Web Application Firewalls (WAF)

download Web Application Firewalls (WAF)

of 28

  • date post

    05-Jan-2017
  • Category

    Documents

  • view

    232
  • download

    9

Embed Size (px)

Transcript of Web Application Firewalls (WAF)

  • Copyright 2009 - The OWASP FoundationPermission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License.

    The OWASP Foundationhttp://www.owasp.org

    Sbastien GIORIA (sebastien.gioria@owasp.org)French Chapter Leader

    Web Application Firewalls (WAF)

    Forum CERT-ISTParis le 9 Juin 2009

  • 2009 - S.Gioria & OWASP

    Qui suis-je ?

    12 ans dexprience en Scurit des Systmes dInformation

    Diffrents postes de manager SSI dans la banque, lassurance et les tlcoms

    Expertise Technique

    Gestion du risque, Architectures fonctionnelles, Audits

    Consulting et Formation en Rseaux et Scurit

    PenTesting, Digital Forensics

    Prsident du CLUSIR Poitou-Charentes, OWASP France Leader & Evangeliste

    sebastien.gioria@owasp.org

    Domaines de prdilection : Web 4.2 : WebServices, Interfaces Riches (Flex, Air, Silverlight,

    ), Inscurit du Web.

  • 2009 - S.Gioria & OWASP

    Agenda

    LOWASP

    Web Application Firewalls (WAF)

    Choisir son WAF

    WAF Mythes et ralits

    WAF mode demploi

    Et aprs ?

  • 2009 - S.Gioria && OWASP

    LOWASP (Open Web Application Security Project)

    Indpendant des fournisseurs et des gouvernements.

    Objectif principal : produire des outils, documents et standards ddis la scurit des applicative.

    Tous les documents, standards, outils sont fournis sur la base du modle open-source.

    Organisation :

    Runion dexperts indpendants en scurit informatique

    Communaut mondiale (plus de 100 chapitres) runie en une fondation amricaine pour supporter son action. Ladhsion est gratuite et ouverte tous

    En France : une Association.

    Le point dentre est le wiki http://www.owasp.org

  • 2009 - S.Gioria & OWASP

    OWASP en FranceUn Conseil dAdministration (Association loi 1901) :

    Prsident, vangliste et relations publiques : Sbastien Gioria

    Consultant indpendant en scurit des systmes dinformations. Prsident du CLUSIR Poitou-Charentes

    Vice-Prsident et responsable du projet de Traduction : Ludovic Petit. Expert Scurit chez SFR

    Secrtaire et Responsable des aspects Juridiques : Estelle Aim. Avocate

    Un Bureau :

    Le Conseil dAdministration

    Romain Gaucher : Ex-chercheur au NIST, consultant chez Cigital

    Mathieu Estrade : Dveloppeur Apache.

    Projets :

    Top 10 : traduit.

    Guides : en cours.

    Questionnaire a destination des RSSI : en cours.

    Groupe de travail de la scuritapplicative du CLUSIF

    Interventions :

    Infosecurity

    OSSIR

    Microsoft TechDays

    PCI-Global

    CERT-IST

    Sensibilisation / Formations :

    Assurance (Java/PHP)

    Socit dEDI (JAVA)

    Oprateur Tlphonie mobile (PHP/WebServices)

    Ministre de lintrieur SGDN

    Confrences dans des coles

    Ministre de la sant

  • Les ressources de lOWASP

    Un Wiki, des Ouvrages, un Podcast, des Vidos, des confrences, une Communaut active.

  • Les publications

    Toutes les publications sont disponibles sur le site de lOWASP: http://www.owasp.org

    Lensemble des documents est rgi par la licenceGFDL (GNU Free Documentation License)

    Les publications majeures :

    Building Guide

    Building Guide

    Code Review Guide

    Code Review Guide

    Testing Guide

    Testing Guide

    Application Security Desk Reference (ASDR)

    Le Top 10 fait rfrence tous ces guides Le TOP 10 des vulnrabilits

    applicatives

    Le Guide de lauditeur/dutesteur

    Le Code Review Guide

    Le guide de conception dapplications Web scurises

    LApplication Security Verification Standard (ASVS)

    La FAQ de linscurit des Applications Web

  • www.owasp.org/index.php?title=Top_10_2007

  • Agenda

    LOWASP

    Web Application Firewalls (WAF)

    Choisir son WAF

    WAF Mythes et ralits

    WAF mode demploi

    Et aprs ?

  • 2009 - S.Gioria & OWASP

    Faiblesse des applications Web

    75 %75 %

    90 %90 %

    25 %25 %

    10 %10 %

    % Attaques % Dpenses

    Daprs une tude du GARTNER75% des attaques ciblent le niveau Applicatif33% des applications web sont vulnrables

    Application Web

    Elments Rseaux

  • 2009 - S.Gioria & OWASP

    Je suis protg contre les attaques, jai un firewall

  • 2009 - S.Gioria & OWASP

    Mon site Web est scuris puisque il est protg par SSL

  • 2009 - S.Gioria & OWASP

    Et arriva le WAF

    http://www.owasp.org/index.php/Web_Application_Firewall

    A web application firewall (WAF) is an appliance, server plugin, or filter that applies a

    set of rules to an HTTP conversation. Generally, these rules cover common attacks such as Cross-site Scripting (XSS) and SQL Injection. By customizing the rules to your application, many attacks can be identified and blocked. The effort

    to perform this customization can be significant and needs to be maintained as the application is modified.

