ถอดบทเรียน โครงการแลกเปลี่ยนเรียนรู้เพื่อพัฒนาศักยภาพบุคลากร กลุ่มผู้ปฏิบัติงานเทคโนโลยีสารสนเทศ หัวข้อ “ระบบป้องกัน Web Application (Web Application Firewall)”
วันที่เขียน 15/5/2558 16:31:38     แก้ไขล่าสุดเมื่อ 11/8/2563 8:06:29
เปิดอ่าน: 4774 ครั้ง

เนื่องจากปัจจุบันการพัฒนา Application ได้ก้าวหน้าขึ้น จากรูปแบบเดิมที่เป็นการเชื่อมต่อกันแบบ Client-Server สู่การพัฒนาผ่านเว็บบราวเซอร์ หรือ HTTP(s) ซึ่งประกอบด้วย 4 องค์ประกอบหลัก คือ Database Server, Application Server, Web Server และส่วนแสดงผลข้อมูลที่ผู้ใช้ใช้งานคือ Web Application และเพื่อให้ระบบการทำงานเป็นไปอย่างมีประสิทธิภาพ จึงต้องมีองค์ประกอบเพิ่มเติม ได้แก่ Firewall, Load Balancer, Reverse Proxy Server, Cache System ทั้งนี้ในระบบยังอาจพบปัญหาที่ก่อให้เกิดการทำงานที่สมบูรณ์ ได้แก่การถูกโจมตี ดักจับข้อมูล จากผู้ไม่ประสงค์ดี หรืออาจเกิดจากความผิดพลาดเนื่องจากการตั้งค่าระบบที่ไม่ดีพอ ความผิดพลาดจากการพัฒนาซอฟต์แวร์ ที่ไม่ได้ตระหนึกถึงการทำงานที่ปลอดภัยในระบบ เป็นต้น ดังนั้นเพื่อเป็นการป้องกันปัญหาที่จะเกิดกับ Web Application จึงควรมีวิธีการป้องกัน ที่เรียกว่า WAF โดยติดตั้งเป็นเครื่องแม่ข่ายสำหรับกรองข้อมูลผ่านไปยัง WEB Application โดยกำหนดเนื้อหาในการแลกเปลี่ยนเรียนรู้ โดยงานระบบคอมพิวเตอร์และบริการ ซึ่งได้นำวิธีการใช้เครื่องมือ ZAP และ WAF มาช่วยในการสร้างความปลอดภัยให้กับการพัฒนา Web Application

โครงการแลกเปลี่ยนเรียนรู้เพื่อพัฒนาศักยภาพบุคลากร  

กลุ่มผู้ปฏิบัติงานเทคโนโลยีสารสนเทศ 

หัวข้อ “ระบบป้องกัน Web Application (Web Application Firewall)”

                   โดย นายสุรเดช ไชยมงคล

นักวิชาการคอมพิวเตอร์

ศูนย์เทคโนโลยีสารสนเทศ

 

สรุปบทเรียน

          เนื่องจากปัจจุบันการพัฒนา Application ได้ก้าวหน้าขึ้น จากรูปแบบเดิมที่เป็นการเชื่อมต่อกันแบบ Client-Server สู่การพัฒนาผ่านเว็บบราวเซอร์ หรือ HTTP(s) ซึ่งประกอบด้วย 4 องค์ประกอบหลัก คือ Database Server, Application Server, Web Server และส่วนแสดงผลข้อมูลที่ผู้ใช้ใช้งานคือ Web Application และเพื่อให้ระบบการทำงานเป็นไปอย่างมีประสิทธิภาพ จึงต้องมีองค์ประกอบเพิ่มเติม ได้แก่ Firewall, Load Balancer, Reverse Proxy Server, Cache System ทั้งนี้ในระบบยังอาจพบปัญหาที่ก่อให้เกิดการทำงานที่สมบูรณ์ ได้แก่การถูกโจมตี ดักจับข้อมูล จากผู้ไม่ประสงค์ดี หรืออาจเกิดจากความผิดพลาดเนื่องจากการตั้งค่าระบบที่ไม่ดีพอ ความผิดพลาดจากการพัฒนาซอฟต์แวร์ ที่ไม่ได้ตระหนึกถึงการทำงานที่ปลอดภัยในระบบ เป็นต้น ดังนั้นเพื่อเป็นการป้องกันปัญหาที่จะเกิดกับ Web Application จึงควรมีวิธีการป้องกัน ที่เรียกว่า WAF โดยติดตั้งเป็นเครื่องแม่ข่ายสำหรับกรองข้อมูลผ่านไปยัง WEB Application โดยกำหนดเนื้อหาในการแลกเปลี่ยนเรียนรู้ โดยงานระบบคอมพิวเตอร์และบริการ ซึ่งได้นำวิธีการใช้เครื่องมือ ZAP และ WAF มาช่วยในการสร้างความปลอดภัยให้กับการพัฒนา Web Application

