1Barracuda Networks Confidential1 Web Alkalmazások védelme hackerekkel és sérülékenységekkel szemben Barracuda Web Application Firewalls.

Az előadások a következő témára: "1Barracuda Networks Confidential1 Web Alkalmazások védelme hackerekkel és sérülékenységekkel szemben Barracuda Web Application Firewalls."— Előadás másolata:

1 1Barracuda Networks Confidential1 Web Alkalmazások védelme hackerekkel és sérülékenységekkel szemben Barracuda Web Application Firewalls

2 2 Tartalom Szükség –Web alapú alkalmazások biztonsága –PCI megfelelőség Megoldás a Barracuda Networkstől –Termék paletta –Biztonsági funkciók –Forgalom menedzsment –Alkalmazási lehetőségek Barracuda Networks Confidential

3 3 Támadás: Defacement Defacement : Az eredeti web oldalt lecserélik valami teljesen másra. Barracuda Networks Confidential

4 4 Támadás Cross Site Scripting : Rosszindulatú scripteket helyeznek el az oldalon, ami akár felhasználói információkat lophat el vagy hamis oldalt jelenít meg. Például: Az ügyfél a hackernek adta meg banki adatait a bank helyett ! Barracuda Networks Confidential

5 5 Web Hacking: News IIS Apache 500,000 domains, including UN sites attacked (Mar 2008) Department of Homeland Security Web site hacked. Microsoft’s UK domain attacked by hackers. Displays child waving Saudi Arabia’s flag. 45 million credit/debit card numbers stolen at TJMaxx. Loss > 135M+ (Nov, 2007) 18 Million records stolen from Korean auction site Auction.co.kr using CSRF attack. (April 2008) Barack Obama’s site redirected by hackers to hillaryclinton.com. (April 2008) Brazilian banking site allows users to views receipts intended for others using session prediction. (Jan 2008) Hacker steals Social Security numbers from Ohio court site, by manipulating predictable identifier parameters. (Dec 2007) If its on the Web; it’s a good target Barracuda Networks Confidential

6 6 Keresési eredmény … Barracuda Networks Confidential 6 Több, mint 2.000.000 találat ‘How to hack website’ !!

7 7 Mi a probléma eredete? Barracuda Networks Confidential 7 Confidential Data Customized Application Code Rushed to Production Written Before Security was a Priority A támadások 75%-a itt összpontosul (Gartner) A támadások 75%-a itt összpontosul (Gartner) Network Operating Systems Database Servers Operating Systems Application Servers Operating Systems Web Servers Network Firewall IDS IPS SQL Injection Parameter Tampering Cross-Site Scripting Other Attacks

8 8 IP address TCP port HTTP header Cookie URL Form data Denial of Service (DoS) Distributed DoS SYN flood Ping of death TCP session hijacking Packet fragmentation Web Applications A támadások abban az adatfolyamban vannak, amelyet át kell engedjenek! Port 80/443 traffic goes through Miért nem segítenek a hagyományos tűzfalak? Barracuda Networks Confidential

9 9 Következmény Üzemeltetésben Leállás Lecserélik a weblapot Spam link Adat szivárgás Web Applications Hírnév Értékesítés csökkenése Zsarolás Ügyfelek felé Személyes adatok elvesztése Adat szivárgás Worms / Malware Phishing Barracuda Networks Confidential

10 10 Megoldás: Layer 7 ( OSI ) Web Applications Port 80/443 átmegy Tűzfal a hálózati forgalmat blokkolja Barracuda Web Application Firewall A megoldás: Barracuda Web Application Firewall Értelmezi a web forgalmat Aktívan blokkolja a problémás kéréseket Láthatóvá teszi az alkalmazás szintű folyamatokat Véd az általános támadások ellen Enyhíti az illetéktelen hozzáférés kockázatát Gyorsítja az alkalmazást Barracuda Networks Confidential

11 11 Barracuda Web Application Firewall Product Line 11 Barracuda Web App Firewall 660 Barracuda Web App Firewall 460 Barracuda Web App Firewall 360 25 Mbps 1-5 servers Barracuda Networks Confidential Barracuda Web App Firewall 860 Barracuda Web App Firewall 960 1 Gbps 150-300 Servers

12 12 Előnyök Biztonság Megfelelőség PCI HIPPA GLBA Terhelés elosztás Gyorsítás Felügyelet Barracuda Networks Confidential

13 13 Session Control TCP Session Termination SSL Termination HTTP Protocol Normalization & Compliance FTP Compliance HTTP Header Re-Write URL Translation URL Rate Control Security Assurance Application Cloaking AAA White List Forms Protection Cookie Protection Data Theft Protection Dynamic Learning SQL & OS CMD Injection XSS Attack Protection Custom Black List: REGEX Availability Assurance Caching GZIP Compression TCP Connection Pooling SSL Cryptographic Offload, Backend Encryption Layer 7 Content Switching Load Balancing Server & App Health Checking with Failover Users Web Applications TerminateSecureAccelerate Centralized Control Barracuda Networks Confidential

