WAF (Web Application Firewall) của Sophos là một giải pháp bảo mật được thiết kế để bảo vệ các ứng dụng web khỏi các cuộc tấn công và lỗ hổng bảo mật. Nó cung cấp một lớp bảo vệ bổ sung bằng cách giám sát, lọc và chặn các yêu cầu đến các ứng dụng web nhằm ngăn chặn các hoạt động độc hại.
Tính năng của WAF Sophos:
- Bảo vệ chống lại các lỗ hổng web phổ biến: Chống lại các cuộc tấn công SQL Injection, Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), và nhiều lỗ hổng khác.
- Kiểm tra và lọc lưu lượng: Phân tích các yêu cầu HTTP/HTTPS để phát hiện và ngăn chặn các yêu cầu độc hại trước khi chúng có thể tiếp cận ứng dụng web.
- Chế độ bảo vệ đa lớp: Kết hợp nhiều lớp bảo vệ để tăng cường khả năng bảo mật, bao gồm kiểm tra chữ ký, phát hiện hành vi bất thường, và quy tắc tùy chỉnh.
- Tích hợp SSL/TLS: Hỗ trợ mã hóa SSL/TLS để bảo vệ dữ liệu truyền tải giữa người dùng và máy chủ ứng dụng web.
- Kiểm soát truy cập và xác thực: Hỗ trợ xác thực người dùng và kiểm soát truy cập để đảm bảo chỉ những người dùng được ủy quyền mới có thể truy cập các tài nguyên nhạy cảm.
- Báo cáo và giám sát: Cung cấp các báo cáo chi tiết và công cụ giám sát để theo dõi và phân tích các sự kiện bảo mật.
- Tích hợp dễ dàng: Dễ dàng tích hợp với các hệ thống và ứng dụng hiện có, cung cấp khả năng quản lý và triển khai linh hoạt.
Sơ đầu cấu hình
Các bước cấu hình Tường lửa ứng dụng web Sophos XG
- Cấu hình cài đặt Web Server DVWA.
DVWA bao gồm nhiều loại lỗ hổng, làm cho nó trở thành một công cụ học tập toàn diện. Một số lỗ hổng có thể tìm thấy trong DVWA bao gồm SQL injection, cross-site scripting (XSS), chèn lệnh, bao gồm tệp từ xa, v.v. Mỗi lỗ hổng được tạo cẩn thận để mô phỏng các tình huống trong thế giới thực, đảm bảo rằng người dùng gặp phải một loạt các vấn đề bảo mật thường gặp trong các ứng dụng web.
Để cài đặt DVWA trên Ubunu: https://thegioifirewall.com/dvwa-huong-dan-cai-dat-may-chu-dvwa-tren-ubuntu/
- Tình huống cấu hình.
LƯU Ý: Trước khi tấn công hãy di chuyển đến mục DVWA Security -> Chọn Security Level: LOW -> Sau đó ấn Submit.
- Tấn công XSS (DOM) khi web chưa cấu hình tính năng bảo vệ WAF.
Truy cập giao diện DVWA > XSS (DOM) > Select.
Sau khi nhấn Select ta được đường link: http://115.78.230.23/dvwa/vulnerabilities/xss_d/?default=English
Thêm một đoạn script tấn công XSS vào phía sau đường link: http://115.78.230.23/dvwa/vulnerabilities/xss_d/?default=English<script>alert(document.cookie)</script>
Kết quả trả về sau khi chạy script là sẽ là session ID, cookie của người dùng.
- Tấn công SQL Injection khi web chưa cấu hình tính năng bảo về WAF.
Truy cập giao diện DVWA > SQL Injection
Nhập đoạn script sau: %’ and 1=0 union select null, concat(first_name,0x0a,last_name,0x0a,user,0x0a,password) from users # và ấn Submit
Kết quả trả về sẽ bao gồm thông tin nhạy cảm từ bảng users, bao gồm tên, họ, tên người dùng và mật khẩu của người dùng.
- Hướng dẫn cấu hình WAF trên Firewall Sophos.
Bước 1: Truy cập vào GUI của Sophos Firewall,vào phần SYSTEM > Hosts and services > IP host > Add > Save. (Tạo IP host cho Web Server DVWA)
Bước 2: Vào phần PROTECT > Web Server > Web Server > Add.
Name: Đặt tên cho Web server
Host: Chọn host Web server DVWA đã tạo trước đó
Type: Chọn Plaintext (HTTP)
Port: Chọn port 80
Nhấn Save
Bước 3: Vào phần PROTECT > Web server > Protection policies > Add.
Bước 4: Vào phần PROTECT > Rules and Policies > Firewall Rule > Add firewall rule > New firewall Rule.
Rule name: Đặt tên cho rule
Rule position: Chọn Top
Rule group: Chọn None
Action: Chọn Protection with web server protection
Hosted address: Chọn port WAN mà bạn muốn cho bên ngoài truy cập.
Listening port: Chọn 80
Domains: Nhập domain của website của bạn (IP WAN)
Protection servers: Chọn host server đã tạo trước đó
Protected servers: Chọn policy đã tạo trước đó
Enable mục Pass host header
Nhấn Save
Bước 5: Thực hiện tấn công XSS (DOM) DVWA khi đã cấu hình chính sách WAF.
Thực hiện tương tự tình huống cấu hình 2.1
Sau khi thực hiện tấn công XSS, việc thực thi bị chặn ngay lập tức.
Mở log xem kết quả.
Bước 6: Thực hiện tấn công SQL Injection DVWA khi đã cấu hình chính sách WAF
Thực hiện tương tự tình huống cấu hình 2.2
Sau khi thực hiện tấn công SQL Injection, việc thực thi đã bị chặn ngay lập tức
Mở log xem kết quả.
