SlideShare una empresa de Scribd logo

Web Application Firewall -- potrzeba,rozwiązania, kryteria ewaluacji

msobiegraj
msobiegraj

Andrzej Klesnicki

Tecnología
1 de 20
Web Application Firewall - potrzeba, rozwiązania, kryteria ewaluacji a.klesnicki@gmail.com
Potrzeba 75% udanych ataków z Internetu wykorzystuje dziury w aplikacja webowych
Rozwiązania • Jak możemy się chronić ? – Pisać bezpieczne aplikacje  – Łatać na bieżąco elementy systemu – Monitorować system i wykonywane transakcję – …. – WAF – Web Application Firewall
Firewall aplikacyjny • Firewall warstwy 8 i powyżej – Odwzorowanie logiki – zgodność z protokołem (RFC) • Ochrona przed znanymi atakami (sygnatury) • Korelacje
Modele bezpieczeństwa • Pozytywny – Akceptowanie tylko bezpiecznego ruchu – Odrzucanie reszty • Negatywny – Odrzucanie niebezpiecznego ruchu – Akceptowanie reszty • YingYang – Zaakceptuj bezpieczny ruch (zgodny z logiką) – Po czym z zaakceptowanego odrzuć to co może być dodatkowo podejrzane
Ewaluacja • Ewaluacja – „badanie wartości albo cech” • Jakie rozwiązania wybrać? – Darmowe • Mod_security – Rozwiązania komercyjne: • Breach Security, • Citrix Systems, • F5 Networks, • Imperva, • NetContinuum • Protegrity
Architektura wdrożenia • Model pracy – Oprogramowanie / Plugin do web serwera – Bridge – Router – Revers Proxy • SSL – Terminowanie SSL – Pasywne deszyfrowanie SSL – Brak obsługi SSL
Architektura wdrożenia • Blokowanie ruchu – Rst – Drop – Error page (unikalne ID) – Blokowanie na innym urządzeniu • Blokowanie czasowe – Adresów IP – Sesji – Użytkownika (rozpoznanie?)
Architektura wdrożenia • Rodzaj rozwiązania – Pudełko – Oprogramowanie • HA – Fail open, fail close – Architektura wieloagentowa (max agentów) – Czasy przełącznia – Synchronizacja stanów, czy dla SSL również – Dopuszczalne odległości, opóźnienia – HA dla systemu zarządzania – Obsługa STP
Architektura wdrożenia • Obsługa wirtualizacji • Vhost • Vlan • Przepisywanie zapytań i odpowiedzi serwera • Caching • Kompresja • Obsługa innego niż HTTP ruchu
Wsparcie protokołów • Wsparcie i blokowanie różnych protokołów • Różne typy kodowania • Obsługa i blokowanie metod • Walidowanie niezgodności z RFC • Walidowanie podwójnego kodowania, bądź niezgodnego kodowania. • Walidacja długości zapytań
Wsparcie protokołów • Walidacja „mapy strony” – Sprawdzanie zapytań (urli, parametrów) – Przejść pomiędzy urlami • Obsługa transferu plików – POST/PUT – Ograniczanie wielkości, ilości – Skanowanie plików • Analiza treści odpowiedzi serwera (pod kątem zawartości nieprawidłowej)
Techniki wykrywania • Normalizacja • Negatywny model – Sygnatury (automatyczne, ręczne) – Zależności logiczne • Poztywyny model – Uczenie – Wprowadzenie ręczne • Własne API – rozszerzenia?
Ochrona przed atakami • Brute Force • Atakami na ciasteczka • Atakami na sesję • Atakami na parametry • Atakami na flow
Ochrona przed atakami – Próba wywołania strony z poza mapy – Wywołania zasobów aplikacji bez lokalnych referentów – Próby zgadnięcia podstron / parametrów – Manipulacja parametrów w zakresie zawartości i długości – Przejmowanie sesji, manipulacja sesjami – Przepełnienia buforów – Ominięcia autoryzacji – Wstrzykiwania złośliwego kodu SQL, rozkazów systemowych itp. – Atakami Cross site scripting – Wykorzystywania podatności systemów operacyjnych – Wykorzystywania podatności serwerów WWW – Manipulacja metodami HTML – Wykorzystania zabronionych metod HTML – Manipulacja nagłówkami HTML – Zalew aplikacji informacjami
Logowanie • Nadawanie ID • Zabezpieczenie przed fałszowaniem • Eksportowalność logów • Powiadamianie • Logowanie transakcji • Retencja logów • Obsługa wrażliwych danych
Raportowanie • Zakres raportów – Dostępność widoków – Raporty zgodności • Format raportów • Dystrybucja raportów
Zarządzanie • Rozdzielenie logiki aplikacji o polityki bezpieczeństwa (z relacją wiele do wielu) • Łatwy mechanizm cofania zmian • Wersjonowanie, różnicowanie zmian w systemie. • Niskopoziomowy dostęp do konfiguracji • Role dostępu do systemu • Automatyczne aktualizowanie profilów, polityk, sygnatur. • Bezpieczeństwo dostępu do urządzenia
Wydajność • Ilość połączeń na sekundę • Maksymalna przepustowość (dla stałej wielkości żadania – odpowiedzi 32 KB) • Maksymalna ilość równoległych połączeń • Opóźnienia • Czy obciążenie wpływa na jakość zarządzania.
Dziękuję Pytania?

