Successfully reported this slideshow.

[ISSA] Web Appication Firewall

1,066 views

Published on

Edward Weinert

Published in: Technology
  • Be the first to comment

  • Be the first to like this

[ISSA] Web Appication Firewall

  1. 1. WEB APPLICTION FIREWALL [email_address]
  2. 2. WAF – zastosowanie <ul><li>Obrona aplikacji i serwerów webowych przed atakami typu „Brute Force” i SQLInjection </li></ul><ul><li>Ochrona użytkowników przed przejęciem sesji </li></ul><ul><li>Ochrona XML-RPC (AJAX) </li></ul><ul><li>Ochrona XML WebServices </li></ul><ul><li>Ochrona komunikacji SOAP </li></ul>
  3. 3. WAF – tarcza webservera WAF Web Server Web Client
  4. 4. WAF – bogactwo i różnorodność <ul><li>Architektura wdrożenia </li></ul><ul><li>Sposoby działania </li></ul><ul><li>Wsparcie HTTP </li></ul><ul><li>Rodzaje detekcji </li></ul><ul><li>Rodzaje ochrony </li></ul><ul><li>Logowanie i raportowanie </li></ul><ul><li>Zarządzanie </li></ul><ul><li>Wydajność </li></ul><ul><li>XML </li></ul>
  5. 5. WAF – architektura wdrożenia <ul><li>Tryby działania: </li></ul><ul><ul><li>Bridge </li></ul></ul><ul><ul><li>Router </li></ul></ul><ul><ul><li>Reverse proxy </li></ul></ul><ul><ul><li>WebServer plug-in </li></ul></ul><ul><li>Sposób wykonania </li></ul><ul><ul><li>BlackBox – oprogramowanie i specjalizowany sprzęt </li></ul></ul><ul><ul><li>Oprogramowanie </li></ul></ul><ul><li>WAF jako farma urządzeń </li></ul>
  6. 6. WAF – sposoby działania <ul><li>Współdziałanie z SSL </li></ul><ul><ul><li>Terminator SSL </li></ul></ul><ul><ul><li>Pasywne rozkodowanie SSL’a </li></ul></ul><ul><li>Blokowanie ruchu </li></ul><ul><ul><li>Blokowanie przez WAF </li></ul></ul><ul><ul><ul><li>Żądania HTTP, połączenia, adresy IP, sesje, użytkownicy </li></ul></ul></ul><ul><ul><li>Delegacja blokowanie na inne urządzenia </li></ul></ul>
  7. 7. WAF – wsparcie HTTP <ul><li>Wsparcie HTTP </li></ul><ul><ul><li>HTTP 1.0/1.1, formularze, ciasteczka </li></ul></ul><ul><ul><li>kompresja, walidacja URL </li></ul></ul><ul><ul><li>ograniczenia na typ protokołu i wielkość, długość URI, nagłówki, parametry (typ i wielkość) </li></ul></ul><ul><ul><li>transfer plików </li></ul></ul><ul><ul><li>autentykacja </li></ul></ul><ul><li>Wsparcie HTML </li></ul><ul><ul><li>Kodowanie stron </li></ul></ul><ul><li>Wsparcie innych protokołów (FTP, LDAP, DNS) </li></ul>
  8. 8. WAF – rodzaje detekcji <ul><li>Dekodowanie HTTP/HTML </li></ul><ul><ul><li>Znaki specjalne HTML i URL </li></ul></ul><ul><ul><li>Ścieżki (./, ../) </li></ul></ul><ul><ul><li>Nadużywanie białych znaków </li></ul></ul><ul><li>Pozytywny i negatywny model bezpieczeństwa </li></ul><ul><ul><li>Sygnatury i Role (bazy danych producentów) </li></ul></ul><ul><ul><li>Konfiguracja ręczna </li></ul></ul><ul><li>Możliwość tworzenia własnych dodatków </li></ul>
  9. 9. WAF – rodzaje ochrony <ul><li>Detekcja ataków typu „Brute Force” </li></ul><ul><li>Ochrona ciasteczek (podpisywanie i szyfrowanie) </li></ul><ul><li>Ochrona sesji (autentykacja ID sesji) </li></ul><ul><li>Ochrona pól ukrytych </li></ul><ul><li>Mapa aplikacji – restrykcje sposobu poruszania się użytkownika </li></ul>
  10. 10. WAF – logowanie i raportowanie <ul><li>Eksport logów </li></ul><ul><ul><li>do pliku w wybranym formacie </li></ul></ul><ul><ul><li>z zadanym interwałem (via FTP) </li></ul></ul><ul><li>Powiadamianie o zdarzeniach </li></ul><ul><li>Obsługa danych wrażliwych </li></ul><ul><li>Raportowanie </li></ul><ul><ul><li>automatyzacja </li></ul></ul>
  11. 11. WAF – zarządzanie <ul><li>Zarządzanie polisami </li></ul><ul><ul><li>Tryb uczenia się </li></ul></ul><ul><li>Zarządzanie konfiguracją i użytkownikami </li></ul><ul><li>Interface WAF </li></ul><ul><ul><li>GUI (via https) </li></ul></ul><ul><ul><li>konsola </li></ul></ul>
  12. 12. WAF – wydajność <ul><li>Zasada nieoznaczoności Heisenberga </li></ul>
  13. 13. WAF – XML <ul><li>Ochrona XML Web Serivces </li></ul><ul><ul><li>Definiowanie dostępności metod i zakresu parametrów </li></ul></ul><ul><li>Ochrona AJAX </li></ul><ul><li>XML Firewall </li></ul>
  14. 14. WAF – zastosowanie HTTPS HTTP Terminator SSL Aplikacja WWW
  15. 15. XML Firewall <ul><li>Rodzaj WAF </li></ul><ul><li>Filtrowanie nagłówków SOAP </li></ul><ul><ul><li>Uprawnienia i restrykcje </li></ul></ul><ul><ul><li>Token SAML </li></ul></ul><ul><li>Filtrowanie treści SOAP </li></ul><ul><ul><li>Walidacja XSD </li></ul></ul><ul><li>Ochrona XML WebServices </li></ul>
  16. 16. XML Firewall – zastosowanie HTTPS HTTP XML Firewall XML WebService (MIDDLEWARE) Zewnętrzny system ERP FK
  17. 17. WAF - Najlepsze praktyki <ul><li>Tworzenie aplikacji filtrowanych przez WAF </li></ul><ul><ul><li>Uwaga na WIZARD’y w narzędziach devloperskich! </li></ul></ul><ul><ul><li>Obiekty HTTP w protokole HTTPS </li></ul></ul><ul><ul><li>Testy aplikacji razem z WAF przed wdrożeniem </li></ul></ul><ul><li>Mapy aplikacji i polisy bezpieczeństwa </li></ul><ul><ul><li>Najpierw mapa, potem polisy </li></ul></ul><ul><ul><li>Tryb uczenia jako dodatek i uzupełnienie </li></ul></ul><ul><ul><li>Dynamiczne serwisy </li></ul></ul><ul><ul><ul><li>Problem z dynamicznie tworzoną zawartością </li></ul></ul></ul>

×