La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

WAF Web Application Firewalls

Publicada porGermán Sevilla Iglesias Modificado hace 10 años

Presentaciones similares

Presentación del tema: "WAF Web Application Firewalls"— Transcripción de la presentación:

1 WAF Web Application Firewalls
Ivan Garzon - Fredy Rios Marzo -2015

2 Que es un WAF El WAF “Web Application Firewalls” es un componente adicional de seguridad que a diferencia de los Firewalls tradicionales trabaja directamente en la capa de aplicación analizando el trafico web permitido a un servidor, este puede ser implementado utilizando un appliance o software.

3 Que ayuda a mitigar el WAF?
Con la implementación de WAF podemos mitigar algunos ataques como: SQL Injection: Radica en el incorrecto chequeo y/o filtrado de las variables utilizadas en un programa que contiene, o bien genera, código SQL Cross Site Scripting (XSS): permite a una tercera parte inyectar en páginas web visitadas por el usuario código JavaScript o en otro lenguaje script similar Cross Site Request Forgery (CSRF) Directorios o Archivos sin protección “URL Hardening” Análisis de archivos que se suben al servidor Wikipedia

4 Modelos de Seguridad Positiva: Negativas
Consiste en denegar todas las peticiones y solo permite las que identifica como validas o seguras Negativas Consiste en permitir todas las peticiones y solo denegar las que considera como un ataque o una amenaza.

5 Detectando WAF Podemos utilizar dos formas para detectar si un servidor web tiene por medio una WAF que proteja sus aplicaciones: Descubrimiento Manual por medio de análisis de cookies y de los HTTP headers Descubrimiento automático utilizando herramientas como: Wafw00f, ParadoxWAFDT

6 Descubrimiento Manual WAF
Realizando un Telnet al puerto 80 vemos que la respuesta no esta dando directamente el servidor web sino que esta respondiendo un host de Incapsula que es el servicio de IMPERVA de WAF

7 Descubrimiento Automático WAF
Utilizando la herramienta wafw00f podemos determinar que este sitio no tiene al parecer un Firewall de aplicación

8 Descubrimiento Automático WAF
Utilizando la herramienta wafw00f podemos determinar que este sitio esta utilizando un firewall de aplicación debido a la respuesta obtenida

9 Algunos WAF Open Source Comerciales Mod_security Ironbee ESAPI WAF
Sophos Imperva Trustwave Fortinet Akamai

10 Dolores de Cabeza con los WAF
Configuraciones que no están ajustadas lo que generan falsos positivos y de acuerdo al Modelo de seguridad configurado el servicio se puede ver afectado. Errores en el Diseño de implementación esto puede generar lentitud en los servicios por no tener clara el escenario de implementación. Fallo en el dimensionamiento de los recursos para la carga del WAF.

11

12

13

14

15

16 Protección de

17 Protección de red(IPS, Firewall, VPN)

18 Protección de navegación

19 WAF Web Aplication Firewall (patrones de ataque)

20 Antivirus para subida y bajada de archivos.

21 WAF– URL Hardening. www.vulnerable.com /products /solutions /resources
/ASG /AMA /ACC /NetSecurity /MailSecurity /WebSecurity /datasheets /webinars PERMITIDO NO PERMITIDO! PERMITIDO Y FIRMADO DE COOKIES NO PERMITIDO

22 Firmado de cookies

23 Que hay de Nuevo?

24 Que hay de Nuevo?

25 Que hay de Nuevo?

26 Laboratorio

27

28 Referencias https://www.owasp.org/index.php/Web_Application_Firewall

Descargar ppt "WAF Web Application Firewalls"

Presentaciones similares

Presentación – Web Attack

Presentación – Web Attack
1 | Web Attacks Documentación – Web Attack. 2 | Web Attacks Seguridad en Aplicaciones Web Protocolo HTTP Vulnerabilidad XSS Vulnerabilidad CSRF Path Traversal.

