Какой брандмауэр веб-приложений для IIS самый лучший? [закрыто]
Какой брандмауэр веб-приложений (WAF) лучше всего подходит для IIS? Что делает его лучше других? Насколько он полезен при блокировании атак на плохо написанный код, иначе известный как система предотвращения вторжений (IPS)?
WAF требуются PCI-DSS, поэтому, если мне нужно получить один, то он должен быть лучшим.
Это - чрезвычайно открытый законченный вопрос. Брандмауэр может быть программным обеспечением или аппаратными средствами, свободными или десятки тысяч долларов. Это действительно зависит от Ваших потребностей и бюджета до "лучше всего".
Конечно, в конце, когда Вы говорите "лучше всего", я говорю: Cisco.
Обратите внимание, что термин "веб-приложение брандмауэра" также означает разные вещи для различных людей. К Cisco это, кажется, означает xml-целенаправленную систему. Вам, возможно, на самом деле понадобится брандмауэр более общего назначения как что-то от серии ASA. Эти проблемы безопасности являются многоаспектными, и я не эксперт PCI-DSS, таким образом, я не абсолютно уверен в нюансах с Вашим запросом. Однако я могу сказать Вам, что независимо от того, что Вам нужно, Cisco имеет его, и это, вероятно, качается при прощении превосходной степени.
Я протестировал много других веб-приложений Брандмауэры от многих крупные аппаратные и программные поставщики. Ни один из них действительно не имел noteable влияния на моей способности вручную выставить проблемы в уязвимых веб-приложениях.
Они становятся довольно хорошими в остановке вида нападений, который собирает червей, или незакаленные взломщики могут попробовать, но решительный взломщик - человек может всегда легко настраивать свой вектор атаки, таким образом, что это больше не смещается IDS. Они все по существу соответствуют запросам против регулярных выражений, ища общие шаблоны нападения. Но их настолько легко обойти.
Только рассмотрите устройство как это как дополнительный слой к Вашей безопасности. Не полагайте, что сохраняет Ваших разработчиков от написания кода без уязвимости или сохраняет Ваших администраторов от хранения систем и программного обеспечения, регулярно обновляемого и исправленного. Я могу сказать Вам бесплатно, что они не остановят людей, достигающих Ваше Внедрение SQL или уязвимости сценариев перекрестного сайта.
-
1При записи уязвимости бесплатный код невозможен. Таким образом был бы он также быть верным, что необходимо поднять как можно больше препятствий. – Rook 28 January 2010 в 10:02
-
2@Cheekysoft, Ваше право, pci-dss действительно однако требует IPS или IDS, и HTTP/HTTPS является единственной вещью, открытой на сервере. – Rook 28 January 2010 в 10:07
-
3Согласованный с анонимным; неуязвимый код doesn' t действительно существуют, и многоуровневый подход к безопасности является прекрасной идеей. Также всегда важно понять то, чего достигает каждый слой. – Cheekysoft 28 January 2010 в 12:34
Я с Cheekysoft, но я также регулярно сканировал бы свои веб-приложения для уязвимостей с Nessus, Nikto, и (еще не попробовали, но услышали хорошие вещи) с недавно выпущенным SkipFish Google. Можно также смочь сделать собственное обоснованное решение от руководства Открытого проекта безопасности веб-приложения (OWASP) по веб-приложению Брандмауэры: http://www.owasp.org/index.php/Category:OWASP_Best_Practices:_Use_of_Web_Application_Firewalls
В первую очередь, я не уверен, где Вы, которыми сомневающиеся были в течение последних нескольких лет, но требования для WAF в PCI, являетесь одной частью требования 6.6, и это наиболее говорилось о требовании последних нескольких лет. (Я отправил бы ссылку, но так как я являюсь новым, я могу только отправить одну ссылку на сообщение, и я сохраняю его. Просто Google "6,6 WAF PCI" и у Вас будет тысяча результатов).
Что касается которого является "лучшим", лучше всего очень относительное понятие. Попытайтесь найти тот что лучшие соответствия Ваши потребности и бюджет. Если Вы хотите начальную точку, существует краткая рецензия крупных игроков здесь: http://www.docstoc.com/docs/9687629/WAF
Я попробовал несколько вершин строки WAFS. Некоторые приезжают встроенные с подсистемами балансировки нагрузки (думайте F5, Zeus). Другие выделены, автономный WAFS. Протестированные многочисленные путем фактического выполнения AppScan против известного уязвимого веб-кода. Главный исполнитель для меня был SecureSphere WAF Imperva. Вы собираетесь платить бешеные деньги за него, но с точки зрения необработанной безопасности, входа и настраиваемости, это является в настоящее время лучшим. Можно получить его виртуальное или физическое устройство, каждый с их преимуществами. Они имеют очень строгое лицензирование и дороги, но их возможности входа и их обновления подписи трудно разбить.
Мы также кодируем, тестируют сами приложения с помощью AppScan и WebInspect оба. Как был упомянут, делая WAF +, обзор кода является лучшим, потому что Вы не можете получить 100% с одним только ни одним методом. Это очень отличается, чем системы IDS/IPS, который главным образом смотрит на layer3 трафик, не в layer7, где большинство нападений успешно в наше время. Существуют также облачные меры защиты WAF (безопасность как услуга), которые предлагают ту же защиту, но для намного меньшего количества инвестиций.
В конце дня я являюсь шатким на том, если webknight законен для долгого пути или нет. Но во всей честности их приложение ударяет большинство платных приложений, с которыми я работал в торце.
Я не плачу 13 trizzilion долларов за isapi расширение, многие люди кажутся довольными заплатить это.
Мы должны сплотиться на webknight чуваке, и справка обновляют его программное обеспечение, если ему нужен он. Слишком плохо он не публикует на codeplex или где-нибудь где мы можем помочь легко.
Ларри Суто недавно провел анализ WAF, который может вас заинтересовать. Я не имею к нему никакого отношения, но Имперва преуспела. http://www.manvswebapp.com/wp-content/uploads/Analyzing_Effectiveness_of_Web_Application_Firewalls.pdf
Для некоторого баланса, Офер Шезаф, который несколько лет работал в Breach Security и участвовал в разработке ModSecurity с открытым исходным кодом есть некоторые опасения по поводу методологии Ларри, то есть отсутствия тестирования способности WAF обнаруживать методы уклонения http://www.xiom.com/2011/11/17/larry_suto_strikes_again
Я тоже не имею отношения к Оферу Шезафу.
Полное раскрытие информации - Моя компания является поставщиком решений для обеспечения информационной безопасности, и мы выбрали компанию Imperva SecureSphere. Imperva также предлагает облачный WAF, который не так функционально, как SecureSphere, но быстрее развертывается и проще в администрировании.
В качестве IIS рассмотрите шлюз Microsoft Threat Management Gateway (бывший ISA-сервер). Он ориентирован на IIS и является одним из трех межсетевых экранов, имеющих рейтинг EAL4 + (два других - ASA / PIX и Checkpoint). Вы можете установить его на собственное обычное оборудование или купить как устройство, например, производства Celestix.