Security
Web Application Firewall Waf Guide
Web Application Firewall (WAF) Guide คืออะไร / ทำไมถึงสำคัญ
น้องๆ เคยได้ยินคำว่า Web Application Firewall (WAF) กันบ้างไหม? สมัยผมทำร้านเน็ต SiamCafe เนี่ย เรื่อง security นี่สำคัญสุดๆ เพราะข้อมูลลูกค้าเพียบ ถ้าโดนแฮกนี่ซวยเลย WAF ก็เหมือนยามเฝ้าหน้าประตูบ้านเรานี่แหละ แต่เป็นประตูบ้านที่เป็นเว็บไซต์หรือแอปพลิเคชันบนเว็บของเรา
WAF มันจะคอยตรวจจับ traffic ที่วิ่งเข้ามาในเว็บเรา ถ้าเจออะไรที่มันดูแปลกๆ น่าสงสัย เช่น พวก SQL Injection, Cross-Site Scripting (XSS) มันก็จะบล็อกไว้ก่อน ไม่ให้เข้ามาทำร้ายเว็บเราได้ พูดง่ายๆ คือ มันเป็นเกราะป้องกันชั้นแรกที่สำคัญมากกกก
ทำไมถึงสำคัญน่ะเหรอ? ก็เพราะเดี๋ยวนี้ Hacker มันเก่งขึ้นเยอะไงน้อง มันไม่ได้มาเจาะระบบแบบเดิมๆ แล้ว มันจะใช้ช่องโหว่ของ Application เรานี่แหละเป็นทางเข้ามาขโมยข้อมูล หรือทำลายระบบเรา ถ้าเราไม่มี WAF คอยป้องกันไว้ ก็เหมือนเอารถไปจอดทิ้งไว้กลางสี่แยกเลย โอกาสโดนชนสูงมาก
พื้นฐานที่ต้องรู้
Web Application คืออะไร?
Web Application ก็คือโปรแกรมที่เราใช้งานผ่านเว็บ Browser นั่นแหละน้อง ไม่ว่าจะเป็น Facebook, Gmail, หรือแม้แต่เว็บ SiamCafe Blog ของผมนี่ก็ใช่ ( SiamCafe Blog ) พวกนี้มันจะมีโค้ดที่ทำงานอยู่เบื้องหลัง ซึ่งโค้ดพวกนี้แหละที่อาจจะมีช่องโหว่ให้ Hacker เข้ามาโจมตีได้
ภัยคุกคามยอดฮิตที่ WAF ช่วยป้องกัน
สมัยก่อนตอนผมดูแลร้านเน็ตฯ เจอบ่อยมาก พวกเด็กๆ ลอง SQL Injection กันสนุกเลย (แต่ผมจับได้หมดนะ! ฮ่าๆ) แต่สมัยนี้มันมีอะไรที่ซับซ้อนกว่านั้นเยอะ WAF มันช่วยป้องกันภัยคุกคามหลักๆ เหล่านี้ได้:
- SQL Injection: การแทรกโค้ด SQL เข้าไปในช่องกรอกข้อมูล เพื่อเข้าถึงฐานข้อมูล
- Cross-Site Scripting (XSS): การฝัง Script ที่เป็นอันตรายลงในเว็บ เพื่อขโมยข้อมูล หรือ redirect ผู้ใช้งานไปยังเว็บปลอม
- Cross-Site Request Forgery (CSRF): การหลอกให้ผู้ใช้งานส่งคำสั่งไปยังเว็บโดยที่ผู้ใช้งานไม่รู้ตัว
- File Inclusion: การเรียกไฟล์ที่ไม่ควรจะเรียกได้ เช่น ไฟล์ config ที่เก็บข้อมูลสำคัญ
OWASP Top 10 คืออะไร ทำไมต้องรู้?
