720 likes | 975 Views
FortiWeb 4.0. Jacob Chen. April 2005. 複雜的網頁應用軟體安全. 什麼是網頁應用軟體 ? 網頁應用軟體是公開,且能夠在網際網路上使用的應用軟體 經由標準的瀏覽器來存取,提供電子郵件、線上消費商店、拍賣網站、佈落格及其他所有功能。 主要應用在提供電子商務及商業應用工作的組織單位使用 網頁應用軟體通常以最有效率的方法提供資訊以供訪問者瀏覽。 可能會留下應用軟體的漏洞 潛在的資訊洩漏危機 攻擊者能夠以一些變形的資訊來企圖偷取信用卡資料及其他個人資料. Web server data center.
E N D
FortiWeb 4.0 Jacob Chen April2005
複雜的網頁應用軟體安全 • 什麼是網頁應用軟體? • 網頁應用軟體是公開,且能夠在網際網路上使用的應用軟體 • 經由標準的瀏覽器來存取,提供電子郵件、線上消費商店、拍賣網站、佈落格及其他所有功能。 • 主要應用在提供電子商務及商業應用工作的組織單位使用 • 網頁應用軟體通常以最有效率的方法提供資訊以供訪問者瀏覽。 • 可能會留下應用軟體的漏洞 • 潛在的資訊洩漏危機 • 攻擊者能夠以一些變形的資訊來企圖偷取信用卡資料及其他個人資料 Web server data center Data Center Perimeter Front End Web Servers Database Servers
為什麼需要 Web Application Firewalls? 隨時隨地都需要使用網頁應用軟體 可是… • 49% 的網路應用軟體包含高風險的漏洞,而大部份皆為自動的程式碼產生的* • 80%-96% 的軟體可以手動的被入侵 • 99% 的網頁應用軟體是未經過 PCI 組織的測試承認 • 大部份的網頁應用軟體的弱點是無法被防火牆發現的 • Cross-site scripting • SQL injection • Information Leakage • HTTP Response Splitting 面臨攻擊的商業行為: • 收益的損失– 300$ per stolen record • 沒有通過法規驗證的罰金 • 公司形象及品牌受損 *Source – Web Application Security Consortium (WASC)
Payment Card Industry Security Standards Council • Formed December 2004 by top 5 credit card companies • Aligned each company’s individual policies and released the PCI DSS • A standard that ensures merchants meet minimum levels of security when they store, process and transmit cardholder data • Merchants that process credit cards must comply with the new PCI standard • In October 2008 version 1.2 was introduced • Prevention of common coding vulnerabilities such as those defined by OWASP • Code reviews or - Verify that a web-application firewall is in place in front of public-facing web applications to detect and prevent web-based attacks • Compliance enhances reputation and lowers risk • Non-compliance can result in fines and sanctions • Fortinet is a part of the PCI Security Standard Council (oct 6th, 2009)
What is ‘Application Security’ ? 應用軟體的生命週期專注於: (長期控制) 設計-Design 研發-Development 配置-Deployment 升級-Upgrade 維護-Maintenance 應用軟體控制專注於:(補償控制) 減低攻擊威脅(技術及功能面) 網頁應用軟體安全策略的實行 Fortinet Confidential
只有Web Application Firewalls 能夠完整辨視、偵測及阻斷攻擊! • Network Access • (OSI Layer 1 – 3) 現有的資安解決方案已不夠完備 傳統的防火牆能夠偵測網路型攻擊 監控 IP 及 Port; 有限的應用軟體辨視功能 IPS 產品儘能夠監控已知的攻擊特徵 特徵值能夠輕易的被重新編碼或阻斷,無法偵測SSL加密流量,無應用軟體辨別功能 無法辨別使用者,高誤判率 Application Layer Web Application Firewall FortiWeb Protocols (OSI Layer 4 – 7) IPS and Deep Packet Inspection Firewalls Network Layer Network Firewall
FortiWeb 網頁應用防火牆 Web Application 平台 • Web Application Firewall – 保護網頁應用軟體並幫助客戶達成符合法規要求 • XML Firewall – 預防及保護XML應用 • Application Acceleration – 使用 Fortinet ASIC 科技加速應用程式運作功能 保護網頁應用程式不受攻擊 維持網頁服務安全 維持應用軟體的可用性
