Panel Data Analytics Dashboard - Fortinet FortiWeb
Wdrożenie WAF może okazać się dość czasochłonne. Prawidłowe dostrojenie WAF-a wymaga dobrej znajomości zarówno technologii budowy aplikacji webowych, jak i ich architektury. Zdarza się, że w działach bezpieczeństwa albo brakuje kompetencji, albo zespół utrzymania aplikacji niezbyt chętnie współpracuje, bojąc się, że "bezpieka" ujawni popełnione błędy.
Żadne narzędzie nie zastąpi woli wspólnego rozwiązania problemu, ale może choć odrobinę usprawnić proces implementacji poprzez dostarczenie mechanizmów nauki. Jest to szczególnie przydatne w pierwszej fazie, kiedy rozwiązanie może samo nauczyć się naszej infrastruktury - rozpoznawać serwery webowe, dostępne usługi i wreszcie pokazać mapę aplikacji.
Wykorzystanie wadliwych mechanizmów normalizacji w WAF
Jeżeli WAF jest podatny, poniższe zapytanie
/?id=1+un/**/ion+sel/**/ect+1,2,3--
zostanie przekształcone na:
SELECT * from table where id =1 union select 1,2,3--
Źródło: Dmitri Evteev
Nie należy się łudzić, że uzyskany w ten sposób obraz będzie w 100% prawidłowy - konieczny będzie tuning. Proces nauki może też potrwać -w zależności od intensywności ruchu czy stopnia skomplikowania aplikacji. Warto sprawdzić, jak głęboko możemy ingerować w sposób działania WAF-a i czy już na etapie profilowania (jeśli dostępny) będziemy w stanie wprowadzać modyfikacje.
Rekonesans to tylko fragment. Wspomnieliśmy już o możliwościach weryfikacji zgodności protokołów czy rozumieniu elementów aplikacji. Kolejny etap to normalizacja - czyli przede wszystkim zdekodowanie tego, co zostało podane w URL-u. Chodzi tutaj o wykrycie np. tzw. escape characters czy innych technik ukrywania (prostym przykładem może być zastosowanie kodów ASCII zamiast właściwych znaków). Niedopracowany mechanizm normalizacji może zostać oszukany.
Ważne jest również, aby WAF radził sobie nie tylko z HTML, ale i z innymi standardami, takimi jak PHP, JavaScript, Flash, AJAX.
Konsola zarządzania - Imperva SecureSphere WAF
WAF powinien móc wykorzystywać zarówno negatywny, jak i pozytywny model bezpieczeństwa. Model negatywny bazuje na sygnaturach i często aktualizowanych regułach. W modelu tym wszystko, co nie jest zabronione, jest dozwolone. Warto tutaj zwrócić uwagę na częstotliwość aktualizacji sygnatur i wielkość ich bazy. Model pozytywny, z drugiej strony, wykorzystuje mechanizmy ścisłej kontroli dopuszczanych treści. Wszystko, co nie jest zezwolone, jest blokowane. W tym modele stosuje się techniki analizy statystycznej, uczenia się, czy coraz popularniejsze badania reputacji. Umożliwiają one blokowanie np. open proxy, IP należących do sieci TOR, czy URL wskazujących na próby phishingu.
