A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

Apresentações semelhantes


Apresentação em tema: "Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP."— Transcrição da apresentação:

1 Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation OWASP ModSecurity: Firewall OpenSource para Aplicações Web (WAF) Klaubert Herr da Silveira Consultor em segurança 30/10/2009

2 OWASP Agenda 1.Firewall de Aplicação Web (WAF); 2.ModSecurity; 3.Console do ModSecurity; 4.Implantação do ModSecurity;

3 OWASP Firewall de Aplicação Web (WAF) Firewall (camada 7) especializado em aplicações Web; Conhecem os protocolos da Web: HTTP/S (Header, Cookies), HTML (POST, GET, Upload), XML, SOAP, entre outros; Efetivo mesmo com criptografia (SSL); Ciente de sessão; Implementados como software ou appliance; Detecção e Bloqueio a ataques;

4 OWASP Elementos de segurança para Web FirewallIPSWAF Controle de acessoAlgumAlgumSim Detecção de protocolo HTTPAlgumSimSim Bloqueio de DoS (sob HTTP)AlgumAlgumAlgum Identificação de ataques WebNãoAlgumSim Detecta ataques em sessão HTTP (múltiplas requisições)NãoNãoSim Suporte a tráfego criptografado (SSL)NãoNãoSim Monitoração de erros do servidor webNãoNãoSim Transcrição das sessões http(s)NãoAlgumSim

5 OWASP Por que usar um WAF? Bloqueio de ataques conhecidos; Sites web: foco de ataques direto e indireto; Correções rápidas/emergenciais; Controle de mensagens de erro; Controle customizável, por URL; Log de ataques e de erros; Monitoração de segurança; PCI DSS 1.2 – requisito 6.6;

6 OWASP PCI DSS Verifique se um firewall de aplicativos da Web está implementado diante dos aplicativos da Web voltados ao público para detectar e impedir ataques baseados na Web. 6.6 Verifique se um firewall de aplicativos da Web está implementado diante dos aplicativos da Web voltados ao público para detectar e impedir ataques baseados na Web.

7 OWASP Lembre-se Um Firewall de Aplicação Web (WAF) é mais uma camada de segurança, ele não é garantia de segurança para as aplicações. 1.Design seguro; 2.Codificação segura; 3.Revisão do código; 4.Análise de vulnerabilidade; 5.Firewall de aplicação Web;

8 OWASP WAF e o desenvolvedor web Permite ao desenvolvedor ver o erro da aplicação como o usuário recebeu; Facilita a detecção de erros na aplicação; Permite a criação de correções emergenciais; Facilita a interação com a equipe de segurança;

9 OWASP ModSecurity Firewall Open Source para Aplicações Web Módulo do Apache (*nix ou Windows); Diversos (e crescentes) recursos; Muito flexível; Conjunto de regras (Core Rules: um projeto OWASP desde de Agosto/09); Criado por Ivan Ristic, e agora pela Breach Security; Licenciamento duplo: GPL e comercial;

10 OWASP Características do ModSecurity Módulo para Apache – Embutido; – Proxy Reverso; Modos: apenas detecção ou bloqueio; Inspeciona o cabeçalho e corpo da requisição; Inspeciona o cabeçalho e corpo da resposta; Redução do vazamento de informação; Definição de regras bastante completa/complexa, usando RegExp e Aho- Corasick;

11 OWASP Características do ModSecurity (cont.) Controle com GeoIP e RBL; Normalização, decodificação; Extensível: execução de scripts LUA internamente ou scripts externos; Log completo do tráfego (incluindo POST); Pode inspecionar uploads (anti-vírus); Alterar a resposta (Append/Prepend); Validação de XML; Ataques podem ser bloqueados, redirecionados, logados etc;

12 OWASP ModSecurity Core Rule Set (CRS) 460 regras (09/2009); Otimizadas para performance; Testes com tráfego real para garantir qualidade; Detecção genérica de ataques: – Melhor performance; – Menos updates; Plug and play: – Alguns ajustes poderão ser necessários;

13 OWASP ModSecurity Core Rule Set (CRS) Categorias Conformidade de protocolos: – Validação de requisições HTTP (RFC); – Anomalias do protocolo HTTP; – Restrições globais; – Política de uso; Detecção de ataques: – Detecção de ataques genéricos; – Detecção de Trojans e Backdoors; Outras: – Detecção de erros; – Proteção de XML;

14 OWASP Fases de Processamento 1.Request headers; 2.Request body; 3.Response headers; 4.Response body; 5.Logging;

15 OWASP Fases de Processamento 1.Request headers; 2.Request body; 3.Response headers; 4.Response body; 5.Logging; POST /app/?id=123&pref=none HTTP/1.1 Host: User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv: ) Gecko/ Firefox/3.5.3 GTB5 FirePHP/0.3 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: pt-br,pt;q=0.8,en-us;q=0.5,en;q=0.3 Accept-Encoding: gzip,deflate Accept-Charset: ISO ,utf-8;q=0.7,*;q=0.7 Cookie: NID=27=OBP_7aEMkW_20_VG3kk4P Keep-Alive: 300 Connection: keep-alive 1.REQUEST_COOKIES 2.REQUEST_FILENAME 3.REQUEST_HEADERS 1.QUERY_STRING 2.REQUEST_PROTOCOL 3.REQUEST_METHOD

16 OWASP Fases de Processamento 2.Request body; count=1&req0_type=i&req0_time=754341&req0_evtype=click&req0__sc=c 1.REQUEST_BODY 2.FILES_TMPNAMES

17 OWASP Fases de Processamento 3.Response headers; HTTP/ OK Cache-control: must-revalidate Content-Length: 6589 Connection: close Content-Type: text/html;charset=utf-8 1.RESPONSE_HEADERS 2.RESPONSE_STATUS 3.RESPONSE_CONTENT_LENGTH

