Firewall dell'applicazione Web basata su anomalie

Naviga le tue risposte
2

Quanto sono pratici i firewall per applicazioni Web basati su anomalie nel mitigare gli attacchi basati sul web? A quali tipi di minacce vengono mitigati e quali no? Sono loro qualsiasi attuazione pratica di loro.

    
posta Ali Ahmad 26.08.2012 - 17:54
fonte

2 risposte

1

Controlla ModSecurity - è un approccio abbastanza decente, include l'anomalia e il sistema di punteggio collettivo. Puoi dare un'occhiata a Regole principali , ci sono anche voci di anomalia. Devi solo caricare Regole fondamentali in ModSecurity e, ecco fatto, tutto ciò che serve è testare le applicazioni ed eventualmente eliminare, aggiungere, modificare alcune regole .

Le voci di anomalia proteggono principalmente da bot automatizzati o altri client sospetti che fanno richieste molto insolite. Senza regole create per applicazioni specifiche (esistono regole per i cms popolari), ciò che impedisce è ad esempio la richiesta di contenuti Web con set di intestazioni non standard.

Quando ci sono regole per applicazioni specifiche, previene alcune richieste che non sono tipiche per un'applicazione specifica, tuttavia come funziona in modo specifico e a quale livello avresti bisogno di dare un'occhiata alle regole fondamentali.

Queste regole non sono super-specifiche, ma hanno un approccio più pratico nel modo in cui, senza una grande filosofia, ottengono solo punteggi anomali basati su regole, e richiede un sacco di tuning e modifiche per farlo funzionare con qualsiasi specifica app, quindi fondamentalmente fa ciò che è nelle regole, oltre a ciò che puoi fare da solo.

Non proteggono da parolacce, ma è facile da aggiungere, inoltre non proteggono da attacchi ben offuscati e progettati.

Ecco un elenco di protezioni da Regole principali , che fanno parte di ModSecurity :

  • Protezione HTTP: rilevamento di violazioni del protocollo HTTP e una politica di utilizzo definita localmente.
  • Ricerche Blacklist in tempo reale - utilizza la reputazione IP di terze parti
  • Rilevamento di malware basato sul Web - identifica i contenuti Web dannosi tramite il controllo sull'API di Navigazione sicura di Google.
  • Protegge Denial of Service HTTP - difesa contro gli attacchi HTTP DoS e Slow HTTP DoS
  • Protezione da attacchi Web comuni - rilevamento di un attacco di sicurezza per applicazioni Web comuni.
  • Rilevamento dell'automazione - Rilevamento di robot, crawler, scanner e altre attività dannose di superficie.
  • Integrazione con la scansione AV per i caricamenti di file - rileva i file malevoli caricati tramite l'applicazione web.
  • Tracciamento dei dati sensibili - Traccia l'utilizzo della carta di credito e blocca le perdite.
  • Protezione Trojan - Rilevamento dell'accesso ai cavalli di Troia.
  • Identificazione dei difetti delle applicazioni - avvisi sulle errate configurazioni dell'applicazione.
  • Rilevamento e occultamento dell'errore - Nascondere i messaggi di errore inviati dal server.

ModSecurity viene utilizzato in vasti spazi di Internet - ad esempio, Akamai, il CDN più grande lo ha installato su molti server, poiché l'hanno integrato o in qualche modo lo ha bocciato al proprio software. Questo perché è cloud friendly - rilevazione di anomalie che è basata collettivamente - le informazioni provengono da diversi server, quindi rileva anomalie che sono geograficamente distribuite tra i tuoi server.

    
risposta data 26.08.2012 - 20:36
fonte
1

Prova a verificare Big-IP da F5 ... utilizzato da Facebook, BoA e altre società ..

link

È l'ASM (Application Security Manager) che gestisce la protezione dagli attacchi Web ... link

    
risposta data 27.08.2012 - 20:13
fonte

Leggi altre domande sui tag

Questa autenticazione di accesso è sicura? Le chiamate telefoniche sono normalmente registrate? [chiuso]