14 14 Barracuda Web Application Firewall Architecture Egy pontban védekezhetünk a kimenő és bejövő adatforgalom esetén Barracuda Networks Confidential

15 15 Biztonság: Elrejtés Támadó első feladata: Felmérni a hálózat gyengeségeit  Milyen web szervert, adatbázist, alkalmazást használnak?  Milyen verziót, hibajavításokat vagy ismert hibát tartalmaz? Az elrejtés / elfedés minden információt amit támadásokra lehetne használni elrejt. Hiba kódok, HTTP header, IP címek elrejtése Barracuda Networks Confidential

16 16 Biztonság: Inbound Web Applications Port 80/443 forgalom Protocol validation Cross Site Scripting protection SQL injection OS command injection Cross Site Request Forgery Cookie tampering protection enhancements Request Limits checks Enhanced URL / Parameter protection Brute force protection Session Tracking Response body rewrite Virus checks for file uploads URL Scan Trusted hosts Integrated XML firewall Barracuda Networks Confidential

17 17 Web szerverek védelme Web Applications Adat ellenőrzés Protokollok Karakter bevitel Adat méret Érvényes válaszok Paraméter típusok Felhasználók Barracuda Networks Confidential

18 18 Titkosított forgalom Web Applications Visszafejti az adatforgalmat mielőtt a biztonsági házirendet alkalmazná Barracuda Web Application Firewall átveszi az SSL forgalom titkosítását Mentesíti a szervert, hogy más feladatot is elláthasson Barracuda Networks Confidential

19 19 Tranzakciók biztonsága… Web Applications Cookie: Price=$1000 Cookie: Price=$1050 Meggátolja az alkalmazásnak szánt adatok megváltoztatását Cookie titkosítás Buy : Laptop $1000 $1050 Checkout : $10 Add : Cover Barracuda Networks Confidential

20 20 Automatizált támadások elleni védelem… Web Applications Kolátozott számú próbálkozást engedélyez egy helyről Kizárja a jelszó kitalálásával próbálkozó klienseket Bejövő kérések számának korlátozása Kolátozott számú próbálkozást engedélyez csak 3 probálkozás Barracuda Networks Confidential

21 21 Securing Web Services and XML data XML structure checks –Document Size –Recursive XML entities WS-I basic assertions SOAP Validation Enforce a XML Structure –WSDL –XML Schema

22 22 Web szerver válaszában is ellenőriz Web Applications  Bankkártya adatok  Személyi adatok  Egyedi sablonok Barracuda Networks Confidential

23 23 Hozzáférés ellenőrzés Authentication Authorization LDAP / RADIUS integration Single Sign On Local User Database Estore application Admin Portal www.estore.com/purchase/ www.estore.com/admin Authentication / Authorization Administrator Customers LDAP / RADIUS Database Barracuda Networks Confidential

24 24 Top 10 threats … ThreatProtection Mechanism 1Un-validated InputLearns accepted application logic to validate incoming and outgoing session content for legitimate application behavior 2Broken Access ControlSets up and enforces authorization and access control policies to authenticate user access 3Broken Authentication and Session Management Automatically encrypts session cookies and assigns unique session-IDs to ensure secure user sessions 4Cross-Site Scripting (XSS) Attacks Validates user input by terminating session and inspecting incoming requests 5Buffer OverflowsRejects any file from in invalid Web page and limits total Web request length across applications 6Injection FlawsInspects each request to the Web application for malicious code and blocks the request prior to reaching 7Improper Error HandlingCloaks details of Web application infrastructure 8Insecure StorageFilters and intercepts outbound traffic and also blocks or masks attempts to access sensitive information. 9Application Denial of Service (DoS) Monitors and controls the amount of queries to the same URL from a single user and queues the requests while allowing legitimate Web site Access 10Insecure Configuration Management Acts as the DMZ to proxy inbound and outbound Web traffic to neutralize any configuration vulnerabilities Barracuda Networks Confidential

25 25 Hatékonyság és gyorsítás TCP Pooling – Több késér egyetlen kapcsolatba fogása SSL titkosítás átvállalása Internet Alkalmazások terheltségének vizsgálata Hibatűrés Barracuda Networks Confidential

26 26 Forgalom menedzsment Cache www.estore.com/images/banner.jpg Image Server HR Server Partner Portal www.estore.com/hr/leaveform.html www.estore.com/partner/order.jsp Content Switching Barracuda Networks Confidential

27 27 Gain visibility Dashboard of daily/hourly traffic Comprehensive logging –Web attacks –Access to the Web applications –Administrative changes Extensive reporting –View online –Schedule delivery via email Export Logs –Syslog –FTP Barracuda Networks Confidential

28 28 Tipikus telepítés Barracuda Networks Confidential

29 29 Non-proxy WAFs expose server operating systems and TCP stacks directly to the Internet You need a proxy based WAF to: Web Address Translation – Non-proxies can not re-write URLs Cloaking – Non-proxies do not Cloak SSL – Non-proxies SSL is VERY slow Cookie security – Non-proxies do not protect against ID theft L7 Rate Control – Non-proxies do not protect against DoS Authentication and Authorization – Non-proxies can not do AAA Data Theft Protection – Non-proxies can not mask outbound data Response time acceleration – Non-proxies can not accelerate Proxy vs. Non-proxy: a fundamental difference in Security Capabilities Barracuda Networks Confidential

30 30 Application Developers Data Center Architects Operations Team Spend less time fretting over security. Spend more time developing new business logic. Compliance is delivered from the infrastructure, not the developers. Service the demands from the developers and auditors while assuring the applications are available and secure. Deliver the controls for application assurance. Enable a service-oriented dialog between developers and ops. Auditors & Regulators App Proxy Benefits the Whole Team Barracuda Networks Confidential

31 31 Achieve compliance PCI – DSS –Any entity who accepts credit cards or is a part of processing credit card transactions need to secure their applications HIPAA –Organizations that store or access patient data are required to secure their online applications dealing with such information GLBA –All third-party vendors and service providers that maintain, transact or process customer data are required to secure customer data from being leaked Barracuda Networks Confidential

32 32 PCI DSS: What is It? PCI DSS : Stands for Payment Card Industry Data Security Standard guidelines to help organizations prevent credit card fraud. Who needs to be compliant –Any merchant who accepts credit cards –Any merchant that plays any part in the processing of the credit card Why do they care –Credit card vendors will limit the liability support for the non-compliant merchant –Non-compliant merchants will either face monthly fines or be charged higher commissions on transactions Section 6.6 states all Web-facing applications need to be protected by either: –Custom code reviews by approved scanning vendor (ASV) –Web application firewalls Barracuda Networks Confidential

33 33 Nem lehetne csak úgy simán kijavítani a kódot? Minden1.000 sor kód 15 kritikus hibát tartalmaz (U.S. Dept. of Defense) Átlagos biztonsági hibának a detektálása 75 perc (5-year Pentagon Study) Átlagos alkalmazás 150,000-250,000 sor kódot tartalmaz (Software Magazine) Dilemma: Biztonság vagy funkcionalitás? / időre / EREDMÉNY 84 és 562 hét közé tehető a hibajavítás egy alkalmazás esetében, nem beszélve az újonan bekerülő hibákról Barracuda Networks Confidential

34 34 PCI Data Security Standard (PCI DSS) Merchant Level Credit Card Transaction per year 420K 320K – 1M 21M – 6M 16M+ Few thousands for Level 4 Stringency/Cost of compliance Security breach will result in a business requiring Level 1 compliance Barracuda Networks Confidential

35 35 PCI DSS és a Barracuda Web Application Firewall Barracuda Web Application Firewall kielégíti a PCI DSS követelményeit –Web alkalmazások számára egy biztonsági réteget képez –Web forgalmat proxy-ként átvezeti a web szerver számára –SSL titkosítást végez –Blokkolja a 10 legelterjedtebb támadási módszert –Monitoring, logolás, felügyelet –Gyorsan frissíti a támadások felismeréséért felelős adatbázisát Kártya kibocsátók és bank kártyás adatokkal dolgozó vállalatok számára elengedhetetlen Barracuda Networks Confidential

36 36 Barracuda’s Value Proposition Barracuda Web Application Controllers and Web Application Firewalls offer the easiest to use, best of the breed protection capabilities at the most affordable cost With more than 70000 devices deployed around the globe Barracuda has the advantage of viewing various trends in security as they emerge A dedicated security analysis team keeps track of all emerging threats to ensure security for all our customers. Energize updates and Instant Replacement programs provide our discerning customers with all support to ensure reliable functioning of their devices. Barracuda Networks Confidential

37 37 Additional info on Re-directing In the online demo go to Websites > Allow/Deny. Select the Edu service and click on the add button on the right hand side. The Create ACL pop up window appears this is where you would configure the Extended Match field based on the Header User-Agent co MSIE 7.0 as an example. URL ACL Name – IE Redirect Enable URL ACL – Yes Host Match – You can leave it as *. URL Match – Self explanatory Extended Match - Header User-Agent co MSIE 7.0 Extended Match Seq – 1 Action – Redirect Deny Response – NA Response Page – NA Redirect URL – This will be the URL that they want to redirect the IE user to. Based on any part of the request we can easily Allow, Deny, Process, or Re-Direct the request

38 38 Köszönöm