          การสร้างความปลอดภัยให้กับการพัฒนา Web Application นั้น ต้องทราบถึงสาเหตุการถูกโจมตี วิธีการทดสอบเพื่อหาช่องโหว่ และเครื่องมือที่จะช่วยป้องกัน Web Application  ซึ่งสาเหตุการโจมตี Web Application เกิดจาก 3 สาเหตุใหญ่ๆ คือ

1)       ความผิดพลาดของผู้ดูแลระบบที่ติดตั้งและตั้งค่าระบบต่างๆ ไม่ดีพอ มีช่องโหว่ ได้แก่การโจมตีผ่าน 3rd Party Misconfiguration, Parameter Tempering

2)      ความผิดพลาดจากผู้เขียนซอฟต์แวร์ที่เกี่ยวข้องกับการทำงานเช่น MS IIS เป็นต้น ได้แก่การโจมตีผ่าน Known Vulnerabilities ซึ่งสามารถป้องกันได้โดยการ Update Patch เป็นประจำ

3)      ความผิดพลาดจากผู้เขียน Web Application และองค์ประกอบที่เกี่ยวข้องอื่นๆ ที่ไม่ได้ตระหนักถึงการทำงานให้เกิดความปลอดภัยในระบบ ได้แก่การโจมตีผ่าน Hidden Field, Cookie Poisoning, Back Door & Debug Options, Application Buffer Overflow, Stealth Commanding

          ข้อมูลที่ผ่าน Web Application นอกจาก Normal Data ที่เป็นข้อมูลสะอาดแล้ว ยังมีข้อมูลที่เสี่ยงต่อความไม่ปลอดภัยให้กับ Web Application อาทิ

1)       Violations of the HTTP protocol

2)      HTTP Denial of Service

3)      Common Web Attacks

4)      Bots, crawlers, scanners

5)      Malicious files uploaded

6)      Tracks Credit Card

7)      Trojans horses

8)      Error messages sent by the server

     วิธีการทดสอบช่องโหว่ Web Application  ที่พัฒนาได้ โดยแนะนำการใช้ ZAP Pentest Tools ในการทดสอบช่องโหว่ของ Web Application เช่น การเซตค่าต่างๆ ที่จะส่งผลให้เกิดช่องในการโจมตีได้ อาทิ Cookie set without HttpOnly flag, X-Content-Type-Options Header Missing, X-Frame-Options Header not set

          ในการสร้างความปลอดภัยให้ Web Application ซึ่งแต่เดิมได้ใช้   Firewall เป็นอุปกรณ์หน้าด่านในการปกป้องระบบเครือข่ายอินเทอร์เน็ต แต่เพื่อให้เกิดการป้องกันในกรณีของการพัฒนาโปรแกรม เราจำเป็นต้องเพิ่มอุปกรณ์เพื่อช่วยในการป้องกันการโจมตี โดยการติดตั้งเครื่องแม่ข่ายสำหรับทำหน้าที่กรองข้อมูลก่อนผ่านไปยัง Web Application ซึ่งสามารถคัดกรองข้อมูลก่อนส่งได้ ดังนี้

1)       HTTP Protection - detecting violations of the HTTP protocol and a locally defined usage policy.

2)      Real-time Blacklist Lookups - utilizes 3rd Party IP Reputation

3)      HTTP Denial of Service Protections - defense against HTTP Flooding and Slow HTTP DoS Attacks.

4)      Common Web Attacks Protection - detecting common web application security attack.

5)      Automation Detection - Detecting bots, crawlers, scanners and other surface malicious activity.

6)      Integration with AV Scanning for File Uploads - detects malicious files uploaded through the web application.

7)      Tracking Sensitive Data - Tracks Credit Card usage and blocks leakages.

8)      Trojan Protection - Detecting access to Trojans horses.

9)      Identification of Application Defects - alerts on application misconfigurations.

10)   Error Detection and Hiding - Disguising error messages sent by the server.

