امروزه بسیاری از افراد شرکت F5 را به عنوان تولیدکننده فایروال برنامههای کاربردی یا WAF میشناسند. اگرچه این شرکت با محصولات LTM® & GTM™ که هرکدام ماژولهای BIG-IP هستند شناخته شد اما به تازگی WAFها (یا همان مدیر امنیت برنامههای کاربردی یا ASM) به محبوبیت زیادی دست یافتهاند.
محبوبیت اصلی F5 در ارائه محصولات “Load Balancing” است. دستگاه F5 با ویژگی Load Balancing تحت عنوان “BIG-IP” شناخته میشوند. فرض کنید چندین سرور داخل شبکهتان دارید. یکسری درخواستها از سوی کلاینتها برای شما ارسال میشود. BIG-IP این درخواستها را بین سرورها تقسیم میکند و به جای یک سرور، از چندین سرور استفاده میشود.
سیستم BIG-IP همچنین مجهز به قابلیت SSL Offloading است و بهترین محصول برای خاتمه به ترافیک SSL / TLS محسوب میشود. شبکهها معمولاً برای مقابله با بار اضافی رمزگذاری دادهها در سرور، از راهکار SSL Offloading استفاده میکنند؛ یعنی رمزگذاری SSL را از ترافیک ورودی و پیش از رسیدن به مقصد حذف میکنند. بنابراین با استفاده از BIG-IP میتوان ترافیک رمزنگاری نشده را به راحتی مشاهده کرده و مثل یک WAF سیاستهای امنیتی را به آن اعمال کرد یا با استفاده از ASM قوانین دسترسی و شناسایی را پیادهسازی کرد.
این تغییر یک پیشرفت مهم محسوب میشود اما متأسفانه بسیاری از افراد نمیدانند که همه ماژولهای خانواده BIG-IP امنیت محور هستند و قابلیت فایروال را دارند. حتی LTM ساده هم در اصل یک فایروال دارای مجوز ICSA سنتی بر اساس پورت و آیپی است که از چندین سال پیش ارایه شده است. در این مقاله جنبههای مختلف F5 از منظر یک فایروال که آن را تبدیل به کاملترین و پیشرفتهترین فایروال موجود در بازار کردهاند بررسی میکنیم.
مدیر ترافیک محلی یا LTM
Local Traffic Manager یا به اختصار LTM ماژول اصلی در سیستم گواهینامههای F5 وجود دارد. LTM نیز مشابه سایر محصولات F5 روی سختافزارهای درون سازمانی و همچنین روی پلتفرمهای ابر محبوب مثل AWS، آژور و ابر گوگل قابل نصب است. LTM مثل یک پروکسی کامل عمل کرده و واسط بین کاربر و صفات وب است. سازمانها نیز از این قابلیت LTM جهت فراهم کردن امکان کنترل کامل برای توسعهدهندگان برنامههای کاربردی استفاده میکنند. همچنین امکان اضافه کردن اتصالات سمت کلاینت و سمت سرور به صورت مستقل در LTM وجود دارد. LTM کاملترین تعدیل کننده بار یا همان Load Balancer موجود در بازار و دارای قابلیتهای بیشماری از جمله خاتمه و تخلیه ترافیک SSL / TLS، ساده کردن مدیریت گواهینامهها، تعدیل بار ترافیک بر اساس عملکرد و مزارع سرور بسیار عظیم است. LTM یک فایروال مبتنی بر پورت و آیپی هم محسوب میشود. F5 دارای نقاط ورودی متعددی است و هیچ راهی برای ورود و خروج ترافیک از دستگاه وجود ندارد مگر اینکه شما این نقاط را به صورت صریح باز کنید. در ادامه به بررسی روشهای مختلف ورود ترافیک به ماژول F5 BIG-IP LTM و خروج ترافیک از آن میپردازیم:
رابط مدیریتی
میتوانید با استفاده از همین رابط، F5 را مدیریت کنید. این رابط یک پورت لن فیزیکی روی دستگاههای سختافزاری F5 BIG-IP و یک رابط کاربری منطقی است که میتوانید یک کارت شبکه یا NIC از دستگاههای مجازی را به آنها انتساب دهید. در حالت پیش فرض، رابط مدیریت برای پروتکل SSH به پورت 22 و برای دسترسی به وب با پروتکل HTTPS به پورت 443 گوش میکند. این رابط معمولاً روی یک آدرس خصوصی RFC-1918 قرار دارد و هرگز نباید آن را در معرض دسترسی از طریق اینترنت قرار داد. احراز هویت میتواند محلی باشد یا برای بعضی سرویسهای دایرکتوری خاص مثل LDAP/ AD یا Active Directory انجام شود. کاربران از پروتکل LDAP برای جستجو و دستیابی به اطلاعات مدنظرشان در بستر اینترنت یا سازمان خود استفاده میکنند.
