Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009

Ähnliche Dokumente
Web Application {Security, Firewall}

Was eine WAF (nicht) kann. Ausgabe 2013

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

Reporting Services und SharePoint 2010 Teil 1

Anleitung zur Nutzung des SharePort Utility

OP-LOG

Session Management und Cookies

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln,

Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank

Firewalls für Lexware Info Service konfigurieren

Firewalls für Lexware Info Service konfigurieren

Anbindung des eibport an das Internet

Zugriff auf OWA Auf OWA kann über folgende URLs zugegriffen werden:

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Erfahrungen mit Hartz IV- Empfängern

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx

Kombinierte Attacke auf Mobile Geräte

Glaube an die Existenz von Regeln für Vergleiche und Kenntnis der Regeln

Manual Online-Reservation (Sup-Tool) für ASVZ-Teilnahmeberechtigte

Was meinen die Leute eigentlich mit: Grexit?

Kleines Handbuch zur Fotogalerie der Pixel AG

PHP - Projekt Personalverwaltung. Erstellt von James Schüpbach

Öffnen Sie den Internet-Browser Ihrer Wahl. Unabhängig von der eingestellten Startseite erscheint die folgende Seite in Ihrem Browserfenster:

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx

Version Deutsch In diesem HOWTO wird beschrieben wie Sie Ihr vorhandenes PMS-System mit der IAC-BOX verbinden und konfigurieren.

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

Proxy. Krishna Tateneni Übersetzer: Stefan Winter

Studieren- Erklärungen und Tipps

-Virtuelle Jagdfliegerschule- Teamspeak Seite 1 von 6

Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung

ANLEITUNG PREMIUM-PROFIL

1 von :04

Das Leitbild vom Verein WIR

Senioren helfen Junioren

Das Persönliche Budget in verständlicher Sprache

Dieser Artikel beschreibt die Veröffentlichung eines Microsoft SQL Server 2000 über einen ISA Server 2004.

Professionelle Seminare im Bereich MS-Office

Erstellen einer Collage. Zuerst ein leeres Dokument erzeugen, auf dem alle anderen Bilder zusammengefügt werden sollen (über [Datei] > [Neu])

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

Microsoft Update Windows Update

COMPUTER MULTIMEDIA SERVICE

Geld Verdienen im Internet leicht gemacht

HTBVIEWER INBETRIEBNAHME

Guide DynDNS und Portforwarding

WEBAPPLIKATIONEN MIT PHP. Wo gibt es Hilfe? Wie fang ich an?

Web-Kürzel. Krishna Tateneni Yves Arrouye Deutsche Übersetzung: Stefan Winter

Infinigate (Schweiz) AG. Secure Guest Access. - Handout -

ISA Server 2004 Erstellen einer Webverkettung (Proxy-Chain) - Von Marc Grote

Kurzanleitung zur Softwareverteilung von BitDefender Produkten...2

Scharl 2010 Dokument ist Urheberrechtlich geschützt. Port Forwarding via PuTTY und SSH. Was ist Port forwarding?

Infection Proxy?! dafuuq?!

Protect 7 Anti-Malware Service. Dokumentation

NTR-Support Die neue Fernwartung

Standard-Kontaktformular

Anlegen eines virtuellen http Server unter Exchange 2003 mittels HOSTNAME

Umgang mit der Software ebuddy Ändern von IP Adresse, Firmware und erstellen von Backups von ewon Geräten.

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

FAQ s für die Exchange Migration

Windows 10 > Fragen über Fragen

Mehr Geld verdienen! Lesen Sie... Peter von Karst. Ihre Leseprobe. der schlüssel zum leben. So gehen Sie konkret vor!

Technische Analyse der Zukunft

Wo finde ich die Software? - Jedem ProLiant Server liegt eine Management CD bei. - Über die Internetseite

Hosted Exchange. Konfigurationsanleitung Outlook 2007

TimeMachine. Time CGI. Version 1.5. Stand Dokument: time.odt. Berger EDV Service Tulbeckstr München

BusinessMail X.400 Webinterface Gruppenadministrator V2.6

Fotostammtisch-Schaumburg

UserManual. Handbuch zur Konfiguration einer FRITZ!Box. Autor: Version: Hansruedi Steiner 2.0, November 2014

Was man mit dem Computer alles machen kann

End User Manual für SPAM Firewall

Der Kalender im ipad

Step by Step Webserver unter Windows Server von Christian Bartl

Sehr geehrter Herr Pfarrer, sehr geehrte pastorale Mitarbeiterin, sehr geehrter pastoraler Mitarbeiter!

