OpenWAF Web Application Firewall

Transkript

1 OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa,

2 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang mit diesen Problemen und was eine WAF dazu beitragen kann OpenWAF (Architektur, Deployment, Konfiguration) Praxis: s/badstore/goodstore/ Fragen? Thinking Objects GmbH 2

3 Webanwendung? Eine Webanwendung oder Webapplikation ist ein Computer-Programm, das auf einem Webserver ausgeführt wird, wobei eine Interaktion mit dem Benutzer über einen Webbrowser erfolgen kann. (Wikipedia) Thinking Objects GmbH 3

4 Die Welt ist böse Schwachstellen in Webapplikationen werden pro Jahr veröffentlicht Nur öffentlich verfügbare Softwarepakete (Spitze des Eisbergs) Darüber hinaus modifizierte Versionen selbst entwickelte Software Thinking Objects GmbH 4

5 Die Welt ist böse Thinking Objects GmbH 5

6 Ursachen Firewalls und sichere Grundeinstellungen haben die Angriffsfläche von Servern verkleinert Entwicklung des Web 2.0 : Komplexe Anwendungen mit reichhaltigen Interaktionsmöglichkeiten Wiederholung bekannter Fehler Blindes Vertrauen in Eingabedaten Gefährliche Werkzeuge Unzureichende Ausbildung und fehlendes Sicherheitsbewusstsein Interessante Gewinne für Angreifer Thinking Objects GmbH 6

7 Das Ergebnis Rule 14: Do not argue with trolls it means that they win (Encyclopaedia Dramatica) Thinking Objects GmbH 7

8 OWASP Open Web Application Security Project Industrieunabhängige Stiftung Stellt Werkzeuge, Methoden, Anleitungen, etc. zum Thema Applikationssicherheit frei zur Verfügung Stellt im Abstand von ca. 3 Jahren eine Liste mit den größten Risiken für Webapplikationen zusammen: OWASP Top Thinking Objects GmbH 8

9 OWASP TOP 10 (2010) A1: Injection A2: Cross-Site Scripting (XSS) A3: Broken Authentication and Session Management A4: Insecure Direct Object References A5: Cross-Site Request Forgery (CSRF) Thinking Objects GmbH 9 A6: Security Misconfiguration A7: Insecure Cryptographic Storage A8: Failure to Restrict URL Access A9: Insufficient Transport Layer Protection A10: Unvalidated Redirects and Forwards

10 SQL Injection und XSS Demo Exploits of a Mom Thinking Objects GmbH 10

11 Was tun? Sicherheit Teil von Design, Entwicklung und Betrieb werden lassen Oft nicht möglich oder sinnvoll, weil: Kein Source (Momentan) keine Produktalternative Designer/Entwickler unzureichend qualifiziert Änderungen zu aufwändig/zu teuer Vulnerability/Patch Cycle ist problematisch Also: WAF einsetzen Thinking Objects GmbH 11

12 Web Application Firewall Eine Web Application Firewall ist eine Appliance oder ein Server Plugin, mit dessen Hilfe Regeln auf die HTTP Kommunikation zwischen Client und Server angewendet werden. (Wikipedia) Tiefes Protokollverständnis Regeln schützen vor Klassen von Verwundbarkeiten, nicht nur vor einzelnen Exploits (im Unterschied zu einem IPS) Möglichkeit eine laufende Applikation zu patchen Thinking Objects GmbH 12

13 WAF Deployment generell Webserver Modul Nutzt Requestverarbeitung/Resourcen des Webservers Netzwerkarchitektur (LB, SSL Accel) bleibt unverändert Reverseproxy (Appliance) Unabhängig von der Software des geschützten Webservers SSL muss auf Reverseproxy terminiert werden Appliance oft mit weiteren Features wie Caching, Loadbalancer, Virenscanner, SSL-Accelerator, XML Firewall, Thinking Objects GmbH 13

14 Positives/negatives Sicherheitsmodell Negatives Sicherheitsmodell (Blacklist) Was nicht ausdrücklich unerwünscht ist, wird weitergeleitet Rasches Deployment: False Positives beobachten, Ausnahmen erstellen, scharf schalten Positives Sicherheitsmodell (Whitelist) Was nicht ausdrücklich erlaubt wurde, wird abgelehnt Erstellung der Regeln u.u. aufwendig, muss bei neuer Release in Teilen oder ganz wiederholt werden. Einige Produkte haben Lernmodus Thinking Objects GmbH 14

15 OSS WAFs mod_security Ironbee Regelengine, existiert seit ewigen Zeiten Core Rule Set bei OWASP oder kommerzieller Support Entwicklung gerade gestartet, abwarten OpenWAF Hat als closed Source Enterprise Grade WAF begonnen (Hyperguard) Mit eingeschränkter Funktionalität frei, wird Open Source Software Thinking Objects GmbH 15

16 OpenWAF Wesentliche Komponenten: Webserver Modul (Enforcer) (C) Regelmaschine (Decider) (Python) Adminstration (Python, J ava GWT) Freie Version: Apache Enforcer Single Core Clusterfähig Ideal für kleine Deployments Thinking Objects GmbH 16

17 OpenWAF Installation Pakete für alle wichtigen Betriebssysteme/Distros Initiale Installation sehr einfach: Paket installieren Admin Interface ggf. extern erreichbar machen Updates ziehen Site/Hosts einrichten Baseline Protection Wizzard laufen lassen Professioneller Support und weitere Features können bei Bedarf zugekauft werden Thinking Objects GmbH 17

18 OpenWAF + BadStore = GoodStore? Thinking Objects GmbH 18

19 Fragen? Thinking Objects GmbH 19

20 Kontakt Bei Fragen stehen wir gern zur Verfügung: Thinking Objects GmbH Lilienthalstraße 2/ Korntal/Stuttgart Tel Fax Thinking Objects GmbH 20