IISに最適なWebアプリケーションファイアウォール(WAF)は何ですか?何が他よりも優れているのですか?侵入防止システム(IPS)とも呼ばれる、記述が不十分なコードに対する攻撃をブロックするのにどの程度役立ちますか?
PCI-DSSにはWAFが必要なので、取得する必要がある場合は、それが最適です。
それは非常に自由形式の質問です。ファイアウォールは、ソフトウェアまたはハードウェア、無料、または数万ドルにすることができます。それは本当に「最高」まであなたのニーズと予算に依存します。
もちろん、結局のところ、あなたが「最高」と言うとき、私はこう言います: Cisco 。
「Webアプリケーションファイアウォール」という用語は、人によって意味も異なることに注意してください。シスコにとって、それはxmlターゲットシステムを意味するようです。実際には、ASAシリーズのようなより汎用的なファイアウォールが必要になる場合があります。これらのセキュリティの問題は多面的であり、私はPCI-DSSの専門家ではないため、お客様の要求の微妙な違いについては完全にはわかりません。しかし、私はあなたが必要とするものは何でも、シスコがそれを持っているとあなたに言うことができます、そしてあなたが最上級を許すならば、それはおそらく揺るがします。
私は、多くの主要なハードウェアおよびソフトウェアベンダーからのさまざまなWebアプリケーションファイアウォールをテストしました。それらのどれも、脆弱なWebアプリケーションの問題を手動で公開する私の能力に特に顕著な影響を与えていません。
彼らは、ワームや季節外れの攻撃者が試みる可能性のある種類の攻撃を阻止することにかなり上手くなっています。これらはすべて、基本的にリクエストを正規表現と照合し、一般的な攻撃パターンを探します。しかし、それらはとても簡単に移動できます。
このようなデバイスは、セキュリティの追加レイヤーとしてのみ考慮してください。開発者が脆弱性のないコードを記述しないようにしたり、管理者がシステムやソフトウェアを定期的に更新してパッチを適用したりしないようにするためのものとは考えないでください。彼らがSQLインジェクションやクロスサイトスクリプティングの脆弱性に遭遇するのを止めないということは、無料でお伝えできます。
まず第一に、過去数年間あなたが疑っている人がどこにいるかはわかりませんが、PCIにおけるWAFの要件は要件6.6の一部であり、過去数年間の要件について最も話題になっています。 (私はリンクを投稿しますが、私は新しいので、メッセージごとに1つのリンクしか投稿できず、それを保存しています。「6.6 PCI WAF」をグーグルで検索すると、1000件の結果が得られます)。
どちらが「最良」であるかについては、最良は非常に相対的な用語です。ニーズと予算に最適なものを見つけてください。出発点が必要な場合は、ここに主要なプレーヤーの簡単な説明があります。 http://www.docstoc.com/docs/9687629/WAF
私はCheekysoftを利用していますが、Nessus、Nikto、および(まだ試していませんが、良いことを聞いた)Googleが最近リリースしたSkipFishを使用して、Webアプリケーションの脆弱性を定期的にスキャンします。また、Webアプリケーションファイアウォールに関するOpen Web Application Security Project(OWASP)ガイドから独自の情報に基づいた決定を下すことができる場合があります。 http://www.owasp.org/index.php/Category:OWASP_Best_Practices:_Use_of_Web_Application_Firewalls
Larry Sutoは最近、興味深いと思われるWAFの分析を行いました。私は彼とは関係がありませんが、Impervaはうまくいきました。 http://www.manvswebapp.com/wp-content/uploads/Analyzing_Effectiveness_of_Web_Application_Firewalls.pdf
ある程度のバランスで、BreachSecurityに数年間在籍してオープンソースのModSecurityに貢献してきたOferShezafは、Larryの方法論、つまり回避手法を検出するWAFの機能のテストの欠如について懸念を抱いています http:// www.xiom.com/2011/11/17/larry_suto_strikes_again
Ofer Shezafとも関係がありません。
完全な開示-私の会社は情報セキュリティソリューションプロバイダーであり、ImpervaのSecureSphereを選択しました。 Impervaは、SecureSphereほど機能が豊富ではないが、展開が速く、管理が簡単なクラウドベースのWAFも提供します。
IIS Microsoft Threat Management Gatewayを検討してください(以前はISAサーバーでした)。これはIIS)を対象としており、 EAL4 +定格のファイアウォールは3つだけです(他の2つはASA/PIXとCheckpointです)。独自のコモディティハードウェアにインストールするか、Celestix製などのアプライアンスとして購入できます。
私はいくつかのトップラインのWAFを試しました。一部にはロードバランサーが組み込まれています(F5、Zeusを考えてください)。その他は、専用のスタンドアロンWAFです。既知の脆弱なWebコードに対してAppScanを実際に実行して、多数のものをテストしました。私のトップパフォーマーは、ImpervaのSecureSphere WAFでした。あなたはそれに対して鼻からお金を払うつもりですが、生のセキュリティ、ロギング、およびカスタマイズ性の観点から、それは現在最高です。それぞれに利点がある仮想または物理アプライアンスを入手できます。それらは非常に厳格なライセンスを持っており、高価ですが、ロギング機能と署名の更新に勝るものはありません。
また、AppScanとWebInspectの両方を使用して、アプリケーション自体をコードテストします。すでに述べたように、どちらの方法だけでも100%を取得することはできないため、WAF +コードレビューを実行するのが最適です。これは、ほとんどの攻撃が現在成功しているレイヤー7ではなく、主にレイヤー3のトラフィックに注目しているIDS/IPSシステムとは大きく異なります。クラウドベースのWAF保護(サービスとしてのセキュリティ)もあり、同じ保護を提供しますが、投資ははるかに少なくなります。
結局のところ、webknightが長距離で合法であるかどうかについて、私は不安を感じています。しかし、正直なところ、彼らのアプリは、私がお尻で使った有料アプリのほとんどを蹴っています。
私はisapi拡張機能に13トリジリオンドルを支払っていません。多くの人が、これを喜んで支払っているようです。
私たちはウェブナイトの男に集結し、彼が必要な場合は彼のソフトウェアを更新するのを手伝う必要があります。残念ながら、彼はcodeplexや私たちが簡単に支援できる場所に公開していません。