1 | Web Attacks Documentación – Web Attack. 2 | Web Attacks Seguridad en Aplicaciones Web Protocolo HTTP Vulnerabilidad XSS Vulnerabilidad CSRF Path Traversal.
1 | Web Attacks Documentación – Web Attack. 2 | Web Attacks Seguridad en Aplicaciones Web Protocolo HTTP Vulnerabilidad XSS Vulnerabilidad CSRF Path Traversal.

1 | Web Attacks Documentación – Web Attack. 2 | Web Attacks Seguridad en Aplicaciones Web Protocolo HTTP Vulnerabilidad XSS Vulnerabilidad CSRF Path Traversal.
Internet y tecnologías web

Internet y tecnologías web
Red Social: “Un millón de Amigos”.

Red Social: “Un millón de Amigos”.
CI-2413 Desarrollo de Aplicaciones para Internet

CI-2413 Desarrollo de Aplicaciones para Internet
Hoy en día cuando nos hablan de servidores pensamos tanto en grandes bases de datos como en servidores web, con una capacidad tan grande que pueden soportar.

Hoy en día cuando nos hablan de servidores pensamos tanto en grandes bases de datos como en servidores web, con una capacidad tan grande que pueden soportar.
Servidores Windows Http Ftp …

Servidores Windows Http Ftp …
Web Attacks Mauren Alies Maria Isabel Serrano Sergio Garcia

Web Attacks Mauren Alies Maria Isabel Serrano Sergio Garcia
CGI I La mayor parte de los elementos HTML de que disponemos permite al visitante visualizar los contenidos de un sitio, pero no interactuar con él. Dicho.

CGI I La mayor parte de los elementos HTML de que disponemos permite al visitante visualizar los contenidos de un sitio, pero no interactuar con él. Dicho.
ADMINISTRACION DE REDES SECUENCIA DE COMANDOS EN SITIOS CRUZADOS(XSS)

ADMINISTRACION DE REDES SECUENCIA DE COMANDOS EN SITIOS CRUZADOS(XSS)
Errores comunes al desarrollar websites

Errores comunes al desarrollar websites
DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812

DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812
ESCUELA POLITÉCNICA DEL EJÉRCITO

ESCUELA POLITÉCNICA DEL EJÉRCITO
PROGRAMA DE MAESTRÍA EN REDES DE INFORMACION Y CONECTIVIDAD MRIC-I

PROGRAMA DE MAESTRÍA EN REDES DE INFORMACION Y CONECTIVIDAD MRIC-I
Ing. Lorena Ruhl - Marco Rapallini - Javier FabiánMódulo 4: Seguridad y Aplicaciones Web Ing. A. Lorena Ruhl Universidad Tecnológica.

Ing. Lorena Ruhl - Marco Rapallini - Javier FabiánMódulo 4: Seguridad y Aplicaciones Web Ing. A. Lorena Ruhl Universidad Tecnológica.
YII (Yes It Is!) – Php Framework

YII (Yes It Is!) – Php Framework
Desarrollo de sitios web con PHP y MySQL Tema 7: Seguridad José Mariano González Romano

Desarrollo de sitios web con PHP y MySQL Tema 7: Seguridad José Mariano González Romano
Seguridad Web. Agenda 1.Introducción 2.Aspectos Básicos 3.Top Ten 4.Ethical Hacking 5.Conclusiones 6.Preguntas y Respuestas.

Seguridad Web. Agenda 1.Introducción 2.Aspectos Básicos 3.Top Ten 4.Ethical Hacking 5.Conclusiones 6.Preguntas y Respuestas.
TRABAJO DE SISTEMAS R EFERENCIA D IRECTA I NSEGURA A O BJETOS REALIZADO POR : DEISY MOSQUERA KARINA CHAVERRA.

TRABAJO DE SISTEMAS R EFERENCIA D IRECTA I NSEGURA A O BJETOS REALIZADO POR : DEISY MOSQUERA KARINA CHAVERRA.

Presentaciones similares

Anuncios Google