cancel
Showing results for 
Search instead for 
Did you mean: 
Login & Join the DevCentral Connects Group to watch the Recorded LiveStream (May 12) on Basic iControl Security - show notes included.
Sven_Mueller
F5 Employee
F5 Employee

 

Hallo liebe Leser,

heute möchte ich mich einem ASM (Application Security Manager) Thema, also der WebApplication Firewall von F5 widmen.

Sehr oft erlebe ich bei Kunden die Anforderung Webapplikationen vor Angriffen zu schützen.

ASM bietet die Möglichkeit, einen sehr umfangreichen, granularen und hohen Sicherheitsschutz zu implementieren. Dies ist aber gleichzeitig mit einem erhöhten administrativen Aufwand verbunden, da diese Policies sehr applikationsnah sind und typischerweise eine enge Zusammenarbeit mit den Applikationsentwicklern erfordert.

Damit eine schnelle und gute Grundsicherung der Applikationen realisiert werden kann, bietet ASM auch die Möglichkeit eine Policy auf Basis von Signaturen, also bekannten Angriffen, zu erstellen.

Hierbei werden Signaturen auf der Gundlage der eingesetzten Applikationsumgebung ausgewählt (Betriebssystem, Webserver, Datenbankserver, Programmiersprache, ...). Diese Signaturen erkennen bekannte Angriffe und können diese entsprechend blocken.

Typischerweise konfiguriert man die Policy so, dass diese Signaturen erst nach einer „Staging“-Phase in den Blocking-Mode wechseln. Während dieser „Staging“-Phase können eventuell auftretende False-Positives (Fehlalarme) abgeschaltet werden.

Aber fangen wir doch mal an und erstellen uns eine Policy:

Erstellen einer Policy

Die Konfiguration einer ASM Policy findet unter dem Reiter Security/Application Security im linken Menüpunkt der BIG-IP statt.

0151T000003d6GcQAI.png

Wird eine neue Policy erstellt, kann diese automatisch an einen bereits existierenden virtuellen Server gebunden werden, oder man konfiguriert gleichzeitig auch einen neuen virtuellen Server.

Deployment Scenario

In diesem Fall wird nur eine Policy erstellt, die zu einem späteren Zeitpunkt an einen virtuellen Server gebunden werden kann.

0151T000003d6GdQAI.png

Policy Properties

Anschließend kann man die Methode wählen, wie die Policy erstellt werden soll. Hier wird das manuelle Erstellen einer Policy gewählt.

0151T000003d6GeQAI.png

Unter diesem Punkt wird der Name der Policy vergeben.

Language

Sehr wichtig ist das Auswählen der „Application Language“. Diese muss unbedingt richtig gewählt werden, da Attacken sonst nicht sicher erkannt werden oder viele False-Positives enstehen.

Die Information sollte normalerweise in der Webseite mit angegeben sein. Schaut man sich den Quelltext einer Webseite an, erhält man diese Information.

0151T000003d6GfQAI.png

Sollte diese Information nicht angegeben sein, ist es ratsam mit dem Entwickler zu sprechen und sich diese Information einzuholen.

Enforcement Readiness Period

Der Punkt „Enforcement Readiness Period“ gibt an, wie lange neu gelernte Elemente sich im so genannten „Staging“ befinden. Das bedeutet, diese Elemente wurden neu gelernt bzw. hinzugefügt und müssen sich erst „beweisen“, dass es auch valide Elemente sind. Hierzu zählen z.B. URLs, Pfade, Signaturen, usw.

Da sich in diesem Fall die Policy „nur“ auf Signaturen bezieht, wird sich das Staging bzw. die Readiness Period auch nur auf diese auswirken. Dies ist aber wichtig, denn wenn neue Signaturen hinzugefügt werden (z.B. Signatur-Update), sollten diese nicht gleich blocken, sondern erst in der Staging-Phase, in der sie sich zu Beginn befinden, auf False-Positives überprüft werden.

