presentación web application firewall
DESCRIPTION
Presentación del proyecto Web Application FirewallTRANSCRIPT
Web Application
Firewall
Proyecto integrado C.F.G.S Administración de Sistemas Informáticos en Red 2013/2014 Realizado por: Miguel Ángel López Moyano
Los firewalls tradicionales trabajan en la capa de red pero no ofrecen ninguna clase de protección contra los ataques especializados en explotar vulnerabilidades web. Por eso existe la necesidad de un Web Application Firewall o WAF.
Introducción
Un Web Application Firewall es un dispositivo que puede ser hardware o software que analiza el tráfico web (entre el servidor web y la WAN) y protege de diversos ataques como SQL Injection, Cross Site Scripting, etc. Protege de ataques dirigidos al servidor web que los IDS/IPS no pueden.
Introducción
• Positiva
El WAF deniega por defecto todas las transacciones y solo acepta las que considera seguras. La definición de seguridad la recoge de una serie de reglas preestablecidas que se definen bien por auto-aprendizaje o bien por configuración manual.
• Negativa
El WAF acepta todas las transacciones y solo deniega las que considera como un ataque.
Modelos de Seguridad
• Reverse Proxy: su funcionamiento se basa en un proxy inverso. Esto nos obliga a hacer cambios en las tablas de DNS o NAT de los firewalls, de manera que el tráfico que antes iba a los servidores web directamente, ahora se direccionará a nuestro nuevo dispositivo.
• Transparent Proxy: su funcionamiento es similar al anterior pero en este caso no tiene una dirección IP. De esta forma no es necesario realizar cambios en la topología de red ni en el flujo del tráfico. Su desventaja respecto a los basados en proxy inverso es que requieren una parada de servicio mucho mayor en los despliegues.
Modos de funcionamiento
• Layer 2 Bridge: el WAF funciona como un switch de capa 2. Proporciona alto rendimiento y no implica cambios en la red, sin embargo no aporta servicios avanzados como otros modos lo hacen.
• Network Monitor / Out of Band: El WAF inspecciona el tráfico de red a través de un sniffer monitorizando un puerto. Se puede configurar para que además bloquee cierto tráfico enviando reinicios TCP para interrumpir el mismo.
Modos de funcionamiento
• Host/Server Based: es software que se instala en los propios servidores web. En este caso se elimina cualquier problema de red adicional que pueda existir, pero hay que tener cuidado con su instalación en servidores web que tengan mucha carga ya de por sí.
Modos de funcionamiento
• Hardware
• Software
• Especializados
Web Application Firewall
Están completamente basados en software y su arquitectura está diseñada para separar componentes de forma que estén separados dentro de una red. El consumo de recursos se propagan a través de una red, en lugar de depender de un solo dispositivo, a la vez que permite total libertad para escalar a medida que sea necesario.
Este método es ideal para grandes y distribuidas infraestructuras virtualizadas, como los modelos de nubes privadas, públicas o híbridas.
WAF distribuidos
Los cortafuegos de aplicación basados en la nube tienen la particularidad de que son independientes de la plataforma que se esté utilizando y no requiere hacer cambios hardware o software en el host. Sólo se requiere un cambio en el DNS para que todo el tráfico se enrute al WAF.
WAF basados en la nube
WAF basados en la nube
Objetivos:
• Estudiar las posibles soluciones hardware y software existentes en el mercado para su posible implementación.
• Seleccionar la solución que más se ajuste a las necesidades y presupuesto del centro.
• Implementar la solución elegida en una máquina virtual que sirva de referencia para una futura implementación.
Objetivos y requisitos del proyecto
Requisitos:
• La solución debe a ser aplicable teniendo en cuenta que el servidor web del centro se encuentra alojado en un VPS.
• La solución debe ajustarse a las necesidades y presupuesto del centro.
Objetivos y requisitos del proyecto
Actualmente el servidor web del centro está instalado en un VPS. Al estar en un VPS las soluciones hardware no podrían aplicarse ya que las peticiones web se hacen directamente al VPS. Por tanto solo podría aplicarse algunas de las soluciones software que comentaremos más adelante.
Estado actual
Soluciones Hardware
• Barracuda Web Application Firewal 360
• Cisco ACE Web Application Firewall
• Citrix NetScaler Application Firewall
Estudio de soluciones existentes
Soluciones Software
• Modsecurity ------------------------------------------>
• AQTRONIX WebKnight ------------------------->
• WebCastellum --------------------------------------->
• Binarysec ----------------------------------------------->
• [email protected] -------->
Estudio de soluciones existentes
Modsecurity
• Es gratuito y de código abierto.
• Puede instalarse como proxy inverso y también en embedded mode.
• Su instalación y configuración es sencilla.
Solución elegida
Cliente WAF Servidor
Navegador Apache Apache
PHP PHP
Bind MySQL Server
Librerías PhpMyAdmin
Modsecurity
Diseño
Implantación (Servidor Web)
Instalación de Apache
Instalación de PHP
Instalación de PhpMyAdmin
Implantación (Servidor Web)
Creamos una base de datos para Joomla
Descargamos Joomla
Implantación (Servidor Web)
Instalamos y comprobamos
Implantación (Servidor Web)
Creamos una base de datos para Wordpress
Descargamos Wordpress
Implantación (Servidor Web)
Instalamos y comprobamos
Implantación (WAF)
Instalación de Apache
Instalación de PHP
Instalación de DNS
Implantación (WAF)
Configuración del DNS
Implantación (WAF)
Instalación de dependencias
Instalación de Modsecurity
Implantación (WAF)
Configuración de reglas básicas
Implantación (WAF)
Instalación de reglas de la OWASP
Implantación (WAF)
Instalación de reglas de la OWASP
Implantación (WAF)
Creación de enlaces simbólicos
Implantación (WAF)
Editamos el fichero mod-security.conf
Implantación (WAF)
Habilitamos el módulo headers
Reiniciamos Apache
Implantación (WAF)
Configuración del proxy inverso
Implantación (WAF)
Editamos el fichero /etc/apache2/sites/available/default
Implantación (Prueba)
Implantación (WAF)
Fichero de log
Presupuesto
Problemas encontrados
Las reglas que utilizamos de la OWASP son demasiado restrictivas impidiendo el acceso normal a la página.
SOLUCIÓN: comentar la línea 98 del fichero modsecurity_crs_21_protocol_anomalies.conf y las líneas 151 y 152 del fichero modsecurity_crs_55_application_defects.conf
Futuras mejoras
La configuración actual del proyecto puede ser ideal para CMS tipo Joomla, pero en cambio para Wordpress es demasiado restrictiva y cualquier cambio en la configuración por parte del administrador se considera un ataque.
SOLUCIÓN: implementar una serie excepciones para cada archivo php implicado en la gestión de nuestro Wordpress.
Bibliografía
http://www.securitybydefault.com http://www.blogtecnico.net/web-application-firewall-waf/ https://www.barracuda.com/products/webapplicationfirewall/models http://www.cisco.com/c/en/us/products/collateral/application-
networking-services/ace-web-application-firewall/data_sheet_c78-458627.html
http://www.citrix.es/products/netscaler-appfirewall/overview.html http://www.fromdev.com/2011/07/opensource-web-application-
firewall-waf.html http://www.root25.com/2012/11/how-to-install-modsecurity-on-
apache-ubuntu12-stepbystep-tutorial.html http://www.root25.com/2012/12/how-to-impelement-reverse-proxy-
with-modsecurity.html