Cyber security technology and online data protection in an innovative perception

מהי הדרך להגן על שרתי ווב ?

אם השרתים מיועדים לציבור הרחב (אפליקציות ואתרים) אזי ישנם כלים המיועדים לצמצום הסיכונים לשרת (אין ולא יהא מצב של אפס סיכון ולעד תפרצנה מערכות במשחק החתול והעכבר האינטרנטי. השאלה היא לא איך למנוע אלא כיצד לגלות שפרצו ועד כמה ניתן לעכב ולהקשות על הפורץ להגיע למידע רגיש בתקווה לגלותו ולהדיר את רגליו בטרם יבצע זממו).

להלן חלק מהכלים:

  1. WAF : Web Appl. Firewall
    זהו אמצעי חומרה, תוכנה או שירות צד ג' המספק הגנות שונות בפני התקפות ידועות על ידי סינון הבקשות הנכנסות לשרת וזיהוי דפוסי פעולה חריגים. על הדרך גם מספקים לרוב הגנת DoS (מניעת שירות דרך 'סתימת' השרת על ידי הפצצתו בבקשות או חבילות מידע שגורמות לחנק המשאבים שלו) וכלים לאיזון עומסים בין מספר שרתים וכיוב'. בקטגוריה זו ישנם פתרונות שמובנים בתוך חלק ממכשירי ה firewall העסקיים, ישנם מכשירים יעודיים דוגמת F5, A10, ישנן תוכנות שונות (modproxy ונגזרותיו) המציעות שכבת הגנה זו או אחרת וישנם שירותי צד ג' דוגמת cloudflare, encapsula ואחרים המציעים סינון והגנה כשירות. חסרונם של האחרונים הוא בתוספת עכבה משמעותית היות והשירותים מופעלים לרוב מחו"ל וזה פוגע בזמני התגובה והטעינה של האתרים (בקשה צריכה להשלח לחו"ל, משם לשרת בארץ, משם חזרה לחו"ל ואז חזרה לארץ).
  2. Reverse Proxy
    זהו מנגנון מעט דומה ל WAF המקנה רובד מסויים של הגנה דרך הסתרת השרת מאחורי 'מתווך' (פרוקסי) שמקבל בשמו את הפניות אליו. היתרון במנגנון זה טמון בהסתרת השרת כך שמעט קשה יותר להגיע אליו במישרין ולנצל פרצות וכן בכך שניתן לשלוט במידע הנכנס ולהגבילו בתנאים מסויימים. הגנה טובה מושגת דרך שימוש בטכנולוגיה שונה מזו שבה נעשה שימוש בשרת הווב ועל ידי כך פרצה הקיימת למשל בשרת הווב לא תחשף על ידי שרת הפרוקסי המיושם בטכנולוגיה אחרת.
  3. הקשחת שרת.
    זהו מונח מאוד פרוץ לפרשנות ולסגנון אישי היות והוא תלוי במיישם ומידת בקיאותו. ככלל, הקשחת שרת מתבצעת על ידי צמצום היכולות והשירותים שלו למינימום הנדרש תוך נטרול מנגנונים מיותרים או ידועים כפגיעים ותוך הפעלת אמצעי אימות והרשאות מוגברים. אולם, האחריות לקשיחות השרת מוטלת בעיקר על כתפי מפתחי האפליקציות והאתרים היות ובסופו של היום מה שמגיע לשרת ירוץ על הקוד שהם כתבו ואם הוא פרוץ אזי שום מנגנון הגנה לא יעזור שכן אלף חכמים לא יעמדו כנגד טיפשותו של אחד המחזיק במפתח להכל. וכאן טמונה הבעיה היות וקוד גרוע יהא למשל פרוץ להתקפות SQL Injection שבבסיסן הרצת פעולות לא מורשות על בסיס הנתונים דרך החדרת שאילתא שלמה למשל היכן שהמפתח ציפה לקבל את שם המשתמש בטופס באתר אך לא טרח לבדוק את הקלט ולו ברמת הגבלת אורך בסיסית לכל הפחות.
  4. בדיקות חדירות.
    זהו אמנם לא אמצעי הגנה כשלעצמו אך חשוב להריצן על מנת לוודא את עמידות השרת בהתאם לצעדים שיושמו בסעיפים 1-3.
  5. עדכוני תוכנה.
    לצערי רבים מזלזלים בחשיבות העדכונים ולא נוהגים להריצם. זה נכון שבמערכות מוטות פנים פרצות אבטחה שונות ופגמים במערכת ההפעלה פחות מסוכנות ולעיתים עדכונים אכן יכולים 'לשבור' תוכנות מסויימות (בעיקר תוכנות כספים ומנהלה ישראליות שמפגרות שנים אחרי עדכוני מערכות הפעלה). אולם במערכות הפונות החוצה יש תמיד להקפיד להיות בחזית העדכונים שכן בכל פעם שמתגלה פרצה הסיכון גדל היות ומאותו רגע היא הופכת 'ציבורית' וחורשי רעות למיניהם מפעילים מאמץ מוגבר לתקוף מערכות בטרם יותקן בהן התיקון. מערכת שמתמהמהת בהתקנת עדכונים חשופה לחלוטין בפני פורצים.
  6. הפרדת רשויות.
    ישנם לקוחות שנוהגים להריץ את שרת הווב באותה מכונה למשל בה מותקן בסיס הנתונים ולרוב עקב אילוצי תוכנה תחת משתמש הניהול (Admin). מצב זה מגביר סיכון לפריצה היות וניצול פרצה בשרת הווב יאפשר לתוקף להגיע לבסיס הנתונים בו כל המידע ופוטנציאלית ליתר הארגון מרגע שקיבל לידיו את הרשאות המנהל.
    הצעד הנכון להקטנת הסיכון ובעיקר לעיכוב הפורץ הוא הפרדת שרתי הווב מיתר תשתיות המערכת, לרבות ניתוק שרת הווב מהדומיין בסביבת Windows, הפרדתו משרתי הנתונים וברמה המיטבית ביותר הכנסת Firewall בין שרתי הווב בקידמה (Frontend) ובין שרתי הנתונים האחוריים (Backend) – מה שמאפשר שליטה מדוייקת במידע הזורם בין השכבות וקושי גדול יותר לפורץ לתקוף לכם את האחוריים…תרתי משמע.