          การขอใช้งานระบบ WAF สามารถดำเนินการได้ผ่านศูนย์เทคโนโลยีสารสนเทศ มีขั้นตอนดังนี้

1)       แจ้งขอเปลี่ยน DNS ให้ชี้มายัง IP ของเครื่องแม่ข่ายที่ทำหน้าที่เป็น WAF

2)      ตั้งค่า Firewall เครื่องแม่ข่ายให้บริการของ Web Application ให้เฉพาะเครื่อง WAF เท่านั้นที่สามารถเข้าถึงได้

-        Allow 80 Only WAF’s Server

-        DENY ALL 80

ผู้ถอดบทเรียน

นางสาวณัฐกฤตา โกมลนาค

นักวิชาการคอมพิวเตอร์

ศูนย์เทคโนโลยีสารสนเทศ

คำสำคัญ :
WAF  ZAP  
กลุ่มบทความ :
หมวดหมู่ :
แชร์ :
https://erp.mju.ac.th/acticleDetail.aspx?qid=380
ความคิดเห็นทั้งหมด (0)
ไม่มีข้อมูลตามเงื่อนไขที่ท่านกำหนด
รายการบทความการแลกเปลี่ยนเรียนรู้หมวดหมู่ : กลุ่มงานเทคโนโลยีสารสนเทศ
กลุ่มงานเทคโนโลยีสารสนเทศ » ซอฟต์แวร์ลิขสิทธิ์ มหาวิทยาลัยแม่โจ้
กองเทคโนโลยีดิจิทัล มีภารกิจดูแลการให้บริการซอฟต์แวร์ลิขสิทธิ์ที่ให้บริการภายในมหาวิทยาลัย ซึ่งผู้ใช้งานทั้งอาจารย์ นักวิจัย เจ้าหน้าที่ และนักศึกษา มีความต้องการใช้งานซอฟต์แวร์ที่หลากหลาย และซอฟต์...
ซอฟท์แวร์ลิขสิทธิ์  โปรแกรมลิขสิทธิ์  โปรแกรมสำเร็จรูป     กลุ่มงานตามสมรรถนะบุคลากร   กลุ่มงานเทคโนโลยีสารสนเทศ
ผู้เขียน บรรพต โตสิตารัตน์  วันที่เขียน 13/5/2563 11:03:42  แก้ไขล่าสุดเมื่อ 11/8/2563 2:50:56   เปิดอ่าน 569  ครั้ง | แสดงความคิดเห็น 0  ครั้ง
MS OFFICE » คู่มือใช้งาน Google Classroom สำหรับอาจารย์ มหาวิทยาลัยแม่โจ้
Google Classroom เป็นบริการของ Google ที่มีเครื่องมือสำหรับให้อาจารย์ผู้สอนได้ใช้ประโยชน์ในการสร้างห้องเรียนเสมือนได้ ซึ่งการใช้งานนั้น สามารถเข้าใช้งานได้ทุกอุปกรณ์ไม่ว่าจะเป็น คอมพิวเตอร์แท็ปเล็ต...
Google Classroom     กลุ่มงานตามสมรรถนะบุคลากร   กลุ่มงานเทคโนโลยีสารสนเทศ
ผู้เขียน ศุภวรรณ สัจจากุล  วันที่เขียน 8/4/2563 14:42:54  แก้ไขล่าสุดเมื่อ 10/8/2563 15:52:20   เปิดอ่าน 495  ครั้ง | แสดงความคิดเห็น 0  ครั้ง
ทั่วไป » ทำงานที่บ้าน จะติดต่อระหว่างหน่วยงานอย่างไร
เดิมปกติจะใช้เบอร์โต๊ะโทรประสานงานกัน แต่ช่วงนี้เราจำเป็นต้องทำงานจากที่บ้าน หากคนที่เคยติดต่อกันทาง facebook line ก็จะไม่มีปัญหา แล้วคนอื่น หน่วยงานอื่นล่ะจะทำยังไง เรามีเครื่องมือไว้ให้พร้อมแล้ว ...
  กลุ่มงานตามสมรรถนะบุคลากร   กลุ่มงานเทคโนโลยีสารสนเทศ
ผู้เขียน วสุ ไชยศรีหา  วันที่เขียน 27/3/2563 12:21:15  แก้ไขล่าสุดเมื่อ 11/8/2563 3:55:18   เปิดอ่าน 833  ครั้ง | แสดงความคิดเห็น 0  ครั้ง