Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
Web Application Firewall -
potrzeba, rozwiązania, kryteria
           ewaluacji


            a.klesnicki@gmail.com
Potrzeba


75% udanych ataków z Internetu wykorzystuje
 dziury w aplikacja webowych
Rozwiązania
• Jak możemy się chronić ?
  – Pisać bezpieczne aplikacje 
  – Łatać na bieżąco elementy systemu
  – Monitoro...
Firewall aplikacyjny
• Firewall warstwy 8 i powyżej
  – Odwzorowanie logiki
  – zgodność z protokołem (RFC)


• Ochrona pr...
Modele bezpieczeństwa
• Pozytywny
  – Akceptowanie tylko bezpiecznego ruchu
  – Odrzucanie reszty
• Negatywny
  – Odrzucan...
Ewaluacja
• Ewaluacja – „badanie wartości albo cech”

• Jakie rozwiązania wybrać?
  – Darmowe
     • Mod_security
  – Rozw...
Architektura wdrożenia
• Model pracy
  – Oprogramowanie / Plugin do web serwera
  – Bridge
  – Router
  – Revers Proxy
• S...
Architektura wdrożenia
• Blokowanie ruchu
  – Rst
  – Drop
  – Error page (unikalne ID)
  – Blokowanie na innym urządzeniu...
Architektura wdrożenia
• Rodzaj rozwiązania
  – Pudełko
  – Oprogramowanie
• HA
  –   Fail open, fail close
  –   Architek...
Architektura wdrożenia
• Obsługa wirtualizacji
     • Vhost
     • Vlan
• Przepisywanie zapytań i odpowiedzi
  serwera
• C...
Wsparcie protokołów
• Wsparcie i blokowanie różnych protokołów
• Różne typy kodowania
• Obsługa i blokowanie metod
• Walid...
Wsparcie protokołów
• Walidacja „mapy strony”
  – Sprawdzanie zapytań (urli, parametrów)
  – Przejść pomiędzy urlami
• Obs...
Techniki wykrywania
• Normalizacja
• Negatywny model
  – Sygnatury (automatyczne, ręczne)
  – Zależności logiczne
• Poztyw...
Ochrona przed atakami
•   Brute Force
•   Atakami na ciasteczka
•   Atakami na sesję
•   Atakami na parametry
•   Atakami ...
Ochrona przed atakami
–   Próba wywołania strony z poza mapy
–   Wywołania zasobów aplikacji bez lokalnych referentów
–   ...
Logowanie
•   Nadawanie ID
•   Zabezpieczenie przed fałszowaniem
•   Eksportowalność logów
•   Powiadamianie
•   Logowanie...
Raportowanie
• Zakres raportów
  – Dostępność widoków
  – Raporty zgodności
• Format raportów
• Dystrybucja raportów
Zarządzanie
• Rozdzielenie logiki aplikacji o polityki
  bezpieczeństwa (z relacją wiele do wielu)
• Łatwy mechanizm cofan...
Wydajność
• Ilość połączeń na sekundę
• Maksymalna przepustowość (dla stałej
  wielkości żadania – odpowiedzi 32 KB)
• Mak...
Dziękuję


Pytania?
Nächste SlideShare
Wird geladen in …5
×

Web Application Firewall -- potrzeba,rozwiązania, kryteria ewaluacji

Andrzej Klesnicki

  • Loggen Sie sich ein, um Kommentare anzuzeigen.

  • Gehören Sie zu den Ersten, denen das gefällt!