Recomendados

Modsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-Polska
Modsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-PolskaModsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-Polska
Modsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-PolskaLeszek Mi?
 
TGT#20 - Ataki XSS - Robert Charewicz
TGT#20 - Ataki XSS - Robert CharewiczTGT#20 - Ataki XSS - Robert Charewicz
TGT#20 - Ataki XSS - Robert CharewiczTrójmiejska Grupa Testerska
 
Piątek z XSolve - Bezpieczne nagłówki HTTP
Piątek z XSolve - Bezpieczne nagłówki HTTPPiątek z XSolve - Bezpieczne nagłówki HTTP
Piątek z XSolve - Bezpieczne nagłówki HTTPXSolve
 
29.02 zapobieganie i zwalczanie przestepczosci kopia
29.02 zapobieganie i zwalczanie przestepczosci kopia29.02 zapobieganie i zwalczanie przestepczosci kopia
29.02 zapobieganie i zwalczanie przestepczosci kopiagucio978
 
Bezpieczenstwo Portali Spolecznosciowych W Ujeciu Robakow Web 20 Pingwinaria2009
Bezpieczenstwo Portali Spolecznosciowych W Ujeciu Robakow Web 20 Pingwinaria2009Bezpieczenstwo Portali Spolecznosciowych W Ujeciu Robakow Web 20 Pingwinaria2009
Bezpieczenstwo Portali Spolecznosciowych W Ujeciu Robakow Web 20 Pingwinaria2009Logicaltrust pl
 
Jak wyglada monitoring w PLIX
Jak wyglada monitoring w PLIXJak wyglada monitoring w PLIX
Jak wyglada monitoring w PLIXKamil Grabowski
 
10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowania10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowaniaSecuRing
 
4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech Dworakowski
4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech Dworakowski4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech Dworakowski
4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech DworakowskiPROIDEA
 

Recomendados

Modsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-Polska
Modsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-PolskaModsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-Polska
Modsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-PolskaLeszek Mi?
 
TGT#20 - Ataki XSS - Robert Charewicz
TGT#20 - Ataki XSS - Robert CharewiczTGT#20 - Ataki XSS - Robert Charewicz
TGT#20 - Ataki XSS - Robert CharewiczTrójmiejska Grupa Testerska
 
Piątek z XSolve - Bezpieczne nagłówki HTTP
Piątek z XSolve - Bezpieczne nagłówki HTTPPiątek z XSolve - Bezpieczne nagłówki HTTP
Piątek z XSolve - Bezpieczne nagłówki HTTPXSolve
 
29.02 zapobieganie i zwalczanie przestepczosci kopia
29.02 zapobieganie i zwalczanie przestepczosci kopia29.02 zapobieganie i zwalczanie przestepczosci kopia
29.02 zapobieganie i zwalczanie przestepczosci kopiagucio978
 
