این مقوله به لحاظ فنی به مجموعهای از پروتکلها و سرویسها اطلاق میشود که برنامهها جهت شناسایی شرکتهای ارتباطات، تشخیص دسترسپذیری منابع و همگامسازی ارتباط بین دو طرف، با استفاده از یک برنامه مشابه از آن استفاده مینمایند. نمونههایی از پروتکلهایApplication-Layer شاملHTTP برای وب، FTP برای انتقال فایل و SMTP برای ایمیل میباشد.
این اختلال از تکنولوژیهای امنیتی بسیار زیادی ناشی میشود که با عنوان دارا بودن قابلیت محافظت Application-Layer به بازار عرضه میشوند. اگرچه ممکن است این گونه ادعاها به لحاظ فنی دقیق و درست باشند (برای مثال وقتی سیستم پیشگیری از نفوذ به اجرای RFC برای HTTP میپردازد) اما متاسفانه به نوعی، گمراه کننده میباشند. مشکل اینجاست که محافظت ارائه شده با این راهکارها قادر به پوشش کامل برنامه نمیباشد و تنها میتواند به طور غیرمستقیم به ایجاد امنیت برای برنامههای زیرساختی در لایههای بالاتر (مانند وب سرورها و سیستمهای مدیریت پایگاهداده)، برنامههای کسبوکار (مانند Salesforce.com) و دادههایی بپردازد که همواره ارائه میگردند. (شکل زیر را ملاحظه فرمایید).
#waf #security @unixmens
این اختلال از تکنولوژیهای امنیتی بسیار زیادی ناشی میشود که با عنوان دارا بودن قابلیت محافظت Application-Layer به بازار عرضه میشوند. اگرچه ممکن است این گونه ادعاها به لحاظ فنی دقیق و درست باشند (برای مثال وقتی سیستم پیشگیری از نفوذ به اجرای RFC برای HTTP میپردازد) اما متاسفانه به نوعی، گمراه کننده میباشند. مشکل اینجاست که محافظت ارائه شده با این راهکارها قادر به پوشش کامل برنامه نمیباشد و تنها میتواند به طور غیرمستقیم به ایجاد امنیت برای برنامههای زیرساختی در لایههای بالاتر (مانند وب سرورها و سیستمهای مدیریت پایگاهداده)، برنامههای کسبوکار (مانند Salesforce.com) و دادههایی بپردازد که همواره ارائه میگردند. (شکل زیر را ملاحظه فرمایید).
#waf #security @unixmens
سازمانها به منظور محافظت کامل از داراییهای مهم وب نیاز به تکنولوژیهای امنیتی دارند که قابلیتهای زیر را به طور کامل ارائه نماید:
پوشش فیزیکی- از کلیه موارد کاربردی داخلی و خارجی به طور کامل محافظت می نماید.
پوشش کاربردی- نه تنها اجرای Policyها را به شکل کنترل دسترسی جزئیات به صورت Granular ارائه مینماید، بلکه امکان شناسایی و پیشگیری ضمنی تهدیدات را نیز فراهم میآورد.
پوشش منطقی- محافظت تمامی لایههای پشته محاسباتی (Computing Stack) را از پروتکلها و سرویسهایApplication-Layer و شبکه تا برنامههای زیرساختی، برنامههای سفارشی کسبوکار و حتی دادهها را میسر مینماید.
ارائه پوششهای جامع مستلزم سرمایهگذاری بیشتر بر روی مواردی فراتر از فایروالهای شبکه معمولی و سیستمهای جلوگیری از نفوذ (IPS) میباشد.
#waf #security @unixmens
پوشش فیزیکی- از کلیه موارد کاربردی داخلی و خارجی به طور کامل محافظت می نماید.
پوشش کاربردی- نه تنها اجرای Policyها را به شکل کنترل دسترسی جزئیات به صورت Granular ارائه مینماید، بلکه امکان شناسایی و پیشگیری ضمنی تهدیدات را نیز فراهم میآورد.
پوشش منطقی- محافظت تمامی لایههای پشته محاسباتی (Computing Stack) را از پروتکلها و سرویسهایApplication-Layer و شبکه تا برنامههای زیرساختی، برنامههای سفارشی کسبوکار و حتی دادهها را میسر مینماید.
ارائه پوششهای جامع مستلزم سرمایهگذاری بیشتر بر روی مواردی فراتر از فایروالهای شبکه معمولی و سیستمهای جلوگیری از نفوذ (IPS) میباشد.
#waf #security @unixmens
تکنولوژیهای برقراری امنیت شبکه
امروزه تکنولوژیهای معمول پیادهسازیشده برای امنیت شبکه، به طور واضح نقش مهمی را در محافظت از داراییهای مهم وب برای کسبوکار در سازمانها ایفا مینمایند و درک این نکته حائز اهمیت است که این داراییها دارای محدودیتهایی بوده و به تنهایی نمیتوانند محافظت کافی را به عمل آورند.
#security #waf @unixmens
امروزه تکنولوژیهای معمول پیادهسازیشده برای امنیت شبکه، به طور واضح نقش مهمی را در محافظت از داراییهای مهم وب برای کسبوکار در سازمانها ایفا مینمایند و درک این نکته حائز اهمیت است که این داراییها دارای محدودیتهایی بوده و به تنهایی نمیتوانند محافظت کافی را به عمل آورند.
