Главная

Tuesday, 24 January 2012

Firewall для web-клиента и -сервера


    Относительно недавно пользователи могли установить на свой ПК обычный антивирус - и этого было достаточно, чтобы защититься от различных типов вредоносных приложений, которые могли попасть на систему через носители данных. С развитием телекоммуникаций и широкополосного доступа к локальным сетям и сети Интернет возникли новые угрозы, требующие немедленного решения. Так, в домашнем секторе стали весьма популярными кроме антивирусных приложений еще и персональные firewall-ы. Но это решение не оказалось весьма эффективным, т.к. требовало от пользователя дополнительных затрат на настройку уже двух приложений (антивирус и firewall), зачастую, от различных производителей. Нередко это приводило к проблемам несовместимости программного обеспечения: некорректно настроенный firewall мог блокировать обновление антивируса или антивирус мог принять firewall за вредоносное приложение и не позволял ему корректно работать. В результате, подобный «дуэт» не только не защищал систему, но и мешал ей правильно работать.

   Из опыта могу упомянуть случаи когда на одном компьютере было обнаружено даже по 2(!) запущенных антивируса. Разумеется такая пара приводила к тому что антивирусы боролись не столько с вирусами сколько друг с другом за первенство, что приводило либо к пропуску вредного кода, либо к серьезной перегрузке памяти и ЦП.

Со стороны web-клиента.

   У каждого пользователя Windows XP уже есть бесплатный firewall. Встроенный firewall Windows XP имеет очень ограниченные возможности. В Windows 7 встроенный firewall получил дальнейшее равитие. Теперь он может ограничить нежелательную деятельность софта не только извне но и с вашего компьютера в сеть, т.е в интернет. Вы сами того не ведая можете занести вирус с флешкой, а уж он закрепившись может начать свою зловредную деятельность для тех до кого достучится в ближайшем сеансе связи по интернету. При этом не важно что будет запущено у вас компьютере и где вы будете совершать свой интернет-серфинг.Т.е. страдает не только ваш компьютер но и другие, причем от вашего имени. Оно вам надо? Точно нет.

   Таким образом, в настоящее время определилась тенденция, навправленная на разработку софта уже для комплексной защиты вашего компьютера, т. е. тех, которые выполняют и обычные функции firewall-а, блокируя несанкционированный доступ к вашему компьютеру извне, и защищают от спама, предупреждают о подозрительных сайтах, ведут борьбу с вирусами и троянами и т. п. Именно такой пакет комплексной защиты, выпущенный одним производителем, является оптимальным выбором. Конечно же, самым главным параметром является надёжность firewall-а, степень предоставления защиты и способность отражать различные атаки и угрозы. Немаловажно также удобство пользования firewall-ом, простота настройки параметров, требования к производительности и степень загрузки ресурсов компьютера во время работы.

   В рамках проекта по тестированию файрволлов было проведено их испытания и сравнение. Ниже вы видите список продуктов, прошедших полный набор из 148 тестов и их рейтинг за 2011 год.


Продукт
Рейтинг
Достиг ступени теста
Уровень защиты
Рекомендации
Comodo Internet Security 4.0.141842.828Бесплатный
100%
10+
Отличный
Рекомендуются
PC Tools Internet Security 2011 8.0.0.623
99%
10+
Отличный
Online Solutions Security Suite 1.5.14905.0
99%
10+
Отличный
Outpost Security Suite FREE 7.0.4.3418.520.1245.401 Бесплатный
97%
10+
Отличный
Outpost Security Suite Pro 7.0.1.3376.514.1234.401
97%
10+
Отличный
Kaspersky Internet Security 2011 11.0.1.400
92%
10+
Отличный
Malware Defender 2.6.0
90%
10
Очень хороший
Privatefirewall 7.0.21.1
Бесплатный
89%
9
Очень хороший
BitDefender Internet Security 2011 14.0.24.330
84%
10+
Очень хороший
ZoneAlarm Extreme Security 9.1.008.000
59%
7
Плохой
Не рекомендуются
Rising Internet Security 2010 22.33.00.01
55%
8
Плохой
Norton Internet Security 2011 18.1.0.37
40%
6
Плохой
Jetico Personal Firewall 2.1.0.7.2412
28%
4
Никакой
Dr.Web Security Space Pro 6.0.2.07290
14%
3
Никакой
CA Internet Security Suite Plus 2010 6.0.0.285
12%
3
Никакой
F-Secure Internet Security 2010 10.00.246
9%
2
Никакой
Trend Micro Internet Security Pro 2010 17.50.1647.0000
9%
2
Никакой
FortKnox Personal Firewall 6.0.205.0
7 %
2
Никакой
ZoneAlarm Firewall 9.2.076.000
Бесплатный
7 %
2
Никакой
ESET Smart Security 4.2.64.12
6 %
2
Никакой
avast! Internet Security 5.0.418.0
3 %
1
Никакой
Avira Premium Security Suite 10.0.0.542
3 %
1
Никакой
AVG Internet Security 2011 10.0.1153
3 %
1
Никакой
McAfee Internet Security 2010 11.0.378
3 %
1
Никакой
G Data InternetSecurity 2011 21.1.1.0
2 %
1
Никакой
Panda Internet Security 2010 15.01.00
2 %
1
Никакой
TrustPort Internet Security 2011 11.0.0.4584
2 %
1
Никакой