Self-IP
این آیپیها اینترفیسهای منطقی هستند که میتوانید آنها را برای دادههایی که BIG-IP منتقل میکند، تعریف کنید. این آیپیها را میتوان به عنوان اینترفیس مرحله بعد یا اینترفیس خروج در نظر گرفت. اینترفیس LTM تنظیماتی برای قفل پورت (port lockdown) دارد که با استفاده از آن میتوانید ترافیک را روی پورتهای مختلف پذیرفته یا رد کنید. معمولاً درک صحیحی از این تنظیمات وجود ندارد. بهویژه اینکه تصور بسیاری از افراد این است که باید برای جریان یافتن ترافیک از self-ipها، آیپیها و پورتهای خاصی را در این تنظیمات مجاز اعلام کنند. هدف از انجام این تنظیمات این است که امکان خاتمه اتصال برای self-ipهای دلخواه را فراهم کند. این قابلیت برای بعضی از حالتهای خاص مثل اتصال به self-ip به عنوان اینترفیس مدیریتی (که انجام آن توصیه نمیشود)، ترافیک iQuery، ترافیک HA / Sync، نقاط پایانی خاتمه IPSEC مفید است. اگر در هیچ یک از این حالات خاص نیستید، باید تنظیمات قفل پورت را روی allow-none قرار دهید.
سرورهای مجازی (VIPS[1])
این سرورها مخازنی برای همه اجزای پیکربندی هستند که F5 BIG-IP ارایه میدهد. سایر ماژولها مثل ASM، APM و AFM (که در ادامه مورد بررسی قرار میدهیم) جزو سرورهای مجازی هستند و معمولاً به صورت یک پروفایل پیکربندی میشوند – به غیر از GTM/DNS – که مخازن خاص خود را دارد که به آنها Wide-IP یا WIP گفته میشود. سرورهای مجازی از یک آیپی و پورت تشکیل شدهاند؛ از همان ابتدا آیپی مجازی را فقط برای پورتهای مجاز نگه دارید چون فقط برای همان موارد مجاز میتوانید اجازه عبور ترافیک از طریق سرور مجازی را فراهم کنید. برای مثال اگر یک VIP تنظیم کردهاید که به پورت 80 و آیپی 2.2.2.2 گوش میکند، فقط میتواند اجازه عبور ترافیک از همین پورت و آیپی را فراهم کند.
NAT و SNAT
بخشهای F5 BIG-IP LTM در صورت عدم استفاده صحیح جزو آسیبپذیرترین قسمتها محسوب میشوند. اگرچه میتوان NAT و SNATها را از طریق فهرست آیپی منشأ بر اساس منبع محدود کرد اما امکان محدود کردن پورتها وجود ندارد. زمانی که یک NAT یا SNAT را پیکربندی میکنید، اجازه عبور کل ترافیک برای آن آیپیهای خاص را فراهم میکنید. برای استفاده امن از NAT و SNATها در BIG-IP میتوانید از فیلترهای بسته عمومی یا AFM برای قفل کردن ترافیک استفاده کنید. NAT و SNATها از جمله دلایل مهم استفاده از ماژول AFM توسط افراد هستند چون AFM امکان کنترل دقیقتر ترافیک بر اساس آیپی و پورت به جای فیلتر بسته به صورت سرتاسری را فراهم میکند – چون فیلتر بسته همین است یعنی به کل ترافیک اعمال میشود.
مدیر ترافیک سرتاسری ([2]GTM) که (به نام BIG-IP DNS شناخته میشود)
بسیاری از محصولات معمولاً نامها را به آدرس آیپی ترجمه میکنند اما هیچ سیستمی، کار تبدیل نام هوشمند را بهتر از F5 انجام نمیدهد. GTM که همکاری نزدیکی با سایر ماژولها دارد، استاندارد اصلی در زمینه بازیابی از فاجعه و حفظ دسترسی به برنامههای کاربردی فعال است. GTM میتواند در محیطهای درون سازمانی، محیط ابر یا معماری ترکیبی سلامت یک برنامه کاربردی که در سطح جهان فعالیت دارد را تحلیل کند و مشتریان شما را به بهترین و مناسبترین مقصد هدایت کند – با استفاده از یک URL برای آن برنامه کاربردی. خیلی از افراد با امکانات امنیتی GTM آشنا نیستند که محبوبترین آنها عبارتند از:
DNSSEC
با به کار بستن یک زنجیره اعتماد در سلسله مراتب DNS، از جامعیت دادههای ارایه شده در فرایند جستجوی نام دامنه اطمینان ایجاد میکند. با GTM میتوانید به راحتی از DNSSEC استفاده کنید و فرایند امضای کلید را روان سازی میکند.
مقابله با حملات DNS با استفاده از iRules
از حملات تقویت سیستم دامنه، حمله سیل DNS، تخریب بستههای DNS و غیره پیشگیری میکند.
DNS Express (کش پرسرعت DNS)
قابلیت مقابله با حملات محروم سازی از سرویس توزیع شده را با تنظیم یک حد آستانه برای تعداد درخواست در ثانیه ([3]RPS) دارد.
