miércoles, 18 de julio de 2012

Firewall para WEB, WAF !!!! cositas...

Todos, o "casi todos" tenemos un firewall en nuestras empresas... algunos tenemos un IDS como el cerdito rosita, para detectar comportamientos anómalos en nuestra red. Si tenemos un servidor web, casi seguro que tendremos el firewall abierto en el puerto 80 y el 443, entonces que !!! El IDS suele estar configurado para procesar los paquetes de nuestra red, pero suele ser lento el proceso de lectura de HTTP, y un poco mas si va sobre SSL.
Como protegemos nuestras web´s de los tán conocidos ataques de SqlI, XSS y demás?, Pues con un firewall specífico de aplicaciones web :-)  ( aquí el que no encuentra solución  a sus problemas es porque no quiere, no lee, o no paga xD ).
Pueden ser Hardware o Software, desplegada como un dispositivo de red, o un modulo en el propio servidor ( famoso modsecurity para Apache).
Las principales funciones de un WAF, para mi son:
  • Unificación de log´s entre varios servidores.
  • Bloqueo de url´s origen o incluso Ip´s.
  • Protección clásica mediante reglas de los típicos ataques web ( la palabra Select debe estar permitida en url´s en tu aplicación????'  o UNION ????   ).
  • Parcheado virtual de servidores, definiendo en el WAF las reglas de filtrado, en vez de parchear directamente el core del servidor o modulo.
Como en anteriores post sobre este tipo de dispositivos, recomiendo que si tenemos un WAF como punto de entrada a nuestros servidores web, si cae la tenemos liada... para eso se recomienda montar una infraestructura en cluster, o al menos sobre un servidor don bypass automático y dos tarjetas de red, para que en caso de caida, no se interrumpa el servicio web ( aunque si el servicio que lo protege).

BASICO que le peguéis un repaso a Web Application Firewall Evaluation Criteria para tener un vistazo rápido al panorama WAF.
Otra charla muy buena, de la mano de OWASP sobre el asunto está disponible just here. Del mismo autor que la herramienta Wafwoof.
Ubicación en Backtrack y la compleja linea de comandos de uso:















Como siempre, soy un loco de NMAP, y si nmap me lo da, por qué no usarlo?

nmap -p80 --script http-waf-detect dominio/ip.









Otro día nos podemos meter a instalar alguno, con las típicas reglas que se recomiendan, y probamos a hackearlo xD.

Gracias por leerme, como siempre.

3 comentarios:

  1. No puedo dejar la ocasión sin dedicarte unas líneas. ¡Eres un máquina! Por desgracia, te he conocido virtualmente tarde -hace unos pocos días-, pero he de decirte que me quito el sombrero contigo. Felicidades por el blog. Y gracias por currarte las entradas, me encanta leerte.

    ResponderEliminar
  2. como puedes ver en mis recomendados, tu blog está conmigo desde hace tiempo, te leo por RSS desde hace mucho tiempo. Por otro lado, quería decirte que GRACIAS por tus palabras. Yo soy UNA persona, que trabajo mucho, que tengo vida familiar,que estudio todo lo que puedo, y que aparte intento sacar minutos para este proyecto. Tengo pocas visitas, y cada comentario, retweet, o lo que sea, es un empujon fuerte para mi. de corazon, gracias por tus palabras.

    ResponderEliminar
  3. No me he visto en los recomendados, pero es igual. Poco hay que yo pueda enseñarte, pero a mi me vas a tener que dar un curso avanzado de Nmap. El último analizador de puertos que había utilizado era uno llamado "super scan port", y creo que fue allá por el 2000.
    Casi todos los proyectos, blogs, webs, etc, los suele llevar una sola persona, y es lógico tener que compaginar nuestro "hobby", con el día a día de nuestra vida, por eso me gusta de vez en vez a los compañeros dejarles una muestra de afecto, que sepan que sus palabras están siendo leídas, probadas, e incluso como suele ser mi caso muchas veces disfrutadas. Ya que muchas veces escribimos, y parece que caen en saco roto. Pero bueno, ya sabes que aquí tienes un vecino de blog, y si necesitas algo de sal, o mantequilla por aquí estoy. Un abrazo!!

    ResponderEliminar

Gracias por comentar !!

Related Posts Plugin for WordPress, Blogger...