یہ مضمون آپ کو بتائے گا کہ آپ ویب ایپلیکیشنس کو کس طرح محفوظ کرسکتے ہیں ڈبلیو اے ایف اور عملی مظاہرے کے ساتھ اس کی پیروی کریں۔ اس مضمون میں مندرجہ ذیل نکات کا احاطہ کیا جائے گا ،
تو آئیے ہم شروع کریں ،
اس مضمون کے ساتھ آگے بڑھتے ہوئے۔ ’اے ڈبلیو ایس ڈبلیو اے ایف کے ذریعہ ویب ایپلیکیشن کو کیسے محفوظ کیا جا؟؟‘
کچھ بنیادی اصولوں کے ساتھ شروعات کرنا
AWS ای سی 2 ، ای ایل بی (لچکدار بوجھ بیلنسر) ، ایس 3 (سادہ اسٹوریج سروس) ، ای بی ایس (لچکدار بلاک اسٹوریج) جیسے مفید اور فینسی ایپلی کیشنز کو جلدی اور کم کیپیکس (کیپیٹل ایکسپینڈیچریٹری) کے ساتھ تشکیل دینے کے لئے خدمات مہیا کرتا ہے۔ یہ ایپلی کیشنز بناتے وقت ، ایپلیکیشن کو محفوظ بنانا اور ڈیٹا کا تحفظ کرنا بھی اتنا ہی اہم ہے۔ اگر صحیح طریقے سے محفوظ نہیں کیا گیا تو ، درخواست کا ڈیٹا حالیہ معاملے کی طرح غلط ہاتھوں میں آجائے گا کیپٹل ون کا واقعہ .
کیپیٹل ون نے ای سی 2 پر ویب ایپلیکیشن کی میزبانی کی تھی اور اسے صحیح طریقے سے محفوظ نہیں کیا گیا تھا۔ AWS کا ایک سابقہ ملازم اس کمزوری کا فائدہ اٹھانے اور S3 سے کسٹمر کے ڈیٹا کی ریمز ڈاؤن لوڈ کرنے میں کامیاب رہا۔ بعد میں پتہ چلا کہ 30 دیگر تنظیموں سے بھی اعداد و شمار AWS سے ڈاؤن لوڈ کیا گیا۔ لہذا ، اس پر ایک بار پھر دباؤ ڈالنے کے لئے یہ صرف آرکیٹیکچ اور ڈیزائن ڈیزائن کرنے کے لئے کافی نہیں ہے ، بلکہ کسی ایپلیکیشن کو محفوظ بنانا بھی اتنا ہی ضروری ہے۔
کیپٹل ون استعمال ہوا AWS WAF (ویب ایپلیکیشن فائر وال) ویب ایپلیکیشن کی حفاظت کے ل. ، لیکن اس کو مناسب طریقے سے تشکیل نہیں دیا گیا تھا جس کی وجہ سے ہیکر S3 میں ڈیٹا تک رسائی حاصل کرنے اور اسے ڈاؤن لوڈ کرنے کے قابل تھا۔ اس مضمون میں ہم دریافت کریں گے کہ عام ویب حملوں جیسے ایس کیو ایل انجیکشن ، ایکس ایس ایس (کراس سائٹ اسکرپٹ) وغیرہ سے حفاظت کے ل A اے ڈبلیو ایس ڈبلیو اے ایف کو استعمال اور تشکیل کرنے کا طریقہ وغیرہ۔ ڈبلیو ڈبلیو اے ایف کو بھی ساتھ ساتھ ترتیب دیا جانا چاہئے۔ ایپلی کیشن بوجھ بیلنسر ، کلاؤڈ فرنٹ یا API گیٹ وے۔ اس منظر نامے میں ، ہم ایپلی کیشن بوجھ بیلنسر استعمال کریں گے۔ براؤزر کے ذریعہ کسٹمر کی طرف سے کوئی بھی درخواست AWS WAF کے ذریعے جائے گی اور پھر ایپلی کیشن بوجھ بیلنسر اور آخر کار EC2 پر ویب ایپلی کیشن کو جائے گی۔ اے ڈبلیو ایس ڈبلیو اے ایف کے عادی ہوسکتے ہیں بدنیتی پر مبنی درخواست کو مسدود کریں قواعد و ضوابط کا ایک سیٹ استعمال کرکے ہیکرز سے۔
