‌پی‌ها و پورت‌های خاصی را در این تنظیمات مجاز اعلام کنند. هدف از انجام این تنظیمات این است که امکان خاتمه اتصال برای self-ipهای دلخواه را فراهم کند. این قابلیت برای بعضی از حالت‌های خاص مثل اتصال به self-ip به عنوان اینترفیس مدیریتی (که انجام آن توصیه نمی‌شود)، ترافیک iQuery، ترافیک HA / Sync، نقاط پایانی خاتمه IPSEC مفید است. اگر در هیچ یک از این حالات خاص نیستید، باید تنظیمات قفل پورت را روی allow-none قرار دهید.

 

  • سرورهای مجازی (VIPS[1]): این سرورها مخازنی برای همه اجزای پیکربندی هستند که F5 BIG-IP ارایه می‌دهد. سایر ماژول‌ها مثل ASM، APM و AFM (که در ادامه مورد بررسی قرار می‌دهیم) جزو سرورهای مجازی هستند و معمولاً به صورت یک پروفایل پیکربندی می‌شوند – به غیر از GTM/DNS – که مخازن خاص خود را دارد که به آنها Wide-IP یا WIP گفته می‌شود. سرورهای مجازی از یک آی‌پی و پورت تشکیل شده‌اند؛ از همان ابتدا آی‌پی مجازی را فقط برای پورت‌های مجاز نگه دارید چون فقط برای همان موارد مجاز می‌توانید اجازه عبور ترافیک از طریق سرور مجازی را فراهم کنید. برای مثال اگر یک VIP تنظیم کرده‌اید که به پورت 80 و آی‌پی 2.2.2.2 گوش می‌کند، فقط می‌تواند اجازه عبور ترافیک از همین پورت و آی‌پی را فراهم کند.

 

  • NAT و SNAT: بخش‌های F5 BIG-IP LTM در صورت عدم استفاده صحیح جزو آسیب‌پذیرترین قسمت‌ها محسوب می‌شوند. اگرچه می‌توان NAT و SNATها را از طریق فهرست آی‌پی منشأ بر اساس منبع محدود کرد اما امکان محدود کردن پورت‌ها وجود ندارد. زمانی که یک NAT یا SNAT را پیکربندی می‌کنید، اجازه عبور کل ترافیک برای آن آی‌پی‌های خاص را فراهم می‌کنید. برای استفاده امن از NAT و SNATها در BIG-IP می‌توانید از فیلترهای بسته عمومی یا AFM برای قفل کردن ترافیک استفاده کنید. NAT و SNATها از جمله دلایل مهم استفاده از ماژول AFM توسط افراد هستند چون AFM امکان کنترل دقیق‌تر ترافیک بر اساس آی‌پی و پورت به جای فیلتر بسته به صورت سرتاسری را فراهم می‌کند – چون فیلتر بسته همین است یعنی به کل ترافیک اعمال می‌شود.

 

مدیر ترافیک سرتاسری ([2]GTM) که (به نام BIG-IP DNS شناخته می‌شود)

بسیاری از محصولات معمولاً نام‌ها را به آدرس آی‌پی ترجمه می‌کنند اما هیچ سیستمی، کار تبدیل نام هوشمند را بهتر از F5 انجام نمی‌دهد. GTM که همکاری نزدیکی با سایر ماژول‌ها دارد، استاندارد اصلی در زمینه بازیابی از فاجعه و حفظ دسترسی به برنامه‌های کاربردی فعال است. GTM می‌تواند در محیط‌های درون سازمانی، محیط ابر یا معماری ترکیبی سلامت یک برنامه کاربردی که در سطح جهان فعالیت دارد را تحلیل کند و مشتریان شما را به بهترین و مناسب‌ترین مقصد هدایت کند – با استفاده از یک URL برای آن برنامه کاربردی. خیلی از افراد با امکانات امنیتی GTM آشنا نیستند که محبوب‌ترین آنها عبارتند از:

  • DNSSEC: با به کار بستن یک زنجیره اعتماد در سلسله مراتب DNS، از جامعیت داده‌های ارایه شده در فرایند جستجوی نام دامنه اطمینان ایجاد می‌کند. با GTM می‌توانید به راحتی از DNSSEC استفاده کنید و فرایند امضای کلید را روان سازی می‌کند.
  • مقابله با حملات DNS با استفاده از iRules: از حملات تقویت سیستم دامنه، حمله سیل DNS، تخریب بسته‌های DNS و غیره پیشگیری می‌کند.
  • DNS Express (کش پرسرعت DNS): قابلیت مقابله با حملات محروم سازی از سرویس توزیع شده را با تنظیم یک حد آستانه برای تعداد درخواست در ثانیه ([3]RPS) دارد.

 

مدیر پیشرفته فایروال (AFM)

AFM BIG-IP راهکار F5 برای ارتقای سیستم فیلتر بسته سرتاسری ارائه شده در ماژول LTM و همچنین امکان کنترل گزارش‌های سیستم فیلتر بسته سرتاسری است. به طور کلی با AFM می‌توانید نسبت به فیلترهای سرتاسری، فایروال مبتنی بر پورت و آی‌پی را به صورت دقیق‌تر و در نقاط بیشتری کنترل کرده و یک گزارش دقیق از آنچه مسدود می‌شود داشته باشید.