#security #waf @unixmens
-فایروالهای شبکه
عملکرد اصلیِ فایروالهای معمولی شبکه، کنترل دسترسیها میباشد، که درواقع سیاستگذاریهایی است که در آن تعیین میشود کدام ترافیک برنامه، اجازه تردد در محدوده شبکهای را دارد که در آن پیادهسازی شده است. قابلیت Stateful، توانایی انطباق به صورت پویا را فراهم نموده و امکان بازگشت ترافیک مربوط به Sessionهای مجاز (و برعکس) را میسر میسازد.
در زیر به بررسی معایب استفاده از فایروالهای معمولی شبکه می پردازیم:
از آنجاییکه این مقوله صرفا بر اساس ویژگیهای Application-Layer (مانند پورت، پروتکل و IP آدرسهای منبع و مقصد) میباشد، قابلیت کنترل دسترسی برای یک فایروال معمولی به صورت توسعهپذیر فراهم نخواهد بود؛ در نتیجه فایروال نمیتواند همواره ایجاد تمایز کند، بنابراین برنامههای مجزا را با استفاده از یک پروتکل و یا پورت مورد نظر (مانند آرایهای از برنامههای تحت وبِ HTTP، که از TCP پورت 80 استفاده مینماید) کنترل مینماید.
فایروالهای معمولِ شبکه برای شناسایی یا جلوگیری صریح و مستقیم تهدیدات، تجهیز نشدهاند. تنها محافظتی که در برابر بدافزارها (Malware)، حملات و سایر فعالیتهای غیرمجاز ارائه میدهند، پیامد سیاستهای کنترل دسترسی میباشد که برای اجرا شدن، پیکربندی شدهاند. به عنوان مثال، اگر برای یک تهدید از مجرای ارتباطی که Open نیست، استفاده شود به صورت پیشفرض (و بدون انجام فرآیند شناسایی) از آن جلوگیری خواهد شد.
در نتیجه با توجه به موارد فوق، فایروالهای معمولی شبکه میتوانند محافظت نسبتا محدودی را برای داراییهای تحت وب در سازمانها ارائه نمایند.
-سیستمهای جلوگیری از نفوذ شبکه (IPS)
تکنولوژی IPS در شبکه به ارائه موارد اندکی در زمینه قابلیتهای کنترل دسترسی پرداخته و بیشتر بر روند شناسایی تهدیدات تمرکز مینماید. طیف وسیعی از مکانیسمهای مورد استفاده در این تکنولوژی شامل Signature برای تهدیدات و آسیبپذیریهای شناخته شده، شناسایی ناهنجاریهای رفتاری برای فعالیتهای مخرب و مشکوک و همچنین تهدیدات ناشناخته است. معمولا پوشش تا حد زیادی ارائه و شامل لایهی سرویسهای برنامه میشود و برای تمامی پروتکلهای معمول اینترنت از قبیل HTTP، DNS، SMTP، SSH، Telnet و FTP میباشد.
از آنجاییکه وجود Signatureهایی برای تهدیدات و آسیبپذیریهای شناخته شده و مرتبط با برنامههای کسبوکار و همچنین زیرساختهای متداول اجرا شده در سازمانها غیرمعمول نمیباشد، پوشش پراکنده در لایههای بالاترِ پشتهی محاسباتی نیز در دسترس میباشد. این پوشش اضافی علیرغم گام برداشتن در مسیر صحیح، کافی نبوده و تکنولوژی IPS را در رابطه با دو موضوع در میانه راه نگهمیدارد:
False Negative یا منفی کاذب- به دلیل عدم درک و قابلیت دید دقیق برنامه نسبت به اکثر تهدیدات در لایههای بالاتر (مانند مواردی که از طریق دستکاری منطق فرآیند برنامه کار میکند) نامناسب میگردد.
False Positive یا مثبت کاذب- همگام با تلاش برای ایجاد Signatureهای کاربردی و مورد استفاده برای طیف وسیعی از تهدیدات مربوط به لایه بالاتر در برنامههای تحت وب استاندارد و سفارشی، همواره به ایجاد تعداد بسیار زیادی هشدار کاذب منجر میشود.
اگرچه تکنولوژی IPS با فرآیند شناسایی و جلوگیریِ صریح و مستقیم تهدیدات، به یک مولفه ارزشمند برای فایروالهای معمولی شبکه تبدیل میگردد، پوشش ناهماهنگ (Spotty Coverage) در بالای لایهی سرویسهای برنامه، صرفا موجب افزایش تدریجی در روند محافظت از داراییهای تحتوب در سازمان میشود.
