- Why Edgenexus?
- Try
- Products
- Solutions
- Applications
- Resources
COMPARE
READ
WATCH
SEE
Alliances and Partners
- Support
WAF Test Drive Tutorial
Guía del usuario
Bienvenido a nuestra prueba de conducción.
Índice
Este documento te proporcionará la información que necesitas para sacar el máximo partido a tu tutorial de prueba del cortafuegos de aplicaciones WAF.
- El WAF test drive es un entorno completo de pruebas y formación en seguridad de aplicaciones web. Incluye: equilibrador de carga/ADC, WAF (Cortafuegos de Aplicaciones Web), herramienta de ataque a aplicaciones Zap, DVWA (Presa de Aplicaciones Web Vulnerables).
Puedes descargarlo a continuación (no necesitas una cuenta Azure)
El ALB-X tiene capacidad para ejecutar aplicaciones en contenedores que pueden unirse directamente o utilizando el proxy del equilibrador de carga. Esta imagen ya tiene 3 desplegadas, pero siempre puedes ir a Appstore y desplegar más. 🙂
El cortafuegos de aplicaciones web es uno de los varios complementos de funciones que pueden aplicarse al equilibrador de carga ALB-X.
- Hemos intentado que la implantación del WAF sea lo más sencilla posible, pero obviamente hay algunas cosas que puedes configurar para ajustar el entorno a tus necesidades.
Destacaremos estos ajustes durante la causa de este recorrido de prueba de conducción.
En un escenario de la vida real, el WAF recibiría e inspeccionaría las peticiones / tráfico http del cliente y reenviaría o bloquearía esas peticiones para que no lleguen a tu aplicación web, dependiendo de si la petición activó una regla del cortafuegos.
En primer lugar, hemos supuesto que probablemente no quieres someter tu aplicación web en vivo a un ataque malicioso, pero sí quieres ver cómo funciona el WAF. (Esto se puede cambiar fácilmente si quieres probar tus servidores reales. 🙂 )
Así que hemos creado un entorno autónomo para poder ejercitar y demostrar el comportamiento WAF.
- Para ello, hemos optado por utilizar 2 herramientas de pruebas de seguridad muy utilizadas: el “Proxy de ataque OWASP Zed”, para poder generar tráfico de ataque, y la “Maldita Aplicación Web Vulnerable” que, como su nombre indica, simula una aplicación web con muchos agujeros de seguridad que explotar.
Aunque aquí recorreremos algunos ajustes básicos de configuración para poder utilizar estas herramientas, este documento no debe considerarse una guía completa de las aplicaciones.
Te animamos a que visites los portales oficiales en línea de cada una de las herramientas para conocer todos los detalles, si aún no estás familiarizado con su uso o funcionamiento.
Como siempre, encontrarás varios vídeos explicativos en YouTube que también te pueden resultar útiles. Ambas herramientas se han importado rápida y fácilmente al entorno de contenedores docker de ALB-X, el mismo que utilizamos para desplegar el WAF (y también el GSLB).
Resumen de conectividad
Las máquinas virtuales desplegadas en la nube Azure utilizan direccionamiento IP interno privado (IP “s NAT” ed) del mismo modo que se desplegarían en un entorno de centro de datos estándar.
- Para acceder al recurso a través de la Internet pública, se realiza una función NAT desde la dirección IP pública asignada a la dirección IP privada de la máquina virtual.
Se asigna una dirección IP al aparato y se utilizan diferentes puertos para acceder a los distintos recursos.
El siguiente diagrama muestra cómo se comunican las distintas funciones.
Nombre de host Docker / dirección IP y conectividad del servicio IP
Las aplicaciones complementarias desplegadas en ALB-X se comunican con ALB-X a través de una interfaz de red docker0 interna. Se les asignan automáticamente direcciones IP del pool interno docker0.
- Se configura un nombre de host para cada instancia de la aplicación complementaria a través de la GUI ALB-X antes de iniciar la aplicación.
El ALB-X es capaz de resolver la dirección IP docker0 de la aplicación utilizando este nombre de host interno.
- Utiliza siempre el nombre del host cuando te dirijas a los contenedores de la aplicación: ¡las IP pueden cambiar!
Los servicios IP que utilizan la dirección IP privada Azure eth0 están configurados en el ALB-X para permitir el acceso externo a la aplicación complementaria.
Esto permite utilizar la función de proxy inverso del ALB-X para realizar la descarga SSL y la traducción de puertos cuando sea necesario.