Bezpieczenstwo Portali Spolecznosciowych W Ujeciu Robakow Web 20 Pingwinaria2009
Bezpieczenstwo Portali Spolecznosciowych W Ujeciu Robakow Web 20 Pingwinaria2009Bezpieczenstwo Portali Spolecznosciowych W Ujeciu Robakow Web 20 Pingwinaria2009
Bezpieczenstwo Portali Spolecznosciowych W Ujeciu Robakow Web 20 Pingwinaria2009Logicaltrust pl
 
Jak wyglada monitoring w PLIX
Jak wyglada monitoring w PLIXJak wyglada monitoring w PLIX
Jak wyglada monitoring w PLIXKamil Grabowski
 
10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowania10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowaniaSecuRing
 
4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech Dworakowski
4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech Dworakowski4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech Dworakowski
4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech DworakowskiPROIDEA
 
Atmosphere 2014: Scalable and under control - open cloud architecture conside...
Atmosphere 2014: Scalable and under control - open cloud architecture conside...Atmosphere 2014: Scalable and under control - open cloud architecture conside...
Atmosphere 2014: Scalable and under control - open cloud architecture conside...PROIDEA
 
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.com
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.comNGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.com
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.comLeszek Mi?
 
OWASP Top10 2013
OWASP Top10 2013OWASP Top10 2013
OWASP Top10 2013SecuRing
 
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...PROIDEA
 
Łukasz Grala - WSKIZ 2009-04-07 It Academic - SQL Server 2008 - Nowości Adm...
Łukasz Grala - WSKIZ 2009-04-07 It Academic - SQL Server 2008 - Nowości Adm...Łukasz Grala - WSKIZ 2009-04-07 It Academic - SQL Server 2008 - Nowości Adm...
Łukasz Grala - WSKIZ 2009-04-07 It Academic - SQL Server 2008 - Nowości Adm...Łukasz Grala
 
Ataki po stronie klienta w publicznych punktach dostępowych
Ataki po stronie klienta w publicznych punktach dostępowychAtaki po stronie klienta w publicznych punktach dostępowych
Ataki po stronie klienta w publicznych punktach dostępowychPawel Rzepa
 
Cloud computing na bazie Windows Azure, Tomek Kopacz, Microsoft
Cloud computing na bazie Windows Azure, Tomek Kopacz, MicrosoftCloud computing na bazie Windows Azure, Tomek Kopacz, Microsoft
Cloud computing na bazie Windows Azure, Tomek Kopacz, MicrosoftBiznes 2.0
 
Tomasz Kopacz, Cloud computing na bazie Windows Azure
Tomasz Kopacz, Cloud computing na bazie Windows AzureTomasz Kopacz, Cloud computing na bazie Windows Azure
Tomasz Kopacz, Cloud computing na bazie Windows AzureWebhosting.pl
 
Iron Python I Dlr
Iron Python I DlrIron Python I Dlr
Iron Python I DlrMichal Zylinski
 
Architektura serwera gier online
Architektura serwera gier onlineArchitektura serwera gier online
Architektura serwera gier onlineMaciej Mróz
 
Usability eCommerce - teoria, bledy, porady. Kansei 2009
Usability eCommerce - teoria, bledy, porady. Kansei 2009Usability eCommerce - teoria, bledy, porady. Kansei 2009
Usability eCommerce - teoria, bledy, porady. Kansei 2009Dmitrij Żatuchin
 
OWASP Appsensor in action
OWASP Appsensor in actionOWASP Appsensor in action
OWASP Appsensor in actionLeszekMis
 
Ochrona podatnych webaplikacji za pomocą wirtualnych poprawek
Ochrona podatnych webaplikacji za pomocą wirtualnych poprawekOchrona podatnych webaplikacji za pomocą wirtualnych poprawek
Ochrona podatnych webaplikacji za pomocą wirtualnych poprawek3camp
 
JDD 2017: Bezpieczny wypoczynek - czyli uwierzytelnianie RESTa (Krzysztof Be...
JDD 2017: Bezpieczny wypoczynek - czyli uwierzytelnianie RESTa (Krzysztof Be...JDD 2017: Bezpieczny wypoczynek - czyli uwierzytelnianie RESTa (Krzysztof Be...
JDD 2017: Bezpieczny wypoczynek - czyli uwierzytelnianie RESTa (Krzysztof Be...PROIDEA
 
