Was ist die beste Web Application Firewall für IIS?

Das ist eine sehr offene Frage. Eine Firewall kann Software oder Hardware sein, kostenlos oder Zehntausende Dollar kosten. Was „am besten“ ist, hängt wirklich von Ihren Bedürfnissen und Ihrem Budget ab.

Wenn Sie „am besten“ sagen, sage ich natürlich:Cisco.

Beachten Sie, dass der Begriff „Web Application Firewall“ für verschiedene Personen verschiedene Bedeutungen hat. Für Cisco scheint er ein XML-basiertes System zu bedeuten. Sie benötigen möglicherweise tatsächlich eine Firewall für allgemeinere Zwecke, wie etwa etwas aus der ASA-Reihe. Diese Sicherheitsprobleme sind vielschichtig und ich bin kein PCI-DSS-Experte, daher bin ich mir der Nuancen Ihrer Anfrage nicht ganz sicher. Ich kann Ihnen jedoch sagen, dass Cisco alles hat, was Sie brauchen, und es ist wahrscheinlich der Hammer, wenn Sie mir den Superlativ verzeihen.

Erstens bin ich mir nicht sicher, wo Sie, Zweifler, die letzten Jahre waren, aber die Anforderung für ein WAF in PCI ist ein Teil der Anforderung 6.6 und die am meisten diskutierte Anforderung der letzten Jahre. (Ich würde einen Link posten, aber da ich neu bin, kann ich nur einen Link pro Nachricht posten und ich speichere ihn. Googeln Sie einfach „6.6 PCI WAF“ und Sie erhalten tausend Ergebnisse.)

Was das „Beste“ angeht, ist „Beste“ ein sehr relativer Begriff. Versuchen Sie, das zu finden, das Ihren Anforderungen und Ihrem Budget am besten entspricht. Wenn Sie einen Ausgangspunkt suchen, finden Sie hier eine kurze Beschreibung der wichtigsten Anbieter: http://www.docstoc.com/docs/9687629/WAF

Ich habe eine Reihe verschiedener Web Application Firewalls von vielen großen Hardware- und Softwareanbietern getestet. Keine davon hatte wirklich nennenswerte Auswirkungen auf meine Fähigkeit, die Probleme in anfälligen Webanwendungen manuell aufzudecken.

Sie werden immer besser darin, die Art von Angriffen zu stoppen, die Würmer oder unerfahrene Angreifer versuchen könnten, aber ein entschlossener menschlicher Angreifer kann seinen Angriffsvektor immer leicht so anpassen, dass er das IDS nicht mehr auslöst. Im Wesentlichen gleichen sie alle Anfragen mit regulären Ausdrücken ab und suchen nach gemeinsamen Angriffsmustern. Aber sie sind so leicht zu umgehen.

Betrachten Sie ein solches Gerät nur als zusätzliche Sicherheitsebene. Betrachten Sie es nicht als eine Möglichkeit, Ihren Entwicklern das Schreiben von Code ohne Sicherheitslücken zu ersparen oder Ihren Administratoren das regelmäßige Aktualisieren und Patchen von Systemen und Software zu ersparen. Ich kann Ihnen versichern, dass sie niemanden davon abhalten werden, an Ihre SQL-Injection- oder Cross-Site-Scripting-Sicherheitslücken zu gelangen.

Ich habe mehrere WAFs der Spitzenklasse ausprobiert. Einige haben integrierte Lastverteiler (denken Sie an F5, Zeus). Andere sind dedizierte, eigenständige WAFs. Ich habe zahlreiche getestet, indem ich AppScan tatsächlich gegen bekannten anfälligen Webcode ausgeführt habe. Der Spitzenreiter war für mich SecureSphere WAF von Imperva. Sie werden dafür eine Menge Geld bezahlen, aber in Bezug auf reine Sicherheit, Protokollierung und Anpassbarkeit ist es derzeit das Beste. Sie können es als virtuelle oder physische Appliance erhalten, jede mit ihren Vorteilen. Sie haben sehr strenge Lizenzen und sind teuer, aber ihre Protokollierungsfunktionen und ihre Signaturaktualisierungen sind kaum zu übertreffen.

Wir führen auch Codetests der Anwendungen selbst durch, indem wir sowohl AppScan als auch WebInspect verwenden. Wie bereits erwähnt, ist WAF + Codeüberprüfung am besten, da Sie mit keiner der beiden Methoden allein 100 % erreichen. Dies unterscheidet sich stark von IDS/IPS-Systemen, die sich hauptsächlich auf Layer-3-Verkehr konzentrieren, nicht auf Layer 7, wo die meisten Angriffe heutzutage erfolgreich sind. Es gibt auch Cloud-basierte WAF-Schutzmaßnahmen (Security as a Service), die denselben Schutz bieten, aber bei viel geringerer Investition.