-فایروالهای نسل بعدی (NGFW)
فایروالهای نسل بعدی (NGFW) به ترکیب قابلیتهای فایروالهای شبکه و IPSها در یک راهکار واحد میپردازند. NGFW جهت کنترل دسترسی به شبکه و یا از شبکه، معمولا هویت برنامه و کاربر را هم به این قابلیتها اضافه مینماید. یک راهکار ترکیبی با چندین زنگ و هشدار اضافی برای مقیاس و ارزیابی مطلوب به عنوان نتیجهای برای موارد کاربردی با تمام و بالاترین توان عملیاتی (به عبارتی بیش از چندین Gbps) میباشد. بهرحال آگاهی و اطلاع از برنامه (Application Awareness) در رابطه با محافظت از برنامههای تحت وب همچنان به عنوان یک کاستی مهم باقی میماند. قابلیت شناسایی درست برنامهها، صرف نظر از پورت و پروتکل مورد استفاده در آن که تحت عنوان آگاهی از برنامه (Application Awareness) نام برده میشود، با روان بودن برنامه، یکسان نمی باشد.
با آگاهی از برنامه، تکنیکهایی مانند رمزگشایی پروتکل برنامه و Signatureهای برنامه به شناسایی درست برنامههای کسبو کار و زیرساختهای ویژهای میپردازند که مسئولیت تمامی ترافیک شبکه را به عهده دارند.
#security #waf @unixmens
عملکرد اصلیِ فایروالهای معمولی شبکه، کنترل دسترسیها میباشد، که درواقع سیاستگذاریهایی است که در آن تعیین میشود کدام ترافیک برنامه، اجازه تردد در محدوده شبکهای را دارد که در آن پیادهسازی شده است. قابلیت Stateful، توانایی انطباق به صورت پویا را فراهم نموده و امکان بازگشت ترافیک مربوط به Sessionهای مجاز (و برعکس) را میسر میسازد.
در زیر به بررسی معایب استفاده از فایروالهای معمولی شبکه می پردازیم:
از آنجاییکه این مقوله صرفا بر اساس ویژگیهای Application-Layer (مانند پورت، پروتکل و IP آدرسهای منبع و مقصد) میباشد، قابلیت کنترل دسترسی برای یک فایروال معمولی به صورت توسعهپذیر فراهم نخواهد بود؛ در نتیجه فایروال نمیتواند همواره ایجاد تمایز کند، بنابراین برنامههای مجزا را با استفاده از یک پروتکل و یا پورت مورد نظر (مانند آرایهای از برنامههای تحت وبِ HTTP، که از TCP پورت 80 استفاده مینماید) کنترل مینماید.
فایروالهای معمولِ شبکه برای شناسایی یا جلوگیری صریح و مستقیم تهدیدات، تجهیز نشدهاند. تنها محافظتی که در برابر بدافزارها (Malware)، حملات و سایر فعالیتهای غیرمجاز ارائه میدهند، پیامد سیاستهای کنترل دسترسی میباشد که برای اجرا شدن، پیکربندی شدهاند. به عنوان مثال، اگر برای یک تهدید از مجرای ارتباطی که Open نیست، استفاده شود به صورت پیشفرض (و بدون انجام فرآیند شناسایی) از آن جلوگیری خواهد شد.
در نتیجه با توجه به موارد فوق، فایروالهای معمولی شبکه میتوانند محافظت نسبتا محدودی را برای داراییهای تحت وب در سازمانها ارائه نمایند.
-سیستمهای جلوگیری از نفوذ شبکه (IPS)
تکنولوژی IPS در شبکه به ارائه موارد اندکی در زمینه قابلیتهای کنترل دسترسی پرداخته و بیشتر بر روند شناسایی تهدیدات تمرکز مینماید. طیف وسیعی از مکانیسمهای مورد استفاده در این تکنولوژی شامل Signature برای تهدیدات و آسیبپذیریهای شناخته شده، شناسایی ناهنجاریهای رفتاری برای فعالیتهای مخرب و مشکوک و همچنین تهدیدات ناشناخته است. معمولا پوشش تا حد زیادی ارائه و شامل لایهی سرویسهای برنامه میشود و برای تمامی پروتکلهای معمول اینترنت از قبیل HTTP، DNS، SMTP، SSH، Telnet و FTP میباشد.
از آنجاییکه وجود Signatureهایی برای تهدیدات و آسیبپذیریهای شناخته شده و مرتبط با برنامههای کسبوکار و همچنین زیرساختهای متداول اجرا شده در سازمانها غیرمعمول نمیباشد، پوشش پراکنده در لایههای بالاترِ پشتهی محاسباتی نیز در دسترس میباشد. این پوشش اضافی علیرغم گام برداشتن در مسیر صحیح، کافی نبوده و تکنولوژی IPS را در رابطه با دو موضوع در میانه راه نگهمیدارد:
False Negative یا منفی کاذب- به دلیل عدم درک و قابلیت دید دقیق برنامه نسبت به اکثر تهدیدات در لایههای بالاتر (مانند مواردی که از طریق دستکاری منطق فرآیند برنامه کار میکند) نامناسب میگردد.
False Positive یا مثبت کاذب- همگام با تلاش برای ایجاد Signatureهای کاربردی و مورد استفاده برای طیف وسیعی از تهدیدات مربوط به لایه بالاتر در برنامههای تحت وب استاندارد و سفارشی، همواره به ایجاد تعداد بسیار زیادی هشدار کاذب منجر میشود.
اگرچه تکنولوژی IPS با فرآیند شناسایی و جلوگیریِ صریح و مستقیم تهدیدات، به یک مولفه ارزشمند برای فایروالهای معمولی شبکه تبدیل میگردد، پوشش ناهماهنگ (Spotty Coverage) در بالای لایهی سرویسهای برنامه، صرفا موجب افزایش تدریجی در روند محافظت از داراییهای تحتوب در سازمان میشود.
-فایروالهای نسل بعدی (NGFW)
فایروالهای نسل بعدی (NGFW) به ترکیب قابلیتهای فایروالهای شبکه و IPSها در یک راهکار واحد میپردازند. NGFW جهت کنترل دسترسی به شبکه و یا از شبکه، معمولا هویت برنامه و کاربر را هم به این قابلیتها اضافه مینماید. یک راهکار ترکیبی با چندین زنگ و هشدار اضافی برای مقیاس و ارزیابی مطلوب به عنوان نتیجهای برای موارد کاربردی با تمام و بالاترین توان عملیاتی (به عبارتی بیش از چندین Gbps) میباشد. بهرحال آگاهی و اطلاع از برنامه (Application Awareness) در رابطه با محافظت از برنامههای تحت وب همچنان به عنوان یک کاستی مهم باقی میماند. قابلیت شناسایی درست برنامهها، صرف نظر از پورت و پروتکل مورد استفاده در آن که تحت عنوان آگاهی از برنامه (Application Awareness) نام برده میشود، با روان بودن برنامه، یکسان نمی باشد.
با آگاهی از برنامه، تکنیکهایی مانند رمزگشایی پروتکل برنامه و Signatureهای برنامه به شناسایی درست برنامههای کسبو کار و زیرساختهای ویژهای میپردازند که مسئولیت تمامی ترافیک شبکه را به عهده دارند.
#security #waf @unixmens
در صورتیکه هنگام استفادهی چندین سرویس و برنامه از پروتکلها و پورتهای مشابه، Policyهای جداگانهای تدوین و تنظیم شوند، آگاهی از برنامه موجب دقت بیشتر در کنترل دسترسی میگردد. برای مثال میتوان Web Bucket ترافیک را بخشبندی نمود تا دسترسی به تعداد انگشتشماری از برنامههای تحت وبِ سودمند و مهم برای کسبوکار فراهم گردد، در حالی که میتوان برنامههای تحت وب با مطلوبیت کمتر مانند Web Mail، سرویسهای File-Sharing و بازیهای فیسبوک را به صورت انتخابی محدود نموده یا به طور کامل Block کرد.
روان بودن برنامه به عنوان یکی از پیششرطها برای شناسایی واضح و مستقیم تهدیدات در لایههای بالاتر مستلزم درک عمیقتری از برنامههای محافظتشده بوده و در برگیرنده مواردی از این قبیل است که کدام ورودی و توالیهای جهتیابی (Navigation Sequence) معتبر بوده و اینکه برنامه باید چگونه کارکند.
نکته آخر اینکه، اگرچه NGFW میتواند قابلیت کنترل دسترسی را ارتقا بخشیده و فرصتی را برای حذف تعداد زیادی از تجهیزات با تکنولوژی واحد فراهم نماید، سازمانها همچنان با قابلیتهای شناسایی و یا محافظت صریح و مستقیم تهدیدات مربوط به یک IPS معمولی، باقی میمانند. این در حالی است که عرض و عمق این پوشش برای محافظت از داراییهای وب (خصوصا موارد سفارشیشده) در مقابل حملات پیچیده و هدفمندی که در حال حاضر بخش عمدهای از تهدیدات را تشکیل میدهند، کافی نمیباشند.
#waf #security @unixmens
روان بودن برنامه به عنوان یکی از پیششرطها برای شناسایی واضح و مستقیم تهدیدات در لایههای بالاتر مستلزم درک عمیقتری از برنامههای محافظتشده بوده و در برگیرنده مواردی از این قبیل است که کدام ورودی و توالیهای جهتیابی (Navigation Sequence) معتبر بوده و اینکه برنامه باید چگونه کارکند.
نکته آخر اینکه، اگرچه NGFW میتواند قابلیت کنترل دسترسی را ارتقا بخشیده و فرصتی را برای حذف تعداد زیادی از تجهیزات با تکنولوژی واحد فراهم نماید، سازمانها همچنان با قابلیتهای شناسایی و یا محافظت صریح و مستقیم تهدیدات مربوط به یک IPS معمولی، باقی میمانند. این در حالی است که عرض و عمق این پوشش برای محافظت از داراییهای وب (خصوصا موارد سفارشیشده) در مقابل حملات پیچیده و هدفمندی که در حال حاضر بخش عمدهای از تهدیدات را تشکیل میدهند، کافی نمیباشند.
#waf #security @unixmens
ویژگی استفاده از Web Application Firewall
Web Application Firewall یا به اختصار WAF، با کنار گذاشتن سایر تکنولوژیهای امنیتی میتواند مورد استفاده قرار گیرد و همچنین محافظت در برابر تهدیدات فعال در بالاترین لایههای پشتهی محاسباتی (Computing Stack) را نیز میسر میسازد. روندهای معمول یادگیری خودکار به واسطه Policyهای پیکربندی شده به صورت دستی تکامل یافته و درک کاملی از نحوه عملکرد هر یک از برنامههای محافظتشدهی تحت وب ایجاد میکند که شامل تمامی ویژگیهای سفارشی و منطق کسبوکار را میگردد.
