La sicurezza a livello di applicazione si riferisce ai modi per proteggere le applicazioni Web (layer 7 del modello ISO/OSI) da attacchi dannosi. Poiché il livello dell’applicazione è quello più vicino all’utente finale, questo fornisce agli hacker la più ampia superficie di attacco. Una scarsa sicurezza a livello di applications può portare a problemi di prestazioni e stabilità, furto di dati e in alcuni casi addirittura l’interruzione della comunicazione di rete.
Esempi di attacchi a livello di applicazione
Esempi di attacchi a livello di applicazione includono attacchi DDoS (Distributed Denial of Service), HTTP flood, SQL injection, cross-site scripting, manomissione dei parametri e attacchi Slowloris. Al fine di contrastare questi possibili attacchi, la maggior parte delle organizzazioni dispone di un arsenale di protezioni di sicurezza a livello di applicazione, come ad esempio firewall per applicazioni web (WAF), servizi di gateway web sicuri e altri meccanismi di protezione.
Funzionamento delle applicazione a livello sicurezza
La logica funzionale delle applicazioni web, oggi non più riconducibile al solo paradigma client/server, può essere descritta attraverso un’architettura suddivisa in 3 layer:
- Il layer a livello di presentazione lato utente: è la dimensione che si preoccupa di fornire l’apparenza rivolta verso l’utilizzatore. Indipendentemente da quanti nodi di elaborazione la richiesta attraverserà prima di essere processata, ci sarà sempre un client a chiedere qualcosa e un sistema organico sottostante l’applicazione che risponderà ad essa
- Il layer della logica di funzionamento è la dimensione che definisce come i dati richiesti dal client verranno processati, quale flusso elaborativo verrà applicato e come verranno restituiti all’utente finale
- Il layer dei dati, ovvero il sottosistema di tipo Database dove vengono immagazzinati i dati con tecnologie SQL o le più moderne NoSQL
Cosa fa il layer 7 Applications?
Sebbene il livello 7 sia noto come il layer Applications, non rappresenta l’interfaccia utente delle applicazioni stesse. Piuttosto, il livello 7 fornisce funzionalità e servizi che le applicazioni software rivolte agli utenti utilizzano per presentare i dati. Le chiamate e le risposte API appartengono a questo livello; i principali protocolli utilizzati sono HTTP e SMTP (protocollo di trasferimento della posta elettronica).
Come interagisce il layer 7 con gli altri layer OSI?
I dati del layer 7 vengono trasmessi attraverso l’intero stack, sebbene il livello 7 interagisca direttamente solo con il layer 6. Quando i dati scendono attraverso lo stack, vengono suddivisi in pacchetti e alcuni livelli aggiungono intestazioni e contenuti a ciascun pacchetto. Nella parte inferiore dello stack, i dati vengono convertiti in bit e trasmessi attraverso Internet fisico.
Una volta raggiunta la destinazione, i dati risalgono allo stack, a partire dal Layer 1. Ad ogni livello, i dati di intestazione e piè di pagina vengono interpretati e rimossi, ed i dati vengono inseriti in una forma utilizzabile per il livello successivo. Una volta che i dati raggiungono il livello 7 sull’altro lato, vengono resi disponibili per le applicazioni.
Fondamentale per capire come funziona il modello OSI è il fatto che ogni livello comunica solo con lo stesso livello all’altra estremità dell’interazione. I dati del livello 7 vengono interpretati solo dal livello 7 all’estremità ricevente della comunicazione; gli altri strati all’estremità ricevente passano semplicemente i dati fino al livello 7. Allo stesso modo, i dati dell’intestazione IP che vengono aggiunti ai pacchetti di dati nel livello 3 su un lato vengono letti e interpretati solo dal livello 3 sull’altro lato.
Come funziona un attacco DDOS a livello 7
Gli attacchi DDoS di livello 7 (Layer applications) hanno lo scopo di sovraccaricare le risorse di rete o del server con un flusso di traffico (in genere traffico HTTP). Un esempio potrebbe essere l’invio di migliaia di richieste al secondo per una determinata pagina Web fino a quando il server non viene messo in difficoltà in modo da non riuscire poi a rispondere a tutte le richieste. Un altro esempio sarebbe chiamare un’API più e più volte fino a quando il servizio non si arresta in modo anomalo. In genere, gli attacchi DDoS di livello 7 sono più complessi di altri tipi di attacchi DDoS.
Conclusioni
I WAF (Web Application Firewall) rappresentano uno strumento estremamente utile per proteggere attacchi che cercano di compromettere l’applicazione. I Web Application Firewall permettono di garantire la sicurezza dei dati personali e allungano il ciclo di vita dei software, proteggendolo dalle vulnerabilità che potrebbero derivare dall’ambiente operativo.
Anteporre un WAF ad una applicazione permette di proteggere la stessa, mediante una sorta di scudo tra essa e Internet. Mentre un server proxy protegge l’identità di una macchina client utilizzando un intermediario, un WAF rappresenta una sorta di Reverse Proxy, facendo passare i client attraverso il WAF prima che raggiungano il server, proteggendo così quest’ultimo.
Solitamente il WAF opera attraverso un insieme di regole in genere dette criteri o policy, che permettono di proteggere il sistema dalle vulnerabilità applicative filtrando il traffico potenzialmente malevole.