   В 2011 году в категорию "отличных" попали 5 firewall-ов, и 3 из них - российских разработчиков. Интересно, что в категорию просто "хороших" файрволлов не попал никто, а значительная часть активно рекламируемых файрволлов от известных фирм, таких как ZoneAlarm или Norton Internet Security оказались далеко за пределами списка файрволлов, рекомендуемых к использованию. Среди лидеров есть и бесплатные файрволлы, однако нужно иметь в виду, что они, несмотря на то, что хорошо исполняют свою роль, обладают меньшим набором функций, чем платные аналоги.

    Comodo Internet Security - бесплатный файрволл, разработанный американской компанией. Он уже второй год занимает лидирующее положение в рейтинге, причём со 100% показателем. Это комплексное решение, включающее наряду с файрволлом защиту от троянов и вирусов и другие функции. Программа содержит огромное число разнообразных настроек.

    PC Tools Internet Security - комплексное решение, включающее, помимо файрволла, антивирус, антишпионский и антиспамовый модуль (в прошлом году файрволл был ещё бесплатен и существовал отдельно). Есть русская версия.
  
   Online Solutions Security Suite - комплексное решение от российских разработчиков. Появившись в 2010 году, программа уже смогла занять одно из лидирующих мест в рейтинге файрволлов.
  
    Outpost Security Suite российской компании Agnitum - один из наиболее известных файрволлов (долгое время занимал первое место в рейтинге). Outpost Security Suite - комплексное решение, включающее защиту от вирусов, троянов, шпионских программ, контроль приложений, защиту от спама, блокирование нежелательной рекламы, защиту от посещения нежелательных сайтов и т. п. Одно из самых лучших и надёжных решений. Есть как несколько урезанная в возможностях настроек бесплатная, так и платная версии.

    Kaspersky Internet Security 2011 - решение для комплексной защиты компьютера от лидера в области разработки антивирусного ПО - Лаборатории Касперского. Согласно тестам и отзывам пользователей обеспечивает надёжную защиту по многим параметрам, при этом прост в использовании и настройке по сравнению с большинством аналогов. Помимо традиционных для программа такого рода модулей, включает дополнительные функции, такие, как антифишинг, родительский контроль и т. д.


А со стороны web-сервера ?

   Это положение дел у вас как пользователя интернета. Но кроме явных или неявных пользователей интернета как потенциальных вредителей есть еще и серверная сторона. Естественно, когда вы ходите по сайтам, форумам или блогам, то контент вам отдают сервера хостинга, на которых эти сайты размещены. Они не меньше вашего подвержены атакам, и уважающий себя админ сайта стремится их защитить от внешних атак.
  
    Согласно недавнему аналитическому исследованию, лучшая защита от уязвимостей и угроз для веб-приложений - профессиональное внедрение WAF (Web Application Firewall) и внедрение Dynamic Application Security Testing (DAST), создающих автоматические фильтры. Исследование также показало, что системы предотвращения вторжений (IPS), работающие с фильтрами DAST, также создают эффективный фаервол WAF.
    Консультант по безопасности Ларри Суто провёл сравнительное исследование восьми файрволов для веб-приложений (WAF) и систем предотвращения вторжений (IPS), а также оценил их относительную эффективность в выявлении, регистрации и пресечении веб-атак.
Каждая из восьми систем оценивалась при помощи двух отдельных тестов. Первым делом проверяли насколько эффективно работали IPS или WAF против внешних атак при конфигурации, которая была настроена в течение одного дня или менее опытным специалистом по безопасности. Второе испытание выявило то, как работали IPS или WAF при обучении фильтрами DAST (NTOSpider).
    В ходе исследования было протестировано каждое решение против одинакового набора веб-сайтов и прототипов веб-приложений, и чтобы подстраховаться эксперименты проводились с известными и хорошо знакомыми уязвимостями.