#security #waf @unixmens
Web Application Firewall یا به اختصار WAF، با کنار گذاشتن سایر تکنولوژیهای امنیتی میتواند مورد استفاده قرار گیرد و همچنین محافظت در برابر تهدیدات فعال در بالاترین لایههای پشتهی محاسباتی (Computing Stack) را نیز میسر میسازد. روندهای معمول یادگیری خودکار به واسطه Policyهای پیکربندی شده به صورت دستی تکامل یافته و درک کاملی از نحوه عملکرد هر یک از برنامههای محافظتشدهی تحت وب ایجاد میکند که شامل تمامی ویژگیهای سفارشی و منطق کسبوکار را میگردد.
#security #waf @unixmens
انحرافات شناسایی شده در ادامه، نشانگر یک ترافیک مخرب و مشکوک است که طبق سیاستهای مدیریت محور به صورت خودکار در وضعیتی مانند Block، ایجاد محدودیت (Restriction) و یا Logged قرار میگیرد.
ویژگی های منحصر به فرد WAF در مقایسه با سایر تکنولوژیهای امنیتی به شرح زیر می باشد:
تایید اعتبار ورودیها که در نتیجه ورود خطرناک SQL، Cross-Site Scripting و حملات پیمایشی دایرکتوریها (Directory Traversal Attack) متوقف میگردد.
شناسایی Cookie، Session یا حملات Parameter Tampering
Block نمودن حملاتی که آسیبپذیریهای موجود در داراییهای سفارشی تحتوب را Exploit میکنند.
جلوگیری از انتقال غیرمجاز دادههای حساس از طریق شناسایی و Block کردن در سطح Object
بررسی کامل ترافیک رمزگذاریشدهی SSL برای تمامی تهدیدات
جلوگیری از تهدیدات فعال به واسطه Exploit نمودن نقاط ضعف منطقی در برنامههای سفارشی کسبوکار
محافظت در برابر حملات Application-Layer Denial و حملات DDoS
پنهان نمودن اطلاعات واکنشی سرور که به طور بالقوه برای هکرها مفید میباشند.
ایجاد محافظت جامع و کامل از XML که در برگیرنده اعتبار Schema برای پیامهای SOAP و دفاعهای ورودی XPath و همچنین شناسایی یا Block نمودن فایلهای ضمیمه XML با محتوای مخرب است.
ایجاد انطباق و سازگاری با شرایط 6.6 مربوط به Payment Card Industry Data Security Standard یا به اختصار PCI DSS
WAFهای پیشرو در بازار از قبیل NetScaler AppFirewall، علاوهبر ارائه تمامی حفاظتهای برنامه محور، پشتیبانی از قواعد مربوط به کنترل دسترسی به Network-Layer و اجزای مبتنی بر Signature جهت شناسایی تهدیدات شناختهشده را نیز در بر میگیرند. تیمهای امنیتی باید تشخیص دهند که دفاعهای WAF به واسطهی طراحی که دارند عمدتا بر پروتکلهای تحتوب نظیر HTTP، HTTPS، XML و SOAP تمرکز مینمایند.
مجموعه تکنولوژیهای امنیتی
در جدول ارائه شده در این مقاله، تکنولوژیهای امنیتی ذکرشده در قیاس با یکدیگر ارائه میشوند. نکات مهم شامل موارد زیر میباشد:
اگرچه آنها برای نظارت و غربالگری حجم زیادی از تهدیدات در لایه پایین مفید میباشند، تکنولوژیهای امنیتی پیادهسازی شده به صورت معمول نظیر فایروالهای شبکه و IPSها نمیتوانند محدوده بزرگی را در هنگام محافظت از برنامههای تحتوب پوشش دهند.
اگرچه هیچ یک از تکنولوژیهای امنیتی به تنهایی قادر به محافظت کامل از برنامههای تحتوب نمیباشند، WAFها بیشترین محافظت را به عمل میآورند.
ترکیب NGFWها با WAFها، به عنوان یکی از شیوههای موثر برای ایجاد محافظت کامل و قدرتمند از داراییهای مهم تحتوب سازمانی، در مقابل تهدیدات به شمار میرود.
#security @unixmens #waf
ویژگی های منحصر به فرد WAF در مقایسه با سایر تکنولوژیهای امنیتی به شرح زیر می باشد:
تایید اعتبار ورودیها که در نتیجه ورود خطرناک SQL، Cross-Site Scripting و حملات پیمایشی دایرکتوریها (Directory Traversal Attack) متوقف میگردد.
شناسایی Cookie، Session یا حملات Parameter Tampering
Block نمودن حملاتی که آسیبپذیریهای موجود در داراییهای سفارشی تحتوب را Exploit میکنند.
