Технические аспекты внедрения WAF.

354 просмотры
0 Лайки
0 0

Поделиться в социальных сетях

Поделиться Ссылкой

Use permanent link to share in social media

Поделиться с другом

Пожалуйста Логин послать это presentation по электронной почте!

Встроить в свой сайт

Выберите страницу, чтобы начать с

27. 27

3. WAF vs NGFW vs IPS 3

10. WAF sniffer 10

16. WAF: reverse proxy 16

19. WAF: router 19

13. WAF: ПО на сервере 13

1. 03.06.2020 Технические аспекты внедрения WAF

22. WAF: bridge / transparent reverse proxy 22

6. Ценообразующие факторы: Mbps, conns 6

9. Территориально - распределенная схема 9

2. # whoami Андрей Дугин Начальник отдела обеспечения информационной безопасности http://aodugin.blogspot.com 2

14. WAF ПО на сервере . Необходимые изменения Работа с программным модулем WAF: Установка на каждый сервер Настройка 14

8. Варианты архитектуры Схема без WAF WAF sniffer WAF reverse proxy WAF router WAF bridge / transparent reverse proxy 8

5. Ценообразующие факторы Обрабатываемый трафик: TLS/ сек Количество параллельных сессий Mbps, Gbps Кластеризуемость Дополнительные функции 5

20. WAF: router . Необходимые изменения Настройка маршрутизации в DMZ через WAF Объединение DMZ – при необходимости 20

12. WAF sniffer. Анализ Отсутствие влияния на трафик 12 Преимущества Недостатки Отсутствие возможности отражения атак Ограничение при анализе TLS Масштабируемость: территориальная

4. Зачем нужен WAF? PCI DSS OWASP TOP10 https:// www.owasp.org/index.php/Top_10 - 2017_Top_10 https:// www.owasp.org/index.php/Category:OWASP_Top_Ten_Project OWASP Risk Rating Methodology https:// www.owasp.org/index.php/OWASP_Risk_Rating_Methodology 4

23. WAF: bridge / transparent reverse proxy . Необходимые изменения Настройка правил маршрутизации/коммутации трафика в DMZ через линк , на котором установлен WAF Объединение DMZ – при необходимости 23

11. WAF sniffer . Необходимые изменения Подача копии web - трафика DMZ на WAF : SPAN/VACL - capture с коммутатора TAP с физических линков 11

26. WAF: общие задачи при внедрении Запас производительности Управление сущностями WAF Управление политиками Управление TLS - сертификатами и ключами Мониторинг работоспособности устройств/приложений Таймауты: тюнинг и выравнивание Интеграция со сканнером безопасности Интеграция с SIEM/SOC Отчетность 26

15. WAF: ПО на сервер . Анализ Неизменность архитектуры Независимость от сетевой архитектуры Не нужен выделенный сервер для WAF Масштабируемость: количество инсталляций 15 Преимущества Недостатки Использование вычислительных ресурсов web - сервера Совместимость с ОС/ПО Зависимость от настроек, сбоев и уязвимостей ОС

21. WAF: router. Анализ Единая точка защиты и контроля web - серверов на DMZ Масштабируемость: на сервера в пределах L3 - сегмента Отсутствие необходимости настройки серверов Независимость от настроек, сбоев и уязвимостей ОС защищаемых web - ресурсов 21 Преимущества Недостатки Единая точка отказа всего трафика в DMZ (минимизация: кластер, дублирование) Необходимость реорганизации L3 - сегмента

18. WAF: reverse proxy. Анализ Единая точка защиты и контроля web - серверов Высокая масштабируемость: IP - маршрутизация + доступ Отсутствие влияния на L1/L2/L3 - топологию сети TLS - offload ( с нижение нагрузки на сервера ) Независимость от настроек, сбоев и уязвимостей ОС защищаемых web - ресурсов 18 Преимущества Недостатки Единая точка отказа (минимизация: кластер, дублирование) Изменение настроек в случае аутентификации клиентов по сертификатам Подверженность атакам на WAF

24. WAF: bridge. Анализ Единая точка защиты и контроля web - серверов на DMZ Полная прозрачность Масштабируемость: на сервера DMZ за WAF - enabled линком Отсутствие необходимости настройки серверов Независимость от настроек, сбоев и уязвимостей ОС защищаемых web - ресурсов 24 Преимущества Недостатки Единая точка отказа всего трафика в DMZ (минимизация: кластер, дублирование, аппаратный bypass ) Необходимость L1/L2 - реорганизации DMZ

7. Ценообразующие факторы: TLS/ сек Jul 14 00:01:46 perimeter - fw %ASA - 6 - 302014: Teardown TCP connection 591504883 for outside:192.0.2.208/41862 to dmz:192.168.113.1/443 duration 0:00:34 bytes 43801 TCP FINs Jul 14 00:01:46 perimeter - fw %ASA - 6 - 302014: Teardown TCP connection 591652278 for outside:192.0.2.63/1172 to dmz:192.168.113.1/443 duration 0:00:21 bytes 72205 TCP FINs Jul 14 00:01:46 perimeter - fw %ASA - 6 - 302014: Teardown TCP connection 591877877 for outside:192.0.2.242/49748 to dmz:192.168.113.1/443 duration 0:00:32 bytes 94174 TCP FINs 7

25. WAF: transparent reverse proxy. Анализ Единая точка защиты и контроля web - серверов на DMZ Полная прозрачность Масштабируемость: на сервера DMZ за WAF - enabled линком Отсутствие необходимости настройки серверов Независимость от настроек, сбоев и уязвимостей ОС защищаемых web - ресурсов Возможность TLS offload 25 Преимущества Недостатки Единая точка отказа всего трафика в DMZ (минимизация: кластер, дублирование, аппаратный bypass ) Необходимость L1/L2 - реорганизации DMZ

17. WAF: reverse proxy . Необходимые изменения Выделение IP - адресов для WAF Доступ из Интернет по HTTP/HTTPS к IP - адресам WAF Настройка TLS offload ( если используется HTTPS ) Настройка проксирования и вставки заголовков XFF Изменение правил NAT на firewall ( если в DMZ н а одном firewall) Изменение записей DNS ( если в разных DMZ на разных firewall) 17

Просмотры

  • 354 Всего просмотров
  • 227 Просмотров Веб-сайта
  • 127 Embedded Views

Действия

  • 0 Social Shares
  • 0 Лайки
  • 0 Дизлайки
  • 0 Комментарии

Поделиться счетчик

  • 0 Facebook
  • 0 Twitter
  • 0 LinkedIn
  • 0 Google+