Why Choose Edgenexus?

TRY

Azure Test Drive

Free Trial

PRODUCTS

Load Balancer

Global Server Load Balancing

Web Application Firewall

EADP – EDGENEXUS APPLICATION DELIVERY PLATFORM

SOLUTIONS

Containerisation

DevOps

IoT

NFV

SDN

Security

APPLICATIONS

Load Balance Always on VPN

Direct Access

TMG Replacement

Exchange

Lync

Skype for Business

Sharepoint

Remote Desktop Services

Oracle E-Business Suite

RESOURCES

READ:

Compare Load Balancers

Compare to Azure Load Balancer

Compare F5 and Edgenexus Load Balancer 

Case Studies

Data Sheets

Blog

FAQs

WATCH:

Tutorials

Webinars

SUPPORT

Contact us

User Guides

Tutorial de Test Drive do WAF
Guia do usuário

Bem-vindo ao nosso test-drive.

Fazer um teste de condução

Índice

Este documento fornecerá as informações necessárias para tirar o máximo proveito do seu tutorial de teste de firewall de aplicação WAF.

  • A unidade de teste WAF é um ambiente completo de teste e formação em segurança de aplicações Web. Isto inclui, balanceador de carga/ADC, WAF (Web Application Firewall), ferramenta de ataque de aplicações Zap, DVWA (Dam Vulnerable Web Application)

Pode ser descarregado abaixo (não necessita de uma conta Azure)

O ALB-X tem a capacidade de executar aplicativos em contêineres que podem ser unidos diretamente ou usando o proxy do balanceador de carga. Esta imagem já tem 3 implementadas, mas você sempre pode acessar a Appstore e implementar mais 🙂

jetnexus ALB APPS

A Web Application Firewall é uma das várias funcionalidades adicionais que podem ser aplicadas ao ALB-X load balancer.

  • Tentámos tornar a implementação do WAF o mais simples possível, mas existem obviamente algumas coisas que pode configurar para ajustar o ambiente de acordo com as suas necessidades.

Iremos destacar estas definições durante a causa deste passeio de test drive.

Num cenário real, o WAF receberia e inspeccionaria os pedidos/tráfego http do cliente e encaminharia ou bloquearia esses pedidos de chegarem à sua aplicação Web, consoante o pedido accionasse uma regra de firewall.

Partimos do princípio de que provavelmente não quer sujeitar a sua aplicação Web ativa a um ataque malicioso, mas quer ver como o WAF funciona. (Isto pode ser facilmente alterado se quiserem testar os vossos servidores reais 🙂 )

Por isso, criámos um ambiente autónomo para podermos exercitar e demonstrar o comportamento do WAF.

  • Para o efeito, optámos por utilizar duas ferramentas de teste de segurança amplamente utilizadas: o "OWASP Zed attack proxy" para poder gerar tráfego de ataque e o "Damn Vulnerable Web Application" que, tal como o nome sugere, simula uma aplicação Web com muitas falhas de segurança a explorar.

Embora aqui abordemos algumas definições básicas de configuração para podermos usar essas ferramentas, este documento não deve ser considerado um guia abrangente dos aplicativos.

Recomendamos que você visite os portais on-line oficiais de cada uma das ferramentas para obter detalhes completos, caso ainda não esteja familiarizado com seu uso ou operação.

Como sempre, você encontrará vários vídeos passo a passo no YouTube que também podem ser úteis. Ambas as ferramentas foram importadas de forma rápida e fácil para o ambiente de contêiner do docker ALB-X, o mesmo ambiente que usamos para implantar o WAF (e também o GSLB).

Visão Geral da Conectividade

As máquinas virtuais implantadas na nuvem Azure utilizam o endereçamento IP interno privado (NAT'ed IP's) da mesma forma que seriam implantadas num ambiente de centro de dados padrão.

  • Para ter acesso ao recurso através da Internet pública, é realizada uma função NAT a partir do endereço IP público atribuído para o endereço IP privado da máquina virtual.

Um endereço IP é alocado para o dispositivo e diferentes portas são usadas para acessar os diferentes recursos.

O diagrama abaixo mostra como as diferentes funções se comunicam.

WAF Setup Diagram

Nome do anfitrião do Docker / endereço IP e conectividade do serviço IP

As aplicações complementares implantadas no ALB-X comunicam com o ALB-X através de uma interface de rede interna docker0. São-lhes automaticamente atribuídos endereços IP do pool interno do estivador0.

  • Um nome de anfitrião para cada instância da aplicação suplementar é configurado através do GUI do ALB-X antes de iniciar a aplicação.

O ALB-X é capaz de resolver o endereço IP do docker0 para a aplicação utilizando este nome de anfitrião interno.

  • Utilize sempre o nome do anfitrião quando abordar os recipientes da aplicação - os IP's podem mudar!

Os serviços de IP que usam o endereço IP privado Azure eth0 são configurados no ALB-X para permitir o acesso externo ao aplicativo complementar. Isso permite o uso da função de proxy reverso do ALB-X para executar o descarregamento de SSL e a conversão de portas quando necessário.