Dieses HowTo darf nicht vervielfältigt oder veröffentlich werden ohne Einverständnis des Erstellers. Alle Angaben ohne Gewähr.

Diese Ansicht erhalten Sie nach der erfolgreichen Anmeldung bei Wordpress.

Switching. Übung 7 Spanning Tree. 7.1 Szenario

Live Update (Auto Update)

Menü auf zwei Module verteilt (Joomla 3.4.0)

FORGE2015 HDC Session 4. Nachhaltige Infrastruktur als technologische Herausforderung. Tibor Kálmán Tim Hasler Sven Bingert

Eine eigene Seite auf Facebook-Fanseiten einbinden und mit einem Tab verbinden.

Anleitung zur Inbetriebnahme einer FHZ2000 mit der homeputer CL-Software

Webmail Login mit nicht IE Browsern INDEX

mit ssh auf Router connecten

Arbeitshilfe "Tipps für Gespräche mit Vorgesetzten und KollegInnen" Was gilt für mich?

Schüler und Lehrer. Teil 1: Was ist Erleuchtung? von Anssi Antila

ISA Server 2004 Einzelner Netzwerkadapater

PowerPoint vertonen. by H.Schönbauer 1

30 Jahre cobra freuen Sie sich mit uns!

pro4controlling - Whitepaper [DEU] Whitepaper zur CfMD-Lösung pro4controlling Seite 1 von 9

Hohe Kontraste zwischen Himmel und Landschaft abmildern

Lexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver

Wie oft soll ich essen?

Java Script für die Nutzung unseres Online-Bestellsystems

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit

THEMA: "SAS STORED PROCESSES - SCHNELL GEZAUBERT" HELENE SCHMITZ

Wir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen. Wir bringen Qualität. Wir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen

Flucht der Bank-Azubis? Zusammenfassung Schulabgänger Feb 2015

Transkript:

Was eine WAF (nicht) kann Mirko Dziadzka OWASP Stammtisch München 24.11.2009

Inhalt Meine (subjektive) Meinung was eine WAF können sollte und was nicht Offen für andere Meinungen und Diskussion Disclaimer: Ich arbeite für einen WAF Hersteller Ich gebe hier meine Meinung wieder

Wer bin ich? Studium Mathe/Informatik 93-2003 Vorlesungen Unix und Security Unix-lastiger Techniker Seit 10 Jahren im Umfeld Beratung - Entwicklung - Betrieb Security - Scalability

Was ist eine WAF? OWASP: eine Schutzlösung auf Webanwendungsebene, die technisch nicht von der Anwendung selbst abhängig ist. Eine Komponente, die den Datenverkehr zwischen Browser und Webapplikation untersucht, ggf. ändert oder blockiert. Unabhängig von der Applikation Kein B2B SOAP Filter

Funktionalitäten Request-Filterung Blacklist - Bekannte Angriffe (ähnlich einem Virenscanner) Whitelist - was ist ungefährlich Allgemein Applikations-spezifisch

Funktionalitäten Response Filterung Data Leakage (keine KK-Nummern) Fehlermeldungen (Stackdump, SQL Error Meldungen) Nachträgliches erkennen von Angriffen oder Angriffsversuchen Malware Detection

Funktionalitäten Sessions Sichere Session zw. Browser und WAF Setzt mehrere Requests in Verbindung Bestimmung gültiger Daten auto-whitelist URLs, Formularfelder, Cookies,...