FortiWeb-1000B Hardware Information Hardware 4 x 10/100/1000 ports 2 USB ports 1 x 1TB SATA hard drive – For log archiving (2 x 1TB Optional) 1 RU height rack mount unit FortiModule (Ports 3 and 4) – integrated CP6 ASIC Front Back FortiModule Ports 3 and 4 Onboard Ports 1 and 2 • Throughput • 500 Mbps HTTP • 22,000 New sessions/second • ICSALabs Certificate • Web Application Firewall
FortiModule – CP6 RJ45 Hardware PCIe accelerator card (Ethernet ports 3 and 4) CP6 for accelerated SSL processing Onboard Flash storage also used to embed the system serial number and digital certificates
FortiWeb-400B Hardware Information • Hardware • 4 x 10/100/1000 ports • 1 USB ports • 500GB SATA hard drive • 1 RU height rack mount unit • Integrated CP6 ASIC • Latency – Sub Milisecond • Throughput • 100 Mbps HTTP • 10,000 New sessions/second • ICSALabs Certificate • Web Application Firewall
FortiWeb Product Line New 12
FDS UNITED KINGDOM FDS CANADA FDS FRANCE FDS JAPAN FDS UNITED STATES FDS CHINA FDS MALAYSIA FortiGuard™ 資安訂閱服務 確保客戶能夠得到完整 Fortinet 產品資安更新訂閱服務 Intrusion Prevention System (IPS) FortiWeb Security Update Service AntiSpam (AS) Antivirus (AV) (Includes Anti-Spyware) Web Filtering (WF) Worldwide Presence 100% Fortinet Technology Automatic Updates
FortiWeb 可彈性化的配置模式選擇 • 透通模式 -Transparent Inline bridge • 容易配置- 不需要更改原有整體網路架構,不需要更改 IP配置,完全透明的配置。 • 支援完整的防禦功能 • 可選購Bypass單元。 • 反向代理伺服器模式 -Reverse Proxy • 支援完整的內文置換功能,同時可置換來源要求及伺服器回應封包。 • 進階的URL重新撰寫功能 • HTTPS 加速及卸載功能。 • 進階負載平衡功能 • 離線、旁聽模式-Non Inline Deployment – SPAN port • 零網路延遲 • 使用 TCP Reset 來阻斷攻擊以及異常流量 • 適合使用在產品測試及無法被更改的網路配置。 FortiWeb Web Application Servers FortiWeb
High Availability • Active / Passive 完整設定故障復原功能。 HA Interface Configuration synchronization and availability heartbeat FortiWeb FortiWeb HA Server Farm
早期的網站設計防護功能 • 管理者必須手動的定義: • 每一筆 URL,目錄,參數, 欄位長度和類別 • 使用正規表示式來判斷動態物件內文,JavaScript, XML, etc • 經常需要更新白名單 • 誤判率高 – 只要不是在白名單上的流量就會被阻斷
準確的保護必須要… • 非常了解被保護的應用軟體。 • 整個應用軟體的架構 (URLs, parameters, methods) • 可疑的存取以及正常的存取 • 了解駭客行為 • 普通的攻擊方法, 工具, 和應用軟體的弱點 • 了解在網頁應用軟體元件的組成, 人因錯誤、真實世界的攻擊。
FortiWeb Auto Learn 自動學習功能 • 了解網頁應用軟體的整體架構 • 從真實的網路流量來學習物件模型 • 建築基本的URL目錄,參數,及HTTP methods • 全自動了解真實要求及行為 • 可形成參數、欄位以及客戶可改變的欄位 • 欄位長度及欄位可能的類別 • 可以接受的字元 (min, max, average)? • 是否為必填欄位? • 產生建議設定及圖表。
FortiWeb Auto Learn • 自動學習到保護應用軟體的架構 • URLs • Parameters • Expected behavior • 分析: • 訪問 • 攻擊 • 自動產生規則 • 可匯出為 PDF 格式
FortiWeb 提供更多層次的保護 Validates Users Detects Information Disclosure, CC, PII Deviations from Normal User Behavior Detects Known Application Attacks (FortiGuard Updated) Validates HTTP RFC compliance Authentication Policy Data Leak Prevention Auto Learn and Validation Rules Application Attack Signatures Protocol Validation
使用者可自訂規則 Regular expression statements • 產生自訂策略 • 基本規則 (Input validation rules) • 自訂機器人 • HTTP Protocol 限制 • 來源 IP(Black list, White list) • And much more…