18 OWASP Fases de Processamento 4.Response body; Test App... 1.RESPONSE_BODY

19 OWASP Fases de Processamento 5.Logging Message: Warning. Pattern match "^[\d\.]+$" at REQUEST_HEADERS:Host. [file "/etc/httpd/modsecurity.d/modsecurity_crs_21_protocol_anomalies.conf"] [line "60"] [id "960017"] [msg "Host header is a numeric IP address"] [severity "CRITICAL"] [tag "PROTOCOL_VIOLATION/IP_HOST"] Apache-Handler: mod_python Stopwatch: ( ) Response-Body-Transformed: Dechunked Producer: ModSecurity for Apache/2.5.7 (http://www.modsecurity.org/); core ruleset/ Server: Apache/2.2.3 (Red Hat)

20 OWASP Implantando o ModSecurity Modo Embutido (local); Baseado em rede (proxy reverso);

21 OWASP Implantando o ModSecurity: Modo Embutido (Local) Somente para Apache (até o momento); Instalado no próprio servidor web; Sem mudança na topologia de rede; Escalabilidade herdada do servidor web; Gerencia de segurança e do servidor web compartilhada;

22 OWASP Implantando o ModSecurity: Baseado em rede (proxy reverso); Apache como Proxy Reverso; Qualquer servidor web pode ser um backend; Pode abranger vários servidores; Vira o front-end para o(s) site(s), alterando a topologia da rede; Necessita de solução de alta-disponibilidade e/ou escalabilidade própria; Separa o gerenciamento de segurança do gerenciamento do servidor web;

23 OWASP ModSecurity: Modelos de segurança Modelo Positivo: – As regras definem o que pode ser requisitado/respondido; – As regras precisam ser escritas para cada aplicação; – A demais requisições são bloqueadas; – Ferramentas: Remo e mod_profiler Modelo Negativo: – Conjuntos genérico de regras, ex. XSS, SQL Injection, fora dos padrões etc, (ajustes podem ser necessário); – As demais requisições são permitidas;

24 OWASP ModSecurity: Modelos de segurança (cont.) Modelo Híbrido: – Aplica as regras para bloquear os ataques conhecidos (modelo Negativo) para o site todo; – Cria regras específicas para cada aplicação (modelo Positivo);

25 OWASP Virtual Patching Definição de regras para impedir a exploração de uma vulnerabilidade conhecida, sem alteração da aplicação; Reduz o tempo de exposição; Permite corrigir falhas de segurança em aplicações escritas por terceiros; Não deve ser considerado como a solução para correção de vulnerabilidade;

26 OWASP Gerenciamento: ModSecurity Console ModSecurity Community Console, escrita pela Breach Security; Grátis para até 3 sensores; Código fechado; Centraliza os eventos; Simples e funcional para a monitoração dos eventos; Pouco escalável; Desenvolvimento parado a 1 ano, sem planos para melhorias;

27 OWASP Gerenciamento: WAFFLE Console OpenSource em desenvolvimento; Deve atender a todas as funcionalidades existentes na ModSecurity Community Console; Significativo ganho de performance; Sem limite para sensores; Desenvolvimento em pleno curso; Contribuições serão muito bem-vindas; Liberação do código inicial em breve, checar: Mailing-list do ModSecurity

28 OWASP Demonstração

29 OWASP Entendendo os eventos

30 OWASP Entendendo os eventos

31 OWASP Falso positivos Regras que são disparadas indevidamente, o evento parece um ataque, mas não é; Podem ser muito ruidosos no início de uma implantação; Devem ser analisados, e as regras ajustadas para eliminá-los;

32 OWASP Ajuste fino das regras Desabilitar regras; Desabilitar regras para específicos Alterar/Corrigir a aplicação; Ajustar partes de uma regra: – Cookies;- Headers; – POST;- Response Body; SecRuleRemoveById SecRuleRemoveById SecRuleRemoveById

33 OWASP Performance Inspecionar as respostas (SecResponseBodyAccess) pode afetar a performance; Inspecione somente as requisições relevantes (ex. conteúdo dinâmico, html, xml, txt); Não inspecione conteúdo estático; A quantidade de regras influencia a performance: Desative regras desnecessárias; Habilite o mod_cache;

34 OWASP Customização Crie suas próprias regras; Modifique as regras existentes; Intercepte e customize as páginas de erro; Use a criatividade;

35 OWASP Cuidados e fatores de sucesso na implantação do ModSecurity Iniciar o uso no modo de monitoração: Ativar o bloqueio aplicação a aplicação; Tamanho das respostas; Deixar passar o que exceder; Elimine os falso positivos, eles podem ser muito intensivos em: – I/O – Espaço em disco; SecRuleEngine DetectionOnly SecResponseBodyLimit SecResponseBodyLimitAction = ProcessPartial

36 OWASP Palavas finais Explique aos demais envolvidos (gerentes, desenvolvedores, gestores das aplicações, service-desk) os benefícios e potenciais problemas na adoção de um WAF; Monitore; Dedique tempo para ajustar seu WAF; Dê um passo de cada vez; Acrescente mais uma camada de segurança à sua aplicação;

37 OWASP Resumo WAF são importantes ferramentas para melhorar a segurança de aplicações web; O uso de um WAF não garante segurança, ele precisa ser bem ajustado; O modsecurity é um WAF bastante poderoso e flexível; Suporta tráfego criptografado com SSL; Pode ser local como Proxy Reverso; 460 regras genéricas pré-definidas;

38 OWASP Perguntas


Carregar ppt "Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP."

Apresentações semelhantes


Anúncios Google