جلوگیری از انتقال غیرمجاز دادههای حساس از طریق شناسایی و Block کردن در سطح Object
بررسی کامل ترافیک رمزگذاریشدهی SSL برای تمامی تهدیدات
جلوگیری از تهدیدات فعال به واسطه Exploit نمودن نقاط ضعف منطقی در برنامههای سفارشی کسبوکار
محافظت در برابر حملات Application-Layer Denial و حملات DDoS
پنهان نمودن اطلاعات واکنشی سرور که به طور بالقوه برای هکرها مفید میباشند.
ایجاد محافظت جامع و کامل از XML که در برگیرنده اعتبار Schema برای پیامهای SOAP و دفاعهای ورودی XPath و همچنین شناسایی یا Block نمودن فایلهای ضمیمه XML با محتوای مخرب است.
ایجاد انطباق و سازگاری با شرایط 6.6 مربوط به Payment Card Industry Data Security Standard یا به اختصار PCI DSS
WAFهای پیشرو در بازار از قبیل NetScaler AppFirewall، علاوهبر ارائه تمامی حفاظتهای برنامه محور، پشتیبانی از قواعد مربوط به کنترل دسترسی به Network-Layer و اجزای مبتنی بر Signature جهت شناسایی تهدیدات شناختهشده را نیز در بر میگیرند. تیمهای امنیتی باید تشخیص دهند که دفاعهای WAF به واسطهی طراحی که دارند عمدتا بر پروتکلهای تحتوب نظیر HTTP، HTTPS، XML و SOAP تمرکز مینمایند.
مجموعه تکنولوژیهای امنیتی
در جدول ارائه شده در این مقاله، تکنولوژیهای امنیتی ذکرشده در قیاس با یکدیگر ارائه میشوند. نکات مهم شامل موارد زیر میباشد:
اگرچه آنها برای نظارت و غربالگری حجم زیادی از تهدیدات در لایه پایین مفید میباشند، تکنولوژیهای امنیتی پیادهسازی شده به صورت معمول نظیر فایروالهای شبکه و IPSها نمیتوانند محدوده بزرگی را در هنگام محافظت از برنامههای تحتوب پوشش دهند.
اگرچه هیچ یک از تکنولوژیهای امنیتی به تنهایی قادر به محافظت کامل از برنامههای تحتوب نمیباشند، WAFها بیشترین محافظت را به عمل میآورند.
ترکیب NGFWها با WAFها، به عنوان یکی از شیوههای موثر برای ایجاد محافظت کامل و قدرتمند از داراییهای مهم تحتوب سازمانی، در مقابل تهدیدات به شمار میرود.
#security @unixmens #waf
دلایل استفاده از WAF
در گذشته، این امکان برای فایروال های معمول شبکه و سیستمهای جلوگیری از نفوذ (IPS) وجود داشت که بتوانند از تعداد انگشتشماری از برنامههای مهم وب در سازمانهای متوسط حفاظت کافی را به عمل بیاورند. در حال حاضر این موضوع، با افزایش وابستگی سازمانها به داراییهای تحتوب و همچنین تغییر جهت قابل توجه هکرها به سمت حملات هدفمند و مختص برنامه، بیش از این مطرح نمیباشد. حتی فایروالهای نسل بعدی هم در این زمینه با کاستی روبرو میباشند، زیرا بهبودهای ارائه شده عمدتا در ادغام زیرساخت و افزایش توسعهپذیری جزء به جزء جهت تدوین و اجرای سیاستهای کنترل دسترسی ارائه شدهاند.
#security #waf @unixmens
در گذشته، این امکان برای فایروال های معمول شبکه و سیستمهای جلوگیری از نفوذ (IPS) وجود داشت که بتوانند از تعداد انگشتشماری از برنامههای مهم وب در سازمانهای متوسط حفاظت کافی را به عمل بیاورند. در حال حاضر این موضوع، با افزایش وابستگی سازمانها به داراییهای تحتوب و همچنین تغییر جهت قابل توجه هکرها به سمت حملات هدفمند و مختص برنامه، بیش از این مطرح نمیباشد. حتی فایروالهای نسل بعدی هم در این زمینه با کاستی روبرو میباشند، زیرا بهبودهای ارائه شده عمدتا در ادغام زیرساخت و افزایش توسعهپذیری جزء به جزء جهت تدوین و اجرای سیاستهای کنترل دسترسی ارائه شدهاند.
#security #waf @unixmens
Forwarded from Academy and Foundation unixmens | Your skills, Your future
همچنین جهت مشاوره پیرامون waf و پیکربندی و راهکار های مربوطه می توانید با @yashar_esmaildokht در ارتباط باشید .
#waf #security @unixmens
#waf #security @unixmens
Forwarded from Jalal Hajigholamali
با سلام و عرض ادب و احترام
یک شرکت کامپیوتری نیاز به تعدادی کارشناس دارد
شرایط در فایل ذیل آمده است
یک شرکت کامپیوتری نیاز به تعدادی کارشناس دارد
شرایط در فایل ذیل آمده است
✅یک دانشجو برای ادامه تحصیل و گرفتن دکترا همراه با خانواده اش عازم استرالیا شد. در آنجا پسر کوچک شان را در یک مدرسه استرالیایی ثبت نام کردند تا او هم ادامه تحصیلش را در سیستم آموزش این کشور تجربه کند.
