Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 1 subscriber
  • Views 21178 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAF - Intrusion simulation

Goldy_01
Hi to all.
For some time, I have been using WAF to protect my web mail and a Web site that supply some services to my clients.
Both are coming from my  internal servers, and the only way to connect to those servers is only thru WAF.
Everything seems to work great, and I was happy because it seems my servers are protected.
Yesterday I have decided to run Intrusion simulation on my Web site.  I used an external simulation test -  (Qualys FreeScan - Free Vulnerability Assessment Scanner Tool) .

The test took a while, and the result was VERY disturbing.
It seems that Astaro WAF fail to block: SQL Injection, Reflected Cross-Site Scripting (XSS) Vulnerabilities, and more.
All together the test found:
3 High Vulnerabilities
37 Medium Vulnerabilities
38 Low Vulnerabilities

Has anyone else here run any intrusion simulation test to check the efficiency of Astaro WAF?


This thread was automatically locked due to age.
Parents Reply
  • 0 in reply to Goldy_01
    What version ASG / UTM software are you using?  Your sigline shows 7.5xx...

    If you have a commercial license, I would certainly open a support case with Sophos regarding your results.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

Children
  • 0 in reply to BrucekConvergent
    BrucekConvergent, from the posted screenshots you can tell this is at least UTM v9..
  • 0 in reply to BrucekConvergent
    Hello Goldy

    I guess this test is probably probably the wrong platform to test a Web Application Firewall - as far as I see from a first glance it doesn't any SQL Injection or XSS and such stuff. It does base vulnerability scanning as directory traversal, Brute Force Attacks, information gathering (what informations are exposed by your Gateway or Web Application and such stuff.

    I did the test too against my UTM9.
    0 High
    4 Med
    3 Low
    18 Host Info

    I'm running WAF on the IP for Exchange OWA 2003, a Public DNS, have RED and IPSEC VPN Tunnels running there and SMTP for Mail and some other services...

    This test makes sense to see the behaviour and information leakage on your public IP, but it requires some networking knowledge to interprete the results.

    Most stuff found - especially on the webserver / OWA - was expected. I offer a Website, and Qualys offers me found hostnames, Links etc. Only useful information is, that I have no countermeasure against brute force attacks, as I don't restrict login attenmpts. But I was already aware of that...

    Most of their Webscans failed due URL Hardening feature. All directory traversal attempts, access to critical files as a phpinfo.php and all the other stuff it tried to reach a) doesn't exist on my webserver, or b) also got blocked by the URL Hardening feature.

    On the networking side I have a higher risk due "TCP Sequence Number Approximation Based Denial of Service". But that's also a fact I already was aware - it's a side effect of using TCP Window Scaling (for performance reasons), which highers the risk of guessing a TCP sequence number.

    The "Service Stopped Responding" was also expected, as all ports will stop to answer requests during a portscan to this IP (Portscan Detection active on the UTM) - In fact not the service itself stopped, only the responses to the "attacker".

    So there was nothing new for me [;)]

    If you like to test the WAF, search for SQL Injection or XSS demo scripts, and try to place them in input forms or XSS scripts in a Guestbook / Forum on your Website. They should be rejected (as expected) by the WAF.

    Here you'll find some cheats to play around [:D]
    SQL Injection Cheat Sheet

    So I guess there's in best case some optimization potential on you configuration as using the Portscan Detection Feature, and activating additional WAF features, and probably setting your ICMP settings little stricter (I don't know your configuration). But unless you didn't completely mess your UTM configuration, you should be most likely fine and secure [:)]

    Regards

    Sascha
Unfiltered HTML