4Developers 2015: Szybciej niż Struś Pędziwiatr - WebSockets w aplikacjach we...
4Developers 2015: Szybciej niż Struś Pędziwiatr - WebSockets w aplikacjach we...4Developers 2015: Szybciej niż Struś Pędziwiatr - WebSockets w aplikacjach we...
4Developers 2015: Szybciej niż Struś Pędziwiatr - WebSockets w aplikacjach we...PROIDEA
 
(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnychSecuRing
 
4Developers 2015: Frameworki jee vs cross-site scripting (xss) - Piotr Bucki
4Developers 2015: Frameworki jee vs cross-site scripting (xss) - Piotr Bucki4Developers 2015: Frameworki jee vs cross-site scripting (xss) - Piotr Bucki
4Developers 2015: Frameworki jee vs cross-site scripting (xss) - Piotr BuckiPROIDEA
 
Drobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadkuDrobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadkumsobiegraj
 
PHP5. Bezpieczne programowanie. Leksykon kieszonkowy
PHP5. Bezpieczne programowanie. Leksykon kieszonkowyPHP5. Bezpieczne programowanie. Leksykon kieszonkowy
PHP5. Bezpieczne programowanie. Leksykon kieszonkowyWydawnictwo Helion
 
[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu
[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu
[Confidence 2016] Red Team - najlepszy przyjaciel Blue TeamuPiotr Kaźmierczak
 
[ISSA] Zagrożenia na 2008 rok
[ISSA] Zagrożenia na 2008 rok[ISSA] Zagrożenia na 2008 rok
[ISSA] Zagrożenia na 2008 rokmsobiegraj
 
[ISSA] IDS
[ISSA] IDS[ISSA] IDS
[ISSA] IDSmsobiegraj
 

Más contenido relacionado

Similar a Web Application Firewall -- potrzeba,rozwiązania, kryteria ewaluacji

Atmosphere 2014: Scalable and under control - open cloud architecture conside...
Atmosphere 2014: Scalable and under control - open cloud architecture conside...Atmosphere 2014: Scalable and under control - open cloud architecture conside...
Atmosphere 2014: Scalable and under control - open cloud architecture conside...PROIDEA
 
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.com
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.comNGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.com
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.comLeszek Mi?
 
OWASP Top10 2013
OWASP Top10 2013OWASP Top10 2013
OWASP Top10 2013SecuRing
 
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...PROIDEA
 
Łukasz Grala - WSKIZ 2009-04-07 It Academic - SQL Server 2008 - Nowości Adm...
Łukasz Grala - WSKIZ 2009-04-07 It Academic - SQL Server 2008 - Nowości Adm...Łukasz Grala - WSKIZ 2009-04-07 It Academic - SQL Server 2008 - Nowości Adm...
Łukasz Grala - WSKIZ 2009-04-07 It Academic - SQL Server 2008 - Nowości Adm...Łukasz Grala
 
Ataki po stronie klienta w publicznych punktach dostępowych
Ataki po stronie klienta w publicznych punktach dostępowychAtaki po stronie klienta w publicznych punktach dostępowych
Ataki po stronie klienta w publicznych punktach dostępowychPawel Rzepa
 
Cloud computing na bazie Windows Azure, Tomek Kopacz, Microsoft
Cloud computing na bazie Windows Azure, Tomek Kopacz, MicrosoftCloud computing na bazie Windows Azure, Tomek Kopacz, Microsoft
Cloud computing na bazie Windows Azure, Tomek Kopacz, MicrosoftBiznes 2.0
 
Tomasz Kopacz, Cloud computing na bazie Windows Azure
Tomasz Kopacz, Cloud computing na bazie Windows AzureTomasz Kopacz, Cloud computing na bazie Windows Azure
Tomasz Kopacz, Cloud computing na bazie Windows AzureWebhosting.pl
 
Architektura serwera gier online
Architektura serwera gier onlineArchitektura serwera gier online
Architektura serwera gier onlineMaciej Mróz
 
