OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010
Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang mit diesen Problemen und was eine WAF dazu beitragen kann OpenWAF (Architektur, Deployment, Konfiguration) Praxis: s/badstore/goodstore/ Fragen? 16.04.11 Thinking Objects GmbH 2
Webanwendung? Eine Webanwendung oder Webapplikation ist ein Computer-Programm, das auf einem Webserver ausgeführt wird, wobei eine Interaktion mit dem Benutzer über einen Webbrowser erfolgen kann. (Wikipedia) 16.04.11 Thinking Objects GmbH 3
Die Welt ist böse... 3000-4000 Schwachstellen in Webapplikationen werden pro Jahr veröffentlicht Nur öffentlich verfügbare Softwarepakete (Spitze des Eisbergs) Darüber hinaus modifizierte Versionen selbst entwickelte Software 16.04.11 Thinking Objects GmbH 4
Die Welt ist böse... 16.04.11 Thinking Objects GmbH 5
Ursachen Firewalls und sichere Grundeinstellungen haben die Angriffsfläche von Servern verkleinert Entwicklung des Web 2.0 : Komplexe Anwendungen mit reichhaltigen Interaktionsmöglichkeiten Wiederholung bekannter Fehler Blindes Vertrauen in Eingabedaten Gefährliche Werkzeuge Unzureichende Ausbildung und fehlendes Sicherheitsbewusstsein Interessante Gewinne für Angreifer 16.04.11 Thinking Objects GmbH 6
Das Ergebnis Rule 14: Do not argue with trolls it means that they win (Encyclopaedia Dramatica) 16.04.11 Thinking Objects GmbH 7
OWASP Open Web Application Security Project Industrieunabhängige Stiftung Stellt Werkzeuge, Methoden, Anleitungen, etc. zum Thema Applikationssicherheit frei zur Verfügung Stellt im Abstand von ca. 3 Jahren eine Liste mit den größten Risiken für Webapplikationen zusammen: OWASP Top 10 16.04.11 Thinking Objects GmbH 8
OWASP TOP 10 (2010) A1: Injection A2: Cross-Site Scripting (XSS) A3: Broken Authentication and Session Management A4: Insecure Direct Object References A5: Cross-Site Request Forgery (CSRF) 16.04.11 Thinking Objects GmbH 9 A6: Security Misconfiguration A7: Insecure Cryptographic Storage A8: Failure to Restrict URL Access A9: Insufficient Transport Layer Protection A10: Unvalidated Redirects and Forwards
SQL Injection und XSS Demo Exploits of a Mom http://xkcd.com/327 16.04.11 Thinking Objects GmbH 10
Was tun? Sicherheit Teil von Design, Entwicklung und Betrieb werden lassen Oft nicht möglich oder sinnvoll, weil: Kein Source (Momentan) keine Produktalternative Designer/Entwickler unzureichend qualifiziert Änderungen zu aufwändig/zu teuer Vulnerability/Patch Cycle ist problematisch Also: WAF einsetzen 16.04.11 Thinking Objects GmbH 11
Web Application Firewall Eine Web Application Firewall ist eine Appliance oder ein Server Plugin, mit dessen Hilfe Regeln auf die HTTP Kommunikation zwischen Client und Server angewendet werden. (Wikipedia) Tiefes Protokollverständnis Regeln schützen vor Klassen von Verwundbarkeiten, nicht nur vor einzelnen Exploits (im Unterschied zu einem IPS) Möglichkeit eine laufende Applikation zu patchen 16.04.11 Thinking Objects GmbH 12
WAF Deployment generell Webserver Modul Nutzt Requestverarbeitung/Resourcen des Webservers Netzwerkarchitektur (LB, SSL Accel) bleibt unverändert Reverseproxy (Appliance) Unabhängig von der Software des geschützten Webservers SSL muss auf Reverseproxy terminiert werden Appliance oft mit weiteren Features wie Caching, Loadbalancer, Virenscanner, SSL-Accelerator, XML Firewall,... 16.04.11 Thinking Objects GmbH 13
Positives/negatives Sicherheitsmodell Negatives Sicherheitsmodell (Blacklist) Was nicht ausdrücklich unerwünscht ist, wird weitergeleitet Rasches Deployment: False Positives beobachten, Ausnahmen erstellen, scharf schalten Positives Sicherheitsmodell (Whitelist) Was nicht ausdrücklich erlaubt wurde, wird abgelehnt Erstellung der Regeln u.u. aufwendig, muss bei neuer Release in Teilen oder ganz wiederholt werden. Einige Produkte haben Lernmodus 16.04.11 Thinking Objects GmbH 14
OSS WAFs mod_security Ironbee Regelengine, existiert seit ewigen Zeiten Core Rule Set bei OWASP oder kommerzieller Support Entwicklung gerade gestartet, abwarten OpenWAF Hat als closed Source Enterprise Grade WAF begonnen (Hyperguard) Mit eingeschränkter Funktionalität frei, wird Open Source Software 16.04.11 Thinking Objects GmbH 15
OpenWAF Wesentliche Komponenten: Webserver Modul (Enforcer) (C) Regelmaschine (Decider) (Python) Adminstration (Python, J ava GWT) Freie Version: Apache Enforcer Single Core Clusterfähig Ideal für kleine Deployments 16.04.11 Thinking Objects GmbH 16
OpenWAF Installation Pakete für alle wichtigen Betriebssysteme/Distros Initiale Installation sehr einfach: Paket installieren Admin Interface ggf. extern erreichbar machen Updates ziehen Site/Hosts einrichten Baseline Protection Wizzard laufen lassen Professioneller Support und weitere Features können bei Bedarf zugekauft werden 16.04.11 Thinking Objects GmbH 17
OpenWAF + BadStore = GoodStore? 16.04.11 Thinking Objects GmbH 18
Fragen? 16.04.11 Thinking Objects GmbH 19
Kontakt Bei Fragen stehen wir gern zur Verfügung: Thinking Objects GmbH Lilienthalstraße 2/1 70825 Korntal/Stuttgart Tel. +49 711 88770400 Fax +49 711 88770449 info@to.com www.to.com 16.04.11 Thinking Objects GmbH 20