2. Los firewalls tradicionales trabajan en la capa
de red pero no ofrecen ninguna clase de
protección contra los ataques especializados
en explotar vulnerabilidades web. Por eso
existe la necesidad de un Web Application
Firewall o WAF.
Introducción
3. Un Web Application Firewall es un dispositivo
que puede ser hardware o software que
analiza el tráfico web (entre el servidor web y
la WAN) y protege de diversos ataques como
SQL Injection, Cross Site Scripting, etc.
Protege de ataques dirigidos al servidor web
que los IDS/IPS no pueden.
Introducción
4. • Positiva
El WAF deniega por defecto todas las transacciones y solo
acepta las que considera seguras. La definición de seguridad la
recoge de una serie de reglas preestablecidas que se definen
bien por auto-aprendizaje o bien por configuración manual.
• Negativa
El WAF acepta todas las transacciones y solo deniega las que
considera como un ataque.
Modelos de Seguridad
5. • Reverse Proxy: su funcionamiento se basa en un proxy
inverso. Esto nos obliga a hacer cambios en las tablas de DNS
o NAT de los firewalls, de manera que el tráfico que antes iba
a los servidores web directamente, ahora se direccionará a
nuestro nuevo dispositivo.
• Transparent Proxy: su funcionamiento es similar al anterior
pero en este caso no tiene una dirección IP. De esta forma no
es necesario realizar cambios en la topología de red ni en el
flujo del tráfico. Su desventaja respecto a los basados en
proxy inverso es que requieren una parada de servicio mucho
mayor en los despliegues.
Modos de funcionamiento
6. • Layer 2 Bridge: el WAF funciona como un switch de capa 2.
Proporciona alto rendimiento y no implica cambios en la red,
sin embargo no aporta servicios avanzados como otros
modos lo hacen.
• Network Monitor / Out of Band: El WAF inspecciona el tráfico
de red a través de un sniffer monitorizando un puerto. Se
puede configurar para que además bloquee cierto tráfico
enviando reinicios TCP para interrumpir el mismo.
Modos de funcionamiento
7. • Host/Server Based: es software que se instala en los
propios servidores web. En este caso se elimina
cualquier problema de red adicional que pueda
existir, pero hay que tener cuidado con su instalación
en servidores web que tengan mucha carga ya de
por sí.
Modos de funcionamiento
9. Están completamente basados en software y su
arquitectura está diseñada para separar componentes
de forma que estén separados dentro de una red. El
consumo de recursos se propagan a través de una red,
en lugar de depender de un solo dispositivo, a la vez
que permite total libertad para escalar a medida que
sea necesario.
Este método es ideal para grandes y distribuidas
infraestructuras virtualizadas, como los modelos de
nubes privadas, públicas o híbridas.
WAF distribuidos
10. Los cortafuegos de aplicación basados en la nube
tienen la particularidad de que son independientes de
la plataforma que se esté utilizando y no requiere
hacer cambios hardware o software en el host. Sólo se
requiere un cambio en el DNS para que todo el tráfico
se enrute al WAF.
WAF basados en la nube
12. Objetivos:
• Estudiar las posibles soluciones hardware y
software existentes en el mercado para su
posible implementación.
• Seleccionar la solución que más se ajuste a las
necesidades y presupuesto del centro.
• Implementar la solución elegida en una
máquina virtual que sirva de referencia para
una futura implementación.
Objetivos y requisitos del proyecto
13. Requisitos:
• La solución debe a ser aplicable teniendo en
cuenta que el servidor web del centro se
encuentra alojado en un VPS.
• La solución debe ajustarse a las necesidades y
presupuesto del centro.
Objetivos y requisitos del proyecto
14. Actualmente el servidor web del centro está
instalado en un VPS. Al estar en un VPS las
soluciones hardware no podrían aplicarse ya
que las peticiones web se hacen directamente
al VPS. Por tanto solo podría aplicarse algunas
de las soluciones software que comentaremos
más adelante.
Estado actual
15. Soluciones Hardware
• Barracuda Web Application Firewal 360
• Cisco ACE Web Application Firewall
• Citrix NetScaler Application Firewall
Estudio de soluciones existentes
17. Modsecurity
• Es gratuito y de código abierto.
• Puede instalarse como proxy inverso y
también en embedded mode.
• Su instalación y configuración es sencilla.
Solución elegida
38. Problemas encontrados
Las reglas que utilizamos de la OWASP son
demasiado restrictivas impidiendo el acceso
normal a la página.
SOLUCIÓN: comentar la línea 98 del fichero
modsecurity_crs_21_protocol_anomalies.conf
y las líneas 151 y 152 del fichero
modsecurity_crs_55_application_defects.conf
39. Futuras mejoras
La configuración actual del proyecto puede ser
ideal para CMS tipo Joomla, pero en cambio para
Wordpress es demasiado restrictiva y cualquier
cambio en la configuración por parte del
administrador se considera un ataque.
SOLUCIÓN: implementar una serie excepciones
para cada archivo php implicado en la gestión de
nuestro Wordpress.