Barracuda Web Application Firewalls Web Alkalmazsok vdelme hackerekkel
Barracuda Web Application Firewalls Web Alkalmazások védelme hackerekkel és sérülékenységekkel szemben Barracuda Networks Confidential 1
Tartalom • Szükség – Web alapú alkalmazások biztonsága – PCI megfelelőség • Megoldás a Barracuda Networkstől – – Termék paletta Biztonsági funkciók Forgalom menedzsment Alkalmazási lehetőségek Barracuda Networks Confidential 2
Támadás: Defacement : Az eredeti web oldalt lecserélik valami teljesen másra. Barracuda Networks Confidential 3
Támadás Cross Site Scripting : Rosszindulatú scripteket helyeznek el az oldalon, ami akár felhasználói információkat lophat el vagy hamis oldalt jelenít meg. Például: Az ügyfél a hackernek adta meg banki adatait a bank helyett ! Barracuda Networks Confidential 4
Keresési eredmény … Több, mint 2. 000 találat ‘How to hack website’ !! Barracuda Networks Confidential 6
Mi a probléma eredete? A támadások 75%-a itt összpontosul (Gartner) Customized Application Code SQL Injection Parameter Tampering Cross-Site Scripting Other Attacks Network Firewall Barracuda Networks Confidential • Rushed to Production • Written Before Security was a Priority IDS IPS Web Servers Application Servers Database Servers Operating Systems Network Confidential Data 7
Miért nem segítenek a hagyományos tűzfalak? • A támadások abban az adatfolyamban vannak, amelyet át kell engedjenek! IP address TCP port Denial of Service (Do. S) Distributed Do. S SYN flood Ping of death TCP session hijacking Packet fragmentation HTTP header Cookie URL Form data Port 80/443 traffic goes through Web Applications Barracuda Networks Confidential 8
Következmény Üzemeltetésben • Leállás • Lecserélik a weblapot • Spam link • Adat szivárgás Web Applications Ügyfelek felé • Személyes adatok elvesztése • Adat szivárgás • Worms / Malware • Phishing Hírnév • Értékesítés csökkenése • Zsarolás Barracuda Networks Confidential 9
Megoldás: Layer 7 ( OSI ) Tűzfal a hálózati forgalmat blokkolja Web Applications Port 80/443 átmegy Barracuda Web Application Firewall A megoldás: Barracuda Web Application Firewall ü Értelmezi a web forgalmat ü Véd az általános támadások ellen ü Aktívan blokkolja a problémás kéréseket ü Enyhíti az illetéktelen hozzáférés kockázatát üLáthatóvá teszi az alkalmazás szintű folyamatokat ü Gyorsítja az alkalmazást Barracuda Networks Confidential 10
Barracuda Web Application Firewall Product Line Barracuda Web App Firewall 960 1 Gbps 150 -300 Servers Barracuda Web App Firewall 860 Enterprise Barracuda Web App Firewall 660 SMB Barracuda Web App Firewall 460 Barracuda Web App Firewall 360 25 Mbps 1 -5 servers Barracuda Networks Confidential 11
Előnyök Biztonság Terhelés elosztás Gyorsítás Megfelelőség Felügyelet ü PCI ü HIPPA ü GLBA Barracuda Networks Confidential 12
Session Control Security Assurance Availability Assurance • TCP Session Termination • SSL Termination • HTTP Protocol Normalization & Compliance • FTP Compliance • HTTP Header Re-Write • URL Translation • URL Rate Control • • • • Terminate Application Cloaking AAA White List Forms Protection Cookie Protection Data Theft Protection Dynamic Learning SQL & OS CMD Injection XSS Attack Protection Custom Black List: REGEX Secure Caching GZIP Compression TCP Connection Pooling SSL Cryptographic Offload, Backend Encryption • Layer 7 Content Switching • Load Balancing • Server & App Health Checking with Failover Accelerate Centralized Control Users Barracuda Networks Confidential Web Applications 13
Barracuda Web Application Firewall Architecture • Egy pontban védekezhetünk a kimenő és bejövő adatforgalom esetén Barracuda Networks Confidential 14