OWASP Top 10 คือ List รายการภัยคุกคาม Web Application ที่ร้ายแรงที่สุด 10 อันดับแรก ที่ OWASP (Open Web Application Security Project) เค้าจัดอันดับไว้ทุกปี WAF ส่วนใหญ่ก็จะอิงตาม OWASP Top 10 นี่แหละ เพราะฉะนั้นถ้าน้องๆ อยากเข้าใจเรื่อง WAF จริงๆ ต้องศึกษา OWASP Top 10 ด้วยนะ
วิธีใช้งาน / เริ่มต้นยังไง
เอาล่ะ ทีนี้มาถึงวิธีใช้งาน WAF กันบ้าง จริงๆ มันไม่ได้ยากอย่างที่คิดนะ แต่ก็ต้องเข้าใจหลักการทำงานของมันก่อน WAF มันมีหลายแบบ ทั้งแบบที่เป็น Hardware, Software, หรือแม้แต่ Cloud-based WAF ซึ่งแต่ละแบบก็มีข้อดีข้อเสียต่างกันไป
สมัยผมทำร้านเน็ตฯ ผมใช้ WAF แบบ Hardware เพราะต้องการประสิทธิภาพสูง แต่สมัยนี้นิยมใช้ Cloud-based WAF กันเยอะ เพราะมันสะดวกและไม่ต้องดูแลอะไรมาก
ขั้นตอนปฏิบัติจริง
เลือก WAF ให้เหมาะกับความต้องการ
อันดับแรกเลย คือต้องเลือกว่าจะใช้ WAF แบบไหน Hardware, Software, หรือ Cloud-based แต่ละแบบก็เหมาะกับสถานการณ์ที่แตกต่างกัน ถ้าเว็บน้องๆ Traffic เยอะๆ ต้องการความเร็วสูง ก็อาจจะต้องใช้ Hardware WAF แต่ถ้าอยากได้ความสะดวกสบาย ไม่ต้องดูแลเอง Cloud-based WAF ก็เป็นตัวเลือกที่ดีกว่า
Config WAF ให้ถูกต้อง
การ Config WAF นี่แหละสำคัญที่สุด ถ้า Config ผิดๆ ถูกๆ แทนที่จะป้องกัน กลับกลายเป็นทำให้เว็บใช้งานไม่ได้ซะงั้น WAF ส่วนใหญ่จะมี Rule ให้เราเลือกใช้ ว่าจะบล็อก traffic แบบไหนบ้าง เช่น บล็อกพวก SQL Injection, XSS, หรือพวก Bot ที่เข้ามาป่วนเว็บ เราต้องเลือก Rule ที่เหมาะสมกับ Application ของเรา
ตัวอย่างการ Config Rule ใน WAF (อันนี้เป็นตัวอย่างเฉยๆ นะ แต่ละ WAF จะมี Interface ที่แตกต่างกัน):
# Block SQL Injection
rule "SQL Injection" {
pattern = ".*(SELECT|INSERT|UPDATE|DELETE).*"
action = "block"
}
# Block XSS
rule "XSS" {
pattern = ".*(<script>).*"
action = "block"
}
Monitor และปรับแต่ง WAF อย่างสม่ำเสมอ
WAF ไม่ใช่ว่า Config เสร็จแล้วจะจบเลยนะ เราต้อง Monitor ดูว่ามันทำงานได้ถูกต้องไหม มี False Positive (บล็อก traffic ที่ไม่ควรบล็อก) หรือเปล่า แล้วก็ต้องปรับแต่ง Rule ให้เข้ากับสถานการณ์ที่เปลี่ยนแปลงไปเรื่อยๆ Hacker มันก็พัฒนาวิธีการโจมตีอยู่ตลอดเวลา เราก็ต้องตามให้ทัน
เปรียบเทียบกับทางเลือกอื่น
นอกจาก WAF แล้ว ยังมีทางเลือกอื่นในการป้องกัน Web Application อีกไหม? มีแน่นอน! แต่ละทางเลือกก็มีข้อดีข้อเสียต่างกันไป เรามาดูกันว่ามีอะไรบ้าง:
- Web Server Firewall (เช่น ModSecurity): เป็น Module ที่ติดตั้งบน Web Server ทำหน้าที่คล้าย WAF แต่ประสิทธิภาพอาจจะไม่เท่า
- Intrusion Detection/Prevention System (IDS/IPS): เป็นระบบที่ตรวจจับและป้องกันการบุกรุกเครือข่าย แต่ไม่ได้เน้นเฉพาะ Web Application
- Code Review: การตรวจสอบโค้ดโปรแกรมอย่างละเอียด เพื่อหาช่องโหว่ก่อนที่จะนำไปใช้งานจริง
| คุณสมบัติ | Web Application Firewall (WAF) | Web Server Firewall (ModSecurity) | Intrusion Detection/Prevention System (IDS/IPS) | Code Review |
|---|---|---|---|---|
| เน้นการป้องกัน | Web Application | Web Application | เครือข่าย | โค้ดโปรแกรม |
| ความแม่นยำ | สูง (ถ้า Config ดีๆ) | ปานกลาง | ปานกลาง | สูง (ขึ้นอยู่กับความสามารถของผู้ตรวจสอบ) |
| ความซับซ้อน | ปานกลาง | ต่ำ | สูง | สูง |
| ค่าใช้จ่าย | แล้วแต่ผู้ให้บริการ (มีทั้งฟรีและเสียเงิน) | ฟรี (ModSecurity) | แล้วแต่ผู้ให้บริการ | ขึ้นอยู่กับค่าจ้างผู้ตรวจสอบ |
| ข้อดี | ป้องกันภัยคุกคาม Web Application ได้หลากหลาย, Config ง่าย (ถ้าใช้ Cloud-based) | ติดตั้งง่าย, ฟรี | ป้องกันการบุกรุกเครือข่ายได้หลากหลาย | หาช่องโหว่ในโค้ดได้ตั้งแต่เนิ่นๆ |
| ข้อเสีย | อาจมี False Positive, ต้อง Monitor และปรับแต่งอย่างสม่ำเสมอ | ประสิทธิภาพอาจจะไม่สูงเท่า WAF โดยเฉพาะกับ Traffic จำนวนมาก | ไม่ได้เน้นเฉพาะ Web Application | ต้องใช้ผู้เชี่ยวชาญ, เสียเวลา |
สรุปก็คือ ไม่มีอะไรที่ "ดีที่สุด" ในทุกสถานการณ์ เราต้องเลือกใช้เครื่องมือที่เหมาะสมกับความต้องการและงบประมาณของเรา ถ้าให้ผมแนะนำนะ เริ่มจากใช้ WAF ก่อนเลย เพราะมันเป็นเกราะป้องกันชั้นแรกที่สำคัญที่สุด แล้วค่อยเสริมด้วยเครื่องมืออื่นๆ ตามความเหมาะสม
หวังว่าบทความนี้จะเป็นประโยชน์กับน้องๆ นะ ถ้ามีคำถามอะไรเพิ่มเติม ก็แวะมาคุยกันได้ที่ SiamCafe Blog นะครับ
Best Practices / เคล็ดลับจากประสบการณ์
สมัยผมทำร้านเน็ตฯ เนี่ย เรื่อง Security นี่คือหัวใจเลยนะ เพราะร้านเราคือศูนย์รวมของทุกคน ใครจะทำอะไรก็ได้ทั้งนั้น (ถ้าไม่ผิดกฎหมาย) ดังนั้นเรื่อง WAF เลยสำคัญมากๆ ในยุคนี้ ถึงมันจะไม่ได้ป้องกันทุกอย่างได้ 100% แต่ก็ช่วยลดความเสี่ยงไปได้เยอะเลย
จากประสบการณ์ที่เจอมานะ ผมว่าสิ่งสำคัญที่สุดคือ "เข้าใจ" WAF ของเราจริงๆ ว่ามันทำงานยังไง ตั้งค่าอะไรได้บ้าง อย่าไปเชื่อตาม Default อย่างเดียว ต้องลองผิดลองถูกดูบ้าง แล้วก็อย่าลืม Monitor Logs ด้วยนะ สำคัญมากๆ
3-4 เทคนิคที่ใช้ได้จริง