Attack Sigantures

0151T000003d6GgQAI.png

Nun werden, entsprechend der zu schützenden Systeme, die zu verwendenden Attack-Signaturen ausgewählt.

Signature Staging

Der Hacken „Signature Staging“ ist zu setzen, damit die Signaturen sich für den Zeitraum der „Enforcement Readiness Period“ im Staging befinden und somit auch nicht blocken. Nach dem Ablauf der „Enforcement Readiness Period“ sind die Signaturen „Ready for Enforcement“ und müssen dann manuell „enforced“ werden. Das bedeutet, die Siganturen können nun Angiffe blocken, wenn die Policy im Modus „blocken“ betrieben wird. Hierzu gibt es später mehr Details.

0151T000003d6GhQAI.png

Anschließend bekommt man eine kurze Übersicht über die gewählte Konfiguration und kann diese dann mit „Finish“ abschließen.

All Policy Properties

Auf der folgenden Seite bekommt man die Einstellungen der Policy angezeigt.

0151T000003d6GiQAI.png

Der „Enforcement Mode“ der Policy ist per default auf „Transparent“ gestellt. Das bedeutet, die Policy wird bei dem Erkennen eines Angiffs diesen nicht blocken, sondern loggen.

Wird der Mode auf „Blocking“ geändert und die Signatur befindet sich nicht im „Staging“ Mode, wird der Angriff geblockt.

Policy Änderungen

Wichtig: Nimmt man Policy-Änderungen vor, müssen diese „applied“ werden.

0151T000003d6GjQAI.png

History

Über das Ändern einer Policy wird ein History Log geführt, indem auch „alte“ Policies wieder zurückgespielt werden können.

0151T000003d6GkQAI.png

Policy-Log

Welche Änderungen wann von wem durchgeführt wurden, kann man dem Policy-Log entnehmen:

0151T000003d6GlQAI.png

Policy Setting Parameter Level: URL

Diese Policy kann nun an einen virtuellen Server gebunden werden. Damit im Falle eines False-Positives aber Signaturen nicht global ausgeschaltet werden, ist es ratsam, den Parameter Level der Policy auf „URL“ zu stellen. Dadurch kann man Signaturen pro Parameter und URL abschalten.

0151T000003d6GmQAI.png

 

Binden einer Policy an einen virtuellen Server

Ist der virtuelle Server bereits konfiguriert, kann diesem die Policy unter dem Reiter „Security“ hinzugefügt werden (Application Security Policy). Ebenfalls sollte man hier die Auswahl eines entsprechenden Log Profiles treffen.

0151T000003d6GnQAI.png

Schon hat man eine Policy erstellt und diese an einen virtuellen Server gebunden. Nun geht es noch darum ggf. auftretenden False-Positives zu ermitteln und abzuschalten.

Bevor ich aber darauf eingehe möchte kurz einige Begriffe und „Phasen“ wiederholen.

Staging

Wenn sich ein Element (Parameter, URL, Signatur, ...) im Staging befindet, wird für dieses Element kein „Blocken“ bei dem Erkennen einer Policyverletzung durchgeführt. Unabhängig des Enforcement Modes.

Enforcement Mode

Transparent oder Blocking. Im ersten Fall (Transparent) blockt die Policy nie. Hier kann lediglich geloggt werden. –Also wenn ein Angriff erkannt wurde.

Ist die Policy im Blocking Mode und die Signaturen oder entsprechende weitere Elemente (URL, Parameter, ...) nicht im Staging Mode, dann wird der Angriff geblockt.

Das Einstellen des Enforcement Modes kann über die Seite Security/Application Security: Security Policies/Properties unter Enforcement Mode ausgwählt werden.

Alternativ auch über Security/Application Security Blocking: Settings.

0151T000003d6GoQAI.png

Unter den Blocking Settings können ebenfalls auch weitere Schutzmechanismen aktivieren, sofern diese vorher konfiguriert wurden.