Así que estos son todos los puertos abiertos:
-
ALB-X GUI Gestión: 27376
-
Ataque ZAP Proxy: 8080 y 8900
-
DVWA: 8070
-
Los puertos 80 y 443 están abiertos para permitir el acceso directo a la WAF
Acceder a la interfaz gráfica de usuario de Prueba de conducción
Cuando solicitas una prueba, se crea una nueva instancia del dispositivo de prueba WAF en Azure. Una vez que se haya iniciado, se te indicará el nombre de host de Internet para poder acceder a la GUI Web de la plataforma ALB-X, así como la combinación única de nombre de usuario y contraseña.
Para ello, te recomendamos que utilices el navegador Chrome.
- Accede al Servidor https://host name:27376
Como utilizamos un certificado SSL local para el acceso de gestión, se te pedirá en tu navegador que aceptes la alerta de seguridad. Verás la pantalla de preconfiguración de servicios IP una vez que te conectes.
Hemos nombrado cada uno de los servicios para que sea fácil identificar para qué se utilizan y cómo tienes que construir el enlace en la barra de direcciones de tu navegador para acceder al servicio, sustituyendo el x.x.x.x por el nombre de host de Azure o la dirección IP pública.
- Ten en cuenta que es normal que el servicio Zed Attack Proxy en el puerto :8090 muestre un error rojo de comprobación de estado hasta que se inicie accediendo a la interfaz de gestión del proxy en el puerto :8080/zap/.
Complementos ALB-X
Haz clic en Biblioteca en el menú de la izquierda y selecciona Complementos
Aquí puedes ver los 3 Add-Ons que se han desplegado en la plataforma ALB-X.
Cada uno se ha configurado con un contenedor o nombre de host (waf1, zap1, dvwa1) y puedes ver la dirección IP docker0 dinámica 172.31.x.x que se asignó cuando se inició la aplicación.
Ten en cuenta que en el entorno Azure no se utilizan los botones de acceso a la GUI del Add-On.
Siéntete libre de hacer clic por el resto de la interfaz GUI de ALB-X para familiarizarte.
GUI WAF
Como lo que te interesa es la funcionalidad WAF, lo lógico sería que ahora echaras un vistazo a la GUI WAF 🙂
- La Gestión WAF, como puedes ver en la nomenclatura de servicios IP, se ejecuta en el puerto :88 al que debes añadir la ruta /waf/ al introducir la dirección en tu navegador.
Cuando lo hagas, aparecerá la pantalla de inicio de sesión.
La combinación de nombre de usuario y contraseña por defecto es admin / jetnexus. Cuando hayas iniciado sesión, verás la siguiente pantalla.
Este panel muestra un resumen de los eventos que han sido activados por el WAF en las últimas 24 horas. Como se trata de una unidad de prueba preconfigurada, ya hemos establecido los detalles del host que se va a proteger en la página Gestión.
La unidad de prueba ha obtenido dinámicamente la dirección IP de la interfaz privada de Azure y la ha establecido en el cuadro de configuración del servidor real / VIP junto con el puerto :8070, el puerto que hemos elegido utilizar para acceder al servidor web DVWA. Como se trata de una unidad de prueba preconfigurada, ya hemos establecido los detalles del host que se va a proteger en la página Gestión.
- El servidor Real /VIP es la dirección:puerto de la aplicación o servidor Virtual que estamos protegiendo.
Por favor, siéntete libre de cambiar aquí la dirección IP para que apunte a tu propio servidor.
- Nota para soportar externamente el tráfico HTTPS necesitarás enviar el tráfico a través de un servicio ALB-X de forma similar a como hemos configurado el acceso al servidor DVWA.
Mientras estamos aquí, deberíamos echar un vistazo a la página del Cortafuegos WAF.
Aquí es donde estableces el modo de funcionamiento y puedes ver qué reglas se han detectado y permite hacer una lista blanca de las reglas que no quieres bloquear.
El conjunto de reglas cargado por defecto es el OWASP core ruleset. Contiene detalles de, literalmente, miles de vectores de ataque diferentes, tal y como los mantiene OWASP.
La captura de pantalla anterior muestra el WAF funcionando en el modo predeterminado de sólo detección. Cámbialo al modo de detección y bloqueo en la prueba para que el WAF bloquee activamente cualquier ataque. Actualmente no deberías tener ningún evento, pero cuando los tengas se mostrarán así.
Puedes aplicar un filtro a la pantalla de eventos para centrarte en los eventos concretos que te interese observar.
Proxy de ataque Zed
Aunque recomendamos utilizar el navegador Chrome para el acceso de gestión a los aparatos, querrás utilizar otro navegador para generar el tráfico de prueba y yo recomendaría Firefox para este fin.