بر خلاف فیلتر بسته سرتاسری که (همانطور که از نام آن مشخص است) به صورت سرتاسری و عمومی اعمال می‌شود، ATM حالت‌های مختلفی از جمله حالت سرتاسری برای اعمال قوانین در اختیار شما قرار می‌دهد. فهرست این حالت‌ها عبارتند از:

  • سرتاسری
  • دامنه مسیریابی
  • سرور مجازی
  • Self-IP
  • رابط مدیریت

همانطور که پیش از این اشاره شد، سرورهای مجازی ایمن هستند و فقط ترافیکی که شما اجازه می‌دهید را پردازش می‌کنند اما این سرورها کاربردهایی فراتر از کاربردهای سنتی دارند. برای مثال ممکن است بخواهید امکان مسیریابی BIG-IPها وجود داشته باشد. فیلترهایی هستند که می‌توانید آنها را در خود سرور مجازی اعمال کنید تا آدرس‌های منبع و پورت‌ها و آدرس‌های مقصد را محدود کنید اما با AFM می‌توانید با استفاده از فهرست‌ها، کنترل دقیق‌تر با جزئیات بیشتری بر فایروال داشته باشید.

 

مدیر امنیت برنامه‌های کاربردی (ASM[4])

این سرویس در اصل WAF F5 است و اگر با نحوه رد کردن یا عبور دادن ترافیک توسط فایروال‌های سنتی بر اساس پورت و آی‌پی آشنا باشید، می‌توان گفت که F5 ASM هر آنچه پس از کاراکتر / در یک نشانی وب باشد را فیلتر و حفاظت می‌کند – بخصوص از نظر محتوای درخواست‌هایی که به برنامه‌های کاربردی تحت وب شما ارسال می‌شوند و شامل پارامترهای ارسالی و URI هستند. برنامه‌های کاربردی تحت وبی که ایستا نیستند و قابلیت دریافت ورودی از کاربران را دارند، در معرض خطر آسیب پذیری زیادی قرار دارند. سرویس ASM F5 در خط مقدم مقابله با تهدیدات وب قرار دارد و به صورت منظم به روزرسانی‌هایی برای آن منتشر می‌شود که شامل امضای حملات برای مسدود کردن ترافیک مخرب هستند. حالا F5 به خاطر تولید فایروال برنامه‌های کاربردی تحت وب در فهرست Magic Quadrants مؤسسه گارتنر قرار دارد و از رقبای با سابقه و قدیمی خودش در این زمینه پیشی گرفته است. همچنین ASM قابلیت‌های امنیت پروتکل را به DNS، HTTP، FTP، SSH و SMTP اضافه کرده است. امکانات مختلفی برای مقابله با حملات محروم‌سازی از سرویس در ASM وجود دارد مثل دفاع پیشگیرانه در برابر ربات‌ها، تشخیص مبتنی بر TPS، تشخیص مبتنی بر رفتار و فشار، ارتقای کارایی، تشخیص موقعیت‌های جغرافیای و غیره.

علاوه بر این، به تازگی F5 یک افزونه برای ماژول ASM تحت عنوان AWAF (یا WAF پیشرفته) منتشر کرده است. بعضی از مزایای مهم سرویس AWAF F5  از جمله حفاظت در برابر حملات پرکردن اعتبارنامه و مقابله با ربات مربوط به حفاظت در برابر جعل هستند. البته امکانات AWAF شامل پیکربندی‌های امن و هدایت شده و داشبورد سازگاری با استانداردهای OWASP هم هستند.

 

مدیر سیاست برنامه‌های کاربردی ([5]APM)

با استفاده از این ابزار می‌توانید هر برنامه کاربردی را از طریق هر دستگاهی به راحتی ایمن‌سازی کرده و دسترسی‌های آن را کنترل کنید. APM دسترسی به برنامه‌های کاربردی را یکپارچه‌سازی کرده و این امکان را فراهم می‌کند که کارمندان و پیمانکاران بر اساس عضویتشان در سرویس دایرکتوری، به یک مجموعه برنامه کاربردی محدود دسترسی داشته باشند. سرویس APM F5 مجهز به قابلیت‌های مدیریت دسترسی و هویت در سطح سازمانی مثل دسترسی یکپارچه، SAML، احرازهویت NTLM ساده و روش‌های احرازهویت پیشرفته‌تر مثل احرازهویت چند مرحله‌ای و کربروس است. حتی می‌توان این سرویس را با پلتفرم‌های مدیریت دستگاه‌های همراه مثل airwatch ادغام کرد که می‌تواند به عنوان فایروال برای دستگاه‌های همراه مورد استفاده در سازمان عمل کنند.

 

[1] Virtual Servers

[2] Global Traffic Manager

[3] request per second

[4] Application Security Manager

[5] Application Policy Manager

 

 

منبع: wtit

 

نوشته های مرتبط
یک پاسخ بنویسید

نشانی ایمیل شما منتشر نخواهد شد.فیلد های مورد نیاز علامت گذاری شده اند *

دوازده − سه =