¿Cuál es el mejor firewall de aplicaciones web para IIS?

Esa es una pregunta extremadamente abierta. Un firewall puede ser software o hardware, gratuito o costar decenas de miles de dólares. Realmente depende de tus necesidades y presupuesto en cuanto a "mejor".

Por supuesto, al final, cuando dices "mejor", digo:cisco.

Tenga en cuenta que el término "firewall de aplicaciones web" también significa cosas diferentes para diferentes personas. Para Cisco, parece significar un sistema orientado a xml. Es posible que necesite un firewall de uso más general, como uno de la serie ASA. Estas cuestiones de seguridad son multifacéticas y no soy un experto en PCI-DSS, por lo que no estoy completamente seguro de los matices de su solicitud. Sin embargo, puedo decirle que cualquier cosa que necesite, Cisco lo tiene, y probablemente sea genial, si me perdonan el superlativo.

En primer lugar, no estoy seguro de dónde han estado los que dudan durante los últimos años, pero el requisito de un WAF en PCI es una parte del requisito 6.6, y ha sido el requisito del que más se ha hablado en los últimos años. (Yo publicaría un enlace, pero como soy nuevo solo puedo publicar un enlace por mensaje y lo guardaré. Simplemente busque en Google "6.6 PCI WAF" y obtendrá mil resultados).

En cuanto a cuál es "mejor", mejor es un término muy relativo. Intenta encontrar el que mejor se ajuste a tus necesidades y presupuesto. Si desea un punto de partida, aquí encontrará un breve resumen de los principales actores: http://www.docstoc.com/docs/9687629/WAF

He probado varios firewalls de aplicaciones web diferentes de muchos de los principales proveedores de hardware y software. Ninguno de ellos ha tenido realmente ningún efecto notable en mi capacidad para exponer manualmente los problemas en aplicaciones web vulnerables.

Se están volviendo bastante buenos para detener el tipo de ataques que los gusanos o los atacantes inexpertos pueden intentar, pero un atacante humano decidido siempre puede modificar fácilmente su vector de ataque de modo que ya no dispare el IDS. Básicamente, todos comparan solicitudes con expresiones regulares, buscando patrones de ataque comunes. Pero son muy fáciles de sortear.

Considere un dispositivo como este sólo como una capa adicional a su seguridad. No considere uno para evitar que sus desarrolladores escriban código libre de vulnerabilidades, ni para evitar que sus administradores mantengan los sistemas y el software actualizados y parcheados periódicamente. Puedo decirle de forma gratuita que no impedirán que las personas accedan a sus vulnerabilidades de inyección SQL o secuencias de comandos entre sitios.

He probado varios WAF de primera línea. Algunos vienen con balanceadores de carga integrados (piense en F5, Zeus). Otros son WAF dedicados e independientes. Probé numerosos ejecutando AppScan contra código web vulnerable conocido. El que mejor desempeño para mí fue SecureSphere WAF de Imperva. Vas a pagar mucho por ello, pero en términos de seguridad bruta, registro y personalización, actualmente es el mejor. Puedes conseguirlo como dispositivo virtual o físico, cada uno con sus ventajas. Tienen licencias muy estrictas y son caras, pero sus capacidades de registro y actualizaciones de firmas son difíciles de superar.

También probamos el código de las aplicaciones utilizando AppScan y WebInspect. Como se mencionó, lo mejor es realizar una revisión del código WAF + porque no se puede obtener el 100% con ninguno de los métodos por sí solo. Esto es muy diferente a los sistemas IDS/IPS, que se centran principalmente en el tráfico de capa 3, no en la capa 7, donde la mayoría de los ataques tienen éxito hoy en día. También existen protecciones WAF (seguridad como servicio) basadas en la nube que ofrecen la misma protección pero por una inversión mucho menor.