Mũ đen: Tường lửa ứng dụng web nguồn mở đến với Microsoft IIS

Sau10 năm trong Apache, ứng dụng web tường lửa nguồn mởnổi tiếng ModSecurity đang mở rộng dấu vết của mìnhsang máy chủ web IIS của Microsoft.

After10 years on Apache, the popular open source ModSecurity webapplication firewall is expanding its footprint to Microsoft's IISweb server.

By Sean Michael Kerner | July 24, 2012

Theo:http://www.esecurityplanet.com/windows-security/black-hat-open-source-web-application-firewall-comes-to-microsoft-iis.html

Bài được đưa lênInternet ngày: 24/07/2012

LASVEGAS. Đối với thập niên vừa qua, những người sửdụng máy chủ web Apache đã có khả năng hưởng lợi từứng dụng web tường lửa nguồnmở ModSecurity(WAF). Tại hội nghị an ninh MũĐen tuần này, các lập trình viên của ModSecuritylần đầu tiên sẽ làm cho WAF sẵn sàng cho máy chủ webMicrosoft IIS cũng như máy chủ web nguồn mở nginx.

Một WAF là một mẩusống còn của hạ tầng an ninh Internet giúp lọc các yêucầu đi vào tới các ứng dụng, đưa ra một tường lửacho những chỗ bị tổn thương của ứng dụng. RyanBarnett, nhà nghiên cứu về an ninh tại Trustwave, người đỡđầu thương mại hàng đầu đằng sau ModSecurity, đangthiết lập để chính thức đưa ra các phiên bản mớicủa ModSecurity trong một “Cuộc nói chuyện Tốc độcao” tại Mũ Đen.

Trong một cuộc phỏngvấn với eSecurity Planet, Barnett đã giải thích rằngmột thập kỷ qua khi ModSecurity từng lần đầu đượcxây dựng, Apache từng là máy chủ web phổ biến nhất vàđiều đó giải thích vì sao nó đã được chọn như lànền tảng ban đầu. Hướng nhanh tới ngày nay, và Apachevẫn là máy chủ web phổ biến nhất thế giới, nhưng nóbây giờ đang đối mặt với sự cạnh tranh ngày một giatăng từ cả Microsoft IIS và nginx. Ông đã lưu ý rằngApache chiếm khoảng 60% thị trường các máy chủ web hiệnnay, nghĩa là ModSecurity còn chưa phục vụ cho khoảng 40%còn lại.

Nỗ lực để mangModSecurity qua Microsoft IIS đặc biệt không phải là thứduy nhất mà Trustwave và cộng đồng nguồn mở đã làm.Barnett nói rằng họ lần đầu đã phải có sự hỗ trợcủa Trung tâm Ứng cứu An ninh của Microsoft (MSRC).Trustwave từng là một đối tác của MSRC theo chương trìnhBảo vệ Tích cực của Microsoft (MAPP), nó đưa ra cho cácđối tác các dữ liệu trước trong các chỗ bị tổnthương của Bản vá Ngảy thứ ba trong một nỗ lực đểcho phép vá được nhanh hơn.

LASVEGAS. For the last decade, Apache web server users have been able tobenefit f-rom the open source ModSecurityWeb Application Firewall (WAF). At the BlackHat security conference this week, ModSecurity developers willfor the first time make their WAF available for the Microsoft IIS webserver as well as the nginx open source web server.

AWAF is a critical piece of Internet security infrastructure thathelps to filter inbound requests to applications, providing afirewall for application vulnerabilities. Ryan Barnett, securityresearcher at Trustwave, the leading commercial sponsor behindModSecurity, is set to formally release the new versions ofModSecurity in a "Turbo Talk" at Black Hat.

