Какой брандмауэр веб-приложений для IIS лучше всего?

Я протестировал ряд различных брандмауэров веб-приложений от многих основных поставщиков оборудования и программного обеспечения. Ни один из них не оказал заметного влияния на мою способность вручную обнаруживать проблемы в уязвимых веб-приложениях.

Они довольно хорошо умеют останавливать атаки, которые могут предпринять черви или неподготовленные злоумышленники, но решительный злоумышленник-человек всегда может легко настроить свой вектор атаки, чтобы он больше не запускал IDS. По сути, все они сопоставляют запросы с регулярными выражениями в поисках общих шаблонов атак. Но их так легко обойти.

Рассматривайте такое устройство только как дополнительный уровень вашей безопасности. Не думайте о том, чтобы избавить ваших разработчиков от написания кода, свободного от уязвимостей, или избавить ваших администраторов от необходимости регулярно обновлять и исправлять системы и программное обеспечение. Я могу сказать вам бесплатно, что они не помешают людям получить доступ к вашим SQL-инъекциям или уязвимостям межсайтового скриптинга.

Прежде всего, я не уверен, где вы, сомневающиеся, были в последние несколько лет, но требование WAF в PCI является одной из частей требования 6.6, и это требование было самым обсуждаемым в последние несколько лет. (Я бы разместил ссылку, но поскольку я новичок, я могу размещать только одну ссылку на сообщение, и я сохраняю ее. Просто погуглите «6.6 PCI WAF», и вы получите тысячу результатов).

Что касается «лучшего», то это весьма относительный термин. Попробуйте найти тот, который лучше всего соответствует вашим потребностям и бюджету. Если вам нужна отправная точка, здесь есть краткое описание основных игроков: http://www.docstoc.com/docs/9687629/WAF

Это чрезвычайно открытый вопрос. Брандмауэр может быть программным или аппаратным, бесплатным или стоит десятки тысяч долларов. Это действительно зависит от ваших потребностей и бюджета, насколько "лучший".

Конечно, в конце, когда вы говорите «лучший», я говорю: Cisco.

Обратите внимание, что термин «брандмауэр веб-приложения» также означает разные вещи для разных людей. Для Cisco это означает систему, ориентированную на xml. Вам действительно может понадобиться межсетевой экран более общего назначения, например, из серии ASA. Эти вопросы безопасности многогранны, и я не специалист по PCI-DSS, поэтому я не совсем уверен в нюансах вашего запроса. Тем не менее, я могу сказать вам, что все, что вам нужно, есть у Cisco, и, извините за превосходную степень, это, вероятно, здорово.

Я работаю в Cheekysoft, но я также регулярно просматриваю свои веб-приложения на наличие уязвимостей с помощью Nessus, Nikto и (еще не пробовал, но слышал хорошие отзывы) с помощью недавно выпущенного Google SkipFish. Вы также можете принять собственное обоснованное решение из руководства Open Web Application Security Project (OWASP) по брандмауэрам веб-приложений: http://www.owasp.org/index.php/Category:OWASP_Best_Practices:_Use_of_Web_Application_Firewalls

Я пробовал несколько лучших WAF. Некоторые из них имеют встроенные балансировщики нагрузки (например, F5, Zeus). Другие - это специализированные автономные WAF. Проверено множество из них, фактически запустив AppScan против известного уязвимого веб-кода. Лучшим исполнителем для меня был SecureSphere WAF от Imperva. Вы собираетесь заплатить за это бешеные деньги, но с точки зрения безопасности, ведения журналов и настраиваемости в настоящее время это лучший вариант. Вы можете получить его виртуальное или физическое устройство, каждое из которых имеет свои преимущества. У них очень строгое лицензирование и они дороги, но их возможности ведения журналов и обновления подписей трудно превзойти.

Мы также тестируем сами приложения с помощью AppScan и WebInspect. Как уже упоминалось, лучше всего выполнять проверку кода WAF +, потому что вы не можете получить 100% ни одним из этих методов. Это сильно отличается от систем IDS / IPS, которые в основном обращаются к трафику уровня 3, а не уровня 7, где в настоящее время большинство атак успешны. Существуют также облачные средства защиты WAF (безопасность как услуга), которые предлагают такую ​​же защиту, но с гораздо меньшими инвестициями.

Ларри Суто недавно провел анализ WAF, который может вас заинтересовать. Я не имею к нему никакого отношения, но Имперва преуспела. http://www.manvswebapp.com/wp-content/uploads/Analyzing_Effectiveness_of_Web_Application_Firewalls.pdf

Для некоторого баланса Офер Шезаф, который несколько лет работал в Breach Security и вносил вклад в ModSecurity с открытым исходным кодом, высказал некоторые опасения по поводу методологии Ларри, то есть отсутствия тестирования способности WAF обнаруживать методы уклонения. http://www.xiom.com/2011/11/17/larry_suto_strikes_again

Я тоже не имею отношения к Оферу Шезафу.

Полное раскрытие информации - Моя компания является поставщиком решений для обеспечения информационной безопасности, и мы выбрали SecureSphere компании Imperva. Imperva также предлагает облачный WAF, который не так функционально, как SecureSphere, но быстрее развертывается и проще в администрировании.

Для IIS рассмотрите шлюз Microsoft Threat Management Gateway (бывший ISA-сервер). Он ориентирован на IIS и является одним из трех межсетевых экранов, имеющих рейтинг EAL4 + (два других - ASA / PIX и Checkpoint). Вы можете установить его на собственное обычное оборудование или купить как устройство, например, производства Celestix.

В конце концов, я не уверен, является ли Webknight законным в долгосрочной перспективе или нет. Но, честно говоря, их приложение пинает большинство платных приложений, с которыми я работал, по заднице.

Я не плачу 13 трицзилионных долларов за расширение isapi, многие люди, кажется, рады платить это.

Нам нужно сплотить чувака веб-рыцаря и помочь обновить его программное обеспечение, если оно ему понадобится. Жаль, что он не публикуется на codeplex или где-то еще, где мы можем легко помочь.