#WAF(Web Application Firewall)

일반적인 네트워크 방화벽 (Firewall)과는 달리 웹 애플리케이션 보안에 특화되어 개발된 솔루션이다. 웹방화벽의 기본 역할은 그 이름에서도 알 수 있듯, SQL Injection, Cross-Site Scripting(XSS)등과 같은 웹 공격을 탐지하고 차단하는 것인데, 직접적인 웹 공격 대응 이 외에도, 정보유출방지솔루션, 부정로그인방지솔루션, 웹사이트위변조방지솔루션 등으로 활용이 가능하다.

• 정보유출방지솔루션으로 웹방화벽을 이용할 경우, 개인정보가 웹 게시판에 게시되거나 개인 정보가 포함된 파일 등이 웹을 통해 업로드 및 다운로드 되는 경우에 대해서 탐지하고 이에 대응하는 것이 가능하다.
• 부정로그인방지솔루션으로서는, 추정 가능한 모든 경우의 수를 대입하여 웹사이트에 로그인을 시도하는 경우와 같은 비정상적인 접근에 대한 접근 제어 기능을 한다.
• 웹사이트위변조방지솔루션은 주로 해커가 해킹을 한 후에 과시하는 것이 목적인 웹사이트 위변조가 발생했을 경우, 이에 대해 탐지하고 대응한다.

즉, 웹방화벽은 위에서 기술한 4 가지 웹 보안 기능을 제공하면서, 웹 애플리케이션이라는 [집]을 미처 예상하지 못했던 외부의 공격으로부터 지켜내고, 사전에 발견하지 못했던 내부의 위험 요소로부터 지켜내는 [울타리] 역할을 수행하는 존재라고 할 수 있다

위키백과 출처.https://ko.wikipedia.org/wiki/%EC%9B%B9%EB%B0%A9%ED%99%94%EB%B2%BD

#WAF의 위치

IDS/IPS 와 마찬가지로 WAF 또한 네트워크 패킷이 통과하는 inline 구조로 사용된다.

맨 아래 스위치 or 라우터 단까지 내려가기전에 IPS 나 WAF를 거치는데 이러한 구조를 inline 구조라고 한다.

여기서 WAF는 IPS를 거쳐서 들어오는 패킷들에 대해서 L7방화벽 역할을 추가로 진행해 주는데 보통 OWASP top 10과 이외의 kisa, 국정원 기준 등등으로 구성된 차단룰을 바탕으로 방어하게 된다.

• OWASP(The Open Web Application Security Project)는 4년 마다 한번씩 발표되는 웹 취약점 항목들 이다.

———————————————–

#차단 예시

위에서 OWASP 기준으로 차단된다고 했는데 OWASP의 1번 항목은 바로 Injection 이다.
SQL, OS, XXE, LDAP 인젝션 취약점은 신뢰할 수 없는 데이터가 명령어나 쿼리문의 일부분이 인터프리터로 보내질 때 발생한다. 공격자의 악의적인 데이터는 예상하지 못하는 명령을 실행하거나, 적절한 권한 없이 데이터에 접근하도록 인터프리터를 속일 수 있다.

GET /product_new.php?page=31&pc=1&categoryIndex=10011111111111111%20UNION%20SELECT%20CHAR(45,120,49,45,81,45)%20--%20 HTTP/1.1
Host: 도메인
Accept: /

위와 같이 payload 안에 UNION SELECT 가 들어가있으면 SQL 인젝션이라고 WAF가 판단하고 차단 한다.(차단룰이 설정되어있을때)

#운영모드 (장비마다 상이)

• 세션 및 정책 바이패스 : 세션과 정책을 모두 바이패스 (TCP 세션에 관여 하지 않음
• 정책 바이패스 : 세션은 물려있으나 정책만 탐지 하지 않음.
• 탐지 모드 : 룰을 차단으로 셋팅하여도 차단하지 않음.
• 차단 모드 : 인라인 모드가 되어 정책차단 설정 가능

WAF는 보호대상 웹 서버를 넣어주면 IP와 매칭해서 탐지 및 차단을 시켜주기 때문에 참고.(도메인별로도 정책 설정 가능)

WAF의 룰은 다양하고 오탐일 경우도 꽤있기 때문에 관리자가 환경에 맞춰서 룰을 변경해주고 관리해줘야 한다.(Injection은 대부분 정탐)