27. 27
3. WAF vs NGFW vs IPS 3
10. WAF sniffer 10
16. WAF: reverse proxy 16
19. WAF: router 19
13. WAF: ПО на сервере 13
1. 03.06.2020 Технические аспекты внедрения WAF
22. WAF: bridge / transparent reverse proxy 22
6. Ценообразующие факторы: Mbps, conns 6
9. Территориально - распределенная схема 9
2. # whoami Андрей Дугин Начальник отдела обеспечения информационной безопасности http://aodugin.blogspot.com 2
14. WAF ПО на сервере . Необходимые изменения Работа с программным модулем WAF: Установка на каждый сервер Настройка 14
8. Варианты архитектуры Схема без WAF WAF sniffer WAF reverse proxy WAF router WAF bridge / transparent reverse proxy 8
5. Ценообразующие факторы Обрабатываемый трафик: TLS/ сек Количество параллельных сессий Mbps, Gbps Кластеризуемость Дополнительные функции 5
20. WAF: router . Необходимые изменения Настройка маршрутизации в DMZ через WAF Объединение DMZ – при необходимости 20
12. WAF sniffer. Анализ Отсутствие влияния на трафик 12 Преимущества Недостатки Отсутствие возможности отражения атак Ограничение при анализе TLS Масштабируемость: территориальная
4. Зачем нужен WAF? PCI DSS OWASP TOP10 https:// www.owasp.org/index.php/Top_10 - 2017_Top_10 https:// www.owasp.org/index.php/Category:OWASP_Top_Ten_Project OWASP Risk Rating Methodology https:// www.owasp.org/index.php/OWASP_Risk_Rating_Methodology 4
23. WAF: bridge / transparent reverse proxy . Необходимые изменения Настройка правил маршрутизации/коммутации трафика в DMZ через линк , на котором установлен WAF Объединение DMZ – при необходимости 23
11. WAF sniffer . Необходимые изменения Подача копии web - трафика DMZ на WAF : SPAN/VACL - capture с коммутатора TAP с физических линков 11
26. WAF: общие задачи при внедрении Запас производительности Управление сущностями WAF Управление политиками Управление TLS - сертификатами и ключами Мониторинг работоспособности устройств/приложений Таймауты: тюнинг и выравнивание Интеграция со сканнером безопасности Интеграция с SIEM/SOC Отчетность 26
15. WAF: ПО на сервер . Анализ Неизменность архитектуры Независимость от сетевой архитектуры Не нужен выделенный сервер для WAF Масштабируемость: количество инсталляций 15 Преимущества Недостатки Использование вычислительных ресурсов web - сервера Совместимость с ОС/ПО Зависимость от настроек, сбоев и уязвимостей ОС
21. WAF: router. Анализ Единая точка защиты и контроля web - серверов на DMZ Масштабируемость: на сервера в пределах L3 - сегмента Отсутствие необходимости настройки серверов Независимость от настроек, сбоев и уязвимостей ОС защищаемых web - ресурсов 21 Преимущества Недостатки Единая точка отказа всего трафика в DMZ (минимизация: кластер, дублирование) Необходимость реорганизации L3 - сегмента
18. WAF: reverse proxy. Анализ Единая точка защиты и контроля web - серверов Высокая масштабируемость: IP - маршрутизация + доступ Отсутствие влияния на L1/L2/L3 - топологию сети TLS - offload ( с нижение нагрузки на сервера ) Независимость от настроек, сбоев и уязвимостей ОС защищаемых web - ресурсов 18 Преимущества Недостатки Единая точка отказа (минимизация: кластер, дублирование) Изменение настроек в случае аутентификации клиентов по сертификатам Подверженность атакам на WAF
24. WAF: bridge. Анализ Единая точка защиты и контроля web - серверов на DMZ Полная прозрачность Масштабируемость: на сервера DMZ за WAF - enabled линком Отсутствие необходимости настройки серверов Независимость от настроек, сбоев и уязвимостей ОС защищаемых web - ресурсов 24 Преимущества Недостатки Единая точка отказа всего трафика в DMZ (минимизация: кластер, дублирование, аппаратный bypass ) Необходимость L1/L2 - реорганизации DMZ
7. Ценообразующие факторы: TLS/ сек Jul 14 00:01:46 perimeter - fw %ASA - 6 - 302014: Teardown TCP connection 591504883 for outside:192.0.2.208/41862 to dmz:192.168.113.1/443 duration 0:00:34 bytes 43801 TCP FINs Jul 14 00:01:46 perimeter - fw %ASA - 6 - 302014: Teardown TCP connection 591652278 for outside:192.0.2.63/1172 to dmz:192.168.113.1/443 duration 0:00:21 bytes 72205 TCP FINs Jul 14 00:01:46 perimeter - fw %ASA - 6 - 302014: Teardown TCP connection 591877877 for outside:192.0.2.242/49748 to dmz:192.168.113.1/443 duration 0:00:32 bytes 94174 TCP FINs 7
25. WAF: transparent reverse proxy. Анализ Единая точка защиты и контроля web - серверов на DMZ Полная прозрачность Масштабируемость: на сервера DMZ за WAF - enabled линком Отсутствие необходимости настройки серверов Независимость от настроек, сбоев и уязвимостей ОС защищаемых web - ресурсов Возможность TLS offload 25 Преимущества Недостатки Единая точка отказа всего трафика в DMZ (минимизация: кластер, дублирование, аппаратный bypass ) Необходимость L1/L2 - реорганизации DMZ
17. WAF: reverse proxy . Необходимые изменения Выделение IP - адресов для WAF Доступ из Интернет по HTTP/HTTPS к IP - адресам WAF Настройка TLS offload ( если используется HTTPS ) Настройка проксирования и вставки заголовков XFF Изменение правил NAT на firewall ( если в DMZ н а одном firewall) Изменение записей DNS ( если в разных DMZ на разных firewall) 17