✅روز اوّل که پسر از مدرسه برگشت، پدر از او پرسید: پسرم تعریف کن ببینم امروز در مدرسه چی یاد گرفتی؟
✅پسر جواب داد: امروز درباره خطرات سیگار کشیدن به ما گفتند و بحث کردیم، خانم معلّم برایمان یک کتاب قصّه خواند و یک کاردستی هم درست کردیم.
✅پدر پرسید: ریاضی و علوم نخواندید؟ پسر گفت: نه
روز دوّم دوباره وقتی پسر از مدرسه برگشت پدر سؤال خودش را تکرار کرد. پسر جواب داد: امروز نصف روز را ورزش کردیم، یاد گرفتیم که چطور اعتماد به نفس مان را از دست ندهیم، و زنگ آخر هم به ما یاد دادند که باید قسمتی از درآمدمان را به دولت بدهیم تا برای آبادی شهرها و روستاها خرج شود.
✅بعد از چندین روز که پسر می رفت و می آمد و تعریف می کرد، پدر کم کم نگران شد چرا که می دید در مدرسه پسرش وقت کمی در هفته صرف ریاضی، فیزیک، علوم، و چیزهایی که از نظر او درس درست و حسابی بودند می شود. از آن جایی که پدر نگران بود که پسرش در این دروس ضعیف رشد کند به پسرش گفت:
پسرم از این به بعد دوشنبه ها مدرسه نرو تا در خانه خودم با تو ریاضی و فیزیک کار کنم.
بنابراین پسر دوشنبه ها مدرسه نمی رفت. دوشنبه اوّل از مدرسه زنگ زدند که چرا پسرتان نیامده. گفتند مریض است. دوشنبه دوّم هم زنگ زدند باز یک بهانه ای آوردند. بعد از مدّتی مدیر مدرسه مشکوک شد و پدر را به مدرسه فراخواند تا با او صحبت کند.
✅وقتی پدر به مدرسه رفت باز سعی کرد بهانه بیاورد امّا مدیر زیر بار نمی رفت. بالاخره به ناچار حقیقت ماجرا را تعریف کرد. گفت که نگران پیشرفت تحصیلی پسرش بوده و از این تعجّب می کند که چرا در مدارس استرالیا این قدر کم درس درست و حسابی می خوانند.
✅مدیر پس از شنیدن حرف های پدر کمی سکوت کرد و سپس جواب داد:
ما هم ۵۰ سال پیش مثل شما فکر می کردیم.
تعریف باسوادی فقط خواندن فیزیک و شیمی و ریاضی نیست بلکه احساس مسوولیت و مشارکت نسبت به مسایل جامعه است.
✅مهارت های زندگی و اجتماعی شدن در یک جامعه مدنی برای همه لازم است ولی فیزیک و شیمی ممکن است برای گروهی خاص کارگشاباشد .
✅روز اوّل که پسر از مدرسه برگشت، پدر از او پرسید: پسرم تعریف کن ببینم امروز در مدرسه چی یاد گرفتی؟
✅پسر جواب داد: امروز درباره خطرات سیگار کشیدن به ما گفتند و بحث کردیم، خانم معلّم برایمان یک کتاب قصّه خواند و یک کاردستی هم درست کردیم.
✅پدر پرسید: ریاضی و علوم نخواندید؟ پسر گفت: نه
روز دوّم دوباره وقتی پسر از مدرسه برگشت پدر سؤال خودش را تکرار کرد. پسر جواب داد: امروز نصف روز را ورزش کردیم، یاد گرفتیم که چطور اعتماد به نفس مان را از دست ندهیم، و زنگ آخر هم به ما یاد دادند که باید قسمتی از درآمدمان را به دولت بدهیم تا برای آبادی شهرها و روستاها خرج شود.
✅بعد از چندین روز که پسر می رفت و می آمد و تعریف می کرد، پدر کم کم نگران شد چرا که می دید در مدرسه پسرش وقت کمی در هفته صرف ریاضی، فیزیک، علوم، و چیزهایی که از نظر او درس درست و حسابی بودند می شود. از آن جایی که پدر نگران بود که پسرش در این دروس ضعیف رشد کند به پسرش گفت:
پسرم از این به بعد دوشنبه ها مدرسه نرو تا در خانه خودم با تو ریاضی و فیزیک کار کنم.
بنابراین پسر دوشنبه ها مدرسه نمی رفت. دوشنبه اوّل از مدرسه زنگ زدند که چرا پسرتان نیامده. گفتند مریض است. دوشنبه دوّم هم زنگ زدند باز یک بهانه ای آوردند. بعد از مدّتی مدیر مدرسه مشکوک شد و پدر را به مدرسه فراخواند تا با او صحبت کند.
✅وقتی پدر به مدرسه رفت باز سعی کرد بهانه بیاورد امّا مدیر زیر بار نمی رفت. بالاخره به ناچار حقیقت ماجرا را تعریف کرد. گفت که نگران پیشرفت تحصیلی پسرش بوده و از این تعجّب می کند که چرا در مدارس استرالیا این قدر کم درس درست و حسابی می خوانند.
