Web Application Firewall SonicWALL Secure Remote Access Appliances Junho 2012 Edilson Cantadore Dell SonicWALL Brasil +55-11-7200-5833 Edilson_Cantadore@Dell.com
Aplicações Web Cada vez mais objetos de ataques Com aplicações web se tornando a plataforma escolhida pelas corporações, cada vez mais vemos estas tornando-se alvos de ataques, ex.: SQL injection Cross-site scripting (XSS) Cookie tampering Roubos voltados a cartões de crédito Não apenas as aplicações Web são vulneráveis, mas também as plataformas sobre as quais elas operam
Estrutura de uma aplicação Web Aplicação Web Sistema Operacional Servidor Web Base de Dados
Presença Web Realidade para pequenas e médias empresas Pequenas e médias empresas mais presentes na web Sem capacitação interna para manutenção e administração dos recursos tecnológicos envolvidos Maior Vulnerabilidade em decorrência a essa exposição na web
OWASP Top10 Web Apps Security Risks (2010)
Vulnerabilidades Mais Importantes Injection: engana a aplicação, incluindo comandos não esperados nos dados enviados, que extrai essas strings e executa tais comandos. Cross Site Scripting (XSS): aplicação toma a informação originada por um usuario e a envia a um navegador Web sem antes validá-la ou codificar o seu conteúdo. Causa perda de sessão, redirecionamento do usuário para páginas de phishing e malware. Broken Authentication and Session Management: HTTP é stateless, requerendo que as credenciais do usuário estejam em nas requisições para tracking da sessão, expondo assim as credenciais do usuário, bem como dados da sessão propriamente dita. Insecure Direct Object References: referências a objetos internos (arquivo, diretório, URL, DBentry) são expostas, permitindo ao hacker manipular e acessar os dados através dessas informações.
SQL Injection Network Layer Application Layer HTTP request APPLICATION ATTACK M Firewall Accounts Finance Administration Transactions Communication Knowledge Mgmt Custom Code App Server Web Server Hardened OS E-Commerce HTTP SQL response query > M Bus. Functions Firewall Databases Legacy Systems Web Services Directories Human Resrcs DB Table > Billing "SELECT * FROM Account Summary accounts WHERE SKU: acct= OR 1=1-- " Account: Acct:5424-6066-2134-4334 Acct:4128-7574-3921-0192 Acct:5424-9383-2039-4029 Acct:4128-0004-1234-0293 1. Application presents a form to the attacker 2. Attacker sends an attack in the form data 3. Application forwards attack to the database in a SQL query 4. Database runs query containing attack and sends encrypted results back to application 5. Application decrypts data as normal and sends results to the user by OWASP
Cross Site Scripting 1 Attacker sets the trap update my profile 2 Attacker enters a malicious script into a web page that stores the data on the server Victim views page sees attacker profile Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions Custom Code Script runs inside victim s browser with full access to the DOM and cookies 3 Script silently sends attacker Victim s session cookie by OWASP
Broken Authentication & Session Management 1 User sends credentials www.boi.com?jsessionid=9fa1db9ea... Site uses URL rewriting (i.e., put session in URL) 2 Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Custom Code Bus. Functions 3 User clicks on a link to http://www.hacker.com in a forum 5 Hacker uses JSESSIONID and takes over victim s account Hacker checks referer logs on www.hacker.com and finds user s JSESSIONID 4 by OWASP
Insecure Direct Object References https://www.onlinebank.com/user? acct=6065 Attacker notices his acct parameter is 6065?acct=6065 He modifies it to a nearby number?acct=6066 Attacker views the victim s account information by OWASP
Para ser ameaçado, basta estar na web
Consequências Constrangimentos Roubo e exposição de informação Roubo de identidade Chantagem Dinheiro (Prejuízos) Interrupções de serviço Black listing e suas consequências Multas, quebras de contrato
Como Reduzir Tantas Vulnerabilidades? Melhor desenvolvimento de códigos e proteções múltiplas 1. Mais tempo para segurança 2. Segurança inclusa no projeto inicial 3. Revisão manual e automatizada do código Antes Desenvolvedores da aplicação web. + Tempo Problemas Revisão de Segurança 4. Política de aplicação de correções 7. Equipe e Processos de Segurança 5. WAF 6. Verificações Constantes
Como o WAF pode ajudar nessa batalha? Inspeção de tráfego com renovação automática de assinaturas Controle de acesso, autenticação e autorização Monitoramento e auditoria E mais
O que é um Web Application Firewall (WAF)? Assinaturas de IPS Hacker Usuarios Web Application Firewall Servidor WEB Relatorios
Dell SonicWALL Web Application Firewall Arquitetura
Erros e Considerações Comuns Tenho SSL, portanto já estou seguro Tenho firewall, portanto já estou protegido Meus dados estão encriptados, não corro risco Verifico minhas aplicações Web anualmente, tudo está OK Nunca me aconteceu nada
Firewall + IPS vs. WAF Firewall Proteção camadas 2/3 -- DoS IDS/IPS UTM (= Firewall + IPS) Busca Anti-Virus online Assinaturas pouco específicas para web. Terminação SSL, nem sempre. Complexidade WAF Proteção camada 7 Monitora HTTP/HTTPs Terminação SSL Relatórios específicos WAF Otimização Web: Aceleração, Caching, etc.
Requerimentos de Mercado PCI Compliant: a indústria de pagamentos por cartão é diretamente afetada pelos riscos existentes (PCI DSS 6.6 requer WAF à frente do servidor de aplicações web públicas) https://www.pcisecuritystandards.org Proteção e sigilo de informações pessoais: toda atividade que requer manipulação de dados pessoais exige proteção adequada para que o sigilo seja mantido (ex.: Saúde, Banking)
Como o WAF atende a essas necesidades? "OWASP Top 10 Vulnerability Protection" totalmente coberto "Cross-site request forgery protection" como complemento do XSS "Automatic signature updates" atua contra ameaças emergentes "Strong authentication and authorization", com políticas granulares de acesso "Information disclosure protection" bloqueia acesso baseado em palavraschave definidas pelo administrador "Robust dashboard" para monitoração de status de servidores e estatísticas de ameaças contidas "Flexible policy settings "Comprehensive audit log "Cookie tampering protection" minimiza possibilidades de vulnerabilidades
Como o WAF atende a essas necesidades? "Session management" permite configurações globais de timeout para inatividade de usuários "Anti-evasion measures" normaliza requests pré-analise "HTTPS inspection" pode bloquear ataques contidos em pacotes encriptados SSL "Acceleration features": cache, compressão e multiplexação de conexões, incrementando performance de web sites protegidos "Web site cloaking" previne que hackers descubram dados sobre a implementação do web server e explorem suas vulnerabilidades "Custom rule chains" permite a criação de assinaturas customizadas "Application profiling" automaticamente sugere regras customizadas
Solução Integrada com NGFW
Obrigado