WAF Web Application Firewalls Ivan Garzon - Fredy Rios Marzo -2015
Que es un WAF El WAF “Web Application Firewalls” es un componente adicional de seguridad que a diferencia de los Firewalls tradicionales trabaja directamente en la capa de aplicación analizando el trafico web permitido a un servidor, este puede ser implementado utilizando un appliance o software.
Que ayuda a mitigar el WAF? Con la implementación de WAF podemos mitigar algunos ataques como: SQL Injection: Radica en el incorrecto chequeo y/o filtrado de las variables utilizadas en un programa que contiene, o bien genera, código SQL Cross Site Scripting (XSS): permite a una tercera parte inyectar en páginas web visitadas por el usuario código JavaScript o en otro lenguaje script similar Cross Site Request Forgery (CSRF) Directorios o Archivos sin protección “URL Hardening” Análisis de archivos que se suben al servidor Wikipedia
Modelos de Seguridad Positiva: Negativas Consiste en denegar todas las peticiones y solo permite las que identifica como validas o seguras Negativas Consiste en permitir todas las peticiones y solo denegar las que considera como un ataque o una amenaza.
Detectando WAF Podemos utilizar dos formas para detectar si un servidor web tiene por medio una WAF que proteja sus aplicaciones: Descubrimiento Manual por medio de análisis de cookies y de los HTTP headers Descubrimiento automático utilizando herramientas como: Wafw00f, ParadoxWAFDT
Descubrimiento Manual WAF Realizando un Telnet al puerto 80 vemos que la respuesta no esta dando directamente el servidor web sino que esta respondiendo un host de Incapsula que es el servicio de IMPERVA de WAF
Descubrimiento Automático WAF Utilizando la herramienta wafw00f podemos determinar que este sitio no tiene al parecer un Firewall de aplicación
Descubrimiento Automático WAF Utilizando la herramienta wafw00f podemos determinar que este sitio esta utilizando un firewall de aplicación debido a la respuesta obtenida
Algunos WAF Open Source Comerciales Mod_security Ironbee ESAPI WAF Sophos Imperva Trustwave Fortinet Akamai
Dolores de Cabeza con los WAF Configuraciones que no están ajustadas lo que generan falsos positivos y de acuerdo al Modelo de seguridad configurado el servicio se puede ver afectado. Errores en el Diseño de implementación esto puede generar lentitud en los servicios por no tener clara el escenario de implementación. Fallo en el dimensionamiento de los recursos para la carga del WAF.
Protección de Email
Protección de red(IPS, Firewall, VPN)
Protección de navegación
WAF Web Aplication Firewall (patrones de ataque)
Antivirus para subida y bajada de archivos.
WAF– URL Hardening. www.vulnerable.com /products /solutions /resources /ASG /AMA /ACC /NetSecurity /MailSecurity /WebSecurity /datasheets /webinars www.Vulnerable.com/products.php PERMITIDO www.vulnerable.com/admin.php NO PERMITIDO! www.vulnerable.com/resources.php?userID=123 PERMITIDO Y FIRMADO DE COOKIES www.vulnerable.com/resources.php?XA)=§JGF/(D§KLFJACV;DOQPE NO PERMITIDO
Firmado de cookies
Que hay de Nuevo?
Que hay de Nuevo?
Que hay de Nuevo?
Laboratorio
Referencias https://www.owasp.org/index.php/Web_Application_Firewall https://en.wikipedia.org/wiki/Application_firewall http://blog.imperva.com/2014/06/the-gartner-web-application-firewalls-magic-quadrant-is-out.html https://pentestlab.wordpress.com/tag/waf/ https://www.owasp.org/images/5/5f/OWASP_Top_10_-_2013_Final_-_Espa%C3%B1ol.pdf