Portanto, essas são todas as portas abertas:

  • ALB-X GUI Management: 27376
  • Ataque ZAP Proxy: 8080 e 8900
  • DVWA: 8070
  • As portas 80 e 443 estão abertas para permitir o acesso direto ao WAF

Aceder ao GUI Test Drive

Quando você solicita um test drive, uma nova instância do dispositivo de teste WAF é criada no Azure. Uma vez iniciado, ser-lhe-á indicado o nome do anfitrião da Internet para poder aceder à GUI Web da plataforma ALB-X e também a combinação única de nome de utilizador e palavra-passe.

jetnexus TEST DRIVE

Recomendamos a utilização do navegador Chrome para este fim.

  • Aceder ao servidor https://host nome:27376

Como usamos um certificado SSL local para o acesso de gerenciamento, você será solicitado no navegador a aceitar o alerta de segurança. Você verá a tela de pré-configuração dos serviços de IP após o login.

Nomeámos cada um dos serviços para facilitar a identificação da sua utilização e da forma como deve construir a ligação na barra de endereços do seu browser para aceder ao serviço, substituindo o x.x.x.x pelo nome do anfitrião do Azure ou pelo endereço IP público.

  • Note que é normal que o serviço Zed Attack Proxy na porta :8090 apresente um erro vermelho de verificação de saúde até ser iniciado acedendo à interface de gestão do proxy na porta :8080/zap/.

Suplementos ALB-X

Clique em Biblioteca no menu da esquerda e seleccione Add-Ons

jetnexus ALB APPS

Aqui você pode ver os 3 Add-Ons que foram implantados na plataforma ALB-X.

Cada um foi configurado com um contêiner ou nome de host (waf1, zap1, dvwa1) e você pode ver o endereço IP dinâmico docker0 172.31.x.x que foi alocado quando o aplicativo foi iniciado.

Observe que, no ambiente do Azure, os botões de acesso à GUI do Add-On não são usados.

Fique à vontade para clicar no restante da interface da GUI do ALB-X para se familiarizar.

GUI DO WAF

Uma vez que é na funcionalidade WAF que está interessado, faria sentido dar uma vista de olhos à GUI do WAF 🙂

  • O WAF Management, como se pode ver na nomeação dos serviços IP, corre na porta :88, à qual se deve adicionar o caminho /waf/ quando se introduz o endereço no browser.

Quando o fizer, ser-lhe-á apresentado o ecrã de início de sessão.

WAF LOGIN

A combinação padrão de nome de usuário e senha é admin / jetnexus. Quando estiver conectado, você verá a seguinte tela.

jetnexus WAF

Este dashboard mostra um resumo dos eventos que foram accionados pelo WAF nas últimas 24 horas. Como se trata de uma unidade de teste pré-configurada, já definimos os detalhes do anfitrião a ser protegido na página Gestão.

jetnexus WAF SETUP

A unidade de teste obteve dinamicamente o endereço IP da interface privada do Azure e definiu-o na caixa de configuração do servidor real / VIP, juntamente com a porta :8070, a porta que escolhemos utilizar para aceder ao servidor Web DVWA. Como se trata de uma unidade de teste pré-configurada, já definimos os detalhes do anfitrião a ser protegido na página Gestão.

  • O servidor Real /VIP é o endereço:porta da aplicação ou servidor Virtual que estamos a proteger.

Não hesite em alterar o endereço IP aqui para apontar para o seu próprio servidor.

  • Nota: para suportar o tráfego HTTPS externamente, terá de enviar o tráfego através de um serviço ALB-X de forma semelhante à que configurámos para aceder ao servidor DVWA.

Enquanto isso, devemos dar uma vista de olhos na página da Firewall WAF. É aqui que define o modo de funcionamento e pode ver quais as regras que foram detectadas e permite a criação de listas brancas de regras que não pretende bloquear.

O conjunto de regras carregado por predefinição é o conjunto de regras principais do OWASP. Este contém detalhes de literalmente milhares de diferentes vectores de ataque, conforme mantido pela OWASP.

jetnexus WAF WHITELIST

A captura de ecrã acima mostra o WAF a funcionar no modo predefinido de apenas deteção. Altere esta opção para o modo de deteção e bloqueio na unidade de teste para que o WAF bloqueie ativamente quaisquer ataques. Atualmente, não deve ter quaisquer eventos, mas quando os tiver, serão apresentados desta forma.

WAF RESULTS

É possível aplicar um filtro ao ecrã de eventos para poder focar os eventos específicos que está interessado em observar.

web application firewall CONFIGURE ZAP

Zed Attack Proxy

Embora recomendemos a utilização do navegador Chrome para o acesso de gestão aos aparelhos, será necessário utilizar outro navegador para gerar o tráfego de teste e, para o efeito, recomendo o Firefox.

