WAF Web Application Firewalls

WAF
Web Application Firewalls
Ivan Garzon - Fredy Rios
Marzo -2015
Que es un WAF
• El WAF “Web Application Firewalls” es un componente adicional de
seguridad que a diferencia de los Firewalls tradicionales trabaja
directamente en la capa de aplicación analizando el trafico web
permitido a un servidor, este puede ser implementado utilizando un
appliance o software.
Que ayuda a mitigar el WAF?
Con la implementación de WAF podemos mitigar algunos
ataques como:
• SQL Injection: Radica en el incorrecto chequeo y/o
filtrado de las variables utilizadas en un programa que
contiene, o bien genera, código SQL
• Cross Site Scripting (XSS): permite a una tercera parte
inyectar en páginas web visitadas por el usuario código
JavaScript o en otro lenguaje script similar
• Cross Site Request Forgery (CSRF)
• Directorios o Archivos sin protección “URL Hardening”
• Análisis de archivos que se suben al servidor
Wikipedia
Modelos de Seguridad
• Positiva:
– Consiste en denegar todas las peticiones y solo
permite las que identifica como validas o seguras
• Negativas
– Consiste en permitir todas las peticiones y solo
denegar las que considera como un ataque o una
amenaza.
Detectando WAF
• Podemos utilizar dos formas para detectar si
un servidor web tiene por medio una WAF
que proteja sus aplicaciones:
1. Descubrimiento Manual por medio de análisis de
cookies y de los HTTP headers
2. Descubrimiento automático utilizando
herramientas como: Wafw00f, ParadoxWAFDT
Descubrimiento Manual WAF
Realizando un Telnet al puerto 80 vemos que la respuesta no esta dando
directamente el servidor web sino que esta respondiendo un host de
Incapsula que es el servicio de IMPERVA de WAF
Descubrimiento Automático WAF
Utilizando la herramienta wafw00f podemos determinar que este sitio
no tiene al parecer un Firewall de aplicación
Descubrimiento Automático WAF
Utilizando la herramienta wafw00f podemos determinar que este sitio
esta utilizando un firewall de aplicación debido a la respuesta obtenida
Algunos WAF
• Open Source
– Mod_security
– Ironbee
– ESAPI WAF
• Comerciales
–
–
–
–
–
Sophos
Imperva
Trustwave
Fortinet
Akamai
Dolores de Cabeza con los WAF
• Configuraciones que no están ajustadas lo que generan falsos
positivos y de acuerdo al Modelo de seguridad configurado el
servicio se puede ver afectado.
• Errores en el Diseño de implementación esto puede generar lentitud
en los servicios por no tener clara el escenario de implementación.
• Fallo en el dimensionamiento de los recursos para la carga del WAF.
Protección de Email
Protección de red(IPS, Firewall, VPN
Protección de
navegación
WAF Web Aplication Firewall (patrones
de ataque)
Antivirus para subida y bajada
de archivos.
WAF– URL Hardening.
www.vulnerable.com
/products
/solutions
/resources
/ASG
/NetSecurity
/datasheets
/AMA
/MailSecurity
/webinars
/ACC
/WebSecurity
www.Vulnerable.com/products.php PERMITIDO
www.vulnerable.com/admin.php
NO PERMITIDO!
www.vulnerable.com/resources.php?userID=123
COOKIES
PERMITIDO Y FIRMADO DE
www.vulnerable.com/resources.php?XA)=§JGF/(D§KLFJACV;DOQPE NO
PERMITIDO
Firmado de cookies
Que hay de Nuevo?
Que hay de Nuevo?
Que hay de Nuevo?
Laboratorio
Referencias
• https://www.owasp.org/index.php/Web_Application_F
irewall
• https://en.wikipedia.org/wiki/Application_firewall
• http://blog.imperva.com/2014/06/the-gartner-webapplication-firewalls-magic-quadrant-is-out.html
• https://pentestlab.wordpress.com/tag/waf/
• https://pentestlab.wordpress.com/tag/waf/
• https://www.owasp.org/images/5/5f/OWASP_Top_10_
-_2013_Final_-_Espa%C3%B1ol.pdf