Usability eCommerce - teoria, bledy, porady. Kansei 2009
Usability eCommerce - teoria, bledy, porady. Kansei 2009Usability eCommerce - teoria, bledy, porady. Kansei 2009
Usability eCommerce - teoria, bledy, porady. Kansei 2009Dmitrij Żatuchin
 
OWASP Appsensor in action
OWASP Appsensor in actionOWASP Appsensor in action
OWASP Appsensor in actionLeszekMis
 
Ochrona podatnych webaplikacji za pomocą wirtualnych poprawek
Ochrona podatnych webaplikacji za pomocą wirtualnych poprawekOchrona podatnych webaplikacji za pomocą wirtualnych poprawek
Ochrona podatnych webaplikacji za pomocą wirtualnych poprawek3camp
 
JDD 2017: Bezpieczny wypoczynek - czyli uwierzytelnianie RESTa (Krzysztof Be...
JDD 2017: Bezpieczny wypoczynek - czyli uwierzytelnianie RESTa (Krzysztof Be...JDD 2017: Bezpieczny wypoczynek - czyli uwierzytelnianie RESTa (Krzysztof Be...
JDD 2017: Bezpieczny wypoczynek - czyli uwierzytelnianie RESTa (Krzysztof Be...PROIDEA
 
4Developers 2015: Szybciej niż Struś Pędziwiatr - WebSockets w aplikacjach we...
4Developers 2015: Szybciej niż Struś Pędziwiatr - WebSockets w aplikacjach we...4Developers 2015: Szybciej niż Struś Pędziwiatr - WebSockets w aplikacjach we...
4Developers 2015: Szybciej niż Struś Pędziwiatr - WebSockets w aplikacjach we...PROIDEA
 
(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnychSecuRing
 
4Developers 2015: Frameworki jee vs cross-site scripting (xss) - Piotr Bucki
4Developers 2015: Frameworki jee vs cross-site scripting (xss) - Piotr Bucki4Developers 2015: Frameworki jee vs cross-site scripting (xss) - Piotr Bucki
4Developers 2015: Frameworki jee vs cross-site scripting (xss) - Piotr BuckiPROIDEA
 
Drobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadkuDrobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadkumsobiegraj
 
PHP5. Bezpieczne programowanie. Leksykon kieszonkowy
PHP5. Bezpieczne programowanie. Leksykon kieszonkowyPHP5. Bezpieczne programowanie. Leksykon kieszonkowy
PHP5. Bezpieczne programowanie. Leksykon kieszonkowyWydawnictwo Helion
 
[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu
[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu
[Confidence 2016] Red Team - najlepszy przyjaciel Blue TeamuPiotr Kaźmierczak
 

Similar a Web Application Firewall -- potrzeba,rozwiązania, kryteria ewaluacji (20)

Atmosphere 2014: Scalable and under control - open cloud architecture conside...
Atmosphere 2014: Scalable and under control - open cloud architecture conside...Atmosphere 2014: Scalable and under control - open cloud architecture conside...
Atmosphere 2014: Scalable and under control - open cloud architecture conside...
 
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.com
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.comNGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.com
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.com
 
OWASP Top10 2013
OWASP Top10 2013OWASP Top10 2013
OWASP Top10 2013
 
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...
 
Łukasz Grala - WSKIZ 2009-04-07 It Academic - SQL Server 2008 - Nowości Adm...
Łukasz Grala - WSKIZ 2009-04-07 It Academic - SQL Server 2008 - Nowości Adm...Łukasz Grala - WSKIZ 2009-04-07 It Academic - SQL Server 2008 - Nowości Adm...
Łukasz Grala - WSKIZ 2009-04-07 It Academic - SQL Server 2008 - Nowości Adm...
 
