Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 1 subscriber
  • Views 21172 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAF - Intrusion simulation

Goldy_01
Hi to all.
For some time, I have been using WAF to protect my web mail and a Web site that supply some services to my clients.
Both are coming from my  internal servers, and the only way to connect to those servers is only thru WAF.
Everything seems to work great, and I was happy because it seems my servers are protected.
Yesterday I have decided to run Intrusion simulation on my Web site.  I used an external simulation test -  (Qualys FreeScan - Free Vulnerability Assessment Scanner Tool) .

The test took a while, and the result was VERY disturbing.
It seems that Astaro WAF fail to block: SQL Injection, Reflected Cross-Site Scripting (XSS) Vulnerabilities, and more.
All together the test found:
3 High Vulnerabilities
37 Medium Vulnerabilities
38 Low Vulnerabilities

Has anyone else here run any intrusion simulation test to check the efficiency of Astaro WAF?


This thread was automatically locked due to age.
  • 0
    Please show pictures of your Virtual Web Servers and the Firewall Profile(s) in use.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi.

    Waf1.jpg

    Waf2.jpg

    The Firewall has no config to this Web Server.
  • 0 in reply to Goldy_01
    What version ASG / UTM software are you using?  Your sigline shows 7.5xx...

    If you have a commercial license, I would certainly open a support case with Sophos regarding your results.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    BrucekConvergent, from the posted screenshots you can tell this is at least UTM v9..
  • 0 in reply to BrucekConvergent
    Hello Goldy

    I guess this test is probably probably the wrong platform to test a Web Application Firewall - as far as I see from a first glance it doesn't any SQL Injection or XSS and such stuff. It does base vulnerability scanning as directory traversal, Brute Force Attacks, information gathering (what informations are exposed by your Gateway or Web Application and such stuff.

    I did the test too against my UTM9.
    0 High
    4 Med
    3 Low
    18 Host Info

    I'm running WAF on the IP for Exchange OWA 2003, a Public DNS, have RED and IPSEC VPN Tunnels running there and SMTP for Mail and some other services...

    This test makes sense to see the behaviour and information leakage on your public IP, but it requires some networking knowledge to interprete the results.

    Most stuff found - especially on the webserver / OWA - was expected. I offer a Website, and Qualys offers me found hostnames, Links etc. Only useful information is, that I have no countermeasure against brute force attacks, as I don't restrict login attenmpts. But I was already aware of that...

    Most of their Webscans failed due URL Hardening feature. All directory traversal attempts, access to critical files as a phpinfo.php and all the other stuff it tried to reach a) doesn't exist on my webserver, or b) also got blocked by the URL Hardening feature.

    On the networking side I have a higher risk due "TCP Sequence Number Approximation Based Denial of Service". But that's also a fact I already was aware - it's a side effect of using TCP Window Scaling (for performance reasons), which highers the risk of guessing a TCP sequence number.

    The "Service Stopped Responding" was also expected, as all ports will stop to answer requests during a portscan to this IP (Portscan Detection active on the UTM) - In fact not the service itself stopped, only the responses to the "attacker".

    So there was nothing new for me [;)]

    If you like to test the WAF, search for SQL Injection or XSS demo scripts, and try to place them in input forms or XSS scripts in a Guestbook / Forum on your Website. They should be rejected (as expected) by the WAF.

    Here you'll find some cheats to play around [:D]
    SQL Injection Cheat Sheet

    So I guess there's in best case some optimization potential on you configuration as using the Portscan Detection Feature, and activating additional WAF features, and probably setting your ICMP settings little stricter (I don't know your configuration). But unless you didn't completely mess your UTM configuration, you should be most likely fine and secure [:)]

    Regards

    Sascha
  • 0
    To BrucekConvergent:
    9.001-18
    (I guess it's really about time to change my signing). [:)]

    To Sascha Paris:
    I don't know what test you have tried, but this test was very comprehensive.
    This Test does all kind of tests – including SQL Injection and XSS.
    In the end you also get a very detail report, including problematic cod lines from the site.
    Now I know that this web server - and the sit on it, are a bit problematic and poor written, and that is why WAF is so important.
    I have tried the same test on my webmail, and it seems fine, which show that maybe good or bad results, are depends on your site, and how protected it is on the first place.

    As Admin of a big system (about 500 computers) I always follow the two rules:
    1. Hope for the best and be prepared for the worst.
    2.  Assumption is the mother of all ****ups.

    When a lot of people depend on me, I must be 100% sure that WAF work as plans.
    It seems I'm going to get in touch with a security company so they will check it too.
  • 0 in reply to Goldy_01
    To BrucekConvergent:
    9.001-18
    (I guess it's really about time to change my signing). [:)]

    To Sascha Paris:
    I don't know what test you have tried, but this test was very comprehensive.
    This Test does all kind of tests – including SQL Injection and XSS.
    In the end you also get a very detail report, including problematic cod lines from the site.


    Ok, I did the free trial an tested my URL (not IP) which also did a comprehensive check - took almost an hour...Don't know, if this was the same test. Trial offers only IP and URL for testing, where URL seems to to most stuff (Malware, Web, Networking tests).


    As Admin of a big system (about 500 computers) I always follow the two rules:
    1. Hope for the best and be prepared for the worst.
    2.  Assumption is the mother of all ****ups.


    That's a good policy - totally agree.

    Probably you should post some (anonymized) screenshots of your settings, and the codelines / attack infos, which seems to pass the WAF...

    Remote Troubleshooting withut information is also difficult [:D]
  • 0
    Goldy, just a note that your config did not have URL hardening selected, and Sascha specifically mentioned that that blocked most of the webscans.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Goldy, just a note that your config did not have URL hardening selected, and Sascha specifically mentioned that that blocked most of the webscans.

    Cheers - Bob


    Upsi - I somehow overlooked the screenshots which was posted 2h before my post [;)]

    However, URL Hardening in best case only prevents XSS or SQL Injection (which was complained by goldy) indirectly on hidden or not meant for public access forms by dynamically blocking access to them. It's designed to block tons of other attacks...

    As the XSS and SQL Injection protection is checked on goldys configuration, it should theoretically work. The config looks good otherwise. Are there WAF logs at all ? Or is there probably a DNAT rule in place which overrides the WAF?

    @Goldy: Does your WAF logs or reporting shows blocked attacks?

    At least the Qualys scan report I received doesn't declare everywhere clearly, if a attack was successful. Sometimes it looked more informational and like "could be, but..."

    Probably it depends on what the scan gets back as result. Maybe it misinterprets the UTM blockpage on such attempts as (possible) successful attack ?

    Are there more informations available about which tests / attacks are expected as successful ? Would really wonder, as my experience up to now is good.

    Wer Schreibfehler findet, darf sie behalten. Wenn ich via IPad poste, sind Verschreiber und grammatikalische Aussetzer irgendwie an der Tagesordnung.
  • 0
    Hi Balfson.
    I've tried working with "URL hardening".
    When it's on, you can see the main web page of the portal, but you can't use it, so I was forced to disable it. 
    Never the less, SQL Injection and XSS shouldn't pass any way.
Unfiltered HTML