Qual é o melhor Firewall de Aplicativos Web para o IIS? [fechadas]

Essa é uma pergunta extremamente aberta. Um firewall pode ser software ou hardware, gratuito ou dezenas de milhares de dólares. Isso realmente depende de suas necessidades e orçamento, na medida do "melhor".

É claro que, no final, quando você diz "melhor", eu digo: Cisco .

Observe que o termo "firewall de aplicativo da web" também significa coisas diferentes para pessoas diferentes. Para a Cisco, parece significar um sistema direcionado por xml. Você pode realmente precisar de um firewall de uso mais geral, como algo da série ASA. Esses problemas de segurança são multifacetados, e eu não sou especialista em PCI-DSS, então não tenho certeza absoluta das nuances com sua solicitação. No entanto, posso dizer-lhe que, seja o que for que você precise, a Cisco tem isso, e provavelmente é demais, se você perdoar o superlativo.

Eu testei vários Firewalls de Aplicativos da Web diferentes dos principais fornecedores de hardware e software. Nenhum deles realmente teve qualquer efeito notável na minha capacidade de expor manualmente os problemas em aplicativos da Web vulneráveis.

Eles estão ficando muito bons em interromper o tipo de ataque que os worms, ou os atacantes não experientes podem tentar, mas um atacante humano determinado pode sempre facilmente ajustar seu vetor de ataque de tal forma que ele não tropeça mais no IDS. Todos eles correspondem essencialmente a pedidos contra expressões regulares, procurando por padrões de ataque comuns. Mas eles são tão fáceis de se locomover.

Considere apenas um dispositivo como este como uma camada adicional para sua segurança. Não considere um para salvar seus desenvolvedores de escrever código livre de vulnerabilidade ou salvar seus administradores de manter sistemas e softwares regularmente atualizados e corrigidos. Posso dizer de graça que eles não impedirão que as pessoas atinjam suas vulnerabilidades de injeção de SQL ou de script entre sites.

Primeiro de tudo, eu não tenho certeza de onde você tem dúvidas sobre os últimos anos, mas a exigência de um WAF no PCI é uma parte do requisito 6.6, e tem sido o requisito mais falado dos últimos anos. anos. (Eu iria postar um link, mas desde que eu sou novo eu só posso postar um link por mensagem, e eu estou salvando. Apenas google "6.6 PCI WAF" e você terá milhares de resultados).

Quanto a qual é "melhor", melhor é um termo muito relativo. Tente encontrar o que melhor se adapta às suas necessidades e orçamento. Se você quer um ponto de partida, há um breve resumo dos principais jogadores aqui: link

Eu experimentei vários WAFs top de linha. Alguns vêm embutidos com balanceadores de carga (pense em F5, Zeus). Outros são dedicados, WAFs independentes. Testei numerosos ao executar o AppScan contra código da Web vulnerável conhecido. O melhor desempenho para mim foi o SecureSphere WAF da Imperva. Você vai pagar pelo nariz por isso, mas em termos de segurança bruta, registro e personalização, é atualmente o melhor. Você pode obter um appliance virtual ou físico, cada um com suas vantagens. Eles têm um licenciamento muito rigoroso e são caros, mas seus recursos de registro e suas atualizações de assinatura são difíceis de serem superados.

Também codificamos o teste das próprias aplicações usando o AppScan e o WebInspect. Como já foi mencionado, fazer uma revisão de código WAF + é melhor porque você não pode obter 100% com qualquer método sozinho. Isso é muito diferente dos sistemas IDS / IPS, que estão olhando principalmente para o tráfego da camada 3, não para a camada 7, onde a maioria dos ataques é bem sucedida hoje em dia. Há também proteções WAF baseadas em nuvem (segurança como serviço) que oferecem a mesma proteção, mas com muito menos investimento.

Larry Suto recentemente fez uma análise dos WAFs que você pode achar interessante. Não tenho ligação com ele, mas a Imperva fez bem. link

Por algum equilíbrio, Ofer Shezaf, que esteve na Breach Security por vários anos e contribuiu para o OpenSecurity de código aberto, tem algumas preocupações sobre a metodologia de Larry, ou seja, falta de testes da capacidade da WAF de detectar técnicas de evasão link

Eu também não tenho nenhuma conexão com Ofer Shezaf.

Divulgação completa - Minha empresa é uma provedora de soluções de segurança da informação e nós selecionamos o SecureSphere da Imperva. A Imperva também oferece um WAF baseado em nuvem que não é tão funcionalmente rico quanto o SecureSphere, mas é mais rápido de implantar e mais fácil de administrar.

Para o IIS, considere o Microsoft Threat Management Gateway (era o servidor ISA). Ele é voltado para o IIS e é um dos três únicos firewalls com classificação EAL4 + (os outros dois são ASA / PIX e Checkpoint). Você pode instalá-lo em seu próprio hardware ou comprá-lo como um aparelho como o Celestix.

No final do dia, estou certo se o webknight é legítimo para o longo prazo ou não. Mas com toda a honestidade, o aplicativo deles chuta a maioria dos aplicativos pagos com os quais trabalhei na bunda.

Eu não estou pagando 13 trizzilion dólares por uma extensão isapi, muitas pessoas parecem felizes em pagar isso.

Precisamos nos reunir com o cara do webknight e ajudar a atualizar o software dele se ele precisar. Pena que ele não publique no codeplex ou em algum lugar onde possamos ajudar facilmente.