Apa itu Aplikasi WEB dan Perlindungan API (WAAP)

Aplikasi Web dan perlindungan API (WAAP) adalah evolusi progresif dari produk keamanan ZEVENET, Firewall Aplikasi Web (WAF). WAAP menawarkan fitur yang sama dengan WAF tradisional tetapi juga melindungi API selain aplikasi web.

Dengan evolusi layanan cloud dan SaaS (Perangkat Lunak sebagai Layanan), kebutuhan untuk mengintegrasikan berbagai lingkungan telah meningkatkan penggunaan API, memberikan solusi terbaik untuk mengatur semua layanan tersebut. Fungsionalitas ini membuat WAAP lebih canggih daripada WAF, karena seseorang dapat menggunakan WAAP di tepi jaringan yang berisi layanan publik atau mengonfigurasinya di lingkungan yang sama dengan ADC.

Jadi, di sinilah ZEVENET ADC dan WAAP bersatu untuk bekerja sama dan menawarkan perlindungan untuk aplikasi Web dan API sebelum pengiriman aplikasi.

Mengapa WAAP diperlukan

Karena seseorang dapat mengakses API dan Aplikasi web dengan mudah di internet, keamanan menjadi perhatian besar karena data sensitif terbuka. Penyerang dapat menyebabkan pelanggaran keamanan untuk mendapatkan informasi pribadi. Jadi, WAAP diperlukan karena keamanan web tradisional tidak akan menangani tugas-tugas berikut:

Pencocokan tanda tangan tidak cukup untuk keamanan aplikasi:
Konten aplikasi Web dan API terus berubah. Sehingga Signature dari konten tersebut sulit didapatkan. Karena konten dan API yang diterbitkan web terus berubah, sistem memerlukan pembelajaran terus-menerus.

Memblokir lalu lintas berdasarkan IP sumber atau Port tujuan tidak cukup:
Firewall tradisional memblokir IP dan Port, tetapi informasi ini biasanya dienkripsi. Mekanisme untuk mendekripsi, menganalisis konten, dan mengenkripsi ulang sangat penting. Kami menggunakan mekanisme TLS, sehingga WAAP dapat menawarkan tingkat keamanan yang lebih dalam.

Lalu lintas HTTP(S) saat ini paling banyak digunakan dan dapat menawarkan kerumitan dalam analisis: Sebagian besar lalu lintas web diarahkan ke protokol Layer 7 HTTP(S) dari model OSI, menawarkan kerumitan dalam perilaku protokol HTTP yang ditentukan dalam Era 80-an hingga protokol modern yang digunakan saat ini. Ini mewajibkan solusi keamanan untuk tidak hanya menggunakan mekanisme IPS atau IDS tetapi juga dapat melindungi dari serangan pada lapisan atas dalam model OSI, protokol lapisan 7 seperti HTTP dan HTTPS.

Fitur mana yang dapat ditawarkan oleh WAAP yang tidak dapat ditawarkan oleh WAF tradisional

WAAP menawarkan kemampuan luar biasa yang tidak dapat ditawarkan oleh WAF tradisional:

Otomasi dan pembelajaran: WAAP adalah elemen hidup yang terintegrasi dalam ADC. Fitur keamanan ini menerima informasi dan terus belajar menggunakan mekanisme seperti Deteksi DoS, deteksi bot, perlindungan protokol, dan penerapan, antara lain. Mesin WAAP membutuhkan saluran untuk menerima data INPUT, dimana mesin WAAP secara konstan menerima informasi baru dan membandingkan informasi yang diterima dengan data yang diproses dan diperiksa.

API dan Layanan Mikro Aman: Setiap hari, para insinyur membuat API dan layanan mikro untuk menawarkan layanan publik. WAAP harus melindungi titik akhir ini, dengan mempertimbangkan informasi yang terbuka.

Bagaimana ZEVENET berfungsi sebagai WAAP

ZEVENET ADC menyertakan modul Cybersecurity yang disebut IPDS (Sistem pencegahan dan deteksi intrusi). Modul ini menawarkan kemampuan WAAP, otomatisasi, dan pembelajaran untuk WEB dan API. ZEVENET menyertakan paket yang disebut zevenet-ipds, dan paket ini diperbarui setiap hari. Paket ini memiliki lebih dari 4 mekanisme untuk Aplikasi Web dan perlindungan API. Propertinya adalah:

Aturan daftar blokir

Daftar blokir adalah bagian dari mekanisme keamanan untuk mengelompokkan lalu lintas berdasarkan geolokasi dan sumber yang berbeda, seperti yang dijelaskan di bawah ini:

geo_*: Daftar blokir ini mencakup IP dan jaringan berdasarkan negara.
TOR_node: Daftar blokir ini diperoleh dari proyek TOR. Di sini kita dapat menemukan IP sumber tempat lalu lintas TOR dipublikasikan di internet.
webexploit: Anggota daftar sumber telah diidentifikasi sebagai pengeksploitasi web. Penyerang ini berusaha mengeksekusi beberapa permintaan terhadap server web untuk menemukan kerentanan.
ssh_bruteforce: Sumber yang disertakan adalah daftar penyerang ssh yang menggunakan teknik brute force untuk mendapatkan pengguna dan kata sandi dari server yang diserang ssh.
spyware: Sumber yang disertakan adalah daftar rentang Alamat IP spyware dan adware berbahaya.
wakil: berisi TOR dan proxy terbuka lainnya.
mail_spammer: Sumber yang disertakan adalah daftar berdasarkan IP yang terdeteksi mengirim spam.
bad_peers: Sumber yang disertakan adalah daftar berdasarkan laporan perbuatan buruk di p2p.
wordpress_list: Semua IP yang menyerang Joomla, WordPress, dan Login Web lainnya dengan Login Brute-Force.
Jaringan_pribadi: Sumber yang disertakan adalah daftar berdasarkan semua alamat sumber IPv4 yang tidak dapat dirutekan di internet.
mail_list: Semua alamat IP yang telah dilaporkan dalam 48 jam terakhir telah menjalankan serangan pada layanan Mail, Postfix.
ssh_list: Semua alamat IP yang telah dilaporkan dalam 48 jam terakhir telah menjalankan serangan pada layanan SSH.
ftp_list: Semua alamat IP yang telah dilaporkan dalam 48 jam terakhir untuk serangan terhadap Layanan FTP.
apache_list: Semua alamat IP yang telah dilaporkan dalam 48 jam terakhir telah menjalankan serangan pada layanan Apache, Apache-DDOS, RFI-Attacks
Tentara CIA: Sumber yang disertakan di sini ditawarkan oleh proyek CIArmy. Proyek ini menyediakan sumber data yang diperoleh dengan menganalisis lalu lintas berdasarkan sekelompok penjaga di sekitar internet.
bogon: Sumber yang disertakan di sini mengklaim berasal dari area ruang alamat IP yang dicadangkan tetapi belum dialokasikan atau didelegasikan oleh Internet.

aturan DOS

Mitigasi Denial of Service adalah seperangkat aturan yang dimaksudkan untuk melindungi atau mengurangi dampak serangan pada layanan yang menjadikannya tidak dapat digunakan karena banyaknya permintaan tidak sah. Mesin ZEVENET IPDS menyertakan berbagai teknik untuk melakukan perlindungan DoS ke Aplikasi Web dan API.

Aturan-aturan ini telah dijelaskan di bawah ini:

Bendera TCP palsu:
Dalam lalu lintas TCP apa pun, paket TCP mengikuti aliran yang diketahui. Serangan TCP BOGUS adalah serangan di mana aliran TCP tidak mengikuti jalur TCP yang diharapkan. Misalnya, paket mungkin mengikuti jalur SYN-FIN yang tidak terduga, bukan jalur SYN-ACK. ZEVENET memantau dan mengontrol aliran TCP. Jika paket tak terduga diterima, ZEVENET akan menjatuhkannya.

Batas koneksi total per IP sumber:
ZEVENET menerapkan batas sumber berdasarkan jumlah permintaan per detik, dan ketika batas per IP sumber tercapai, ZEVENET akan menjatuhkan paket yang masuk.

Batasi paket RST per detik:
Ini adalah serangan DoS umum di mana penyerang mencoba membuka soket TCP, dan setelah paket respons TCP diterima, penyerang mengirimkan paket TCP RST ke host.

Batas koneksi per detik:
ZEVENET menerapkan batas tujuan berdasarkan jumlah permintaan per detik. Jika batas per IP tujuan tercapai, ZEVENET akan menjatuhkan paket yang masuk.

aturan RBL

Daftar lubang hitam waktu nyata adalah sistem keamanan yang digunakan oleh Server Surat untuk melindungi dari spammer. Jika server Mail menerima koneksi, ia menangkap IP sumber dan mencoba menyelesaikannya dengan server DNS yang dikenal. Jika resolusi DNS berfungsi, alamat IP sumber akan terdeteksi sebagai penyerang.

ZEVENET telah mengembangkan mekanisme keamanan ini sehingga memungkinkan untuk menangkap IP sumber apa pun dalam aliran tertentu dan mencoba menyelesaikan IP sumber terhadap zona DNS. Setiap zona DNS menyelesaikan IP sumber berdasarkan perilaku yang berbeda, dan zona ini telah dijelaskan di bawah ini:

daerah all.rbl.zevenet.com: IP sumber akan mencoba diselesaikan terhadap semua subzona yang termasuk dalam rbl.zevenet.com.
daerah apache.rbl.zevenet.com: Sumber yang termasuk dalam subzona ini mereferensikan penyerang ke host Apache.
daerah asterisk.rbl.zevenet.com: Sumber yang termasuk dalam subzona ini melakukan referensi penyerang terhadap Asterisk Hosts.
daerah bruteforcelogin.rbl.zevenet.com: Sumber yang termasuk dalam subzona ini mereferensikan penyerang yang mencoba mendapatkan pengguna dan kata sandi terhadap berbagai layanan host menggunakan mekanisme brute force.
daerah ftp.rbl.zevenet.com: Sumber yang termasuk dalam subzona ini mereferensikan penyerang ke Host FTP.
daerah mysql.rbl.zevenet.com: Sumber yang termasuk dalam subzona ini mereferensikan penyerang ke Mysql Hosts.
daerah ssh.rbl.zevenet.com: Sumber yang termasuk dalam subzona ini mereferensikan penyerang ke Host SSH.
daerah webmin.rbl.zevenet.com: Sumber yang termasuk dalam subzona ini mereferensikan penyerang terhadap Aplikasi web Webmin.
daerah apacheddos.rbl.zevenet.com: Sumber yang termasuk dalam subzona ini mereferensikan penyerang ke server web, Apache, menggunakan mekanisme denial of service terdistribusi.
daerah mail.rbl.zevenet.com: Sumber yang termasuk dalam subzona ini mereferensikan penyerang ke host email.