Ataki po stronie klienta w publicznych punktach dostępowych
Ataki po stronie klienta w publicznych punktach dostępowychAtaki po stronie klienta w publicznych punktach dostępowych
Ataki po stronie klienta w publicznych punktach dostępowych
 
Cloud computing na bazie Windows Azure, Tomek Kopacz, Microsoft
Cloud computing na bazie Windows Azure, Tomek Kopacz, MicrosoftCloud computing na bazie Windows Azure, Tomek Kopacz, Microsoft
Cloud computing na bazie Windows Azure, Tomek Kopacz, Microsoft
 
Tomasz Kopacz, Cloud computing na bazie Windows Azure
Tomasz Kopacz, Cloud computing na bazie Windows AzureTomasz Kopacz, Cloud computing na bazie Windows Azure
Tomasz Kopacz, Cloud computing na bazie Windows Azure
 
Iron Python I Dlr
Iron Python I DlrIron Python I Dlr
Iron Python I Dlr
 
Architektura serwera gier online
Architektura serwera gier onlineArchitektura serwera gier online
Architektura serwera gier online
 
Usability eCommerce - teoria, bledy, porady. Kansei 2009
Usability eCommerce - teoria, bledy, porady. Kansei 2009Usability eCommerce - teoria, bledy, porady. Kansei 2009
Usability eCommerce - teoria, bledy, porady. Kansei 2009
 
OWASP Appsensor in action
OWASP Appsensor in actionOWASP Appsensor in action
OWASP Appsensor in action
 
Ochrona podatnych webaplikacji za pomocą wirtualnych poprawek
Ochrona podatnych webaplikacji za pomocą wirtualnych poprawekOchrona podatnych webaplikacji za pomocą wirtualnych poprawek
Ochrona podatnych webaplikacji za pomocą wirtualnych poprawek
 
JDD 2017: Bezpieczny wypoczynek - czyli uwierzytelnianie RESTa (Krzysztof Be...
JDD 2017: Bezpieczny wypoczynek - czyli uwierzytelnianie RESTa (Krzysztof Be...JDD 2017: Bezpieczny wypoczynek - czyli uwierzytelnianie RESTa (Krzysztof Be...
JDD 2017: Bezpieczny wypoczynek - czyli uwierzytelnianie RESTa (Krzysztof Be...
 
4Developers 2015: Szybciej niż Struś Pędziwiatr - WebSockets w aplikacjach we...
4Developers 2015: Szybciej niż Struś Pędziwiatr - WebSockets w aplikacjach we...4Developers 2015: Szybciej niż Struś Pędziwiatr - WebSockets w aplikacjach we...
4Developers 2015: Szybciej niż Struś Pędziwiatr - WebSockets w aplikacjach we...
 
(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych
 
4Developers 2015: Frameworki jee vs cross-site scripting (xss) - Piotr Bucki
4Developers 2015: Frameworki jee vs cross-site scripting (xss) - Piotr Bucki4Developers 2015: Frameworki jee vs cross-site scripting (xss) - Piotr Bucki
4Developers 2015: Frameworki jee vs cross-site scripting (xss) - Piotr Bucki
 
Drobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadkuDrobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadku
 
PHP5. Bezpieczne programowanie. Leksykon kieszonkowy
PHP5. Bezpieczne programowanie. Leksykon kieszonkowyPHP5. Bezpieczne programowanie. Leksykon kieszonkowy
PHP5. Bezpieczne programowanie. Leksykon kieszonkowy
 
[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu
[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu
[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu
 

Más de msobiegraj

[ISSA] Zagrożenia na 2008 rok
[ISSA] Zagrożenia na 2008 rok[ISSA] Zagrożenia na 2008 rok
[ISSA] Zagrożenia na 2008 rokmsobiegraj
 
[ISSA] Web Appication Firewall
[ISSA] Web Appication Firewall[ISSA] Web Appication Firewall
[ISSA] Web Appication Firewallmsobiegraj
 
[ISSA] Incident Responce
[ISSA] Incident Responce[ISSA] Incident Responce
[ISSA] Incident Responcemsobiegraj
 
2FA w bankowosci (Bartosz Nowak)
2FA w bankowosci (Bartosz Nowak)2FA w bankowosci (Bartosz Nowak)
2FA w bankowosci (Bartosz Nowak)msobiegraj
 
Strong Authentication (Michal Sobiegraj)
Strong Authentication (Michal Sobiegraj)Strong Authentication (Michal Sobiegraj)
Strong Authentication (Michal Sobiegraj)msobiegraj
 