  • O ZAP é iniciado ligando o seu navegador de gestão (Chrome) a :8080/zap/. Quando o fizer, verá primeiro o primeiro ecrã de inicialização do ZAP webswing.
Session initialized

Isto será alterado para o arranque seguinte do ZAP.

OWASP ZAP
  • E depois tem a opção de escolher se quer manter a sessão, para que possa ser carregada novamente mais tarde. Para o teste de condução, isto provavelmente não é necessário.
zh hans flag

Quando isto estiver concluído, o ZAP estará a funcionar e o LED no serviço IP 8090 mudará de vermelho para verde, mostrando que a verificação de integridade do TCP está a passar, uma vez que a porta :8090 está agora aberta.

  • Agora precisamos de configurar o browser para utilizar um proxy. Pode agora configurar o seu browser de tráfego web Firefox para utilizar o endereço IP público do ZAP e a porta :8090 como Proxy de Rede.
ZAP PROXY
Substitua X.X.X.X pelo IP público da sua unidade de teste.

Acesso DVWA através do ZAP Proxy

Agora deve ser capaz de aceder ao DVWA usando o navegador de tráfego Firefox através do ZAP Proxy e do WAF, introduzindo o nome do anfitrião ou o endereço IP público do seu Test Drive usando a porta web padrão :80 ou http://X.X.X.X ou algo como

  • http://jetnexus-wafturcokjygzudw.centralus.cloudapp.azure.com

Deverá ver um ecrã como este.

DVWA DatabaseSetup

Clique em Criar / Repor a base de dados.

Iniciar sessão no DVWA com a senha / administrador de credenciais padrão.

DVWA login page

Será agora registado no DVWA como administrador.

DVWA GUIDE

O nível de segurança predefinido para o DVWA é "Impossível", pelo que não apresentará quaisquer vulnerabilidades. Para definir o nível como baixo, clique no menu Segurança DVWA, seleccione Baixo no menu pendente e clique em Submeter.

DVWA security page

O DVWA está agora todo preparado e pronto a ser utilizado como um alvo de teste de vulnerabilidade.

Utilização do ZAP

Existem alguns passos a seguir para configurar o ZAP para, em primeiro lugar, fazer o spider da aplicação DVWA e depois efetuar um ataque. Em vez de repetirmos aqui as informações, recomendamos que consulte os vários recursos em linha para obter informações pormenorizadas sobre a forma de o fazer.

  • Este vídeo do YouTube apresenta os passos exactos e foi o que eu próprio segui no processo de configuração deste test drive. Nota: o vídeo é bastante rápido, pelo que recomendo que o diminua para metade ou um quarto 🙂

Quando se refere à definição do proxy do seu browser para localhost, já efectuou os passos de configuração necessários acima.

Visualizar os resultados

Depois de executar o ataque, você poderá ver os resultados nas GUIs do ZAP Proxy e do WAF. Aqui você pode ver a árvore de vulnerabilidades que foi pesquisada e depois atacada como usuário administrador.

OWASP ATTACK
  • Ao olhar para a GUI do WAF, pode ver os ataques que foram detectados e bloqueados.

De volta à janela do proxy ZAP, pode ver que os ataques receberam uma resposta de erro 403 do WAF, bloqueando o seu progresso até ao servidor DVWA.

waf Results dashboard

O WAF está a desempenhar a função pretendida de proteger os ataques ao servidor de aplicações.

DOS - Negação de serviço

Para além de ser capaz de bloquear milhares de ataques de hackers, o WAF também é capaz de filtrar alguns comportamentos de ataque DOS para que não cheguem a servidores Web sensíveis.

  • Existe uma secção DOS na configuração do WAF onde pode aplicar e ajustar os parâmetros de tempo e volume para o padrão de ataque que pretende proteger.

Experiência

Esperamos que este teste seja útil para que possa descobrir a facilidade de configuração da implementação da Edgenexus ALB-X Web Application Firewall.

  • Recomendamos que faça mais experiências com a interface e pode sempre desviar temporariamente algum tráfego em direto através do WAF em modo de deteção para ver que ataques estão potencialmente a ser feitos às suas próprias aplicações publicadas.

Agradecemos o seu feedback e teremos todo o prazer em ajudar na criação da sua própria implementação do WAF de produção.

Obrigado.

  • Esperamos sinceramente que goste da sua implementação da Edgenexus ALB-X Web Application Firewall.

Agradecemos todas as perguntas que possam ter para pre-sales@edgenexus.io

Contate-nos

0808 1645876

(866) 376-0175

pre-sales@edgenexus.io

Não acredite em nossa palavra - faça um teste gratuito

Hardware, software ou até mesmo sua própria imagem on-line completa com um ambiente de teste completo.
Basta nos informar o que você precisa aqui

Contate-nos

Experimente agora

Apoio

PRODUTOS

SOLUÇÕES

CANDIDATURAS

RECURSOS

PARCEIROS

LOJA APP

Copyright © 2021 Edgenexus Limited.