اس مضمون کے ساتھ آگے بڑھتے ہوئے۔ ’اے ڈبلیو ایس ڈبلیو اے ایف کے ذریعہ ویب ایپلیکیشن کو کیسے محفوظ کیا جا؟؟‘
ڈبل کو انٹ جاوا میں تبدیل کرنا
AWS WAF کے ساتھ شروع کرنے کے لئے اقدامات کا سلسلہ
مرحلہ نمبر 1: ایک کمزور ویب ایپلیکیشن بنانا ،
پہلا قدم ایک ایسی ویب ایپلیکیشن بنانا ہے جو ایس ایس آر ایف (سرور سائیڈ ریکوسٹ جعلی) حملوں کا خطرہ ہے جیسا کہ اس میں بتایا گیا ہے۔ بلاگ کیپٹل ون حملہ کیسے ہوا اس پر اس بلاگ میں درج ذیل مراحل ہیں:
- ایک ای سی 2 بنائیں
- ایس ایس آر ایف کے خطرے سے ویب ایپلیکیشن بنانے کے لئے مطلوبہ سافٹ ویئر انسٹال کریں
- S3 صرف پڑھنے کی اجازت کے ساتھ IAM کا کردار بنائیں اور بنائیں
- آئی اے ایم کے کردار کو ای سی 2 سے منسلک کریں
- آخر میں ، IAM کردار سے متعلق سیکیورٹی کی سند حاصل کرنے کے لئے ایس ایس آر ایف کے خطرے سے فائدہ اٹھائیں۔
ایک بار جب ذکر کردہ بلاگ میں اقدامات کا تسلسل مکمل ہوجائے تو ، ذیل میں یو آر ایل میں EC2 کے عوامی IP پتے کے ساتھ 5.6.7.8 کو تبدیل کریں اور اسے براؤزر میں کھولیں۔ ذیل میں جیسا کہ IAM رول سے وابستہ حفاظتی اسناد کو براؤزر میں آویزاں کیا جانا چاہئے۔ اس طرح بنیادی طور پر کیپٹل ون کو ہیک کیا گیا تھا۔ حفاظتی اسناد ہاتھ میں رکھنے کے بعد ، ہیکر ڈیٹا ڈاؤن لوڈ کرنے کیلئے SW جیسے دیگر AWS خدمات تک رسائی حاصل کرنے میں کامیاب رہا۔
http://5.6.7.8:80؟url=http://169.254.169.254/latest/meta-data/iam/security-credentials/Role4EC2-S3RO
مرحلہ 2: ایپلی کیشن بوجھ بیلنسر بنانا
AWS WAF براہ راست کسی ویب اطلاق کے ساتھ وابستہ نہیں ہوسکتا۔ لیکن ، صرف ایپلی کیشن بوجھ بیلنسر ، کلاؤڈ فرنٹ اور API گیٹ وے سے وابستہ ہوسکتا ہے۔ اس سبق میں ، ہم تخلیق کریں گے ایپلی کیشن بوجھ بیلنسر اور AWS WAF سے وابستہ اسی کے ساتھ
مرحلہ 2 اے: ایک ٹارگٹ گروپ ای سی 2 مثالوں کا ایک مجموعہ ہے اور ایپلی کیشن بوجھ بیلنسر بنانے سے پہلے اسے تشکیل دینا ضروری ہے۔ ای سی 2 مینجمنٹ کنسول میں ، بائیں پین میں ٹارگٹ گروپ پر کلک کریں اور 'ٹارگٹ گروپ بنائیں' پر کلک کریں۔
مرحلہ 2 بی: ٹارگٹ گروپ کا نام درج کریں اور 'تخلیق کریں' پر کلک کریں۔ ہدف گروپ کامیابی کے ساتھ تشکیل دیا جائے گا۔