Minor Mistakes In Web Portals
Minor Mistakes In Web PortalsMinor Mistakes In Web Portals
Minor Mistakes In Web Portalsmsobiegraj
 
ISSA Wroclaw -- Aktywacja
ISSA Wroclaw -- AktywacjaISSA Wroclaw -- Aktywacja
ISSA Wroclaw -- Aktywacjamsobiegraj
 
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case StudyTechnology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Studymsobiegraj
 
Jak maszyny rozpoznają ludzi? Odwrotny test Turinga i jego skutki uboczne
Jak maszyny rozpoznają ludzi? Odwrotny test Turinga i jego skutki uboczneJak maszyny rozpoznają ludzi? Odwrotny test Turinga i jego skutki uboczne
Jak maszyny rozpoznają ludzi? Odwrotny test Turinga i jego skutki ubocznemsobiegraj
 
Reputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiem
Reputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiemReputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiem
Reputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiemmsobiegraj
 

Más de msobiegraj (11)

[ISSA] Zagrożenia na 2008 rok
[ISSA] Zagrożenia na 2008 rok[ISSA] Zagrożenia na 2008 rok
[ISSA] Zagrożenia na 2008 rok
 
[ISSA] IDS
[ISSA] IDS[ISSA] IDS
[ISSA] IDS
 
[ISSA] Web Appication Firewall
[ISSA] Web Appication Firewall[ISSA] Web Appication Firewall
[ISSA] Web Appication Firewall
 
[ISSA] Incident Responce
[ISSA] Incident Responce[ISSA] Incident Responce
[ISSA] Incident Responce
 
2FA w bankowosci (Bartosz Nowak)
2FA w bankowosci (Bartosz Nowak)2FA w bankowosci (Bartosz Nowak)
2FA w bankowosci (Bartosz Nowak)
 
Strong Authentication (Michal Sobiegraj)
Strong Authentication (Michal Sobiegraj)Strong Authentication (Michal Sobiegraj)
Strong Authentication (Michal Sobiegraj)
 
Minor Mistakes In Web Portals
Minor Mistakes In Web PortalsMinor Mistakes In Web Portals
Minor Mistakes In Web Portals
 
ISSA Wroclaw -- Aktywacja
ISSA Wroclaw -- AktywacjaISSA Wroclaw -- Aktywacja
ISSA Wroclaw -- Aktywacja
 
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case StudyTechnology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Study
 
Jak maszyny rozpoznają ludzi? Odwrotny test Turinga i jego skutki uboczne
Jak maszyny rozpoznają ludzi? Odwrotny test Turinga i jego skutki uboczneJak maszyny rozpoznają ludzi? Odwrotny test Turinga i jego skutki uboczne
Jak maszyny rozpoznają ludzi? Odwrotny test Turinga i jego skutki uboczne
 
Reputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiem
Reputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiemReputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiem
Reputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiem
 

