WEB APPLICTION FIREWALL [email_address]

WAF – zastosowanie Obrona aplikacji i serwerów webowych przed atakami typu „Brute Force” i SQLInjection Ochrona użytkowników przed przejęciem sesji Ochrona XML-RPC (AJAX) Ochrona XML WebServices Ochrona komunikacji SOAP

Obrona aplikacji i serwerów webowych przed atakami typu „Brute Force” i SQLInjection

Ochrona użytkowników przed przejęciem sesji

Ochrona XML-RPC (AJAX)

Ochrona XML WebServices

Ochrona komunikacji SOAP

WAF – tarcza webservera WAF Web Server Web Client

WAF – bogactwo i różnorodność Architektura wdrożenia Sposoby działania Wsparcie HTTP Rodzaje detekcji Rodzaje ochrony Logowanie i raportowanie Zarządzanie Wydajność XML

Architektura wdrożenia

Sposoby działania

Wsparcie HTTP

Rodzaje detekcji

Rodzaje ochrony

Logowanie i raportowanie

Zarządzanie

Wydajność

XML

WAF – architektura wdrożenia Tryby działania: Bridge Router Reverse proxy WebServer plug-in Sposób wykonania BlackBox – oprogramowanie i specjalizowany sprzęt Oprogramowanie WAF jako farma urządzeń

Tryby działania:

Bridge

Router

Reverse proxy

WebServer plug-in

Sposób wykonania

BlackBox – oprogramowanie i specjalizowany sprzęt

Oprogramowanie

WAF jako farma urządzeń

WAF – sposoby działania Współdziałanie z SSL Terminator SSL Pasywne rozkodowanie SSL’a Blokowanie ruchu Blokowanie przez WAF Żądania HTTP, połączenia, adresy IP, sesje, użytkownicy Delegacja blokowanie na inne urządzenia

Współdziałanie z SSL

Terminator SSL

Pasywne rozkodowanie SSL’a

Blokowanie ruchu

Blokowanie przez WAF

Żądania HTTP, połączenia, adresy IP, sesje, użytkownicy

Delegacja blokowanie na inne urządzenia

WAF – wsparcie HTTP Wsparcie HTTP HTTP 1.0/1.1, formularze, ciasteczka kompresja, walidacja URL ograniczenia na typ protokołu i wielkość, długość URI, nagłówki, parametry (typ i wielkość) transfer plików autentykacja Wsparcie HTML Kodowanie stron Wsparcie innych protokołów (FTP, LDAP, DNS)

Wsparcie HTTP

HTTP 1.0/1.1, formularze, ciasteczka

kompresja, walidacja URL

ograniczenia na typ protokołu i wielkość, długość URI, nagłówki, parametry (typ i wielkość)

transfer plików

autentykacja

Wsparcie HTML

Kodowanie stron

Wsparcie innych protokołów (FTP, LDAP, DNS)

WAF – rodzaje detekcji Dekodowanie HTTP/HTML Znaki specjalne HTML i URL Ścieżki (./, ../) Nadużywanie białych znaków Pozytywny i negatywny model bezpieczeństwa Sygnatury i Role (bazy danych producentów) Konfiguracja ręczna Możliwość tworzenia własnych dodatków

Dekodowanie HTTP/HTML

Znaki specjalne HTML i URL

Ścieżki (./, ../)

Nadużywanie białych znaków

Pozytywny i negatywny model bezpieczeństwa

Sygnatury i Role (bazy danych producentów)

Konfiguracja ręczna

Możliwość tworzenia własnych dodatków

WAF – rodzaje ochrony Detekcja ataków typu „Brute Force” Ochrona ciasteczek (podpisywanie i szyfrowanie) Ochrona sesji (autentykacja ID sesji) Ochrona pól ukrytych Mapa aplikacji – restrykcje sposobu poruszania się użytkownika

Detekcja ataków typu „Brute Force”

Ochrona ciasteczek (podpisywanie i szyfrowanie)

Ochrona sesji (autentykacja ID sesji)

Ochrona pól ukrytych

Mapa aplikacji – restrykcje sposobu poruszania się użytkownika

WAF – logowanie i raportowanie Eksport logów do pliku w wybranym formacie z zadanym interwałem (via FTP) Powiadamianie o zdarzeniach Obsługa danych wrażliwych Raportowanie automatyzacja

Eksport logów

do pliku w wybranym formacie

z zadanym interwałem (via FTP)

Powiadamianie o zdarzeniach

Obsługa danych wrażliwych

Raportowanie

automatyzacja

WAF – zarządzanie Zarządzanie polisami Tryb uczenia się Zarządzanie konfiguracją i użytkownikami Interface WAF GUI (via https) konsola

Zarządzanie polisami

Tryb uczenia się

Zarządzanie konfiguracją i użytkownikami

Interface WAF

GUI (via https)

konsola

WAF – wydajność Zasada nieoznaczoności Heisenberga

Zasada nieoznaczoności Heisenberga

WAF – XML Ochrona XML Web Serivces Definiowanie dostępności metod i zakresu parametrów Ochrona AJAX XML Firewall

Ochrona XML Web Serivces

Definiowanie dostępności metod i zakresu parametrów

Ochrona AJAX

XML Firewall

WAF – zastosowanie HTTPS HTTP Terminator SSL Aplikacja WWW

XML Firewall Rodzaj WAF Filtrowanie nagłówków SOAP Uprawnienia i restrykcje Token SAML Filtrowanie treści SOAP Walidacja XSD Ochrona XML WebServices

Rodzaj WAF

Filtrowanie nagłówków SOAP

Uprawnienia i restrykcje

Token SAML

Filtrowanie treści SOAP

Walidacja XSD

Ochrona XML WebServices

XML Firewall – zastosowanie HTTPS HTTP XML Firewall XML WebService (MIDDLEWARE) Zewnętrzny system ERP FK

WAF - Najlepsze praktyki Tworzenie aplikacji filtrowanych przez WAF Uwaga na WIZARD’y w narzędziach devloperskich! Obiekty HTTP w protokole HTTPS Testy aplikacji razem z WAF przed wdrożeniem Mapy aplikacji i polisy bezpieczeństwa Najpierw mapa, potem polisy Tryb uczenia jako dodatek i uzupełnienie Dynamiczne serwisy Problem z dynamicznie tworzoną zawartością

Tworzenie aplikacji filtrowanych przez WAF

Uwaga na WIZARD’y w narzędziach devloperskich!

Obiekty HTTP w protokole HTTPS

Testy aplikacji razem z WAF przed wdrożeniem

Mapy aplikacji i polisy bezpieczeństwa

Najpierw mapa, potem polisy

Tryb uczenia jako dodatek i uzupełnienie

Dynamiczne serwisy

Problem z dynamicznie tworzoną zawartością