    PCI-DSS (https://www.pcisecuritystandards.org/) 6.6 :

    In the context of Requirement 6.6, an application firewall is a web application firewall (WAF), which is a security policy enforcement point positioned between a web application and the client end point. This functionality can be implemented in software or hardware, running in an appliance device, or in a typical server running a common operating system. It may be a stand-alone device or integrated into other network components.

    Le WAF est une CONTRE MESURE

  • 2009 - S.Gioria & OWASP

    Agenda

    LOWASP

    Web Application Firewalls (WAF)

    Choisir son WAF

    WAF Mythes et ralits

    WAF mode demploi

    Et aprs ?

  • 2009 - S.Gioria & OWASP

    Mode Parallle/Sonde

    Mode Intrusif/Reverse Proxy

    Intgr au serveur Web (mod_security dApache)

    3 Grandes familles

  • 2009 - S.Gioria & OWASP

    Choisir son WAF/son camp

    Ngatif Positif

    Concept Le WAF reconnait les attaques et les bloque, il autorise tous les accs.

    Le WAF connait le trafic lgitime et rejette tout le reste.

    Avantages

    Aucun besoin de personnalisation Protection standard Simple a dployer

    Bloque les attaques inconnues Nest pas dpendant dune base de signature. Dtection prcise

    Inconvnients Extrmement dpendant des signatures Pas trs prcis

    Configuration complexe Sensible aux faux positifs

  • 2009 - S.Gioria & OWASP

    Web Application Firewall Evaluation Criteria (WAFEC)

    Projet du Web Application Security Consortium

    http://www.webappsec.org/projects/wafec/

    Liste les fonctionnalits possibles dun WAF et non les fonctions minimum ncessaires dun WAF

    Permet dvaluer techniquement le meilleur WAF pour son environnement en fonction de 9 critres :

    1. Type darchitecture dployer (pont, reverse-proxy, intgr, SSL, )

    2. Support dHTTP et dHTML (Versions, encodages,)

    3. Techniques de dtection (signatures, techniques de normalisation du trafic, )

    4. Techniques de protection (brute force, cookies, sessions, )

    5. Journalisation (intgration NSM, type de logs, gestion des donnes sensibles, )

    6. Rapports (types de rapports, distribution, format, )

    7. Administration (politiques, logs, )

    8. Performance (nb de connexions/s, latences, )

    9. Support XML (WS-i intgration, validation XML/RPC, )

  • 2009 - S.Gioria & OWASP

    Agenda

    LOWASP

    Web Application Firewalls (WAF)

    Choisir son WAF

    WAF Mythes et ralits

    WAF mode demploi

    Et aprs ?

  • 2009 - S.Gioria & OWASP

    Ralits du WAF

    Patcher virtuellement les problmesPlus ou moins efficace suivant la mthode employe (positive, ngative)

    Cacher tout ou partie de linfrastructure En mode reverse proxy

    Analyseur de trafic HTTP/HTTPS/XML puissantGrace ses fonctions de normalisation et son reporting

  • 2009 - S.Gioria & OWASP

    Mythes du WAF

    Cest un nouvel lment dinfrastructure

    Couts supplmentaires, intgrer en PCA,

    Comptence supplmentaire

    Source de problmes rcurrents :

    Modle positif : chaque modification de lapplicatif

    Modle ngatif : dpendant des mises a jours.

    Complexifie le debug

    Ce nest pas la solution!

    Il laisse passer des failles (Session Hijacking, lvation de privilges, HTTP response splitting, )

    Il nest pas (encore) obligatoire en PCI-DSS !

  • 2009 - S.Gioria & OWASP

    Agenda

    LOWASP

    Web Application Firewalls (WAF)

    Choisir son WAF

    WAF Mythes et ralits

    WAF mode demploi

    Et aprs ?

  • 2009 - S.Gioria & OWASP

    WAF En ai-je besoin ?

  • 2009 - S.Gioria & OWASP

    WAF Mise en place

    Choisir le type (centralis, dcentralis, performances, ) => Projet WAFEC

    Mettre en place lorganisation

    Dsigner (au minimum) un WAF operation manager en lien avec les quipes infrastructures et dveloppement.

    Rle technico-MOA

    Mettre en place la protection minimale

    XSS, Blind-SQLi,

    Dfinir les priorits des applications protger

    Itrer depuis du traage de toutes les requtes la protection optimale pour chacune des applications (peut se drouler sur un trs long terme.)

  • 2009 - S.Gioria & OWASP

    WAF OWASP Top10 Mise en Place

    Top10 WAF Commentaire Charge de mise en place

    A1 (XSS) Ne voit pas les XSS persistants (pas de filtres en sortie)Bloque la majorit des attaques en fonction du moteur de canonisation

    Moyenne

    A2 (Injection