Web Application Firewall -- potrzeba,rozwiązania, kryteria ewaluacji

  • 1. Web Application Firewall - potrzeba, rozwiązania, kryteria ewaluacji a.klesnicki@gmail.com
  • 2. Potrzeba 75% udanych ataków z Internetu wykorzystuje dziury w aplikacja webowych
  • 3. Rozwiązania • Jak możemy się chronić ? – Pisać bezpieczne aplikacje  – Łatać na bieżąco elementy systemu – Monitorować system i wykonywane transakcję – …. – WAF – Web Application Firewall
  • 4. Firewall aplikacyjny • Firewall warstwy 8 i powyżej – Odwzorowanie logiki – zgodność z protokołem (RFC) • Ochrona przed znanymi atakami (sygnatury) • Korelacje
  • 5. Modele bezpieczeństwa • Pozytywny – Akceptowanie tylko bezpiecznego ruchu – Odrzucanie reszty • Negatywny – Odrzucanie niebezpiecznego ruchu – Akceptowanie reszty • YingYang – Zaakceptuj bezpieczny ruch (zgodny z logiką) – Po czym z zaakceptowanego odrzuć to co może być dodatkowo podejrzane
  • 6. Ewaluacja • Ewaluacja – „badanie wartości albo cech” • Jakie rozwiązania wybrać? – Darmowe • Mod_security – Rozwiązania komercyjne: • Breach Security, • Citrix Systems, • F5 Networks, • Imperva, • NetContinuum • Protegrity
  • 7. Architektura wdrożenia • Model pracy – Oprogramowanie / Plugin do web serwera – Bridge – Router – Revers Proxy • SSL – Terminowanie SSL – Pasywne deszyfrowanie SSL – Brak obsługi SSL
  • 8. Architektura wdrożenia • Blokowanie ruchu – Rst – Drop – Error page (unikalne ID) – Blokowanie na innym urządzeniu • Blokowanie czasowe – Adresów IP – Sesji – Użytkownika (rozpoznanie?)
  • 9. Architektura wdrożenia • Rodzaj rozwiązania – Pudełko – Oprogramowanie • HA – Fail open, fail close – Architektura wieloagentowa (max agentów) – Czasy przełącznia – Synchronizacja stanów, czy dla SSL również – Dopuszczalne odległości, opóźnienia – HA dla systemu zarządzania – Obsługa STP
  • 10. Architektura wdrożenia • Obsługa wirtualizacji • Vhost • Vlan • Przepisywanie zapytań i odpowiedzi serwera • Caching • Kompresja • Obsługa innego niż HTTP ruchu
  • 11. Wsparcie protokołów • Wsparcie i blokowanie różnych protokołów • Różne typy kodowania • Obsługa i blokowanie metod • Walidowanie niezgodności z RFC • Walidowanie podwójnego kodowania, bądź niezgodnego kodowania. • Walidacja długości zapytań
  • 12. Wsparcie protokołów • Walidacja „mapy strony” – Sprawdzanie zapytań (urli, parametrów) – Przejść pomiędzy urlami • Obsługa transferu plików – POST/PUT – Ograniczanie wielkości, ilości – Skanowanie plików • Analiza treści odpowiedzi serwera (pod kątem zawartości nieprawidłowej)
  • 13. Techniki wykrywania • Normalizacja • Negatywny model – Sygnatury (automatyczne, ręczne) – Zależności logiczne • Poztywyny model – Uczenie – Wprowadzenie ręczne • Własne API – rozszerzenia?
  • 14. Ochrona przed atakami • Brute Force • Atakami na ciasteczka • Atakami na sesję • Atakami na parametry • Atakami na flow
  • 15. Ochrona przed atakami – Próba wywołania strony z poza mapy – Wywołania zasobów aplikacji bez lokalnych referentów – Próby zgadnięcia podstron / parametrów – Manipulacja parametrów w zakresie zawartości i długości – Przejmowanie sesji, manipulacja sesjami – Przepełnienia buforów – Ominięcia autoryzacji – Wstrzykiwania złośliwego kodu SQL, rozkazów systemowych itp. – Atakami Cross site scripting – Wykorzystywania podatności systemów operacyjnych – Wykorzystywania podatności serwerów WWW – Manipulacja metodami HTML – Wykorzystania zabronionych metod HTML – Manipulacja nagłówkami HTML – Zalew aplikacji informacjami
  • 16. Logowanie • Nadawanie ID • Zabezpieczenie przed fałszowaniem • Eksportowalność logów • Powiadamianie • Logowanie transakcji • Retencja logów • Obsługa wrażliwych danych
  • 17. Raportowanie • Zakres raportów – Dostępność widoków – Raporty zgodności • Format raportów • Dystrybucja raportów
  • 18. Zarządzanie • Rozdzielenie logiki aplikacji o polityki bezpieczeństwa (z relacją wiele do wielu) • Łatwy mechanizm cofania zmian • Wersjonowanie, różnicowanie zmian w systemie. • Niskopoziomowy dostęp do konfiguracji • Role dostępu do systemu • Automatyczne aktualizowanie profilów, polityk, sygnatur. • Bezpieczeństwo dostępu do urządzenia
  • 19. Wydajność • Ilość połączeń na sekundę • Maksymalna przepustowość (dla stałej wielkości żadania – odpowiedzi 32 KB) • Maksymalna ilość równoległych połączeń • Opóźnienia • Czy obciążenie wpływa na jakość zarządzania.