ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil

1,501 views

Published on

Vous hébergez des applications Web et votre défense se limite à un coupe-feu réseau. Cependant, une grande partie des attaques sont menées directement via le protocole HTTP et l’utilisation d’un coupe-feu traditionnel s’avère inutile.

Le coupe-feu applicatif Web (Web Application Firewall, WAF) se veut une solution à cette problématique. La présentation, basée sur mon expérience des dernières années, fait le point sur les diverses utilités de cette technologie :
Les choix d’implémentations. Les diverses modes de fonctionnements. L’importance et le choix des types de règles à implémenter. Rapports et collection des alertes. Méthodologie de développement de règles. Bonus: Contournement de règles et exceptions.

Le logiciel Open Source ModSecurity sera utilisé comme exemple ainsi que les règles OWASP CRS. D’autres règles conçues pour la présentation seront aussi présentées dans le but de démontrer une utilisation sur mesure du WAF.

0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,501
On SlideShare
0
From Embeds
0
Number of Embeds
9
Actions
Shares
0
Downloads
54
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil

  1. 1. Les utilités duncoupe-feu applicatif WebJonathan MarcilOWASP Montréal #ASFWSCanada Application Security Forum - 2012 Western Switzerland 7-8 novembre 2012 - Y-Parc / Yverdon-les-Bains https://www.appsec-forum.ch
  2. 2. 2WAF Web Application Firewall
  3. 3. 3Coupe-feu? IP/TCP IP/UDP IDS IPS
  4. 4. 4Implémentations Routeur (Router)  Pont (Bridge) Serveur mandataire (Reverse Proxy) Incorporé (Embedded)
  5. 5. 5Routeur (Router) Point de défaillance unique Problèmes de performances
  6. 6. 6Serveur mandataire (Reverse Proxy)Serveurs Web nesupportant pas demoduleMoyens limités Incorporé (Embedded) SSL facile Performance distribuée
  7. 7. 7Modes de fonctionnements Surveillance  Alertes  Anomalies Protection  Bloquer les attaques  Corrections virtuelles (Virtual Patching)
  8. 8. 8Philosophies Boîte noire et espérance  À conseiller pour surveillance Boîte blanche et personnalisation  À conseiller pour protection
  9. 9. 9Types de règles Surveillance (watchlist) Liste blanche (whitelist) Liste noire (blacklist) Exceptions surveillées (bypass) À ignorer (ignorelist) Expérience utilisateur (UX)
  10. 10. 10Alertes et rapports Importance pour la sécurité Importance pour la fonctionnalité Console centrale vs. journaux
  11. 11. 11Méthodologie dedéveloppement de règlesFocus sur liste noire  Audit d’applications ou collectes des failles connues  Création des règles pour corriger les failles  Tests en mode surveillance  Vérification des alertes  Pour ne pas impacter la production  Passage en mode protection  Suivis  Des alertes pour suivre les changements imprévus la production et les attaques  Des changements pour mises à jour itératives des règles
  12. 12. 12Méthodologie dedéveloppement de règlesFocus sur liste blanche  Collection et analyse trafic légitime  Création des règles  À partir du trafic (profil des applications)  Tests en mode surveillance  Vérification des alertes  Pour ne pas impacter la production  Passage en mode protection  Suivis  Des alertes pour suivre les changements imprévus la production, les anomalies et attaques  Des changements pour mises à jour itératives des règles
  13. 13. 13Conclusions Autres utilités que la sécurité  Fonctionnalités (UX)  Détection d’anomalies (QA)  Traces en profondeur (DEBUG) Attention au contournement des règles  Corriger vos applications si possible
  14. 14. 14Démonstrationhttp://www.modsecurity.org/http://www.ironbee.com/http://jwall.org/web/audit/console/screenshots/eventview.pnghttp://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Project Questions?
  15. 15. 15Bonus WAF Testing Framework par Imperva  Gratuit  Disponible fin 2012  Utilise WebGoat  Code fermé (sera ouvert un jour) mais configurations ouvertes XML
  16. 16. 16Bonus ReDoSMSC_PCRE_LIMITS_EXCEEDED:PCRE match limits were exceeded.SecRule TX:/^MSC_/ "!@streq 0" "id:200004,phase:2,t:none,deny,msg: ModSecurity internal error flagged: %{MATCHED_VAR_NAME}‘"
  17. 17. 17Bonus Some Ivan Ristic bypass in a nutshell <Location /myapp/admin.php> # Allow only numbers in userid SecRule ARGS:userid "!^d+$« </Location> /myapp/admin.php/xyz?userid=1PAYLOAD /myapp/admin.php;param=value?userid=1PAYLOAD SecRule REQUEST_FILENAME "@streq /myapp/admin.php" Short names Apache running on Windows Multipart Evasion ModSecurity CRS: Content-Type: multipart/; boundary=0000 http://bit.ly/PYp5G6
  18. 18. 18Merci/Thank you!Contact: jonathan.marcil@owasp.org @jonathanmarcil http://blog.jonathanmarcil.ca Slides: http://slideshare.net/ASF-WS/presentations
  19. 19. 19Références OWASP Best Practices: Use of Web Application Firewalls https://www.owasp.org/index.php/Category:OWASP_Best_Practices:_Use_of_Web_App lication_Firewalls OWASP ModSecurity Core Rule Set Project https://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Proj ect Web Application Firewall Evaluation Criteria Version 1.0 http://projects.webappsec.org/w/page/13246983/WAFEC%201%20HTML%20Version ModSecurity Reference Manual https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual

×