Tuesday, June 24, 2008

Web Application Firewall

"Firewall merupakan suatu cara/sistem/mekanisme yang diterapkan baik terhadap hardware , software ataupun sistem itu sendiri dengan tujuan untuk melindungi, baik dengan menyaring, membatasi atau bahkan menolak suatu atau semua hubungan/kegiatan suatu segmen pada jaringan pribadi dengan jaringan luar yang bukan merupakan ruang lingkupnya" - y3dips:firewall

Saya lebih senang menyebut firewall sebagai suatu sistem/mekanisme dibandingkan menyebutnya "hardware" ataupun "software" yang bahkan akhirnya membentuk pola pikir banyak orang, bahkan (dahulu) beberapa individu tidak percaya jika di komputer pribadi bisa terdapat firewall. Atau saat saya ceritakan redhat milik saya firewallnya sudah "built in". Ya, ya.. kala itu :)

Sebelum menginjak pembahasan tentang Web Application firewall yang termasuk "Application layer firewall", maka ada baiknya kita jenguk dulu beberapa generasi sebelumnya: Generasi awal lebih sering di sebut dengan Packet Filter firewall, firewall jenis ini bekerja pada lapisan transport (transport layer protocol; IP, TCP, UDP, ICMP), pada level ini firewall berfungsi dan bekerja berdasarkan list "deny" dan "accept" yang di berikan. Kemudian dilanjutkan dengan generasi yang lebih dikenal dengan "Circuit level" firewall. Generasi ini lebih dikenal dengan sebutan "stateful firewall", selain perlindungan yang lebih besar terhadap network (membatasi internet dan internal) dengan dukungan NAT (network address translation) yang relatif lebih baik, serta dukungan terhadap "full connection state (handshake, established, or closing).

"Application level firewall" telah menggunakan teknologi untuk melakukan pemeriksaan terhadap paket jaringan pada layer aplikasi yang belum diterapkan pada generasi sebelumnya. Generasi yang di perkenalkan pada tahun 1991 ini menggunakan Metoda "Proxying", dimana semua request user akan di evalusi serta semua paket dari server akan di periksa sebelum diteruskan ke klien. Pada generasi ini telah memberikan dukungan terhadap "high-level" protokol seperti HTTP, FTP dsb. Sebagai contoh dukungan tambahan terhadap protokol HTTP adalah HTTP object caching, URL filtering, dan user authentication.

Pada awal tahun 2006, Web Application Security Consortium merilis "Web Application Firewall Evaluation Criteria" yang bertujuan mendapatkan secara detil kriteria-kriteria dari web application firewall yang diinginkan, Web application firewalls (WAF) adalah salah satu teknologi (appliance, plugins, set of HTTP rules) yang diciptakan khusus untuk mengatasi berbagai jenis serangan terhadap keamanan web, WAF diproyeksikan untuk dapat menutupi kelemahan "network firewall" dan IPS.

Beberapa produk Open Source dari web application firewall yang cukup di kenal adalah ModSecurity, serta Stinger yang di keluarkan oleh The Open Web Application Security Project (OWASP), sedangkan salah satu contoh web apllicationi firewall yang komersil dan cukup dikenal adalah, Barracuda Web Site Firewall yang memiliki berbagai fitur yang memberikan perlindungan terhadap berbagai jenis web application attack, seperti Cross Site Scripting (XSS), SQL injection flaws, OS command injections, Site reconnaissance Session, dan juga Information leakage. Sedangkan beberapa produk komersil lainnya yang cukup di kenal adalah ISA Server keluaran Microsoft, SecureIIS dari eEye, Imperva - SecureSphere™, dsb.

Btw, No Script bisa di sebut firewall gak yah? (hayoooo, monggo di cek wafec-nya)

source:
http://en.wikipedia.org
http://www.modsecurity.org/
http://www.owasp.org/
http://www.webappsec.org/

images:
www.ranum.com (firewall)
juliecork.wordpress.com (scorpion)

12 comments:

  1. Damn, y3dips are awesome, silent and struck to the heart :lawl:

    So, what do you think mr with XSS expertise (ow really? not copying?), we`ve got Application level firewall (XSS firewalls) been introduced long time ago (do you ever heard proxy server, or ISA for micro$ minded, i also think you cant even install your own PC`s :P)?

    (this is for your two head, imagine if all the two head are got headache :lol:)

    ReplyDelete
  2. @konth0r: wedew, baru post bentar dah ada yang komen :P, luar biasa jadi banyak peminat ini blog gw... njiz ..
    *** bentar lagi masuk TIPI nih nyak ***

    ReplyDelete
  3. wahhh ... sampek sampek web apps di firewall

    tambak weren ajah nih mas y3dips

    tambah susah aja nih

    waktu memburu server sudah abizz

    saatnya memburu client dan jaringan sosial

    ReplyDelete
  4. @radioamatir: nyantai brow, teknologi patching juga sudah di perkenalkan jauh-jauh hari (hampir significant dengan dibuatnya aplikasi) tetapi "hare gene" masih banyak yang dah "bertaon-taon" servernya belun di patch. So ?

    ReplyDelete
  5. Phpids termasuk firewall jg gak mas ?:P

    ReplyDelete
  6. @Arie: yup, the spesific one :), bahkan di katakan untuk menutupi kelemahan dari mod_security(WAF) yang dilihat terlalu general

    ReplyDelete
  7. modsecurty and baracula tuh firewall web yah? cz dlu taunya tuh smcam modul dlm web server (apache), trnyata bru tau skrg, dlu cmn instal doank ...
    klo bastile jg mntap omz, cmn neh msti running di linux, klo modsecurty tuh bisa dipke di IIS ?

    ReplyDelete
  8. @exnome : modsecurity kan rules2 bwt apache .. jd kyknya ga bisa deh buat IIS (correct me if im wrong) :)

    ReplyDelete
  9. @exnome:yup, web application firewall, *firewall ga harus h/w or s/f* set peraturan/mekanisme/sytem juga bisa disebut firewall :) (CMIIW), kalo bastille bukannya aplikasi untuk audit/hardening tools untuk GNU/linux, mod_security, AFAIK just for apache.

    @lain:yup, thx dah bantu jawab :)

    ReplyDelete
  10. Akhirnya pada tahu juga deh kalo web based hacking is too easy to defeat. - So that's why i hate it even i could. Sebagai tambahan mod_evasive juga perlu dimainkan jika memang aware terhadap HTTP.

    ReplyDelete
  11. well done sebagai tambahan saya lebih menilai mod_security sebagai web apps intrussion preventin system daripada menyebutnya sebagai firewall. dan tentunya dengan bicara ids/ips dan sebangsanya mestinya diperhitungkan kemungkinan false positive dan false negative. Saya melihat beberapa rule default dari mod_security yang kemaren sempet saya baca di latest ezine masih false positive juga. Just hope the author knows what "false positive" was. Jadi tidak membuat ambiguitas bagi para noob layaknya saat berdebat tentang port knocking.

    ReplyDelete
  12. @Kang Mas DJ: saya sih lebih menyoroti awareness dari manusianya, toh jenis celah BOF (stack/heap) yang sudah lawas saja, sampai masa ini masih ditemukan (bahkan di "core" dari OS).
    Tetapi hal yang menarik dari web adalah kompleksitas :), semakin kompleks semakin banyak titik yang bisa dipelajari. Selebihnya, thx buat inputannya :) **mudah-mudahan bermanfaat untuk pembuat artikel **

    ReplyDelete