   Выводы из тестов:
• При настройке "по умолчанию", IPS решения были не очень эффективными при защите веб-приложений от уязвимостей. Однако, когда системы IPS работали с фильтрами DAST, их показатели улучшились в среднем на 60%, дойдя до уровня, а то и выше, чем отконфигурированные файрволы, общая эффективность блокировки в среднем достигла 82%.
• Базово настроенные файрволы довольно эффективно обнаруживали и защищали от веб-атак. Наиболее эффективное решение обнаружило 88% уязвимостей, известных в тестовом приложении, средняя эффективность по всем решениям составила 79%. В среднем блокировалось на 19% больше уязвимостей когда фильтры DAST были применены к решениям WAF.
• Исследование показало, что высококвалифицированному эксперту потребуется в среднем 3,5 часа для того, чтобы настроить WAF или достичь приемлемого уровня блокировки, это значительно больше времени, которое обычно тратят организации.


    Фаервол для веб-приложений WAF (Web Application Firewall) это устройство, плагин веб-сервера или программный фильтр который устанавливает правила обмена данными по протоколу HTTP. Обычно WAF применяется как некая контрмера против общераспространенных атак на веб-приложения, например такие как межсайтовый скриптинг (Cross-site Scripting (XSS)), Cross Site Request Forgery (CSRF), SQL-инъекция.



    Непосредственное участие в тестировании WAF принимает организация OWASP.
   OWASP (The Open Web Application Security Project) — благотворительная некоммерческая организация, целью которой является обеспечение безопасности программного обеспечения. Миссия организации — указать на важность обеспечения безопасности, чтобы люди и организации принимали решения, учитывая возможные риски. Участие в OWASP может принять любой желающий. Ее материалы находятся в свободном доступе.

    Наиболее важные критерии выбора фаервола для веб-приложений по версии OWASP:
• * Защита от OWASP Top Ten утилит.
• * Минимум ложных срабатываний (т.е. в идеале WAF не должен запрещать разрешенных запросов).
• * Достаточный уровень защищенности с настройками по умолчанию (т.е. Прямо с коробки).
• * Мощность и легкость в режиме обучения.
• * Количество типов уязвимостей от которых WAF может защитить.
• * Способность к обнаружению раскрытия важной информации и несанкционированно доступа к защищенной информации (кредитные карты и номера социального страхования) в ответных сообщениях веб-сервера.
• * Поддержка по OWASP т.н. Положительной (также известной как whitelist) и Отрицательной (также известной как blacklist) модели безопасности.
• * Упрощенный и интуитивно понятный пользовательский интерефейс.
• * Поддержка кластерного режима работы.
• * Высокая производительность (оценивается по времени задержки, в миллисекундах).
• * Полноценное уведомление об атаках, угрозах. Создание отчетов.
• * Поддержка Web ServicesXML.
• * Защита от атаки класса Brute Force.
• * Возможность работы в Активном режиме (блокирование запросов и запись в журнал), в Пассивном (запись в журнал), а также в режиме БЕЗ фильтрации веб-трафика.
• * Возможность сконфигурировать WAF для защиты от специфических типов атак или уязвимостей (например срочно закрыть уязвимость при отсутствии патча).
• * Возможность сохранить отдельных пользователей с точно такими же ограничениями которые пристуствовали в текущей сессии.
• * Форм фактор: Софт VS Железо (Обычно предпочтение отдается аппаратным продуктам).

Ниже представлена десятка бесплатных фаерволов для веб-приложений (WAF open source):

1. Naxsi: Naxsi представляет собой высокопроизоводительный, фаервол для веб-приложений модуль для вебсервера Nginx (известного сервера и реверсивного прокси). Недавно этот программный продукт также был добавлен в список проекта OWASP.
В основе работы Naxsi используется упрощенная модель фильтрации трафика, где вместо попыток обнаружения уже известных атак по базе сигнатур, совершаются попытки обнаружения некорректных и/или нетипичных для определенного http-запроса/аргумента символов, что может являться признаком атаки на веб-приложение.

2. Vulture WebSSO. Vulture WebSSO не является WAF в классическом виде, но это гораздо больше чем просто WAF. Vulture WebSSO это реверсивный прокси-сервер с функционалом WebSSO и фаерволом веб-приложений в одном флаконе.
Принцип работы Vulture основывается на трех компонетах : веб-сервере Apache,mod_perl и mod_security. Vuture взаимодействует через интерфейс между веб-приложениями и интернетом, с целью обеспечения единой модели безопасности и аутентификации.

3. Guardian@JUMPERZ.NET: Guardian@JUMPERZ.NET это фаервол уровня приложений с октрытыим исходным кодом для протоколов HTTP/HTTPS. Функционирует как реверсивный прокси-сервер. В ходе работы анализирует весь HTTP/HTTPS "через призму" основанных на правилах сигнатур, таким образом обеспечивая защиту веб-сервера и веб-приложений от атак. Как только обнаруживается какая-либо несанцкионированная активность, Guardian@JUMPERZ.NET может отключить tcp-подключение еще до того как атакующий запрос достигнет веб-сервера.