- ZAP se inicia conectando tu navegador de gestión (Chrome) a :8080/zap/. Al hacerlo, verás primero la primera pantalla de inicialización de la webswing de ZAP.
Esto cambiará en el próximo inicio de ZAP.
- Y luego tienes la opción de elegir si quieres persistir la sesión, para que se pueda volver a cargar después. Para la prueba de conducción esto probablemente no sea necesario.
Una vez completado esto, ZAP se ejecutará y el LED del servicio IP 8090 cambiará de Rojo a Verde, mostrando que la comprobación de salud TCP está pasando, ya que el puerto :8090 está ahora abierto.
- Ahora tenemos que configurar el navegador para que utilice un proxy. Ahora puedes configurar tu navegador de tráfico web Firefox para que utilice la dirección IP pública de ZAP y el puerto :8090 como Proxy de Red.
Acceso DVWA mediante ZAP Proxy
Ahora deberías poder acceder al DVWA utilizando el navegador de tráfico Firefox a través del Proxy ZAP y el WAF introduciendo el nombre de host o la dirección IP pública de tu Unidad de Pruebas utilizando el puerto web estándar :80 ya sea http://X.X.X.X o algo como
- http://jetnexus-wafturcokjygzudw.centralus.cloudapp.azure.com
Deberías ver una pantalla como ésta.
Haz clic en Crear / Restablecer base de datos.
Accede al DVWA con las credenciales por defecto admin / contraseña.
Ahora estarás conectado a la DVWA como administrador.
El nivel de seguridad por defecto del DVWA es “Imposible”, por lo que no mostrará ninguna vulnerabilidad. Debes establecer el nivel en bajo haciendo clic en el menú Seguridad del DVWA seleccionando Bajo en el desplegable y haciendo clic en enviar.
La DVWA ya está preparada y lista para ser utilizada como objetivo de pruebas de vulnerabilidad.
Utilizar ZAP
Hay que seguir algunos pasos para configurar ZAP para que primero arañe la aplicación DVWA y luego realice un ataque. Te remitimos a varios recursos en línea para obtener información detallada sobre cómo configurarlo, en lugar de regurgitar la información aquí.
- Este vídeo de YouTube sigue los pasos precisos y es lo que yo mismo seguí en el proceso de configuración de esta prueba de conducción. Ten en cuenta que va bastante rápido, así que te recomiendo ralentizar el vídeo a la mitad o a la cuarta parte. 🙂
Cuando se refiera a establecer el proxy de tu navegador en localhost, ya habrás realizado los pasos de configuración necesarios más arriba.
Ver los resultados
Cuando hayas realizado el ataque, deberías poder ver los resultados tanto en la interfaz gráfica de usuario del proxy ZAP como en la del WAF. Aquí puedes ver el árbol de vulnerabilidades que fue rastreado y luego atacado como usuario administrador.
- Mirando la GUI del WAF puedes ver los ataques detectados y bloqueados.
De vuelta en la ventana del proxy ZAP, puedes ver que los ataques recibieron una respuesta de error 403 del WAF, bloqueando su avance hacia el servidor DVWA.
El WAF cumple su función prevista de proteger de los ataques al servidor de aplicaciones.
DOS - Denegación de servicio
Además de ser capaz de bloquear miles de ataques de hackers, el WAF también es capaz de filtrar algunos comportamientos de ataques DOS para que no lleguen a servidores web sensibles.
- Hay una sección DOS en la configuración del WAF donde puedes aplicar y ajustar los parámetros de temporización y volumen para el patrón de ataque que quieras proteger.
Experimento
Esperamos que esta prueba te resulte útil para descubrir la facilidad de configuración de la implementación del Cortafuegos de Aplicaciones Web ALB-X de Edgenexus.
- Te animamos a que experimentes un poco más con la interfaz y siempre puedes desviar temporalmente algo de tráfico en directo a través del WAF en modo de detección para ver qué ataques se están realizando potencialmente a tus propias aplicaciones publicadas, ¡puede que te sorprendas!
Agradecemos tus comentarios y estaremos encantados de ayudarte a configurar tu propia implementación WAF de producción.
Gracias.
- Esperamos de verdad que disfrutes de tu implantación del Cortafuegos de Aplicaciones Web ALB-X de Edgenexus.
Agradeceremos cualquier pregunta que puedas hacernos a pre-sales@edgenexus.io.
No te fíes de nuestra palabra: haz una prueba gratuita
Hardware, software o incluso tu propia imagen en línea con un entorno de pruebas completo.
Sólo tienes que decirnos lo que necesitas aquí
TIENDA DE APLICACIONES
Copyright © 2021 Edgenexus Limited.