Какой брандмауэр веб-приложений лучше всего подходит для IIS?

Я протестировал несколько различных брандмауэров веб-приложений от многих крупных поставщиков оборудования и программного обеспечения. Никто из них не оказал заметного влияния на мою способность вручную выявлять проблемы в уязвимых веб-приложениях.

Они неплохо справляются с тем, чтобы остановить атаки, которые могут предпринять черви или неопытные злоумышленники, но решительный человек-злоумышленник всегда может легко настроить свой вектор атаки таким образом, чтобы он больше не отключал IDS. Все они по существу сопоставляют запросы с регулярными выражениями в поисках общих шаблонов атак. Но их так легко обойти.

Рассматривайте подобное устройство только как дополнительный слой для вашей безопасности. Не думайте, что это избавит ваших разработчиков от написания кода без уязвимостей или избавит ваших администраторов от регулярного обновления и исправления систем и программного обеспечения. Я могу бесплатно сказать вам, что они не остановят людей на вашей уязвимости SQL-инъекций или межсайтовых скриптах.

Прежде всего, я не уверен, где вы, сомневающиеся, были в течение последних нескольких лет, но требование для WAF в PCI является частью требования 6.6, и это было наиболее обсуждаемым требованием за последние несколько лет. (Я бы опубликовал ссылку, но, поскольку я новичок, я могу опубликовать только одну ссылку на сообщение, и я сохраняю ее. Просто Google "6.6 PCI WAF", и вы получите тысячу результатов).

Что касается того, что является "лучшим", лучшее - это очень относительный термин. Попробуйте найти тот, который наилучшим образом соответствует вашим потребностям и бюджету. Если вы хотите отправную точку, краткая информация о главных игроках здесь: http://www.docstoc.com/docs/9687629/WAF

Я работаю в Cheekysoft, но я также регулярно сканировал свои веб-приложения на наличие уязвимостей с помощью Nessus, Nikto и (еще не пробовал, но слышал хорошие вещи) с недавно выпущенным Google SkipFish. Вы также можете принять собственное обоснованное решение из Руководства по проекту безопасности открытых веб-приложений (OWASP) по брандмауэрам веб-приложений: http://www.owasp.org/index.php/Category:OWASP_Best_Practices:_Use_of_Web_Application_Firewalls

Для IIS рассмотрим Microsoft Threat Management Gateway (был ISA-сервером). Он ориентирован на IIS и является одним из трех межсетевых экранов с рейтингом EAL4 + (два других - ASA/PIX и Checkpoint). Вы можете либо установить его на свое собственное оборудование, либо купить его в качестве устройства, например, производства Celestix.

Я попробовал несколько WAF линии. Некоторые поставляются со встроенными балансировщиками нагрузки (например, F5, Zeus). Другие посвященные, автономные WAF. Протестировал множество из них, фактически запустив AppScan с известным уязвимым веб-кодом. Лучшим исполнителем для меня стала SecureSphere WAF от Imperva. Вы будете платить за это через нос, но с точки зрения безопасности, регистрации и настройки, в настоящее время это лучший вариант. Вы можете получить это виртуальное или физическое устройство, каждый со своими преимуществами. У них очень строгое лицензирование, и они дорогие, но их возможности регистрации и обновления сигнатур сложно превзойти.

Мы также тестируем сами приложения, используя AppScan и WebInspect. Как уже упоминалось, лучше всего выполнять проверку кода WAF +, потому что вы не можете получить 100% ни одним из этих методов. Это сильно отличается от систем IDS/IPS, которые рассматривают в основном трафик уровня 3, а не уровень 7, где большинство атак в настоящее время успешны. Существуют также облачные защиты WAF (безопасность как услуга), которые предлагают такую ​​же защиту, но при гораздо меньших инвестициях.

Ларри Суто недавно провел анализ WAF, который может показаться вам интересным. Я не имею к нему никакого отношения, но Имперва справилась хорошо. http://www.manvswebapp.com/wp-content/uploads/Analyzing_Effectiveness_of_Web_Application_Firewalls.pdf

Для некоторого баланса Офер Шезаф, который несколько лет работал в Breach Security и участвовал в разработке ModSecurity с открытым исходным кодом, обеспокоен методологией Ларри, то есть отсутствием тестирования способности WAF обнаруживать методы уклонения http://www.xiom.com/2011/11/17/larry_suto_strikes_again

Я тоже не имею никакого отношения к Оферу Шезафу.

Полное раскрытие информации. Моя компания является поставщиком решений для защиты информации, и мы выбрали SecureSphere от Imperva. Imperva также предлагает облачный WAF, который не так функционально богат, как SecureSphere, но быстрее разворачивается и проще в администрировании.

В конце дня меня беспокоит, является ли webknight законным или нет. Но, честно говоря, их приложение запускает большинство платных приложений, с которыми я работал.

Я не плачу 13 тризиллионов долларов за расширение исапи, многие люди, кажется, рады заплатить это.

Нам нужно сплотиться на чувак webknight и помочь обновить его программное обеспечение, если оно ему нужно. Жаль, что он не публикует в кодекплексе или где-то, где мы можем легко помочь.