資料外洩防護 -Data Leak Prevention • FortiWeb 監看所有流出的流量以保護使用者個資: • 個人資料外洩 • 信用卡資料偷竊及誤用
網站防竄改控制 -Web Site Anti-Defacement • 依設定時間間隔監看應用軟體檔案的更改時間。 • FortiWeb一旦偵測到更改成,可進行動作: • 警告 • 自動回復
網站弱點掃描-Web Application Scanner • 容易上手使用。 • 知己知彼,了解自己的網站弱點進行防護 • 常見弱點掃描 • SQL Injection, XSS, • 異常外部連結掃描 • Reports • Complements WAF for PCI DSS 6.6
負載平衡及加速功能 FortiWeb • XML 網站服務負載平衡Web Services balancing • WSDL or Content routing statements • 網頁應用軟體負載平衡 • 持續連線逾期機制 • 設定權值輪詢Weighted Round Robin (3.1) • 實體伺服器監控 ,支援 HTTPS, HTTP, TCP, Ping • 應用軟體加速 • 結合 ASIC 晶片加速功能 • SSL 卸載 • TCP 多工 Multiplexing
及時系統資訊監控 • FortiWeb 提供及時資訊監控台 • 流量監看 • 攻擊歷史記錄 • 最新的警告 • 設備及時狀態
事件記錄 / 攻擊 / 警示告警 • 攻擊告警功能 • 完整HTTP 要求內容資料 • 流量監看 • 任何存取資料 • 事件告警 • 任何FortiWeb動作
攻擊行為報表 • 豐富的報表種類及圖形式報表 • 自訂報表項目 • 定期產生報表–每日、每週、每月或者依須要產生 • 支援多種格式 PDF, HTML, Word, TXT, MHT formats
流量報表 Reports – Traffic and Events • 儲存任何存取網站流量記錄 • Application Hits • Service type usage (HTTP/HTTPS) • Top sources • FortiWeb 更入,更改稽核記錄
Fortinet Addresses PCI DSS • FortiWeb addresses PCI 6.6 • Web Application Firewall • Web Application Scanner • FortiDB addresses PCI requirements with Data Activity Monitoring and Vulnerability Assessment for Databases • Requirement 2 : No vendor supplied defaults for system passwords • Requirement 3 : Stored cardholder data must be protected • Requirement 6 :Develop and maintain secure systems • Requirement 7 : Access to data restricted on a need-to-know basis • Requirement 10 : Track and monitor access to cardholder data • Requirement 11 : Regular systems testing • Requirement 12 : Maintaining an information security policy
FortiWeb 帶給您的益處 顯著的降低風險及資料外洩風險. 精確的防護功能、進行多層次的防護 內建網站弱點掃描功能 容易配置在任何環境之中 多種配置模式選項 使用自動學習進行自動管理 協助達成 PCI 法規 Fortinet Confidential
FortiWeb Vulnerability Scan 網頁弱點掃描 Scan for Commmon Vulnerability, Cross-Site Scripting, SQL Injection, Source Disclosure, OS Commands
關於 XSS (Cross Site Scripting) 此處為其中一則 - 異常警告項目 XSS 由於這一則 XSS 為一處 GET,若是直接將 URI貼在 Firefox 上……
Cross Script Result–使用 FortiWeb 可將此類攻擊阻擋在外 將此 URL 貼在瀏灠器上會得到以下結果! http://*****.edu.tw/2009programarea/pgArea_info.html?amp;year=99&attrib=D%3E%22%3E%3CScRiPt%20%0A%0D%3Ealert%28%22Your%20PC%20has%20been%20HACKed%22%29%3B%3C/ScRiPt%3E
SQLInjection 植入漏洞 • 經由FortiWeb 弱點掃描的目前已知可能的漏洞
SQLInjectionResult 正常的觀看只有 19 門或 60 門
SQL Injection 使用 FortiWeb 可將此類攻擊阻擋在外 使用此特別的URL,可一次看到 386 門 http://*****.edu.tw/2009programarea/pgArea_info.html?attrib=C&year=99%27+or+%271%27%3D%271&查詢=%E6%9F%A5%E8%A9%A2
網頁弱點掃描 – 其餘功能 • 找到的URL/網頁可經由首頁進入掃描到的網站連結 • 內含可輸入參數的URL可知道有多少網頁具備 Post 或者 GET 傳入作為參考 • 外部連結 可用來掃描是否被植入異常連結 可疑連結 – 釣魚網站
自動學習功能 經由自動學習功能,可得到整體網站連結架構,進而使用參數白名單保護功能。
偵測異常 PHP Information Leakage 使用 FortiWeb 可將此類攻擊阻擋在外
偵測異常 PHP Information Leakage 使用 FortiWeb 可將此類攻擊阻擋在外 PHP 洩漏了資料庫的帳號密碼以及資料庫名稱