Funktionalitäten Authentisierung, Autorisierung von Benutzern zentrale Authentisierung, SSO Applikationsunabhängig von IP Addressen

Funktionalitäten Normalisierung der HTTP Requests IMHO: Nein, WAF soll Entscheidungen fällen und nicht kaputtes HTTP eines Clients reparieren Aber: Sinnvoll, damit WAF und Applikation dieselbe Sicht auf die Daten haben (zum Beispiel bei der Interpretation von Multipart-Mime Headern)

Warum braucht es eine WAF? Das kann man doch alles in der Applikation lösen? Ja, aber. Applikation nicht änderbar, hot patching, PCI compliance, Zweites Sicherheitsnetz Neue Funktionalität

Administration Ziele: Einfachheit und Nachvollziehbarkeit Versionierung des Regelwerks, Rollback, Audit-Log (Nachvollziehbarkeit) Optional: Granulares User und Rechtekonzept Optional: Clustermanagement Logview, Statistiken, Reports, Alerting,...

Regelwerkerstellung Mitgelieferte Blacklists a.k.a. Grundschutz Hilfe bei der Erstellung von Whitelists passend zu den Applikationen Einstellung anderer Funktionalitäten: Cookie Protection, Formular Protection,... Regelwerk testen (wie mache ich das?)

Deployment Mode: Detection, Blocking, Modifying Je nach Anforderung sind andere Szenarien denkbar, grade im Zusammenhang mit SSL! Reverse Proxy: terminiert TCP + SSL Transparente Bridge: Kann evt. in SSL reinschauen, aber nicht modifizieren

Deployment Softwareplugin im Webserver Softwareplugin in der Servlet-Engine Plugin in Firewall, Load-Balancer,... WAF in der Cloud?

Probleme Encoding / Charset Der Browser deklariert nicht(!) in welchem Zeichensatz die reinkommenden Bytes zu interpretieren sind, der Web-App und die WAF müssen raten. Die WAF muss an die Applikation angepasst werden.

Probleme Interpretation von Standards Multipart-Mime (siehe Beispiel) Web ist von Anfang an schwammig definiert, die Parser für HTTP sind programming by example. Es gibt eine Teilmenge des Standards, die von allen gleich verstanden wird.

Probleme AJAX / Web 2.0 Das klassische Request-Response Modell gibt es nicht mehr. URL-Encryption, Formfield Protection, etc. müssen pro Applikation angepasst werden. Code wird dynamisch generiert.

Probleme Die WAF braucht ein Modell der Applikation Applikationen können WAF und WAF-Admin freundlich sein oder nicht korrektes HTML Variablennamen, die etwas aussagen und konsistenz über die ganze Applikation sind URLs die unterscheidbar sind vs. index.php

Probleme Das Thema Performance hängt immer vom Regelwerk mit ab. Eine WAF ist kein Ein Klick und ich bin sicher Gerät, die Konfiguration ist deutlich komplexer als die einer klassischen Firewall.

Performance Traue keiner Statistik... Mbit/sec ist nicht sehr aussagekräftig, Request/sec ist schon besser. Aber was für Requests? GET / HTTP/1.0. Und welches Regelwerk? Muss die WAF nur den Request oder auch den Response parsen? HTML verstehen?

Performance WAF Hersteller brauchen Standardisierte Benchmarks! OWASP Projekt??? Was messen? Anzahl gleichzeitiger Benutzer bei definiertem Antwortverhalten. Req/seq vs. Latenz

Performance Selber messen! Je nach Deployment, braucht man andere Werte. Wie kann ich skalieren wenn meine App um den Faktor 10 mehr Benutzer bekommt? Faktor 100?

Aktuelle Vorfälle libri.de 29.10.2009 http://www.heise.de/security/meldung/ Libri-laesst-Kundenrechnungen-offen-im- Netz-liegen-845001.html Sparkassenverlag 3.11.2009 http://www.heise.de/newsticker/meldung/ Zugriff-auf-Rechnungen-im-Sparkassen- Shop-moeglich-Update-848538.html

Auswahlkriterien WAF Welches Ziel will ich erreichen? Wie dynamisch ist meine Applikation Welche Architektur will ich? RP vs. Plugin Welche Betriebsprozesse muss ich beachten Welche Ressourcen habe ich

Fragen?

Links http://www.owasp.org/index.php/ Best_Practices:_Einsatz_von_Web_Applicatio n_firewalls http://www.suspekt.org/downloads/poc2009- ShockingNewsInPHPExploitation.pdf http://mirko.dziadzka.de/

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback