ถอดบทเรียน โครงการแลกเปลี่ยนเรียนรู้เพื่อพัฒนาศักยภาพบุคลากร กลุ่มผู้ปฏิบัติงานเทคโนโลยีสารสนเทศ หัวข้อ “ระบบป้องกัน Web Application (Web Application Firewall)”
วันที่เขียน 15/5/2558 16:31:38     แก้ไขล่าสุดเมื่อ 8/10/2567 21:55:41
เปิดอ่าน: 6656 ครั้ง

เนื่องจากปัจจุบันการพัฒนา Application ได้ก้าวหน้าขึ้น จากรูปแบบเดิมที่เป็นการเชื่อมต่อกันแบบ Client-Server สู่การพัฒนาผ่านเว็บบราวเซอร์ หรือ HTTP(s) ซึ่งประกอบด้วย 4 องค์ประกอบหลัก คือ Database Server, Application Server, Web Server และส่วนแสดงผลข้อมูลที่ผู้ใช้ใช้งานคือ Web Application และเพื่อให้ระบบการทำงานเป็นไปอย่างมีประสิทธิภาพ จึงต้องมีองค์ประกอบเพิ่มเติม ได้แก่ Firewall, Load Balancer, Reverse Proxy Server, Cache System ทั้งนี้ในระบบยังอาจพบปัญหาที่ก่อให้เกิดการทำงานที่สมบูรณ์ ได้แก่การถูกโจมตี ดักจับข้อมูล จากผู้ไม่ประสงค์ดี หรืออาจเกิดจากความผิดพลาดเนื่องจากการตั้งค่าระบบที่ไม่ดีพอ ความผิดพลาดจากการพัฒนาซอฟต์แวร์ ที่ไม่ได้ตระหนึกถึงการทำงานที่ปลอดภัยในระบบ เป็นต้น ดังนั้นเพื่อเป็นการป้องกันปัญหาที่จะเกิดกับ Web Application จึงควรมีวิธีการป้องกัน ที่เรียกว่า WAF โดยติดตั้งเป็นเครื่องแม่ข่ายสำหรับกรองข้อมูลผ่านไปยัง WEB Application โดยกำหนดเนื้อหาในการแลกเปลี่ยนเรียนรู้ โดยงานระบบคอมพิวเตอร์และบริการ ซึ่งได้นำวิธีการใช้เครื่องมือ ZAP และ WAF มาช่วยในการสร้างความปลอดภัยให้กับการพัฒนา Web Application

โครงการแลกเปลี่ยนเรียนรู้เพื่อพัฒนาศักยภาพบุคลากร  

กลุ่มผู้ปฏิบัติงานเทคโนโลยีสารสนเทศ 

หัวข้อ “ระบบป้องกัน Web Application (Web Application Firewall)”

                   โดย นายสุรเดช ไชยมงคล

นักวิชาการคอมพิวเตอร์

ศูนย์เทคโนโลยีสารสนเทศ

 

สรุปบทเรียน

          เนื่องจากปัจจุบันการพัฒนา Application ได้ก้าวหน้าขึ้น จากรูปแบบเดิมที่เป็นการเชื่อมต่อกันแบบ Client-Server สู่การพัฒนาผ่านเว็บบราวเซอร์ หรือ HTTP(s) ซึ่งประกอบด้วย 4 องค์ประกอบหลัก คือ Database Server, Application Server, Web Server และส่วนแสดงผลข้อมูลที่ผู้ใช้ใช้งานคือ Web Application และเพื่อให้ระบบการทำงานเป็นไปอย่างมีประสิทธิภาพ จึงต้องมีองค์ประกอบเพิ่มเติม ได้แก่ Firewall, Load Balancer, Reverse Proxy Server, Cache System ทั้งนี้ในระบบยังอาจพบปัญหาที่ก่อให้เกิดการทำงานที่สมบูรณ์ ได้แก่การถูกโจมตี ดักจับข้อมูล จากผู้ไม่ประสงค์ดี หรืออาจเกิดจากความผิดพลาดเนื่องจากการตั้งค่าระบบที่ไม่ดีพอ ความผิดพลาดจากการพัฒนาซอฟต์แวร์ ที่ไม่ได้ตระหนึกถึงการทำงานที่ปลอดภัยในระบบ เป็นต้น ดังนั้นเพื่อเป็นการป้องกันปัญหาที่จะเกิดกับ Web Application จึงควรมีวิธีการป้องกัน ที่เรียกว่า WAF โดยติดตั้งเป็นเครื่องแม่ข่ายสำหรับกรองข้อมูลผ่านไปยัง WEB Application โดยกำหนดเนื้อหาในการแลกเปลี่ยนเรียนรู้ โดยงานระบบคอมพิวเตอร์และบริการ ซึ่งได้นำวิธีการใช้เครื่องมือ ZAP และ WAF มาช่วยในการสร้างความปลอดภัยให้กับการพัฒนา Web Application

          การสร้างความปลอดภัยให้กับการพัฒนา Web Application นั้น ต้องทราบถึงสาเหตุการถูกโจมตี วิธีการทดสอบเพื่อหาช่องโหว่ และเครื่องมือที่จะช่วยป้องกัน Web Application  ซึ่งสาเหตุการโจมตี Web Application เกิดจาก 3 สาเหตุใหญ่ๆ คือ

1)       ความผิดพลาดของผู้ดูแลระบบที่ติดตั้งและตั้งค่าระบบต่างๆ ไม่ดีพอ มีช่องโหว่ ได้แก่การโจมตีผ่าน 3rd Party Misconfiguration, Parameter Tempering

2)      ความผิดพลาดจากผู้เขียนซอฟต์แวร์ที่เกี่ยวข้องกับการทำงานเช่น MS IIS เป็นต้น ได้แก่การโจมตีผ่าน Known Vulnerabilities ซึ่งสามารถป้องกันได้โดยการ Update Patch เป็นประจำ

3)      ความผิดพลาดจากผู้เขียน Web Application และองค์ประกอบที่เกี่ยวข้องอื่นๆ ที่ไม่ได้ตระหนักถึงการทำงานให้เกิดความปลอดภัยในระบบ ได้แก่การโจมตีผ่าน Hidden Field, Cookie Poisoning, Back Door & Debug Options, Application Buffer Overflow, Stealth Commanding

          ข้อมูลที่ผ่าน Web Application นอกจาก Normal Data ที่เป็นข้อมูลสะอาดแล้ว ยังมีข้อมูลที่เสี่ยงต่อความไม่ปลอดภัยให้กับ Web Application อาทิ

1)       Violations of the HTTP protocol

2)      HTTP Denial of Service

3)      Common Web Attacks

4)      Bots, crawlers, scanners

5)      Malicious files uploaded

6)      Tracks Credit Card

7)      Trojans horses

8)      Error messages sent by the server

     วิธีการทดสอบช่องโหว่ Web Application  ที่พัฒนาได้ โดยแนะนำการใช้ ZAP Pentest Tools ในการทดสอบช่องโหว่ของ Web Application เช่น การเซตค่าต่างๆ ที่จะส่งผลให้เกิดช่องในการโจมตีได้ อาทิ Cookie set without HttpOnly flag, X-Content-Type-Options Header Missing, X-Frame-Options Header not set

          ในการสร้างความปลอดภัยให้ Web Application ซึ่งแต่เดิมได้ใช้   Firewall เป็นอุปกรณ์หน้าด่านในการปกป้องระบบเครือข่ายอินเทอร์เน็ต แต่เพื่อให้เกิดการป้องกันในกรณีของการพัฒนาโปรแกรม เราจำเป็นต้องเพิ่มอุปกรณ์เพื่อช่วยในการป้องกันการโจมตี โดยการติดตั้งเครื่องแม่ข่ายสำหรับทำหน้าที่กรองข้อมูลก่อนผ่านไปยัง Web Application ซึ่งสามารถคัดกรองข้อมูลก่อนส่งได้ ดังนี้

1)       HTTP Protection - detecting violations of the HTTP protocol and a locally defined usage policy.

2)      Real-time Blacklist Lookups - utilizes 3rd Party IP Reputation

3)      HTTP Denial of Service Protections - defense against HTTP Flooding and Slow HTTP DoS Attacks.

4)      Common Web Attacks Protection - detecting common web application security attack.

5)      Automation Detection - Detecting bots, crawlers, scanners and other surface malicious activity.

6)      Integration with AV Scanning for File Uploads - detects malicious files uploaded through the web application.

7)      Tracking Sensitive Data - Tracks Credit Card usage and blocks leakages.

8)      Trojan Protection - Detecting access to Trojans horses.

9)      Identification of Application Defects - alerts on application misconfigurations.

10)   Error Detection and Hiding - Disguising error messages sent by the server.

          การขอใช้งานระบบ WAF สามารถดำเนินการได้ผ่านศูนย์เทคโนโลยีสารสนเทศ มีขั้นตอนดังนี้

1)       แจ้งขอเปลี่ยน DNS ให้ชี้มายัง IP ของเครื่องแม่ข่ายที่ทำหน้าที่เป็น WAF

2)      ตั้งค่า Firewall เครื่องแม่ข่ายให้บริการของ Web Application ให้เฉพาะเครื่อง WAF เท่านั้นที่สามารถเข้าถึงได้