✅مدیر پس از شنیدن حرف های پدر کمی سکوت کرد و سپس جواب داد:
ما هم ۵۰ سال پیش مثل شما فکر می کردیم.
تعریف باسوادی فقط خواندن فیزیک و شیمی و ریاضی نیست بلکه احساس مسوولیت و مشارکت نسبت به مسایل جامعه است.
✅مهارت های زندگی و اجتماعی شدن در یک جامعه مدنی برای همه لازم است ولی فیزیک و شیمی ممکن است برای گروهی خاص کارگشاباشد .
داستان
دکتر #جردن و دکتر #بختیار
دکتر #ابوالقاسم_بختیار اولین #پزشک ایرانی است که تا سن ٣٩سالگی تحصیلات ابتدایی داشت و خدمتکار یکی از خوانین بزرگ #بختیاری بود او هر روز فرزندان خان را به مدرسه میبرد وهمان جا می ماند تا مدرسه تعطیل می شد و دوباره آنها را به منزل میبرد دبیرستانی که فرزندان خان در آن تحصیل می کردند یک کالج آمریکایی (دبیرستان البرز) بود که مدیریت آن برعهده دکتر جردن بود.
دکتر جردن از پنجره دفتر کارش می دید که هر روز جوانی قوی هیکل چند دانش آموز را به مدرسه می آورد.
یکروز که این جوان در شکستن و انبار کردن چوب به خدمتگذار مدرسه کمک کرد دکتر جردن از کار او خوشش آمد واو را به دفتر فرا خواند و از او پرسید که چرا ادامه تحصیل نمی دهد جوان (دکتر ابولقاسم بختیار) گفت که بعلت سن بالا و نداشتن هزینه تحصیل و همچنین با داشتن سه فرزند قادر به این کار نیست ؛
دکتر جردن پذیرفت که خود شخصا آموزش او را در زمانی که باید منتظر بچه های خان باشد بر عهده بگیرد او بعلت استعداد بالا ظرف چند سال موفق به اخذ دیپلم شد و با کمک دکتر جردن برای ادامه تحصیل به آمریکا رفت وسرانجام در سن ۵۵ سالگی مدرک دکترای پزشکی خود را از دانشگاه نیویورک گرفت دکتر بختیار چهار فرزند داشت که همگی آنها پزشک بودند .
دکتر سامویل مارتین جردن معلم و مبلغ آمریکایی از سال ١٨٩٩تا١٩۴٠ریاست کالج آمریکایی در تهران را بر عهده داشت و به پاس خدماتش خیابانی در تهران بنامش نامگذاری شد.
گاهی یک خدمت ما میتواند سرنوشت فرد و حتی اجتماعی را تغییر دهد خوبی خوبیست با هر مذهب و یا هر ملیتی !!!
اینم دلیل نامگذاری خیابان #جردن
متن خیلی جالبی برای من بود خواستم شما هم در این حس مشترک شوید.
.
دکتر #جردن و دکتر #بختیار
دکتر #ابوالقاسم_بختیار اولین #پزشک ایرانی است که تا سن ٣٩سالگی تحصیلات ابتدایی داشت و خدمتکار یکی از خوانین بزرگ #بختیاری بود او هر روز فرزندان خان را به مدرسه میبرد وهمان جا می ماند تا مدرسه تعطیل می شد و دوباره آنها را به منزل میبرد دبیرستانی که فرزندان خان در آن تحصیل می کردند یک کالج آمریکایی (دبیرستان البرز) بود که مدیریت آن برعهده دکتر جردن بود.
دکتر جردن از پنجره دفتر کارش می دید که هر روز جوانی قوی هیکل چند دانش آموز را به مدرسه می آورد.
یکروز که این جوان در شکستن و انبار کردن چوب به خدمتگذار مدرسه کمک کرد دکتر جردن از کار او خوشش آمد واو را به دفتر فرا خواند و از او پرسید که چرا ادامه تحصیل نمی دهد جوان (دکتر ابولقاسم بختیار) گفت که بعلت سن بالا و نداشتن هزینه تحصیل و همچنین با داشتن سه فرزند قادر به این کار نیست ؛
دکتر جردن پذیرفت که خود شخصا آموزش او را در زمانی که باید منتظر بچه های خان باشد بر عهده بگیرد او بعلت استعداد بالا ظرف چند سال موفق به اخذ دیپلم شد و با کمک دکتر جردن برای ادامه تحصیل به آمریکا رفت وسرانجام در سن ۵۵ سالگی مدرک دکترای پزشکی خود را از دانشگاه نیویورک گرفت دکتر بختیار چهار فرزند داشت که همگی آنها پزشک بودند .
دکتر سامویل مارتین جردن معلم و مبلغ آمریکایی از سال ١٨٩٩تا١٩۴٠ریاست کالج آمریکایی در تهران را بر عهده داشت و به پاس خدماتش خیابانی در تهران بنامش نامگذاری شد.
گاهی یک خدمت ما میتواند سرنوشت فرد و حتی اجتماعی را تغییر دهد خوبی خوبیست با هر مذهب و یا هر ملیتی !!!
اینم دلیل نامگذاری خیابان #جردن
متن خیلی جالبی برای من بود خواستم شما هم در این حس مشترک شوید.
.