Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

Transkrypt

1 Firewalle aplikacyjne - Zabezpieczanie aplikacji internetowych Wojciech Dworakowski

2 Agenda Dlaczego tradycyjne mechanizmy nie wystarczają? Wykorzystanie zaawansowanych firewalli Firewalle aplikacyjne architektura i zasada działania NGSecureWeb CodeSeeker Podsumowanie (za i przeciw)

3 Podnoszenie poziomu bezpieczeństwa Podnoszenie poziomu bezpieczeństwa Metody prewencyjne zapobieganie powstawaniu zagrożeń Metody proaktywne mechanizmy aktywnie reagujące na próby ataków Dobre praktyki: należy stosować oba rodzaje zabezpieczeń zabezpieczanie na wielu poziomach

4 Aplikacje internetowe Aplikacje internetowe - metody prewencyjne Architektura zwiększająca bezpieczeństwo Stosowanie dobrych praktyk programistycznych! Ciągłe edukowanie programistów Reagowanie na nowe typy zagrożeń Lista webappsec: Projekt OWASP:

5 Metody prewencyjne - uwagi Administrator bazy danych, serwera aplikacji, sieci lub admin. bezpieczeństwa: Ma ograniczony wpływ na działania developerów Czasami aplikacja pochodzi ze źródeł zewnętrznych

6 Tradycyjne firewalle Tradycyjne firewalle Filtrują ruch na podstawie nagłówków 4-tej warstwy OSI (TCP) Firewall 9iAS 5. Aplikacji OC4J DBMS Oracle HTTP Server Web Cache Web Cache 4. TCP 3. IP Metadata 2. Łącza 1. Fizyczna Atak będzie dla nich zwykłym ruchem HTTP

7 Analiza na wyższych warstwach Analiza na wyższych warstwach Firewalle z rozszerzonymi możliwościami Firewalle klasy proxy Moduły filtrujące konkretne protokoły Firewalle aplikacyjne Moduł filtrujący do serwera WWW Najlepsze rozwiązanie!

8 Firewall z możliwością analizy ruchu Firewall z możliwością analizy ruchu HTTP Firewall Filtr HTTP 9iAS 5. Aplikacji OC4J DBMS Oracle HTTP Server Web Cache Web Cache 4. TCP 3. IP Metadata 2. Łącza 1. Fizyczna Ruch HTTP jest przekazywany do odsobnego modułu

9 Checkpoint Firewall-1 HTTP Security Server Filtrowanie według: metody (GET, POST, inne) zawartości URI

10 Firewall-1 konfiguracja Krok 1 Zdefiniowanie opisu ataku: Manage Resources New URI

11 Firewall-1 konfiguracja Krok 1

12 Firewall-1 konfiguracja Krok 2 Zdefiniowanie reguły blokującej Service Add with resource

13 Firewall-1 Zdefiniowana reguła: Wady Firewall-1 HTTP Security Server: Analizuje tylko URI Analiza nie obejmuje metody POST (najczęściej stosowana)

14 Filtrowanie na firewallu Filtrowanie na firewallu Może kontrolować ruch do wielu serwerów WWW (aplikacji) Ciężka konfiguracja (bardzo dużo reguł) Ruch SSL - niewidoczny dla analizatora Można rozszyfrowywać na firewallu Brak szyfrowania end-to-end Kłopotliwe w zaawansowanych konfiguracjach Brak kontroli serwera aplikacji nad zabezpieczeniem sesji

15 Filtrowanie na firewallu Filtrowanie na firewallu Ciężko jest zdefiniować dobry zestaw reguł Dużo reguł = duże obciążenie Łatwo go obejść np: kodowanie URI w hex Warto je stosować jako mechanizm uzupełniający

16 Firewall aplikacyjny Firewall aplikacyjny Działa jako moduł serwera WWW Apache moduł IIS Filtr ISAPI NES/iPlanet Filtr iapi Wstępną obróbką zleceń zajmuje się serwer WWW rozkodowanie SSL zdekodowanie zlecenia

17 Firewall aplikacyjny Firewall aplikacyjny Nie musi dbać o szyfrowanie SSL Nie da się go obejść przez zakodowanie zlecenia HTTP (np. hexadecymalnie) Uproszczenie Analizuje ruch w takiej postaci, jak go otrzyma serwer aplikacyjny

18 Firewalle aplikacyjne a Oracle Firewalle aplikacyjne a Oracle 9iAS Oracle HTTP Server OC4J Firewall aplikacyjny Firewall Metadata Oracle HTTP Server = Apache 1.3 OC4J można integrować z MS IIS DBMS

19 NGSecureWeb Program komercyjny Wersje dla Apache 1.3 na wiele różnych architektur (Linux, Solaris, BSD, Windows, HPUX) Poza tym: IIS i iplanet Konfiguracja Graficzna konsola (tylko lokalnie) Edycja plików konfiguracyjnych

20 NGSecureWeb Rodzaje filtrów Long URL Protection Traversal Directory Protection Long Headers Protection Forbidden Words Protection Shellcode Protection Non-Printable Characters Protection Method Protection

21 NGSecureWeb

22 NGSecureWeb - wady Brak możliwości definiowania własnych reguł Nie da się używać wyrażeń regularnych w filtrze Forbidden Words Intruz zawsze jest informowany

23 CodeSeeker OpenSource projekt OWASP Wg dokumentacji: Apache, IIS, iplanet W instalatorze tylko DLL do IIS Moduł Apache trzeba kompilować Jeszcze w fazie beta

24 CodeSeeker Architektura Jedna konsola może kontrolować wiele serwerów Konsola napisana w Javie Moduły serwerów w C/C++ Pierwszy z serwerów służy jako repozytorium polityki inspekcji ruchu Ruch międzu konsolą a modułem serwera szyfrowany SSL-em

25 CodeSeeker Definiowanie polityki Bardzo rozbudowane możliwości definiowania polityki inspekcji Wbudowana bogata baza sygnatur ataków ogólne charakterystyczne dla danego typu serwera Można definiować wyjątki (ścieżki URI) Opis ataków zdefiniowany w dokumencie XML

26 CodeSeeker Definiowanie polityki

27 CodeSeeker Reakcja na atak Brak reakcji Zablokowanie odwołania (można zdefiniować zwracany kod błędu i informacje tekstową) Przekierowanie do innego URL

28 CodeSeeker Reakcja na atak

29 CodeSeeker Sposoby informowania Wysłanie a Zapisanie informacji przez syslog (również zdalnie) Zapisanie informacji do EventLog (Windows) Zapisanie informacji do pliku tekstowego Można definiować format informacji

30 CodeSeeker Sposoby informowania

31 CodeSeeker Sposób wdrażania 1. Uruchomienie w trybie pasywnym Tylko logowanie zdarzeń Wykonanie wszystkich operacji na monitorowanej aplikacji i sprawdzenie zachowania się filtrów 2. Tunning reguł filtrowania, zdefiniowanie wyjątków 3. Uruchomienie reakcji na ataki

32 CodeSeeker Wady Wersja beta Niedopracowany instalator + nieudokumentowane obejścia problemów Brak skompilowanych modułów do Apache i iplanet

33 Podsumowanie Filtrowanie ruchu tylko jako środek uzupełnianjący Nie zabezpiecza przed wszystkimi klasami ataków Skutecznie utrudnia zadanie intruzom Nie należy ulegać fałszywemu poczuciu bezpieczeństwa! Nic nie zastąpi dobrych praktyk programistycznych i okresowej kontroli bezpieczeństwa

34 Pytania? Wojciech Dworakowski