RFC Violations

Ebenfalls kann auch hier das Erkennen und Blocken von RFC Violations durchgeführt werden. Per Default sind einige Violations bereits durch das Konfigurieren des Rapid Deplyments aktiviert.

0151T000003d6GpQAI.png

Enforcement Readiness

Sind Objekte (URLs, Paramenter, Signaturen, ...) bereits über die „Enforcement Readiness Period“ der Policy bekannt, werden diese unter der Spalte „Ready To Be Enforced“ dargestellt und können entsprechend „enforced“ und damit „scharf“ geschaltet werden. „Scharf“ bedeutet im Blocking Mode, dass geblockt und geloggt wird, im Transparent Mode nur geloggt.

0151T000003d6GqQAI.png

Möchte man die Signaturen sofort im „Ready To Be Enforced“ Mode haben, kann man die „Enforcement Readiness Period“ auf „0“ stellen.

Für später neue Signaturen (Update) empfiehlt es sich, diese dann wieder auf einen höheren Wert zu setzen.

Okay, kommen wir nun zum Eliminieren von False-Potitives.

Eliminieren von False-Positives

Nun ist die Policy im transparenten Modus, die Signaturen im Staging und der Parameter-Level auf URL gestellt.

Manual Traffic Learning

Findet nun eine Verletzung der Policy statt, also eine Signatur erkennt einen Angriff, so findet man diese Information unter: Security/Application Security/Policy Building/Manual Traffic Learning.

0151T000003d6GrQAI.png

Hier kann man nun auf den Link „Attack signatures detected“ klicken und anschließend bekommt man die Violations aufgelistet.

0151T000003d6GsQAI.png

Durch das Klicken auf den Signatur Namen bekommt man Informationen zu der Signatur, die angeschlagen hat:

0151T000003d6GtQAI.png

Wenn dies tatsächlich ein Angriff war, kann man den Eintrag durch den „Clear“ Button entfernen. War es jedoch ein False-Positive, kann die entsprechende Signatur durch den „Accept Button“ auf dem Parameter und der URL disabled werden.

0151T000003d6GuQAI.png

Hier wird die Sigantur-ID 200002147 für den Parameter „username“ auf der URL „login.php“ ausgeschaltet.

Gelernte Parameter und URLs

Den Parameter sowie die URL lernt ASM automatisch mit. Wichtig ist hierbei, dass der jeweilige Wildcard Eintrag „*“ nicht im Staging ist, da sonst der Angriff durch die Signatur nicht geblockt werden würde.

0151T000003d6GvQAI.png

0151T000003d6GwQAI.png

Ready To Be Enforced

Dies kann nun während der Enforcement-Readiness-Period durchgeführt werden. Anschließend befinden sich die Signaturen im „Ready To Be Enforced“ Mode und können „enforced“ werden.

0151T000003d6GxQAI.png

Wird nun ein Angriff erkannt, so wird dieser, so lange die Policy noch im transparenten Modus ist, nicht geblockt sondern nur geloggt.

Eventlogging

Das Logging findet man unter Security/Event Logs/Application/Requests:

0151T000003d6GyQAI.png

An dem roten Fähnchen kann man den Verstoß erkennen. Wäre die Policy im Blocking Mode, würde hier stattdessen das Durchfahrtsverbotszeichen erscheinen.

Angriffsdetails

Details zu dem Angiff kann man nun durch das Klicken auf das Fähnchensymbol erhalten.

0151T000003d6GzQAI.png

Weitere Details kann man durch die Auswahl des „HTTP Request“ Reiters erhalten.

0151T000003d6H0QAI.png

Details zu dem Angriff erhält man durch das Klicken des entsprechenden Links in den General Details.

0151T000003d6H1QAI.png

Möchte man die Meldung aus dem Log entfernen, kann man dies mit Hilfe des Clear Buttons durchführen.

