WAF Web Application Firewalls Ivan Garzon - Fredy Rios Marzo -2015 Que es un WAF • El WAF “Web Application Firewalls” es un componente adicional de seguridad que a diferencia de los Firewalls tradicionales trabaja directamente en la capa de aplicación analizando el trafico web permitido a un servidor, este puede ser implementado utilizando un appliance o software. Que ayuda a mitigar el WAF? Con la implementación de WAF podemos mitigar algunos ataques como: • SQL Injection: Radica en el incorrecto chequeo y/o filtrado de las variables utilizadas en un programa que contiene, o bien genera, código SQL • Cross Site Scripting (XSS): permite a una tercera parte inyectar en páginas web visitadas por el usuario código JavaScript o en otro lenguaje script similar • Cross Site Request Forgery (CSRF) • Directorios o Archivos sin protección “URL Hardening” • Análisis de archivos que se suben al servidor Wikipedia Modelos de Seguridad • Positiva: – Consiste en denegar todas las peticiones y solo permite las que identifica como validas o seguras • Negativas – Consiste en permitir todas las peticiones y solo denegar las que considera como un ataque o una amenaza. Detectando WAF • Podemos utilizar dos formas para detectar si un servidor web tiene por medio una WAF que proteja sus aplicaciones: 1. Descubrimiento Manual por medio de análisis de cookies y de los HTTP headers 2. Descubrimiento automático utilizando herramientas como: Wafw00f, ParadoxWAFDT Descubrimiento Manual WAF Realizando un Telnet al puerto 80 vemos que la respuesta no esta dando directamente el servidor web sino que esta respondiendo un host de Incapsula que es el servicio de IMPERVA de WAF Descubrimiento Automático WAF Utilizando la herramienta wafw00f podemos determinar que este sitio no tiene al parecer un Firewall de aplicación Descubrimiento Automático WAF Utilizando la herramienta wafw00f podemos determinar que este sitio esta utilizando un firewall de aplicación debido a la respuesta obtenida Algunos WAF • Open Source – Mod_security – Ironbee – ESAPI WAF • Comerciales – – – – – Sophos Imperva Trustwave Fortinet Akamai Dolores de Cabeza con los WAF • Configuraciones que no están ajustadas lo que generan falsos positivos y de acuerdo al Modelo de seguridad configurado el servicio se puede ver afectado. • Errores en el Diseño de implementación esto puede generar lentitud en los servicios por no tener clara el escenario de implementación. • Fallo en el dimensionamiento de los recursos para la carga del WAF. Protección de Email Protección de red(IPS, Firewall, VPN Protección de navegación WAF Web Aplication Firewall (patrones de ataque) Antivirus para subida y bajada de archivos. WAF– URL Hardening. www.vulnerable.com /products /solutions /resources /ASG /NetSecurity /datasheets /AMA /MailSecurity /webinars /ACC /WebSecurity www.Vulnerable.com/products.php PERMITIDO www.vulnerable.com/admin.php NO PERMITIDO! www.vulnerable.com/resources.php?userID=123 COOKIES PERMITIDO Y FIRMADO DE www.vulnerable.com/resources.php?XA)=§JGF/(D§KLFJACV;DOQPE NO PERMITIDO Firmado de cookies Que hay de Nuevo? Que hay de Nuevo? Que hay de Nuevo? Laboratorio Referencias • https://www.owasp.org/index.php/Web_Application_F irewall • https://en.wikipedia.org/wiki/Application_firewall • http://blog.imperva.com/2014/06/the-gartner-webapplication-firewalls-magic-quadrant-is-out.html • https://pentestlab.wordpress.com/tag/waf/ • https://pentestlab.wordpress.com/tag/waf/ • https://www.owasp.org/images/5/5f/OWASP_Top_10_ -_2013_Final_-_Espa%C3%B1ol.pdf
© Copyright 2024