Biztonság: Elrejtés Támadó első feladata: Felmérni a hálózat gyengeségeit § Milyen web szervert, adatbázist, alkalmazást használnak? § Milyen verziót, hibajavításokat vagy ismert hibát tartalmaz? Az elrejtés / elfedés minden információt amit támadásokra lehetne használni elrejt. • Hiba kódok, HTTP header, IP címek elrejtése Barracuda Networks Confidential 15
Biztonság: Inbound • • Protocol validation Cross Site Scripting protection SQL injection OS command injection Cross Site Request Forgery Cookie tampering protection enhancements Request Limits checks • • Enhanced URL / Parameter protection Brute force protection Session Tracking Response body rewrite Virus checks for file uploads URL Scan Trusted hosts Integrated XML firewall Port 80/443 forgalom Barracuda Networks Confidential Web Applications 16
Web szerverek védelme Adat ellenőrzés Web Applications ü Protokollok ü Adat méret üParaméter típusok üKarakter bevitel üÉrvényes válaszok üFelhasználók Barracuda Networks Confidential 17
Titkosított forgalom Web Applications ü Visszafejti az adatforgalmat mielőtt a biztonsági házirendet alkalmazná üBarracuda Web Application Firewall átveszi az SSL forgalom titkosítását ü Mentesíti a szervert, hogy más feladatot is elláthasson Barracuda Networks Confidential 18
Tranzakciók biztonsága… Cookie: Price=$1050 Cookie: Price=$1000 Buy : Laptop $1000 Add : Cover $1050 Checkout : $10 Web Applications üMeggátolja az alkalmazásnak szánt adatok megváltoztatását ü Cookie titkosítás Barracuda Networks Confidential 19
Automatizált támadások elleni védelem… Kolátozott számú próbálkozást engedélyez csak 3 probálkozás Web Applications üKolátozott számú próbálkozást engedélyez egy helyről ü Kizárja a jelszó kitalálásával próbálkozó klienseket ü Bejövő kérések számának korlátozása Barracuda Networks Confidential 20
Web szerver válaszában is ellenőriz § Bankkártya adatok § Személyi adatok § Egyedi sablonok Web Applications Barracuda Networks Confidential 22
Hozzáférés ellenőrzés • • Authentication Authorization LDAP / RADIUS integration Single Sign On Authentication / Authorization www. estore. com/purchase/ Customers Estore application www. estore. com/admin Admin Portal Local User Database Administrator LDAP / RADIUS Database Barracuda Networks Confidential 23
Hatékonyság és gyorsítás Internet SSL titkosítás átvállalása Alkalmazások terheltségének vizsgálata Barracuda Networks Confidential Hibatűrés TCP Pooling – Több késér egyetlen kapcsolatba fogása 25
Forgalom menedzsment Content Switching www. estore. com/images/banner. jpg Image Server www. estore. com/hr/leaveform. html www. estore. com/partner/order. jsp HR Server Partner Portal Cache Barracuda Networks Confidential 26
Tipikus telepítés Barracuda Networks Confidential 28
Nem lehetne csak úgy simán kijavítani a kódot? Dilemma: Biztonság vagy funkcionalitás? / időre / • Minden 1. 000 sor kód 15 kritikus hibát tartalmaz (U. S. Dept. of Defense) • Átlagos biztonsági hibának a detektálása 75 perc (5 -year Pentagon Study) • Átlagos alkalmazás 150, 000 -250, 000 sor kódot tartalmaz (Software Magazine) EREDMÉNY 84 és 562 hét közé tehető a hibajavítás egy alkalmazás esetében, nem beszélve az újonan bekerülő hibákról Barracuda Networks Confidential 33
PCI DSS és a Barracuda Web Application Firewall • • Barracuda Web Application Firewall kielégíti a PCI DSS követelményeit – Web alkalmazások számára egy biztonsági réteget képez – Web forgalmat proxy-ként átvezeti a web szerver számára – SSL titkosítást végez – Blokkolja a 10 legelterjedtebb támadási módszert – Monitoring, logolás, felügyelet – Gyorsan frissíti a támadások felismeréséért felelős adatbázisát Kártya kibocsátók és bank kártyás adatokkal dolgozó vállalatok számára elengedhetetlen Barracuda Networks Confidential 35
Köszönöm 38
- Slides: 27