Komercyjne lub darmowe

Rynek rozwiązań Web Application Firewall jest dość bogaty. Produkty tej klasy ma w swojej ofercie większość firm zajmujących się bezpieczeństwem sieciowym. Spośród nich warto wymienić takie firmy jak: Baracuda (Baracuda Web Application Firewall), Cisco (ACE Web Application Firewall), Citrix (NetScaler Application Firewall), Fortinet (FortiWeb Web Security Appliance) czy Imperva (Web Application Firewall). Są to rozwiązania komercyjne dostępne jako dedykowane urządzenia appliance lub w postaci maszyn wirtualnych.

Wśród otwartych rozwiązań (open source) nie ma aż tak dużego wyboru. Warto zainteresować się trzema projektami: ModSecurity, OWASP Naxsi oraz ewentualnie wciąż jeszcze w początkowej fazie rozwoju IronBee. Najbardziej dojrzałym projektem w tej trójce wydaje się być zdecydowanie ModSecurity, który jest rozwijany już od blisko 10 lat. Dostępny jest jako moduł do serwerów Apache, Nginx, IIS, a także jako filtr servlet 2.3 dla Javy.

Sam ModSecurity jest udostępniany bezpłatnie, zestawy podstawowych reguł także, ale za dużo obszerniejszy „komercyjny” zapłacimy już ok. 200 dolarów rocznie za licencję. W zamian otrzymamy około 18 000 reguł w kategoriach SQL Injection, Cross-site Scripting (XSS) oraz lokalnych i zdalnych inkluzji plików. Dodatkowo dostępne są także kategorie dla popularnych otwartych systemów CMS.

Narzędzia komercyjne oferują dostęp do często znacznie bardziej rozbudowanych baz reguł, co ma oczywiście odzwierciedlenie w cenie samego rozważania (kilka, a nawet kilkadziesiąt tysięcy dolarów w zależności od konfiguracji).

Około 15–20 tys. zł za podstawowe modele appliance może wydawać się ceną dość wygórowaną dla segmentu małych i średnich przedsiębiorstw, jednak w przypadku firm, których działalność bazuje na internecie – np. dużych sklepów internetowych czy systemów transakcyjnych – warto ponieść taki koszt. Rozwiązania z wyższej półki cenowej to jak na polskie realia rozwiązania dla dużych firm i operatorów usług internetowych.

Niezależnie czy zainwestujemy w rozwiązanie komercyjne, czy w darmowe – do utrzymania systemu będzie potrzebna wykwalifikowana osoba, która będzie miała dobre rozeznanie także w specyfice działania naszych aplikacji webowych.

Naxsi – nieszablonowe i proste

Oprogramowanie Naxsi jest przeznaczone tylko dla serwera webowego Nginx. Z założenia ma być narzędziem o wysokiej wydajności i prostym w użyciu. Szczególnie ta druga cecha odróżnia go od pozostałych rozwiązań. Ten WAF pozwala na zabezpieczenie przed atakami typu SQL Injection, Cross Site Scripting, Cross Site Request Forgery oraz lokalnymi i zdalnymi inkluzjami. W odróżnieniu od większości systemów WAF nie opiera się na regułach i sygnaturach przy wykrywaniu ataków. Stosowany jest algorytm, który zamiast wykrywać znane typy ataków poszukuje w żądaniach HTTP niespodziewanych znaków. Każde ich wystąpienie podnosi wynik dla żądania. Jeśli rezultat przekroczy określony poziom, dostęp jest blokowany, a użytkownik przekierowywany na zdefiniowaną stronę. Autorzy Naxsi porównują jego działanie do filtru spamowego. Z przeprowadzonych testów wynika, że rozwiązanie to, choć proste, odznacza się wysoką skutecznością. Przy założeniu, że instalujemy Nginx w trybie Reverse Proxy wraz z tym modułem możemy wykorzystać go jako uzupełnienie innego systemu WAF (czy to komercyjnego, czy darmowego).