Les utilités duncoupe-feu applicatif WebJonathan MarcilOWASP Montréal           #ASFWSCanada                  Application ...
2WAF Web Application Firewall
3Coupe-feu? IP/TCP IP/UDP IDS IPS
4Implémentations Routeur (Router)  Pont (Bridge) Serveur mandataire (Reverse Proxy) Incorporé (Embedded)
5Routeur (Router) Point de défaillance unique                        Problèmes de                        performances
6Serveur mandataire (Reverse Proxy)Serveurs Web nesupportant pas demoduleMoyens limités                 Incorporé (Embedde...
7Modes de fonctionnements Surveillance   Alertes   Anomalies Protection   Bloquer les attaques   Corrections virtuel...
8Philosophies Boîte noire et espérance   À conseiller pour surveillance Boîte blanche et personnalisation   À conseill...
9Types de règles Surveillance (watchlist) Liste blanche (whitelist) Liste noire (blacklist) Exceptions surveillées (by...
10Alertes et rapports Importance pour la sécurité Importance pour la fonctionnalité Console centrale vs. journaux
11Méthodologie dedéveloppement de règlesFocus sur liste noire      Audit d’applications ou collectes des failles connues ...
12Méthodologie dedéveloppement de règlesFocus sur liste blanche    Collection et analyse trafic légitime    Création des...
13Conclusions Autres utilités que la sécurité   Fonctionnalités (UX)   Détection d’anomalies (QA)   Traces en profonde...
14Démonstrationhttp://www.modsecurity.org/http://www.ironbee.com/http://jwall.org/web/audit/console/screenshots/eventview....
15Bonus WAF Testing Framework par Imperva   Gratuit   Disponible fin 2012   Utilise WebGoat   Code fermé (sera ouvert...
16Bonus     ReDoSMSC_PCRE_LIMITS_EXCEEDED:PCRE match limits were exceeded.SecRule TX:/^MSC_/ "!@streq 0" "id:200004,phase:...
17Bonus Some Ivan Ristic bypass in a nutshell <Location /myapp/admin.php>      # Allow only numbers in userid      SecRul...
18Merci/Thank you!Contact:  jonathan.marcil@owasp.org     @jonathanmarcil  http://blog.jonathanmarcil.ca  Slides:    http:...
19Références   OWASP Best Practices: Use of Web Application Firewalls    https://www.owasp.org/index.php/Category:OWASP_B...
Prochain SlideShare
Chargement dans…5
×

ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil

1 267 vues

Publié le

Vous hébergez des applications Web et votre défense se limite à un coupe-feu réseau. Cependant, une grande partie des attaques sont menées directement via le protocole HTTP et l’utilisation d’un coupe-feu traditionnel s’avère inutile.

Le coupe-feu applicatif Web (Web Application Firewall, WAF) se veut une solution à cette problématique. La présentation, basée sur mon expérience des dernières années, fait le point sur les diverses utilités de cette technologie :
Les choix d’implémentations. Les diverses modes de fonctionnements. L’importance et le choix des types de règles à implémenter. Rapports et collection des alertes. Méthodologie de développement de règles. Bonus: Contournement de règles et exceptions.

Le logiciel Open Source ModSecurity sera utilisé comme exemple ainsi que les règles OWASP CRS. D’autres règles conçues pour la présentation seront aussi présentées dans le but de démontrer une utilisation sur mesure du WAF.

0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 267
Sur SlideShare
0
Issues des intégrations
0
Intégrations
9
Actions
Partages
0
Téléchargements
44
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil

  1. 1. Les utilités duncoupe-feu applicatif WebJonathan MarcilOWASP Montréal #ASFWSCanada Application Security Forum - 2012 Western Switzerland 7-8 novembre 2012 - Y-Parc / Yverdon-les-Bains https://www.appsec-forum.ch
  2. 2. 2WAF Web Application Firewall
  3. 3. 3Coupe-feu? IP/TCP IP/UDP IDS IPS
  4. 4. 4Implémentations Routeur (Router)  Pont (Bridge) Serveur mandataire (Reverse Proxy) Incorporé (Embedded)
  5. 5. 5Routeur (Router) Point de défaillance unique Problèmes de performances
  6. 6. 6Serveur mandataire (Reverse Proxy)Serveurs Web nesupportant pas demoduleMoyens limités Incorporé (Embedded) SSL facile Performance distribuée
  7. 7. 7Modes de fonctionnements Surveillance  Alertes  Anomalies Protection  Bloquer les attaques  Corrections virtuelles (Virtual Patching)
  8. 8. 8Philosophies Boîte noire et espérance  À conseiller pour surveillance Boîte blanche et personnalisation  À conseiller pour protection
  9. 9. 9Types de règles Surveillance (watchlist) Liste blanche (whitelist) Liste noire (blacklist) Exceptions surveillées (bypass) À ignorer (ignorelist) Expérience utilisateur (UX)
  10. 10. 10Alertes et rapports Importance pour la sécurité Importance pour la fonctionnalité Console centrale vs. journaux
  11. 11. 11Méthodologie dedéveloppement de règlesFocus sur liste noire  Audit d’applications ou collectes des failles connues  Création des règles pour corriger les failles  Tests en mode surveillance  Vérification des alertes  Pour ne pas impacter la production  Passage en mode protection  Suivis  Des alertes pour suivre les changements imprévus la production et les attaques  Des changements pour mises à jour itératives des règles
  12. 12. 12Méthodologie dedéveloppement de règlesFocus sur liste blanche  Collection et analyse trafic légitime  Création des règles  À partir du trafic (profil des applications)  Tests en mode surveillance  Vérification des alertes  Pour ne pas impacter la production  Passage en mode protection  Suivis  Des alertes pour suivre les changements imprévus la production, les anomalies et attaques  Des changements pour mises à jour itératives des règles
  13. 13. 13Conclusions Autres utilités que la sécurité  Fonctionnalités (UX)  Détection d’anomalies (QA)  Traces en profondeur (DEBUG) Attention au contournement des règles  Corriger vos applications si possible
  14. 14. 14Démonstrationhttp://www.modsecurity.org/http://www.ironbee.com/http://jwall.org/web/audit/console/screenshots/eventview.pnghttp://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Project Questions?
  15. 15. 15Bonus WAF Testing Framework par Imperva  Gratuit  Disponible fin 2012  Utilise WebGoat  Code fermé (sera ouvert un jour) mais configurations ouvertes XML
  16. 16. 16Bonus ReDoSMSC_PCRE_LIMITS_EXCEEDED:PCRE match limits were exceeded.SecRule TX:/^MSC_/ "!@streq 0" "id:200004,phase:2,t:none,deny,msg: ModSecurity internal error flagged: %{MATCHED_VAR_NAME}‘"
  17. 17. 17Bonus Some Ivan Ristic bypass in a nutshell <Location /myapp/admin.php> # Allow only numbers in userid SecRule ARGS:userid "!^d+$« </Location> /myapp/admin.php/xyz?userid=1PAYLOAD /myapp/admin.php;param=value?userid=1PAYLOAD SecRule REQUEST_FILENAME "@streq /myapp/admin.php" Short names Apache running on Windows Multipart Evasion ModSecurity CRS: Content-Type: multipart/; boundary=0000 http://bit.ly/PYp5G6
  18. 18. 18Merci/Thank you!Contact: jonathan.marcil@owasp.org @jonathanmarcil http://blog.jonathanmarcil.ca Slides: http://slideshare.net/ASF-WS/presentations
  19. 19. 19Références OWASP Best Practices: Use of Web Application Firewalls https://www.owasp.org/index.php/Category:OWASP_Best_Practices:_Use_of_Web_App lication_Firewalls OWASP ModSecurity Core Rule Set Project https://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Proj ect Web Application Firewall Evaluation Criteria Version 1.0 http://projects.webappsec.org/w/page/13246983/WAFEC%201%20HTML%20Version ModSecurity Reference Manual https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual

×