Faz 3 anos que comecei a estudar Web Application Firewall (waf). Para quem não sabe, este tipo de solução é empregada no mercado para aumentar a segurança de aplicações web, já que ele, o waf, atua protegendo a sétima camada do modelo de camada OSI, aplicação.

Mas nem tudo são flores e vários estudos e pesquisas comprovam que os wafs não conseguem bloquear 100% dos ataques conhecidos e que sofrem em testes ou benchmarks.

Mas por que o mercado utiliza eles mesmo assim ? Simples, pior sem eles.

Um ponto que gostaria de comentar: Tenho lá minha dúvidas sobre qual solução paga é a mais utilizada, Imperva ou Barracuda. Alguém, por um acaso, possui este dado ?

Mais sobre wafs

Há dezenas de wafs wafs no mercado, mais licenciados/pagos do que opensource.Eu destaco os pagos sendo da Barracuda, Trustwave, Imperva, f5, Cisco e os gratuitos da Naxsi, modsecurity e varnish security

O modsecurity, suportado pela Trustwave, é a solução de waf opensource mais utilizada no mercado. E agora ele roda nos 3 principais web servers. IIS, Apache e Nginx.

Aí vem um problema. Você precisa comprar regras ou desenvolver as suas próprias para ter um melhor nível de segurança com o modsecurity.

Quando o assunto é compra de regras, eu aconselho as da atomic corp. Elas são atualizadas e disponibilizadas diariamente.

Agora, tome cuidado com as regras que for utilizar – vc precisa saber bem do que precisa e utilizar aquilo que for necessário, caso contrário, vc sobrecarregará o seu waf com coisas desnecessárias.

Quando o assunto é instalação, eu aconselho a leitura de dois posts:

  • O primeiro é de minha autoria. Ele explica todo o processo de instalação em um CentOS 6.2 – bem que já estamos no 6.4 – fora a nova release do modsecurity
  • O segundo e último é na verdade um conjunto de posts do jczucco. Ele traduziu e resumiu informações importantes quanto a instalação e configuração das regras gratuitas do modsecurity. É legal para aqueles que estão começando a mexer com o produto, mas não tem conhecimento da língua inglesa.

Agora se você busca material para estudar por conta própria, já que está em um nível mais avançado, então vai a lista de livros que você pode começar a estudar:

 

 

 

 

 

Os 3 livros indicados são excelentes. Você encontra para consulta só os dois últimos. Quem tive o link para o primeiro coloque nos comentários, por favor. Eu aconselho também a leitura do livro HTTP – the definitive guide. Ele é a base para os seus estudos sobre WAF, Web e tudo relacionado a segurança web.

Montando um ambiente para estudos

Máquinas virtuais, muitas máquinas virtuais, este é o segredo so seus estudos.

Instale tudo com CentOS ou Ubuntu. Trabalhe com Nginx e Apache e não esqueça de colocar os logs destes caras em modo debug. Assim vc terá mais informações sobre os seus testes.

Para realização dos ataques eu aconselho a utilização do Back|track ou Kali, o seu novo nome.

Eu gosto de trabalhar com o seguinte ambiente:

  • 1 servidor rodando Varnish, só para testar algumas regras de segurança e verificar o seu comportamento
  • 1 servidor rodando o Nginx
  • 1 servidor rodando o apache

*estes dois últimos com o modsecurity implementando, e no caso do nginx, com o naxsi também implementado. Eu gosto de comparar produtos.

Curso focado no assunto, Waf

Estou finalizando um curso de hardening S.O. e web que tem como um capítulo wafs. Quem me conhece sabe que gosto de abordar com certa profundidade este tema. Adianto que tudo que vc leu neste post será visto no curso, mas com prática e bem mais técnico. 🙂

Cyber War Game

Já adianto que vocês irão ver e muito Wafs em funcionamento no Cyber War Game. Fiquem ligados e garantam já o seu ingresso. 🙂