-        Allow 80 Only WAF’s Server

-        DENY ALL 80

ผู้ถอดบทเรียน

นางสาวณัฐกฤตา โกมลนาค

นักวิชาการคอมพิวเตอร์

ศูนย์เทคโนโลยีสารสนเทศ

คำสำคัญ :
WAF  ZAP  
กลุ่มบทความ :
หมวดหมู่ :
แชร์ :
https://erp.mju.ac.th/acticleDetail.aspx?qid=380
ความคิดเห็นทั้งหมด (0)
ไม่มีข้อมูลตามเงื่อนไขที่ท่านกำหนด
รายการบทความการแลกเปลี่ยนเรียนรู้หมวดหมู่ : กลุ่มงานเทคโนโลยีสารสนเทศ
กลุ่มงานเทคโนโลยีสารสนเทศ » UX/UI Design ต่างกันอย่างไร
การออกแบบเว็บไซต์ การออกแบบผลิตภัณฑ์และบริการดิจิทัล มีความสำคัญมากขึ้นเป็นอย่างมาก โดยเฉพาะอย่างยิ่งการออกแบบประสบการณ์ผู้ใช้ (User Experience Design: UX Design) และการออกแบบส่วนต่อประสานผู้ใช้ (...
UI Design  UX Design  UX UI  UX/UI  การออกแบบเว็บ     กลุ่มงานตามสมรรถนะบุคลากร   กลุ่มงานเทคโนโลยีสารสนเทศ
ผู้เขียน ช่อทิพย์ สิทธิ  วันที่เขียน 6/9/2567 14:14:09  แก้ไขล่าสุดเมื่อ 7/10/2567 17:18:25   เปิดอ่าน 56  ครั้ง | แสดงความคิดเห็น 0  ครั้ง
การพัฒนาโปรแกรม » การพัฒนาระบบเพื่อลดขั้นตอนการปฏิบัติงาน สำหรับการจัดเก็บและทำลายเอกสาร
การพัฒนาระบบเพื่อลดขั้นตอนการปฏิบัติงาน สำหรับการจัดเก็บและทำลายเอกสาร โดยมีวัตถุประสงค์ เพื่อเพิ่มประสิทธิภาพในการปฏิบัติงาน โดยการนำระบบจัดเก็บและทำลายเอกสารมาช่วยปรับปรุงประสิทธิผล ในกระบวนการทำ...
Re-Design Process?  ระบบจัดเก็บและทำลายเอกสาร     กลุ่มงานตามสมรรถนะบุคลากร   กลุ่มงานเทคโนโลยีสารสนเทศ
ผู้เขียน ณัฐกฤตา โกมลนาค  วันที่เขียน 5/9/2567 11:45:54  แก้ไขล่าสุดเมื่อ 8/10/2567 20:42:05   เปิดอ่าน 133  ครั้ง | แสดงความคิดเห็น 0  ครั้ง
การพัฒนาระบบสารสนเทศ » ข้อมูลเปิด (Open Data) เบื้องต้น
ข้อมูลเปิด (Open Data) คือ ข้อมูลที่สามารถเข้าถึง ใช้งาน แก้ไข และแบ่งปันได้โดยไม่จำกัดข้อกำหนดหรือค่าใช้จ่าย ข้อมูลเปิดมักถูกเผยแพร่ในรูปแบบที่สามารถอ่านและวิเคราะห์ได้ง่าย เช่น ไฟล์ CSV, JSON, หร...
การเข้าถึง  การใช้งาน  การแบ่งปัน  การเปิดเผย  ข้อมูลเปิด     กลุ่มงานตามสมรรถนะบุคลากร   กลุ่มงานเทคโนโลยีสารสนเทศ
ผู้เขียน สมนึก สินธุปวน  วันที่เขียน 2/9/2567 9:45:13  แก้ไขล่าสุดเมื่อ 8/10/2567 15:51:42   เปิดอ่าน 57  ครั้ง | แสดงความคิดเห็น 0  ครั้ง
การพัฒนาระบบสารสนเทศ » คุณธรรมจริยธรรมในการทำงานเกี่ยวกับเทคโนโลยีในมหาวิทยาลัย (2)
จรรยาบรรณและจริยธรรม ในการทำงานเกี่ยวกับเทคโนโลยีในมหาวิทยาลัยเกี่ยวข้องกับแนวทางเพื่อให้การใช้เทคโนโลยีในงานวิจัย การสอน และการบริหารจัดการเป็นไปอย่างมีความรับผิดชอบและถูกต้องตามหลักจริยธรรม
การเข้าถึงและการรวมกลุ่ม  ความโปร่งใสและความรับผิดชอบ  จรรยาบรรณและจริยธรรม  เทคโนโลยี  แนวทางวิจัยที่มีจริยธรรม     กลุ่มงานตามสมรรถนะบุคลากร   กลุ่มงานเทคโนโลยีสารสนเทศ
ผู้เขียน สมนึก สินธุปวน  วันที่เขียน 1/9/2567 12:56:52  แก้ไขล่าสุดเมื่อ 7/10/2567 10:20:31   เปิดอ่าน 56  ครั้ง | แสดงความคิดเห็น 0  ครั้ง