Tuesday, April 17, 2007

Waarom een web application firewall?

Ik was eerst van plan om een artikel te schrijven over de beveiliging van open-source content management systems maar ik zal eerst een kader scheppen :-)
Vandaar dit bericht!
Voor de mensen die dit lezen en die zeggen: web application firewall?! Een mooi Nederlands woord bestaat er niet buiten webstek vuurmuur...

Een web application firewall laat toe om inkomend en uitgaand HTTP verkeer te controleren op inhoud. Waarom? Om aanvallen te detecteren en af te blokken. Aanvallen? Inderdaad: alle web sites worden dagelijks aangevallen door virussen, automatische scanners en hackers. Die zoeken kwetsbaarheden in de applicatie om te misbruiken en verder toegang te krijgen tot de achterliggende databank, informatie of netwerk. Meer informatie op www.owasp.org.

Ik heb al honderden programmeurs verbaasd doen kijken met volgende vraag: "Kan je in jouw logfiles zien dat jouw applicatie wordt aangevallen, nu en hoe?" Ik heb nog nooit, ik herhaal nooit, een positief antwoord gekregen. Applicaties zijn niet gemaakt om aanvallen te detecteren, af te blokken en een alarm te geven. Waarom? Dit is geen functionele requirement, dus niet geĆÆmplementeerd. Maar dit moet wel zo zijn!

Vandaar dat een web application firewall (waf) nodig is. En er is zelfs een open-source versie: ModSecurity (www.modsecurity.org). ModSecurity is een plugin voor Apache die inkomend en uitgaand HTTP verkeer controleert met regels. Die regels definiƫren wat er niet mag aanwezig zijn in parameters bijvoorbeeld of 1 0R 1=1

Het mooie aan een waf is dat dit geen verandering aan de applicatie vereist. Je plaats dit op een netwerkniveau voor de bestaande web applicaties en met behulp van mod_proxy kan je al die sites publishen.

ModSecurity is compileerbaar op heel veel platformen. Ik heb dit overlaatst gecompileerd op een SuSe voor PowerPC bovenop IBM iSeries en dit werkt perfect! Zelfs heel performant!

En dit zou niet open-source zijn als er geen "Core Rules" bestaan die veel aanvallen detecteren, maar niet afblokken. Er is zelf een Console, niet open-source wel gratis voor 3 sensors die je op de kan gebruiken om op de hoogte te blijven van transacties en aanvallen.

Als jullie bijkomende vragen hebben, laat maar een comment na en ik zal trachten een antwoord te geven. Indien nodig, contacteer ik wel de maker van ModSecurity, Ivan Ristic.

No comments: