Обзор WAF (Web Application Firewall) с открытым исходным кодом.

Фаервол для веб-приложений WAF (Web Application Firewall)  это устройство, плагин веб-сервера или программный фильтр который устанавливает правила обмена данными по протоколу HTTP. Обычно WAF применяется как некая контрмера против общераспространенных атак на веб-приложения, например такие как Межсайтовый скриптинг (Cross-site Scripting (XSS)), Cross Site Request Forgery (CSRF), SQL-инъекция. OWASP предлагает следующие критерии выбора WAF.



Наиболее важные критерии выбора фаервола для веб-приложений
  • * Защита от OWASP Top Ten утилит.
  • * Минимум ложных срабатываний (т.е. в идеале WAF не должен запрещать разрешенных запросов).
  • * Достаточный уровень защищенности с настройками по умолчанию (т.е. Прямо с коробки).
  • * Мощность и легкость в режиме обучения.
  • * Количество типов уязвимостей от которых WAF может защитить.
  • * Способность к обнаружению раскрытия важной информации и несанкционированно доступа к защищенной информации (кредитные карты и номера социального страхования) в ответных сообщениях веб-сервера.
  • * Поддержка по OWASP т.н. Положительной (также известной как whitelist) и Отрицательной (также известной как blacklist) модели безопасности.
  • * Упрощенный и интуитивно понятный пользовательский интерефейс.
  • * Поддержка кластерного режима работы.
  • * Высокая производительность (оценивается по времени задержки, в миллисекундах).
  • * Полноценное уведомление об атаках, угрозах. Создание отчетов.
  • * Поддержка Web ServicesXML.
  • * Защита от атаки класса Brute Force.
  • * Возможность работы в Активном режиме (блокирование запросов и запись в журнал), в Пассивном (запись в журнал), а также в режиме БЕЗ фильтрации веб-трафика.
  • * Возможность сконфигурировать WAF для защиты от специфических типов атак или уязвимостей (например срочно закрыть уязвимость при отсутствии патча).
  • * Возможность сохранить отдельных пользователей с точно такими же ограничениями которые пристуствовали в текущей сессии.
  • * Форм фактор: Софт VS Железо (Обычно предпочтение отдается аппаратным продуктам).

1. Naxsi: Naxsi представляет собой высокопроизоводительный, фаервол для веб-приложений модуль для вебсервера Nginx (известного сервера и реверсивного прокси). Недавно этот программный продукт также был добавлен в список проекта  OWASP.

Цель проекта Naxsi состоит в том, чтобы помочь людям защитить веб-приложения против таких распространенных атак как SQL-Инъекции, Межсайтовый скриптинг(XSS), Cross Site Request Forgery, Локальный и удаленный файловый инклюдинг. Разница между Naxsi и большинством других фаерволов для веб-приложений заключается в том, что принцип работы Naxsi не основывается на поиске по базе сигнатур для обнаружения и блокировки атак.

В основе работы Naxsi используется упрощенная модель фильтрации трафика, где вместо попыток обнаружения уже известных атак по базе сигнатур, совершаются попытки обнаружения некорректных и/или нетипичных для определенного http-запроса/аргумента символов, что может являться признаком атаки на веб-приложение.

При каждом некорректном или нетипчином символе в запросе, счетчик некорректных запросов будет увеличиваться. Если количество некорректных запросов достигнет установленного порога, данный запрос будет запрещен и заблокирован, а пользователь будет перенаправлен на сервисную страничку "forbidden". Как можно заметить принцип работы схож с работой антиспам систем. Он проявляется во время работы в режиме обучения (“white listing model”).

Установив модуль в режим обучения, просканируйте и обойдите ваш сайт, и далее фаервол сегенерирует необходимые белые списки, с целью избежать в последующей работе ложных срабатываний.

Как уже писалось Naxsi при обнаружении атак не полагается на базу предопределенных сигнатур, а посему теоретически способен защищать от сложных комплексных и/или  неизвестных/обфусцированных типов и принципов атак. 

Последнюю версию Naxsi можно найти и скачать здесь http://code.google.com/p/naxsi/


2. Vulture WebSSO.
Vulture WebSSO не является WAF в классическом виде, но это гораздо больше чем просто WAF. Vulture WebSSO это реверсивный прокси-сервер с функционалом WebSSO и фаерволом веб-приложений в одном флаконе.

