آموزش mask کردن اطلاعات در WAF فورتی‌وب

0 254

همانطور که می‌دانید بحث حفاظت از اطلاعات خصوصا اطلاعاتی که برچسب critical دارند، در شرکت‌ها و سازمان‌ها بسیار مورد توجه و اهمیت است. یکی از solution هایی که بصورت تخصصی برای حفاظت از افشای اطلاعات وب سایت‌ها و سرویس‌های تحت وب مورد استفاده قرار می‌گیرد، بکارگیری فایروال تخصصی وب‌اپلیکیشن‌ها با نام WAF است. WAF علاوه بر آن‌که بصورت ریز و موشکافانه، تمام ارتباطات منتهی به سرویس‌های پشتش را زیر نظر می‌گیرد، در بحث افشا و یا سرقت اطلاعات نیز لایه امنیتی خوبی را ایجاد می‌کند.

اما موضوعی که وجود دارد، اینست که WAF برای inspect کردن و بازرسی دقیق ترافیک‌های عبوری، مجبور است که packet‌ها را بطور کامل باز کرده و بررسی نماید. در طرف دیگر لاگ این packetهای بازرسی شده در WAF – بطور موقت – و بصورت plain text ذخیره شده و نمایش داده می‌شوند. در شرکت‌ها و سازمان‌هایی که دارای اطلاعات خیلی حساس و محرمانه می‌باشند، حتی در همین مرحله نیز لازم است تا این اطلاعات در لاگ های WAF هم بصورت plain text نبود و یا به عبارتی mask شوند.

در این نکته نحوه mask کردن اطلاعات در waf فورتی‌وب را آموزش خواهم داد:
پس از وارد شدن به کنسول تحت وب فورتی‌وب، همانطور که در تصویر مشخص است، به قسمت ” Sensitive Data Logging “ در شاخه ” Log&Report “ و زیر شاخه ” Log Config “ می‌رویم:

بصورت پیش فرض، در صفحه موجود، هیچ پروفایل بخصوصی وجود ندارد؛ بنابراین با کلیک بر روی ” Create New ” اقدام به ساختن یک پروفایل برای mask کردن اطلاعات حساسمان می‌کنیم:

 

در صفحه باز شده این امکان را داریم تا بر اساس فیلدهای موجود، نوع اطلاعاتی را که لازم است mask شوند، به waf بفهمانیم:

 

خوب همانطور که میدانید و نیازی به توضیح خاصی هم ندارد، در فیلد ” Name “، نامی که برای پروفایل مد نظرمان است، تایپ می‌کنیم. بعد از این مرحله، بسته به آنچیزی که میخواهیم انجام دهیم؛ دو گزینه پیش روی ما قرار دارد: ” General Mask ” و ” Field Mask “.
پیش از توضیح تو بخش گفته شده، لازم است بدانید که تعاریف صورت گرفته از پارامتر یا اطلاعات مد نظرمان که قصد mask کردن ان را داریم، تماما بصورت Regex قابل تعریف است؛ بنابراین در لازم است تا آشنایی مختصری از این زبان داشته باشید.
اگر بخواهیم یک رشته خاص که می‌تواند ترکیبی از کلمات، اعداد و …باشد را تعریف کنیم؛ در بخش General Mask، آن را مشخص می‌کنیم. بطور مثال می‌خواهیم در هر packetای، اگر عبارت password بود، بجای نشان دادن این کلمه، از mask آن یعنی ******** استفاده کند. یا مثلا هرکجا یک شماره موبایل با فرمت ۰۹۱۲۲۲۲۲۲۲۲ دید، از mask آن یعنی *********** استفاده کند.
اما اگر قصد ما، mask کردن مقدار یک پارامتر – یا یک الگوی پارامتری – خاص است، باید گزینه ” Field Mask ” را انتخاب کنیم. بطور مثال هدف ما Mask کردن عبارت password نیست؛ بلکه هدف ما mask کردن مقدار تخصیص داده شدن به پارامتر password – فارغ از هر مقداری – است. بنابراین در بخش ” Filed Name ” عبارت password و در بخش ” Filed Value ” عبارت /* یا .* (به مفهوم هر چیزی ) را اضافه می‌کنیم.

در انتها پس از تعریف پروفایل، در صفحه اصلی ” Sensitive Data Logging ” می‎‌توانیم با استفاده از چک باکس ” Enable Custom Rules ” پروفایل خود رو فعال یا غیر فعال نماییم.

مانا باشید
احسان امجدی / کارشناس و مدرس دوره‌های تحلیل امنیت

“اگر بر این باورید که با نقض قانون کپیرایت، وضعیتی بهتر در انتظارمان خواهد بود، بدون ذکر نامِ نویسنده و منبع، مجاز به انتشار مطالب هستید. “

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.