مدیر پیشرفته فایروال (AFM)
AFM BIG-IP راهکار F5 برای ارتقای سیستم فیلتر بسته سرتاسری ارائه شده در ماژول LTM و همچنین امکان کنترل گزارشهای سیستم فیلتر بسته سرتاسری است. به طور کلی با AFM میتوانید نسبت به فیلترهای سرتاسری، فایروال مبتنی بر پورت و آیپی را به صورت دقیقتر و در نقاط بیشتری کنترل کرده و یک گزارش دقیق از آنچه مسدود میشود داشته باشید.
بر خلاف فیلتر بسته سرتاسری که (همانطور که از نام آن مشخص است) به صورت سرتاسری و عمومی اعمال میشود، ATM حالتهای مختلفی از جمله حالت سرتاسری برای اعمال قوانین در اختیار شما قرار میدهد. فهرست این حالتها عبارتند از:
-
سرتاسری
-
دامنه مسیریابی
-
سرور مجازی
-
Self-IP
-
رابط مدیریت
همانطور که پیش از این اشاره شد، سرورهای مجازی ایمن هستند و فقط ترافیکی که شما اجازه میدهید را پردازش میکنند اما این سرورها کاربردهایی فراتر از کاربردهای سنتی دارند. برای مثال ممکن است بخواهید امکان مسیریابی BIG-IPها وجود داشته باشد. فیلترهایی هستند که میتوانید آنها را در خود سرور مجازی اعمال کنید تا آدرسهای منبع و پورتها و آدرسهای مقصد را محدود کنید اما با AFM میتوانید با استفاده از فهرستها، کنترل دقیقتر با جزئیات بیشتری بر فایروال داشته باشید.
مدیر امنیت برنامههای کاربردی (ASM[4])
این سرویس در اصل WAF F5 است و اگر با نحوه رد کردن یا عبور دادن ترافیک توسط فایروالهای سنتی بر اساس پورت و آیپی آشنا باشید، میتوان گفت که F5 ASM هر آنچه پس از کاراکتر / در یک نشانی وب باشد را فیلتر و حفاظت میکند – بخصوص از نظر محتوای درخواستهایی که به برنامههای کاربردی تحت وب شما ارسال میشوند و شامل پارامترهای ارسالی و URI هستند. برنامههای کاربردی تحت وبی که ایستا نیستند و قابلیت دریافت ورودی از کاربران را دارند، در معرض خطر آسیب پذیری زیادی قرار دارند. سرویس ASM F5 در خط مقدم مقابله با تهدیدات وب قرار دارد و به صورت منظم به روزرسانیهایی برای آن منتشر میشود که شامل امضای حملات برای مسدود کردن ترافیک مخرب هستند. حالا F5 به خاطر تولید فایروال برنامههای کاربردی تحت وب در فهرست Magic Quadrants مؤسسه گارتنر قرار دارد و از رقبای با سابقه و قدیمی خودش در این زمینه پیشی گرفته است. همچنین ASM قابلیتهای امنیت پروتکل را به DNS، HTTP، FTP، SSH و SMTP اضافه کرده است. امکانات مختلفی برای مقابله با حملات محرومسازی از سرویس در ASM وجود دارد مثل دفاع پیشگیرانه در برابر رباتها، تشخیص مبتنی بر TPS، تشخیص مبتنی بر رفتار و فشار، ارتقای کارایی، تشخیص موقعیتهای جغرافیای و غیره.
علاوه بر این، به تازگی F5 یک افزونه برای ماژول ASM تحت عنوان AWAF (یا WAF پیشرفته) منتشر کرده است. بعضی از مزایای مهم سرویس AWAF F5 از جمله حفاظت در برابر حملات پرکردن اعتبارنامه و مقابله با ربات مربوط به حفاظت در برابر جعل هستند. البته امکانات AWAF شامل پیکربندیهای امن و هدایت شده و داشبورد سازگاری با استانداردهای OWASP هم هستند.
مدیر سیاست برنامههای کاربردی ([5]APM)
با استفاده از این ابزار میتوانید هر برنامه کاربردی را از طریق هر دستگاهی به راحتی ایمنسازی کرده و دسترسیهای آن را کنترل کنید. APM دسترسی به برنامههای کاربردی را یکپارچهسازی کرده و این امکان را فراهم میکند که کارمندان و پیمانکاران بر اساس عضویتشان در سرویس دایرکتوری، به یک مجموعه برنامه کاربردی محدود دسترسی داشته باشند. سرویس APM F5 مجهز به قابلیتهای مدیریت دسترسی و هویت در سطح سازمانی مثل دسترسی یکپارچه، SAML، احرازهویت NTLM ساده و روشهای احرازهویت پیشرفتهتر مثل احرازهویت چند مرحلهای و کربروس است. حتی میتوان این سرویس را با پلتفرمهای مدیریت دستگاههای همراه مثل airwatch ادغام کرد که میتواند به عنوان فایروال برای دستگاههای همراه مورد استفاده در سازمان عمل کنند.
[1] Virtual Servers
[2] Global Traffic Manager
[3] request per second
[4] Application Security Manager
[5] Application Policy Manager
منبع: wtit