Aturan WAF

ZEVENET memeriksa lalu lintas HTTP(S) dengan dua cara:

1 – Menggunakan aturan yang telah ditentukan berdasarkan kumpulan aturan OWASP (Proyek Keamanan Aplikasi Web Terbuka). Kumpulan aturan yang disertakan dalam ZEVENET 6 didasarkan pada OWASP Core Rule Set versi 4. Aturan ini diperbarui setiap hari. Jika ada perubahan yang terjadi pada kumpulan aturan OWASP, pembaruan paket IPDS berikutnya akan menyertakan perubahan tersebut.

2 – Menggunakan aturan yang diperoleh dari vendor pihak ke-3 atau aturan khusus yang dirancang oleh Anda, pelanggan kami. ZEVENET menggunakan dukungan mesin ModSecurity untuk kumpulan aturan pihak ke-3 atau membuat aturan Anda sendiri berdasarkan bahasa HTTP pembagi.

Secara default, ZEVENET IPDS menyertakan paket keamanan terhadap serangan berikut:

Injeksi SQL (SQLi)
Pembuatan Skrip Lintas Situs (XSS)
Penyertaan File Lokal (LFI)
Penyertaan File Jarak Jauh (RFI)
Injeksi Kode PHP/Java/Ruby/Perl
Shellshock
Injeksi Unix Shell
Fiksasi Sesi
Scripting/Scanner/Bot Deteksi

Kumpulan aturan yang ditemukan di ZEVENET 6 Termasuk:

PENGECUALIAN-PERMINTAAN-905-UMUM
Aturan-aturan ini digunakan sebagai mekanisme pengecualian untuk menghapus positif palsu umum yang mungkin ditemui.
REQUEST-911-METHOD-PENEGAKAN
Metode permintaan yang diizinkan.
REQUEST-913-SCANNER-DETECTION
Memeriksa pemindai seperti perayap, bot, skrip, dll.
REQUEST-920-PROTOCOL-PENEGAKAN
Memvalidasi permintaan HTTP menghilangkan sejumlah besar serangan lapisan aplikasi.
PERMINTAAN-921-PROTOKOL-SERANGAN
Memeriksa serangan protokol.
PERMINTAAN-930-APLIKASI-SERANGAN-LFI
Memeriksa serangan aplikasi menggunakan Local File Inclusion (LFI).
REQUEST-931-APPLICATION-ATTACK-RFI
Memeriksa serangan aplikasi menggunakan Remote File Inclusion (RFI).
PERMINTAAN-932-APLIKASI-SERANGAN-RCE
Memeriksa serangan aplikasi menggunakan Remote Code Execution (RCE).
REQUEST-933-APPLICATION-ATTACK-PHP
Memeriksa serangan aplikasi menggunakan PHP.
REQUEST-934-APPLICATION-ATTACK-GENERIC
Periksa serangan aplikasi menggunakan Node.js, Ruby, dan Perl.
REQUEST-941-APPLICATION-ATTACK-XSS
Memeriksa serangan aplikasi menggunakan XSS.
REQUEST-942-APPLICATION-ATTACK-SQLI
Memeriksa serangan aplikasi menggunakan Sql Injection.
PERMINTAAN-943-APLIKASI-SERANGAN-SESI-FIXASI
Memeriksa serangan aplikasi menggunakan fiksasi sesi.
REQUEST-944-APPLICATION-ATTACK-JAVA.
Memeriksa serangan aplikasi menggunakan Java.

Mesin IPDS adalah mekanisme ancaman-kecerdasan untuk Aplikasi Web dan perlindungan API. Itu diperbarui setiap hari melalui paket zevenet-ipds, yang berfungsi sebagai inti untuk mesin, menjaga agar mesin ini diperbarui dengan aturan ZEVENET dan yang disesuaikan oleh pelanggan.

Kumpulan aturan inti zevenet-ipds ini menggunakan berbagai mekanisme untuk membuat aturan keamanan ini, seperti melintasi data pihak ke-3, menganalisis log sentinel, atau melakukan analisis Big-data terhadap informasi pribadi. Jika Anda mengidentifikasi bahwa kumpulan aturan inti ZEVENET IPDS menyertakan beberapa IP sumber atau aturan sebagai positif palsu, hubungi kami, dan kami akan dengan senang hati memperbaiki masalah ini sesegera mungkin.