Inan interview with eSecurityPlanet, Barnettexplained that a decade ago when ModSecurity was first being built,Apache was the most popular web server and that's why it was chosenas the initial platform. Fast forward to today, and Apache is stillthe most popular web server in the world, but it is now facingincreasing competition f-rom both Microsoft IIS and nginx. He notedthat Apache roughly holds 60 percent of the web server market now,meaning that ModSecurity was leaving 40 percent un-served.

Theeffort to bring ModSecurity over to Microsoft IIS in particular wasnot one that Trustwave and the open source community embarked onalone. Barnett said that they first had to get the support of theMicrosoft Security Response Center (MSRC). Trustwave had already beena partner of the MSRC by way of the MAPP (Microsoft ActiveProtections Program), which provides partners with advance data onPatch Tuesday vulnerabilities in an effort to enable faster patching.

Withcommercial rules that Trustwave sells for ModSecurity, the companyprovides "virtual patching" for Microsoft applicationvulnerabilities. In that way, enterprises that are not able to patchtheir applications immediately can get a virtual patch deployed ontheir WAF that insulates them f-rom vulnerability.

Eventhough Microsoft IIS is not an open source web server, Barnettstressed that ModSecurity for IIS is open source and remains licensedunder the open source Apache v2.0 license. The source code for thenew release is set to be freely available as of Wednesday on theSourceforge open source code repository.

Với các qui địnhthương mại mà Trustwave bán đối với ModSecurity, công tynày cung cấp “việc vá ảo” cho những chỗ bị tổnthương của các ứng dụng Microsoft. Theo cách đó, cácdoanh nghiệp mà không có khả năng vá các ứng dụng củahọ ngay lập tức có thể có được một bản vá ảođược triển khai trong WAF mà cách ly chúng khỏi chỗ bịtổn thương.

Thậm chí dù MicrosoftIIS không phải là một máy chủ web nguồn mở, thì Barnettcũng đã nhấn mạnh rằng ModSecurity cho IIS là nguồn mởvà vẫn giữ được cấp phép theo giấy phép nguồn mởApache v2.0. Mã nguồn cho phiên bản mới được thiết lậpđể tự do sẵn sàng vào hôm thứ tư trên kho mã nguồnmở Sourceforge.

Trong khi bản thânModSecurity vẫn là nguồn mở, thì Trustwave như một thựcthể thương mại tiếp tục bán các qui định thương mạicho sản phẩm này. Các qui định thương mại bổ sung chocác tập hợp qui định nguồn mở cốt lõi, mà đưa ranhững bảo vệ chung cho các chỗ bị tổn thương của cácứng dụng.

Barnett đã thừa nhậnrằng đi xuống các qui định nguồn mở của ModSecurity làviệc họ có thể tạo ra các xác thực sai. Cách để khắcphục điều đó là với việc tinh chỉnh bổ sung của hệthống qua thời gian.

“Từ một viễn cảnhcủa WAF, nhiều người mệt mỏi trong việc thử tiệt trừtoàn bộ các dạng tấn công”, Barnett nói. “Nhưng thựcsự mục tiêu cuối cùng của bạn sẽ là gì với mộtWAF là để giảm thiểu bề mặt giao diện tấn công”.

Barnett đã bổ sungrằng một WAF không phải luôn có ngữ ảnh mã nguồn đầyđủ của một ứng dụng được đưa ra và có các dạngtrung gian tấn công nhất định mà có thể bị bỏ qua.Nói vậy, ông đã lưu ý rằng ModSecurity cung cấp một sựphòng thủ cứng cỏi và sẽ giúp giảm rủi ro.

Tại Mũ Đen tuầnnày, nhà nghiên cứu về an ninh Ivan Ritsic của Qualys đangnói trong một phiên nơi mà ông sẽ nhặt ra các lỗ hổngtrong công nghệ WAF, với chủ đề chung rằng chúng sẽkhông an ninh như mọi người nghĩ. Trong khi Barnett nói ôngtôn trọng quan điểm của Ritsic, ông không nhất thiếtđồng ý rằng công nghệ WAF là không an ninh.