Принцип работы Vulture основывается на трех компонетах : веб-сервере Apache,mod_perl и mod_security. Vuture взаимодействует через интерфейс между веб-приложениями и интернетом, с целью обеспечения единой модели безопасности и аутентификации.

В Vuture поддерживается множество способов аутентификации пользователей : LDAP, SQL, текстовый файл,Radius-сервер,цифровые сертификаты. Также существует поддержка модульной конструкции с целью дальнейшего добавления новых способов аутентификации, фильтрации и обработки контента. Контроль за нагрузкой и ее выравнивание , а также непосредственно сам фаервол базируются на основе модуля mod_security.

Последнюю версию Vulture WebSSO можно найти и скачать здесь http://code.google.com/p/vulture/downloads/list


3. Guardian@JUMPERZ.NET: Guardian@JUMPERZ.NET это фаервол уровня приложений с октрытыим исходным кодом  для протоколов HTTP/HTTPS. Функционирует как реверсивный прокси-сервер. В ходе работы анализирует весь HTTP/HTTPS "через призму" основанных на правилах сигнатур, таким образом обеспечивая защиту веб-сервера и веб-приложений от атак. Как только обнаруживается какая-либо несанцкионированная активность, Guardian@JUMPERZ.NET может отключить tcp-подключение еще до того как атакующий запрос достигнет веб-сервера.

Guardian@JUMPERZ.NET способен также отслеживать http-ответы от веб-сервера с целью обнаружения несанционированного искажения веб-страниц, утечку информации и т.д. Данный программный продукт не является модулем или плагином, а представляет собой отдельнуе сетевое приложение. Таким образом Guardian@JUMPERZ.NET не зависит от типа веб-сервера. И даже если дыра в безопасности имеет место быть непосредственно в самом веб-сервере Guardian@JUMPERZ.NET тем не менее может обеспечить защиту и в таком случае. Также данное приложение может достаточно гибко применяться в любом типе сетей.

Последнюю версию Guardian@JUMPERZ.NET можно найти и скачать здесь http://guardian.jumperz.net/index.html?i=003


4. IronBee:
IronBee это  новый проект с открытым исходным кодом,принадлежащий Qualys. Цель проекта - создание универсального датчика безопасности веб-приложений , с реализацией не только кода и правил, но и с созданием вокруг проекта сообщества.

 Проект стремться быть гибким в использовании фреймворком который будет использоваться в качестве основополагающего строительного блока всеми кто заинтересован в мониторинге безопасности веб-прилжений.

Найти и скачать IronBee можно здесь:
https://www.ironbee.com/
https://github.com/ironbee/ironbee/



5. WebCastellum: WebCastellum это основанный на Java WAF с открытым исходным кодом. WebCastellum предназначен для включения его в вебприложения для защиты их от атак типа: SQL-Инъекции,Межсайтовый скриптинг(XSS), Cross Site Request Forgery (CSRF), изменения параметров и множества других.

 В отличии от традиционных WAF, WebCastellum основан на полностью новой технологии и прочно связывается с отдельным веб-приложением. При этом используется ваш существующий исходный код или байт-код приложения Java EE и таким образом обеспечивается их защита.

Последнюю версию WebCastellum можно найти и скачать здесь http://sourceforge.net/projects/webcastellum/files/



6. ModSecurity: На самом деле этот WAF не нуждается в представлении. ModSecurity представляет собой фаервол для веб-приложений который может работать как в качестве вcтроенного, так и в качестве реверсивного прокси-сервера.

 Данный функционал обеспечивает защиту от широкого диапазона атак на веб-приложения и дает возможность отслеживать http-трафик, журналируя и анализируя поступающие данные в реальном времени.

ModSecurity выполняет полное журналирование http-транзакций, включая полную запись http-запросов и откликов. Средства журналирования ModSecurity также позволяют выверенно и точно принимать решения о том , что логгировать и когда, таким образом гарантируя запись релевантных данных.

Для обнаружения атак ModSecurity может отслеживать http-трафик в реальном времени , работая как система обнаружения вторжения и позволяя вам отреагировать на подозрительные события, которые имеют место быть в ваших веб-системах. Также ModSecurity может среагировать на угрозу сразу, чтобы предотвратить атаку еще до того, как она достигнет цели (вашей веб-системы).

ModSecurity - это встраиваемый WAF, а это значит, что он может быть развернут как часть существующей веб-серверной инфраструктуры, в том случае, если она будет основана на веб-сервере Apache.