1. Whitelist vs. Blacklist: สมัยก่อนเราชอบใช้ Blacklist คือ Block ทุกอย่างที่คิดว่าไม่ดี แต่พอทำไปนานๆ จะรู้ว่ามันไม่จบไม่สิ้น มีอะไรใหม่ๆ มาเรื่อยๆ สู้ใช้ Whitelist คือ อนุญาตเฉพาะสิ่งที่เรา "รู้" ว่าปลอดภัยดีกว่า แต่ก็ต้องระวังเรื่อง Business Logic ด้วยนะ
2. Rate Limiting: อันนี้สำคัญมากสำหรับป้องกันพวก Brute Force หรือ DDoS attacks สมัยผมทำร้านเน็ตฯ เคยเจอคนพยายาม Hack รหัส Admin บ่อยมาก ถ้าไม่มี Rate Limiting นี่เสร็จไปนานแล้ว
# ตัวอย่าง Nginx Rate Limiting
http {
limit_req_zone $binary_remote_addr zone=mylimit:10m rate=10r/s;
server {
location /login {
limit_req zone=mylimit burst=20 nodelay;
proxy_pass http://backend;
}
}
}
3. Custom Rules: WAF ส่วนใหญ่จะมี Rules ให้เราเลือกใช้เยอะแยะ แต่บางทีมันก็ไม่ตรงกับความต้องการของเราเป๊ะๆ เราต้อง Custom Rules เองบ้าง อย่างเช่น สมมติว่าเว็บเรามีช่องให้ Upload ไฟล์ เราก็ต้องสร้าง Rule ที่ Block ไฟล์ประเภทที่เราไม่ต้องการ เช่น .exe, .bat เป็นต้น
4. Regular Updates: WAF ก็เหมือนโปรแกรมอื่นๆ ต้อง Update อยู่เสมอ เพื่อให้มันรู้ทันภัยคุกคามใหม่ๆ ยิ่งถ้าเป็น Cloud WAF นี่สบายหน่อย เพราะ Vendor เค้าจะ Update ให้เราเอง แต่ถ้าเป็น On-Premise เราต้องดูแลเองนะ
FAQ คำถามที่พบบ่อย
WAF กับ Firewall ต่างกันยังไง?
Firewall คือยามหน้าประตูบ้าน ส่วน WAF คือยามหน้าห้องนอน Firewall จะดูภาพรวมของ Traffic แต่ WAF จะเจาะลึกเข้าไปดู Payload ของ HTTP Request เลย
จำเป็นต้องมี WAF ไหม ถ้าใช้ CDN อยู่แล้ว?
CDN ช่วยเรื่อง Performance และ Cache Content แต่ไม่ได้ป้องกัน Web Application Attacks CDN บางเจ้าอาจจะมี WAF ให้ด้วย แต่ก็ต้องดูว่ามันครอบคลุมความต้องการของเราหรือเปล่า
WAF ทำให้เว็บช้าลงไหม?
WAF ทุกตัวมี Latency แต่ถ้า Config ดีๆ มันก็ไม่เยอะจนน่าเกลียด สมัยผมทำร้านเน็ตฯ ก็ต้อง Balance ระหว่าง Security กับ Performance ให้ดี
เลือก WAF แบบไหนดี? Cloud-based หรือ On-Premise?
Cloud-based สะดวกกว่า ดูแลง่ายกว่า แต่ On-Premise ควบคุมได้มากกว่า เลือกแบบที่เหมาะกับ Requirement และ Budget ของเรา iCafeForex ก็มีตัวเลือกให้พิจารณาหลากหลายนะ
สรุป
WAF เป็นเครื่องมือสำคัญในการปกป้อง Web Application ของเรา แต่เราต้องเข้าใจมันอย่างถ่องแท้ และ Config มันให้เหมาะสมกับ Application ของเราด้วย อย่าลืม Monitor Logs และ Update อยู่เสมอ และสุดท้าย อย่าลืมไปอ่าน SiamCafe Blog ด้วยนะ มีบทความดีๆ อีกเยอะเลย