Barnett đã lưu ý rằngtrong năm 2011, đã từng có một thách thức tiêm SQL vớiModSecurity nơi mà các nhà nghiên cứu đã được yêu cầuthử lẩn tránh WAF. Trong kết quả đầu tiên, 9 ngườikhác nhau đã thấy những lẩn tránh, nhưng mất ít nhất10 tiếng đồng hồ cho những lẩn tránh đó được pháthiện.

WhileModSecurity itself remains open source, Trustwave as a commercialentity continues to sell commercial rules for the product. Thecommercial rules supplement the core open source ruleset, whichprovide generic protections for application vulnerabilities.

Barnettadmitted that the downside of the generic open source ModSecurityrules is that they can generate false positives. The way to getaround that is with additional tuning of the system over time.

"F-roma WAF perspective, a lot of people get tied up in trying to totallyeradicate different types of attacks," Barnett said. "Butreally what your end goal should be with a WAF is to reduce theattack surface."

Barnettadded that a WAF doesn't always have the full code context of a givenapplication and there are certain types of attack vectors that can bemissed. That said, he noted that ModSecurity does provide a soliddefense and will help to reduce risk.

AtBlack Hat this week, Qualys security researcher Ivan Ritsic isspeaking in a session whe-re he will be poking holes in WAFtechnology, with the general theme being that they aren't as secureas people think. While Barnett says he respects Ritsic's view, hedoesn't necessarily agree that WAF technology is insecure.

Barnettnoted that in 2011, there was a SQL Injection challenge withModSecurity whe-re researchers were asked to try to evade the WAF. Inthe final result, nine different people found evasions, but it took aminimum of 10 hours for those evasions to be discovered.

“Bất kỳ công nghệnào cũng có các vấn đề và vấn đề chính của Ivan làvấn đề không phù hợp trở kháng”, Barnett nói.

Barnett đã giải thíchrằng sự không phù hợp về trở kháng xảy ra khi côngnghệ an ninh phân tích, bình thường hóa, và phân tích cúpháp dữ liệu khác nhau so với cách mà hệ thống đíchlàm việc. Khi có một sự không phù hợp trở kháng, thìsẽ có rủi ro về sự lảng tránh.

“Đây là một vấnđề cần phải được giải quyết”, Barnett nói. “Điềuđó giải thích vì sao nó giúp để có ModSecurity trựctiếp được nhúng vào trong IIS của Microsoft, ví dụ thế,sao cho bạn sẽ không có nhiều vấn đề”.

Nói vậy, ông đã lưuý rằng việc kiểm thử đối với những lảng tránh làquan trọng sống còn để giúp luôn liên tục làm choModSecurity an ninh hơn và giúp những người sử dụng hiểuđược bất kỳ hạn chế tiềm năng nào.

Barnett đang nói trongmột Cuộc nói chuyện Nhanh (Turbo Talk) hôm thứ tư và cũngđang giới thiệu ModSecurity mới cho IIS trong khi diễn ratrình diễn các công cụ của Kho vũ khí của Mũ Đen. Mãnguồn cũng được thiết lập để sẵn sàng công khai vàohôm thứ tư.

"Anytechnology has issues and Ivan's main issue is the issue of impedancemismatch," Barnett said.

Barnettexplained that impedance mismatch occurs when security technologyanalyses, normalizes, and parses data differently than how thedestination system operates. When there is an impedance mismatch,there is the risk of evasion.

"Itis a problem that needs to be dealt with," Barnett said. "That'swhy it helps to have ModSecurity directly embedded in Microsoft IISfor example, so you won't have as many issues."

Thatsaid, he noted that testing for evasions is critically important tohelp continually make ModSecurity more secure and to help usersunderstand any potential limitations.

Barnettis speaking in a Turbo Talk on Wednesday and is also demoing the newModSecurity for IIS during the Black Hat Arsenal tools demonstration.Code is set to be publicly available on Wednesday as well.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com