 

7. OWASP ESAPI WAF Фаервол ESAPI для веб-приложений или OWASP Enterprise Security API это бесплатная,с открытым исходным кодом, библиотека для контроля безопасности веб приложений, которая облегчает программистам написание более безопасных приложений.

 Библиотеки ESAPI разработаны с целью облегчения программистам задачи усовершенствования безопасности в существующих приложениях. Библиотеки ESAPI также служат прочным основой для новых разработок.

Библиотеки писались исходя из Аспектов Безопасности и предназначены обеспечивать безопасность и защиту на прикладном уровне, а не на сетевом. Среди некоторых уникальных особенностей библиотеки присутствуют такая интересная функция как фильтрация исходящего (!) траффика, которая снижает риск утечки информации.

Конфигурирование библиотеки легко управляемо и не основано на коде, что дает возможность производить легкую установку одним лишь добавлением необходимых деталей настройки в текстовый файл.

Исходный код данного проекта выпускается под лицензией BSD, которая является очень либеральной и насколько это возможно - близкой к достоянию общественности.

Проектная документация выпускается под лицензией "Creative Commons".
Вы можете использовать или изменять ESAPI как вам угодно, более того включать ее в коммерческие продукты.

В настоящее время  OWASP ESAPI WAF доступен на многих языках программирования, в том числе для ESAPI Java, .NET, классический ASP, PHP, ColdFusion и CFML, Python и Javascript.

Найти и скачать различные OWASP ESAPI WAF API  можно здесь https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API#tab=Downloads


8.OpenWAF: openWAF это первый распределенный фаервол для веб приложений с открытым исходным кодом для веб-сервера Apache. Проект OpenWAF был запущен в феврале 2011 года компанией "art of defence Inc." (http://www.artofdefence.com/en/about-us.html).

Аrt of defence  разрабатывает и предлагает openWAF как решение с открытым исходным кодом, предоставляя лучшее из двух сфер программного обеспечения (закрытый исходный код и открытый), вкладывая при этом в данный проект значительные средства и ресурсы коммерческого предприятия и одновременно поддерживая значение открытого исходного кода для security-сообщества.

В основе работы openWAF лежит использование клиент-серверной модели. Инфорсер-модуль веб-сервера Apache2 (mod_aod.so)  действует как клиент, который отправляет все запросы на так называемый десайдер-сервер  (decider,десайдер). Так что при желании существует возможность разгрузить на сервер тяжелые по ресурсам задачи, распределив их выполнение на удаленных серверах.

Decider (десайдер) это сервис, который использует в своей работе ряд правил сохраненных в конфигурационной базе данных для оценки http-запросов и последующего принятия решений и выполнения необходимых действий.

Рабочее конфигурирование десайдеров осуществлякется главным административным сервером т.н. Мастер-админом (admin master) который контролирует все десайдеры и экземпляры инфорсеров в связке. Таким образом вы имеете большой центральный контрольный центр для вашего распределенного WAF (dWAF).

Последнюю версию openWAF можно найти и скачать здесь http://openwaf.org/downloads.html


9. AQTRONIX WebKnight:
AQTRONIX WebKnight это фаервол для IIS и других веб-серверов, который выпущен под лицензией GNU General Public License
Если говорить точнее, то AQTRONIX WebKnight это ISAPI-фильтр, который защищает ваш веб-сервер блокируя определенные запросы. В случае срабатывания тревоги при обнаружении угрозы, WebKnight встанет на защиту вашего веб-сервера.

Принцип работы AQTRONIX WebKnight основывается на сканировании запросов и их последующей обработке на основе правил фильтра , установленных администратором. И эти правила не полагаются на базу данных сигнатур, требующую регулярных обновлений.

Вместо этого WebKnight использует защитные фильтры от атак связанных с переполнением буффера, sql-инъекции, обхода каталога (directory traversal), закодированных символов и других атак. Таким образом WebKnight может защитить ваш веб-сервер против как известных, так и неизвестных атак.

Поскольку WebKnight является ISAPI-фильтром у него имеется преимущество в виде совокупной и тесной работы в связке с веб-сервером , посему WebKnight может делать гораздо больше чем  другие фаерволы и системы обнаружения вторжений, например сканирование зашифрованного траффика.

Последнюю версию AQTRONIX WebKnight можно найти и скачать здесь http://www.aqtronix.com/?PageID=99#Download


Comments :

0 коммент. to “Обзор WAF (Web Application Firewall) с открытым исходным кодом.”

Отправить комментарий