4. IronBee: IronBee это новый проект с открытым исходным кодом,принадлежащий Qualys. Цель проекта - создание универсального датчика безопасности веб-приложений , с реализацией не только кода и правил, но и с созданием вокруг проекта сообщества.


5. WebCastellum: WebCastellum это основанный на Java WAF с открытым исходным кодом. WebCastellum предназначен для включения его в вебприложения для защиты их от атак типа: SQL-Инъекции,Межсайтовый скриптинг(XSS), Cross Site Request Forgery (CSRF), изменения параметров и множества других.
В отличии от традиционных WAF, WebCastellum основан на полностью новой технологии и прочно связывается с отдельным веб-приложением. При этом используется ваш существующий исходный код или байт-код приложения Java EE и таким образом обеспечивается их защита.


6. ModSecurity: На самом деле этот WAF не нуждается в представлении. ModSecurity представляет собой фаервол для веб-приложений который может работать как в качестве вcтроенного, так и в качестве реверсивного прокси-сервера.
Данный функционал обеспечивает защиту от широкого диапазона атак на веб-приложения и дает возможность отслеживать http-трафик, журналируя и анализируя поступающие данные в реальном времени.
ModSecurity - это встраиваемый WAF, а это значит, что он может быть развернут как часть существующей веб-серверной инфраструктуры, в том случае, если она будет основана на веб-сервере Apache.

7. OWASP ESAPI WAF: Фаервол ESAPI для веб-приложений или OWASP Enterprise Security API это бесплатная,с открытым исходным кодом, библиотека для контроля безопасности веб приложений, которая облегчает программистам написание более безопасных приложений.
  Библиотеки ESAPI разработаны с целью облегчения программистам задачи усовершенствования безопасности в существующих приложениях. Библиотеки ESAPI также служат прочным основой для новых разработок.
  Библиотеки писались исходя из Аспектов Безопасности и предназначены обеспечивать безопасность и защиту на прикладном уровне, а не на сетевом. Среди некоторых уникальных особенностей библиотеки присутствуют такая интересная функция как фильтрация исходящего траффика, которая снижает риск утечки информации.
   В настоящее время OWASP ESAPI WAF доступен на многих языках программирования, в том числе для ESAPI Java, .NET, классический ASP, PHP, ColdFusion и CFML, Python и Javascript.


8.OpenWAF: openWAF это первый распределенный фаервол для веб приложений с открытым исходным кодом для веб-сервера Apache. Проект OpenWAF был запущен в феврале 2011 года компанией "art of defence Inc." (http://www.artofdefence.com/en/about-us.html).
   В основе работы openWAF лежит использование клиент-серверной модели. Инфорсер-модуль веб-сервера Apache2 (mod_aod.so) действует как клиент, который отправляет все запросы на так называемый десайдер-сервер (decider,десайдер). Так что при желании существует возможность разгрузить на сервер тяжелые по ресурсам задачи, распределив их выполнение на удаленных серверах.

9. AQTRONIX WebKnight: AQTRONIX WebKnight это фаервол для IIS и других веб-серверов, который выпущен под лицензией GNU General Public License
  Если говорить точнее, то AQTRONIX WebKnight это ISAPI-фильтр, который защищает ваш веб-сервер блокируя определенные запросы. В случае срабатывания тревоги при обнаружении угрозы, WebKnight встанет на защиту вашего веб-сервера.
  Принцип работы AQTRONIX WebKnight основывается на сканировании запросов и их последующей обработке на основе правил фильтра , установленных администратором. И эти правила не полагаются на базу данных сигнатур, требующую регулярных обновлений.

   Также для администратора сайта проект OWASP предлагает OWASP Web Testing Tools CD (OWASP LiveCD).   OWASP LiveCD содержит подборку программ для проверки безопасности и выполнения аудита кода web-приложений, выступает в роли аналога известного инструмента для тестирования сетевой безопасности BackTrack, но специализируется на web. Прошлый релиз OWASP LiveCD вышел в 2007 году, летом 2011 принято решение о полной переработке дистрибутива. В состав OWASP LiveCD входят такие программы, как Httprint для определение типа http-сервера по косвенным признакам, сканеры уязвимостей в web-приложениях Grendel Scan и w3af, утилиты для выявления возможности внедрения SQL кода SQLiX и sqlmap, средства для перебора паролей, локальные прокси WebScarab, Paros Proxy, Rat Proxy и Burp Suite, Firefox c 25 дополнениями для отладки сайтов.

No comments:

Post a Comment

А что вы думаете по этому поводу?