אלו רק חלק מהאמצעים ויש להבין שאין דבר כזה "מערכת הרמטית". כסילים שונים הבטיחו לפנטגון שהוא הרמטי והסינים חגגו שם שנים מתחת לאפם וכך גם באיביי ומערכות שונות אחרות. לרוב אגב הפריצה היא דרך רשלנות של איש IT זה או אחר בעל הרשאות ניהול שפתח מייל נגוע או הריץ איזה כלי חינם מפתה. לא פעם הפריצות הן מחוכמות יותר כמו למשל אתר digiboy האיראני שמכיל כמות אדירה של קושחות (firmware) לשרתים ומכשירי תקשורת שונים שכולן 'מטופלות' עם דלת אחורית שהותקנה בהן והאירופאים התמימים חוגגים בהורדות מהאתר הזה בלי להבין את משמעות פעולותיהם. אפקטיבית לאיראנים יש כיום דריסת רגל לא מבוטלת במערכות רבות באירופה ממה שראיתי בפורומים השונים בהם מנהלי IT ממליצים זה לזה להוריד עדכונים מאתר זה.
התשובה שלנו לנושא היא פשוטה:
אין לסמוך על אף אחד ויש להניח שכל מוצר פגום מיסודו.
השילוב של רבדי הגנה שונים בטכנולוגיות ומוצרים שונים שאינם מאותו יצרן מגדיל את ה-'גיוון הגנטי' של המערכת שלכם ומקטין את הסיכוי למחלות מושרשות במערכות של יצרן יחיד העושה שימוש בטכנולוגיית ליבה בכל המוצרים שלו.