Web Application Firewall -- potrzeba,rozwiązania, kryteria ewaluacji

  1. 1. Web Application Firewall - potrzeba, rozwiązania, kryteria ewaluacji a.klesnicki@gmail.com
  2. 2. Potrzeba 75% udanych ataków z Internetu wykorzystuje dziury w aplikacja webowych
  3. 3. Rozwiązania • Jak możemy się chronić ? – Pisać bezpieczne aplikacje  – Łatać na bieżąco elementy systemu – Monitorować system i wykonywane transakcję – …. – WAF – Web Application Firewall
  4. 4. Firewall aplikacyjny • Firewall warstwy 8 i powyżej – Odwzorowanie logiki – zgodność z protokołem (RFC) • Ochrona przed znanymi atakami (sygnatury) • Korelacje
  5. 5. Modele bezpieczeństwa • Pozytywny – Akceptowanie tylko bezpiecznego ruchu – Odrzucanie reszty • Negatywny – Odrzucanie niebezpiecznego ruchu – Akceptowanie reszty • YingYang – Zaakceptuj bezpieczny ruch (zgodny z logiką) – Po czym z zaakceptowanego odrzuć to co może być dodatkowo podejrzane
  6. 6. Ewaluacja • Ewaluacja – „badanie wartości albo cech” • Jakie rozwiązania wybrać? – Darmowe • Mod_security – Rozwiązania komercyjne: • Breach Security, • Citrix Systems, • F5 Networks, • Imperva, • NetContinuum • Protegrity
  7. 7. Architektura wdrożenia • Model pracy – Oprogramowanie / Plugin do web serwera – Bridge – Router – Revers Proxy • SSL – Terminowanie SSL – Pasywne deszyfrowanie SSL – Brak obsługi SSL
  8. 8. Architektura wdrożenia • Blokowanie ruchu – Rst – Drop – Error page (unikalne ID) – Blokowanie na innym urządzeniu • Blokowanie czasowe – Adresów IP – Sesji – Użytkownika (rozpoznanie?)
  9. 9. Architektura wdrożenia • Rodzaj rozwiązania – Pudełko – Oprogramowanie • HA – Fail open, fail close – Architektura wieloagentowa (max agentów) – Czasy przełącznia – Synchronizacja stanów, czy dla SSL również – Dopuszczalne odległości, opóźnienia – HA dla systemu zarządzania – Obsługa STP
  10. 10. Architektura wdrożenia • Obsługa wirtualizacji • Vhost • Vlan • Przepisywanie zapytań i odpowiedzi serwera • Caching • Kompresja • Obsługa innego niż HTTP ruchu
  11. 11. Wsparcie protokołów • Wsparcie i blokowanie różnych protokołów • Różne typy kodowania • Obsługa i blokowanie metod • Walidowanie niezgodności z RFC • Walidowanie podwójnego kodowania, bądź niezgodnego kodowania. • Walidacja długości zapytań
  12. 12. Wsparcie protokołów • Walidacja „mapy strony” – Sprawdzanie zapytań (urli, parametrów) – Przejść pomiędzy urlami • Obsługa transferu plików – POST/PUT – Ograniczanie wielkości, ilości – Skanowanie plików • Analiza treści odpowiedzi serwera (pod kątem zawartości nieprawidłowej)
  13. 13. Techniki wykrywania • Normalizacja • Negatywny model – Sygnatury (automatyczne, ręczne) – Zależności logiczne • Poztywyny model – Uczenie – Wprowadzenie ręczne • Własne API – rozszerzenia?
  14. 14. Ochrona przed atakami • Brute Force • Atakami na ciasteczka • Atakami na sesję • Atakami na parametry • Atakami na flow
  15. 15. Ochrona przed atakami – Próba wywołania strony z poza mapy – Wywołania zasobów aplikacji bez lokalnych referentów – Próby zgadnięcia podstron / parametrów – Manipulacja parametrów w zakresie zawartości i długości – Przejmowanie sesji, manipulacja sesjami – Przepełnienia buforów – Ominięcia autoryzacji – Wstrzykiwania złośliwego kodu SQL, rozkazów systemowych itp. – Atakami Cross site scripting – Wykorzystywania podatności systemów operacyjnych – Wykorzystywania podatności serwerów WWW – Manipulacja metodami HTML – Wykorzystania zabronionych metod HTML – Manipulacja nagłówkami HTML – Zalew aplikacji informacjami
  16. 16. Logowanie • Nadawanie ID • Zabezpieczenie przed fałszowaniem • Eksportowalność logów • Powiadamianie • Logowanie transakcji • Retencja logów • Obsługa wrażliwych danych
  17. 17. Raportowanie • Zakres raportów – Dostępność widoków – Raporty zgodności • Format raportów • Dystrybucja raportów
  18. 18. Zarządzanie • Rozdzielenie logiki aplikacji o polityki bezpieczeństwa (z relacją wiele do wielu) • Łatwy mechanizm cofania zmian • Wersjonowanie, różnicowanie zmian w systemie. • Niskopoziomowy dostęp do konfiguracji • Role dostępu do systemu • Automatyczne aktualizowanie profilów, polityk, sygnatur. • Bezpieczeństwo dostępu do urządzenia
  19. 19. Wydajność • Ilość połączeń na sekundę • Maksymalna przepustowość (dla stałej wielkości żadania – odpowiedzi 32 KB) • Maksymalna ilość równoległych połączeń • Opóźnienia • Czy obciążenie wpływa na jakość zarządzania.
  20. 20. Dziękuję Pytania?

×