Bereinigen von False-Positives

Handelt es sich um einen False-Positive, kann man diesen durch das Anklicken des „Learn“ Buttons lösen. Hierdurch ruft man automatisch die bekannte Traffic Learning Page auf.

0151T000003d6H2QAI.png

Wenn sich die Policy etabliert hat und es keine False-Positives mehr entstehen, kann man die Policy in den Blocking Mode schalten.

0151T000003d6H3QAI.png

Blocking Page

Wird ein Angriff nun erkannt, bekommt der Client eine entsprechende Meldung im Browser angezeigt.

0151T000003d6H4QAI.png

Diese Seite kann auch individuell angepasst werden:

0151T000003d6H5QAI.png

Attack Signature Lists

Möchte man sich die Liste der verwendeten Signaturen innerhalb einer Policy anzeigen lassen, kann man dies unter Security/Application Security/Attack Signatures/Attack Signatures List tun.

Dies ist auch mit erweiterten Filter Details möglich. Hier werden z.B. nur Signaturen angezeigt, die Veränderungen durch URL- und Parameterausnahmen haben. Also Ausnahmen, die durch False-Positives erzeugt wurden.

0151T000003d6H6QAI.png

Das wars auch schon. Natürlich kann diese Policy auch um weitere Schutz-Funktionen ergänzt werden. Dies kann nun für einzelene virtuelle Server, vielleicht in Abhängigkeit des Gefahrenpotentials, durchgeführt werden.

Ergänzen möchte ich den Beitrag noch zu einer ganz kurzen Abgrenzung vom ASM gegenüber IDS/IPS, da dies oft ein Thema bei Kunden ist, die solche Systeme bereits im Einsatz haben.

Ich denke es ist wichtig zu Verstehen, dass die beiden Systeme ASM und IDS/IPS sich nicht gegenseitig ersetzen, sondern vielmehr ergänzen. IDS/IPS verfolgen eher einen generischen netzwerkspezifischen Einsatz, hingegen ASM speziell auf HTTP(S) optimiert ist und bei diesem Protokoll typischerweise entsprechende Vorteile hat, selbst wenn „nur“ Signaturen eingesetzt werden. Das liegt zum einen daran, dass die Signaturen einer Webapplication Firewall in der Regel wesentlich mehr Angriffe kennen, aber auch an der Netzarchitektur und der damit verbundenen Position, an dem die Geräte plaziert sind.

IDS/IPS Systeme sind oft unmittelbar vor oder nach der Netzwerkfirewall eingesetzt und hier ist der Traffic häufig verschlüsselt. Somit haben diese Systeme gar keine Chance HTTP-Angriffe zu erkennen.

Verschlüsselter Traffic wird in der Regel auf dem Loadbalancer (LTM) terminiert und auf dem gleichen System befindet sich dann auch oft das ASM Modul. Domit liegen die Informationen im Klartext vor und das ASM Modul kann schützen. Ein weiterer Vorteil des ASM Modul im HTTP Umfeld ist es, das die Signaturen im Falle eines False-Positives nicht global abgeschaltet werden müssen, sondern pro Policy auf URL und Parameter Ebene. Das bedeutet also, wenn bei einer bestimmten Policy und einer explizieten URL an einem dedizierten Parameter eine Signatur falsch anschlägt, dann kann diese auch genau dafür abgeschaltet werden und schützt weiterhin auf der gesamten Webseite.

Jetzt wünsche ich Ihnen viel Spass bei dem Erstellen der nächsten Policies und hoffe, der Artikel kann Ihnen ein wenig dabei helfen.

Ihr F5-Blogger, Sven Müller

Comments
Albert_59847
Nimbostratus
Nimbostratus
Nice information ... can you please use common protocol (English). Thanks ....
Nishanth_Singar
Nimbostratus
Nimbostratus
This is so good Sven 🙂
whswhswhs124_98
Nimbostratus
Nimbostratus
whscheck
Version history
Last update:
‎12-Sep-2014 00:56
Updated by:
Contributors