Presentación del proyecto Web Application Firewall

1. Web Application
Firewall
Proyecto integrado C.F.G.S
Administración de Sistemas Informáticos en Red 2013/2014
Realizado por:
Miguel Ángel López Moyano

2. Los firewalls tradicionales trabajan en la capa
de red pero no ofrecen ninguna clase de
protección contra los ataques especializados
en explotar vulnerabilidades web. Por eso
existe la necesidad de un Web Application
Firewall o WAF.
Introducción

3. Un Web Application Firewall es un dispositivo
que puede ser hardware o software que
analiza el tráfico web (entre el servidor web y
la WAN) y protege de diversos ataques como
SQL Injection, Cross Site Scripting, etc.
Protege de ataques dirigidos al servidor web
que los IDS/IPS no pueden.
Introducción

4. • Positiva
El WAF deniega por defecto todas las transacciones y solo
acepta las que considera seguras. La definición de seguridad la
recoge de una serie de reglas preestablecidas que se definen
bien por auto-aprendizaje o bien por configuración manual.
• Negativa
El WAF acepta todas las transacciones y solo deniega las que
considera como un ataque.
Modelos de Seguridad

5. • Reverse Proxy: su funcionamiento se basa en un proxy
inverso. Esto nos obliga a hacer cambios en las tablas de DNS
o NAT de los firewalls, de manera que el tráfico que antes iba
a los servidores web directamente, ahora se direccionará a
nuestro nuevo dispositivo.
• Transparent Proxy: su funcionamiento es similar al anterior
pero en este caso no tiene una dirección IP. De esta forma no
es necesario realizar cambios en la topología de red ni en el
flujo del tráfico. Su desventaja respecto a los basados en
proxy inverso es que requieren una parada de servicio mucho
mayor en los despliegues.
Modos de funcionamiento

6. • Layer 2 Bridge: el WAF funciona como un switch de capa 2.
Proporciona alto rendimiento y no implica cambios en la red,
sin embargo no aporta servicios avanzados como otros
modos lo hacen.
• Network Monitor / Out of Band: El WAF inspecciona el tráfico
de red a través de un sniffer monitorizando un puerto. Se
puede configurar para que además bloquee cierto tráfico
enviando reinicios TCP para interrumpir el mismo.
Modos de funcionamiento

7. • Host/Server Based: es software que se instala en los
propios servidores web. En este caso se elimina
cualquier problema de red adicional que pueda
existir, pero hay que tener cuidado con su instalación
en servidores web que tengan mucha carga ya de
por sí.
Modos de funcionamiento

8. • Hardware
• Software
• Especializados
Web Application Firewall

9. Están completamente basados en software y su
arquitectura está diseñada para separar componentes
de forma que estén separados dentro de una red. El
consumo de recursos se propagan a través de una red,
en lugar de depender de un solo dispositivo, a la vez
que permite total libertad para escalar a medida que
sea necesario.
Este método es ideal para grandes y distribuidas
infraestructuras virtualizadas, como los modelos de
nubes privadas, públicas o híbridas.
WAF distribuidos

10. Los cortafuegos de aplicación basados en la nube
tienen la particularidad de que son independientes de
la plataforma que se esté utilizando y no requiere
hacer cambios hardware o software en el host. Sólo se
requiere un cambio en el DNS para que todo el tráfico
se enrute al WAF.
WAF basados en la nube

11. WAF basados en la nube

12. Objetivos:
• Estudiar las posibles soluciones hardware y
software existentes en el mercado para su
posible implementación.
• Seleccionar la solución que más se ajuste a las
necesidades y presupuesto del centro.
• Implementar la solución elegida en una
máquina virtual que sirva de referencia para
una futura implementación.
Objetivos y requisitos del proyecto

13. Requisitos:
• La solución debe a ser aplicable teniendo en
cuenta que el servidor web del centro se
encuentra alojado en un VPS.
• La solución debe ajustarse a las necesidades y
presupuesto del centro.
Objetivos y requisitos del proyecto

14. Actualmente el servidor web del centro está
instalado en un VPS. Al estar en un VPS las
soluciones hardware no podrían aplicarse ya
que las peticiones web se hacen directamente
al VPS. Por tanto solo podría aplicarse algunas
de las soluciones software que comentaremos
más adelante.
Estado actual

15. Soluciones Hardware
• Barracuda Web Application Firewal 360
• Cisco ACE Web Application Firewall
• Citrix NetScaler Application Firewall
Estudio de soluciones existentes

16. Soluciones Software
• Modsecurity ------------------------------------------>
• AQTRONIX WebKnight ------------------------->
• WebCastellum --------------------------------------->
• Binarysec ----------------------------------------------->
• Guardian@JUMPERZ.NET -------->
Estudio de soluciones existentes

17. Modsecurity
• Es gratuito y de código abierto.
• Puede instalarse como proxy inverso y
también en embedded mode.
• Su instalación y configuración es sencilla.
Solución elegida

18. Cliente WAF Servidor
Navegador Apache Apache
PHP PHP
Bind MySQL Server
Librerías PhpMyAdmin
Modsecurity
Diseño

19. Implantación (Servidor Web)
Instalación de Apache
Instalación de PHP
Instalación de PhpMyAdmin

20. Implantación (Servidor Web)
Creamos una base de datos para Joomla
Descargamos Joomla

21. Implantación (Servidor Web)
Instalamos y comprobamos

22. Implantación (Servidor Web)
Creamos una base de datos para Wordpress
Descargamos Wordpress

23. Implantación (Servidor Web)
Instalamos y comprobamos

24. Implantación (WAF)
Instalación de Apache
Instalación de PHP
Instalación de DNS

25. Implantación (WAF)
Configuración del DNS

26. Implantación (WAF)
Instalación de dependencias
Instalación de Modsecurity

27. Implantación (WAF)
Configuración de reglas básicas

28. Implantación (WAF)
Instalación de reglas de la OWASP

29. Implantación (WAF)
Instalación de reglas de la OWASP

30. Implantación (WAF)
Creación de enlaces simbólicos

31. Implantación (WAF)
Editamos el fichero mod-security.conf

32. Implantación (WAF)
Habilitamos el módulo headers
Reiniciamos Apache

33. Implantación (WAF)
Configuración del proxy inverso

34. Implantación (WAF)
Editamos el fichero /etc/apache2/sites/available/default

35. Implantación (Prueba)

36. Implantación (WAF)
Fichero de log

37. Presupuesto

38. Problemas encontrados
 Las reglas que utilizamos de la OWASP son
demasiado restrictivas impidiendo el acceso
normal a la página.
 SOLUCIÓN: comentar la línea 98 del fichero
modsecurity_crs_21_protocol_anomalies.conf
y las líneas 151 y 152 del fichero
modsecurity_crs_55_application_defects.conf

39. Futuras mejoras
 La configuración actual del proyecto puede ser
ideal para CMS tipo Joomla, pero en cambio para
Wordpress es demasiado restrictiva y cualquier
cambio en la configuración por parte del
administrador se considera un ataque.
 SOLUCIÓN: implementar una serie excepciones
para cada archivo php implicado en la gestión de
nuestro Wordpress.

40. Bibliografía
 http://www.securitybydefault.com
 http://www.blogtecnico.net/web-application-firewall-waf/
 https://www.barracuda.com/products/webapplicationfirewall/models
 http://www.cisco.com/c/en/us/products/collateral/application-
networking-services/ace-web-application-firewall/data_sheet_c78-
458627.html
 http://www.citrix.es/products/netscaler-appfirewall/overview.html
 http://www.fromdev.com/2011/07/opensource-web-application-
firewall-waf.html
 http://www.root25.com/2012/11/how-to-install-modsecurity-on-
apache-ubuntu12-stepbystep-tutorial.html
 http://www.root25.com/2012/12/how-to-impelement-reverse-proxy-
with-modsecurity.html