مرحلہ 2 سی: اس بات کو یقینی بنائیں کہ ٹارگٹ گروپ منتخب ہوا ہے اور اہداف کے ٹیب پر کلک کریں اور ای سی 2 مثالوں کو ٹارگٹ گروپ کے ساتھ رجسٹر کرنے کے لئے ترمیم پر کلک کریں۔
مرحلہ 2d: EC2 مثال منتخب کریں اور 'رجسٹرڈ شامل کریں' پر کلک کریں اور 'محفوظ کریں' پر کلک کریں۔
مثال کے طور پر مندرجہ ذیل ٹارگٹ گروپ کے اندراج ہونا چاہئے۔
مرحلہ 2e: ایپلی کیشن بوجھ بیلنسر بنانے کا وقت۔ ای سی 2 منیجمنٹ کنسول کے بائیں پین میں لوڈ بیلنسر پر کلک کریں اور 'تخلیق لوڈ توازن' پر کلک کریں۔
'ایپلی کیشن بوجھ بیلنسر' کیلئے 'تخلیق کریں' پر کلک کریں۔
اس مضمون کے ساتھ آگے بڑھتے ہوئے۔ ’اے ڈبلیو ایس ڈبلیو اے ایف کے ذریعہ ویب ایپلیکیشن کو کیسے محفوظ کیا جا؟؟‘
مرحلہ 2f: ایپلی کیشن بوجھ بیلنسر کا نام درج کریں۔ اور اس بات کو یقینی بنائیں کہ تمام دستیابی والے زون منتخب ہوئے ہیں اور اگلا پر کلک کریں۔
مرحلہ 2 جی: 'حفاظتی ترتیبات کی تشکیل' میں اگلا پر کلک کریں۔
'سیکیورٹی گروپس کی تشکیل' میں ایک نیا سیکیورٹی گروپ تشکیل دیں یا موجودہ سیکیورٹی گروپ میں سے ایک کو منتخب کریں۔ اس بات کو یقینی بنائیں کہ ای سی 2 پر ویب صفحے تک رسائی کے لئے پورٹ 80 کھلا ہے۔ اگلا پر کلک کریں۔
مرحلہ 2h: 'روٹنگ کو مرتب کریں' میں 'موجودہ ٹارگٹ گروپ' منتخب کریں اور ایک منتخب کریں جو پہلے مرحلے میں تشکیل دیا گیا ہے۔ اگلا پر کلک کریں۔
مرحلہ 2i: ہدف گروپوں کے حصے کے طور پر ہدف EC2 مثال پہلے ہی رجسٹرڈ ہوچکے ہیں۔ تو ، 'رجسٹر ٹارگٹ' ٹیب میں ، بغیر کسی تبدیلی کے اگلا پر کلک کریں۔
مرحلہ 2 جے: آخر میں ، ایپلی کیشن بوجھ بیلنسر کی تمام تفصیلات کا جائزہ لیں اور تخلیق پر دبائیں۔ ذیل میں دکھایا گیا ہے کہ درخواست لوڈ بیلنسر پیدا کیا جائے گا۔
مرحلہ 2 ک: ایپلی کیشن بوجھ بیلنسر کا ڈومین نام حاصل کریں اور روشنی ڈالی گئی متن کو نیچے یو آر ایل میں تبدیل کریں اور اسے برائوزر میں کھولیں۔ نوٹ کریں کہ ہم ایپلی کیشن بوجھ بیلنسر کے ذریعے ویب ایپلی کیشن تک رسائی حاصل کر رہے ہیں اور سیکیورٹی اسناد ذیل میں دکھائے جانے کے مطابق دکھائے گئے ہیں۔ سیکیورٹی کی سندوں کے رساو کو روکنے کے لئے درج ذیل اقدامات میں دکھایا گیا ہے کہ AWS WAF کا استعمال کرتے ہوئے نیچے یو آر ایل کو بلاک کیا جاسکتا ہے۔
MyALB-1929899948.us-east-1.elb.amazonaws.com ؟ url = http: //169.254.169.254/latest/meta-data/iam/security-credentials/Role4EC2-S3RO
