Les utilités d'un coupe-feu applicatif Web

Transcription

1 Les utilités d'un coupe-feu applicatif Web Jonathan Marcil OWASP Montréal Canada #ASFWS Application Security Forum Western Switzerland 7-8 novembre Y-Parc / Yverdon-les-Bains

2 2 WAF Web Application Firewall

3 3 Coupe-feu? IP/TCP IP/UDP IDS IPS

4 4 Implémentations Routeur (Router) Pont (Bridge) Serveur mandataire (Reverse Proxy) Incorporé (Embedded)

5 5 Routeur (Router) Point de défaillance unique Problèmes de performances

6 6 Serveur mandataire (Reverse Proxy) Serveurs Web ne supportant pas de module Moyens limités Incorporé (Embedded) SSL facile Performance distribuée

7 7 Modes de fonctionnements Surveillance Alertes Anomalies Protection Bloquer les attaques Corrections virtuelles (Virtual Patching)

8 8 Philosophies Boîte noire et espérance À conseiller pour surveillance Boîte blanche et personnalisation À conseiller pour protection

9 9 Types de règles Surveillance (watchlist) Liste blanche (whitelist) Liste noire (blacklist) Exceptions surveillées (bypass) À ignorer (ignorelist) Expérience utilisateur (UX)

10 10 Alertes et rapports Importance pour la sécurité Importance pour la fonctionnalité Console centrale vs. journaux

11 11 Méthodologie de développement de règles Focus sur liste noire Audit d applications ou collectes des failles connues Création des règles pour corriger les failles Tests en mode surveillance Vérification des alertes Pour ne pas impacter la production Passage en mode protection Suivis Des alertes pour suivre les changements imprévus la production et les attaques Des changements pour mises à jour itératives des règles

12 12 Méthodologie de développement de règles Focus sur liste blanche Collection et analyse trafic légitime Création des règles À partir du trafic (profil des applications) Tests en mode surveillance Vérification des alertes Pour ne pas impacter la production Passage en mode protection Suivis Des alertes pour suivre les changements imprévus la production, les anomalies et attaques Des changements pour mises à jour itératives des règles

13 13 Conclusions Autres utilités que la sécurité Fonctionnalités (UX) Détection d anomalies (QA) Traces en profondeur (DEBUG) Attention au contournement des règles Corriger vos applications si possible

14 14 Démonstration Questions?

15 15 Bonus WAF Testing Framework par Imperva Gratuit Disponible fin 2012 Utilise WebGoat Code fermé (sera ouvert un jour) mais configurations ouvertes XML

16 16 Bonus ReDoS MSC_PCRE_LIMITS_EXCEEDED: PCRE match limits were exceeded. SecRule TX:/^MSC_/ 0" "id:'200004',phase:2,t:none,deny,msg:' ModSecurity internal error flagged: %{MATCHED_VAR_NAME} "

17 17 Bonus Some Ivan Ristic bypass in a nutshell <Location /myapp/admin.php> # Allow only numbers in userid SecRule ARGS:userid "!^\d+$«</location> /myapp/admin.php/xyz?userid=1payload /myapp/admin.php;param=value?userid=1payload SecRule REQUEST_FILENAME "@streq /myapp/admin.php" Short names Apache running on Windows Multipart Evasion ModSecurity CRS: Content-Type: multipart/; boundary=0000

18 18 Merci/Thank you! Slides:

19 19 Références OWASP Best Practices: Use of Web Application Firewalls lication_firewalls OWASP ModSecurity Core Rule Set Project ect Web Application Firewall Evaluation Criteria Version ModSecurity Reference Manual