مرحلہ 3: AWS WAF کی تشکیل (ویب ایپلیکیشن فائر وال)
مرحلہ 3 اے: AWS WAF مینجمنٹ کنسول پر جائیں اور 'کنفیگر ویب ACL' پر کلک کریں۔ AWS WAF جائزہ دکھایا گیا ہے۔ یہ اے ڈبلیو ایس ڈبلیو اے ایف کی تنظیمی ڈھانچہ ہے۔ ویب ACL میں قواعد و ضوابط کا ایک گروپ ہے اور قواعد و ضوابط کا ایک گروپ ہے جو ہم بعد کے مراحل میں تشکیل دے رہے ہیں۔ اگلا پر کلک کریں۔
مرحلہ 3 بی: ویب ACL نام ، اس خطے کے طور پر نارتھ ورجینیا (یا جہاں EC2 تشکیل دیا گیا تھا) درج کریں ، وسائل کی قسم کے طور پر 'ایپلی کیشن بوجھ بیلنسر' بنائیں اور آخر میں ایپلی کیشن بوجھ بیلنسر منتخب کریں جو پہلے مرحلے میں تشکیل دیا گیا تھا۔ اگلا پر کلک کریں۔
مرحلہ 3 سی: یہاں a کسی مخصوص ویب اطلاق کی درخواست کو مسدود کرنے کی شرط ضرور پیدا کیا جانا چاہئے۔ 'اسٹرنگ اور ریجیکس میچ شرائط' کیلئے نیچے سکرول کریں اور 'حالت تخلیق کریں' پر کلک کریں۔
مرحلہ 3d: اس شرط کا نام درج کریں ، بطور 'اسٹرنگ میچ' ٹائپ کریں ، “تمام سوالات کے پیرامیٹرز” پر فلٹر کریں اور باقی پیرامیٹرز بالکل نیچے جیسے دکھائے گئے ہیں۔ اور 'فلٹر شامل کریں' پر کلک کریں اور پھر تخلیق پر۔ یہاں ہم ایک ایسی حالت پیدا کرنے کی کوشش کر رہے ہیں جو 169.254.169.254 کے بطور استفسار پیرامیٹر کی قیمت والے یو آر ایل سے میل کھاتا ہے۔ اس IP ایڈریس سے متعلق ہے ای سی 2 میٹا ڈیٹا .
مرحلہ 3 ای: اب وقت آگیا ہے کہ ایک قاعدہ تیار کیا جائے جو حالات کا ایک مجموعہ ہو۔ 'حکمرانی بنائیں' پر کلک کریں اور پیرامیٹرز کی طرح ذیل میں دکھایا گیا ہے۔ 'حالت شامل کریں' ، تخلیق اور 'جائزہ اور تخلیق' پر کلک کریں۔
اس مضمون کے ساتھ آگے بڑھتے ہوئے۔ ’اے ڈبلیو ایس ڈبلیو اے ایف کے ذریعہ ویب ایپلیکیشن کو کیسے محفوظ کیا جا؟؟‘
مرحلہ 3f: آخر میں تمام تفصیلات کا جائزہ لیں اور 'تصدیق اور تخلیق کریں' پر کلک کریں۔ ویب ACL (ایکسیس کنٹرول لسٹ) ذیل میں دکھایا گیا ہے اور ایپلی کیشن بوجھ بیلنسر کے ساتھ وابستہ ہوگا۔
مرحلہ 3 جی: اب براؤزر کے ذریعہ ایپلی کیشن بوڈ بیلنسر یو آر ایل تک رسائی حاصل کرنے کی کوشش کریں مرحلہ 2 ک . اس بار ہم '403 ممنوع' بن رہے ہیں کیونکہ ہمارا URL ویب ACL حالت سے مماثل ہے اور ہم اسے مسدود کر رہے ہیں۔ ای سی 2 پر ایپلی کیشن بوجھ بیلنسر یا ویب ایپلی کیشن تک کبھی بھی درخواست نہیں پہنچتی ہے۔ یہاں ہم نے دیکھا ہے کہ اگرچہ ایپلی کیشن سیکیورٹی سندوں تک رسائی کی اجازت دے رہی ہے ، لیکن ڈبلیو اے ایف نے بھی اسے روکا ہے۔
مرحلہ 4: اس سبق میں تیار کردہ AWS وسائل کو صاف کرنا۔ صفائی بالکل اسی ترتیب میں ہونی چاہئے جیسا کہ ذیل میں بتایا گیا ہے۔ اس بات کو یقینی بنانا ہے کہ AWS اس ٹیوٹوریل کے حصے کے بطور تخلیق کردہ وابستہ وسائل کی بلنگ روک دے۔
- قاعدہ میں حالت کو حذف کریں
- WebACL میں قاعدہ کو حذف کریں
- ALAC کو WebACL میں الگ کریں
- WebACL کو حذف کریں
- قاعدہ کو حذف کریں
- حالت میں فلٹر کو حذف کریں
- حالت کو حذف کریں
- ALB اور ٹارگٹ گروپ کو حذف کریں
- ای سی 2 کو ختم کریں
- آئیم کردار کو حذف کریں
نتیجہ اخذ کرنا
جیسا کہ پہلے ذکر کیا گیا ہے ، AWS کا استعمال کرتے ہوئے ایک ویب ایپلیکیشن بنانا بہت آسان اور دلچسپ ہے۔ لیکن ہمیں یہ بھی یقینی بنانا ہوگا کہ درخواست محفوظ ہے اور اعداد و شمار کو غلط ہاتھوں میں نہیں اتارا گیا ہے۔ سیکیورٹی کا اطلاق متعدد پرتوں پر کیا جاسکتا ہے۔ اس ٹیوٹوریل میں ہم نے دیکھا ہے کہ ویب ایپلیکیشن کو ای سی 2 میٹا ڈیٹا کے آئی پی ایڈریس سے مماثل ملنے والے حملوں سے بچانے کے لئے کس طرح ایڈ ڈبلیو اے ایف (ویب ایپلیکیشن فائر وال) استعمال کرتے ہیں۔ ہم عام حملوں جیسے ایس کیو ایل انجیکشن اور ایکس ایس ایس (کراس سائٹ اسکرپٹنگ) سے بھی بچانے کے لئے ڈبلیو اے ایف کا استعمال کرسکتے تھے۔
AWS WAF کا استعمال کرنا یا حقیقت میں کوئی دوسرا حفاظتی مصنوعہ اطلاق کو محفوظ نہیں بناتا ہے ، لیکن مصنوع کو مناسب طریقے سے تشکیل دیا جانا چاہئے۔ اگر مناسب طریقے سے تشکیل نہیں دیا گیا ہے تو ، کیپٹل ون اور دیگر تنظیموں کے ساتھ ہی ہوا ہے کہ اعداد و شمار غلط ہاتھوں میں آجائیں گے۔ نیز ، دوسری اہم بات جس پر بھی غور کرنا ہے وہ یہ ہے کہ سیکیورٹی کو پہلے دن سے ہی سوچا جانا چاہئے اور بعد میں کسی درخواست میں شامل نہیں ہونا چاہئے۔
یہ ہمارے لئے اس مضمون کے اختتام تک پہنچا ہے جس میں ایڈ ڈبلیو ایس اے ایف کے ذریعہ ویب ایپلیکیشنس کو محفوظ بنانے کا طریقہ ہم ایک نصاب بھی لے کر آئے ہیں جس میں بالکل وہی احاطہ کیا گیا ہے جس سے آپ کو سلوک آرکیٹیکٹ امتحان کو درار کرنے کی ضرورت ہوگی! آپ کورس کی تفصیلات پر ایک نظر ڈال سکتے ہیں تربیت.
ہمارے لئے ایک سوال ہے؟ برائے کرم اس AWS بلاگ کے تبصرے والے حصے میں اس کا ذکر کریں اور ہم آپ کو واپس ملیں گے۔