Essa é uma pergunta séria. Será que o modsecurity, o web application firewall (waf) mais utilizado do mercado, se comporta bem em servidores Web com um alto nível de conexões ?

A resposta dependerá da arquitetura que foi montada para suportar este waf e o Web server. Se você deixar ambos rodando sem um controle das regras e nem cache implementado, eu já lhes adianto que o seu ambiente ficará muito lento.

Fizemos uma prova de conceito disto que estou falando há alguns dias em um grande ambiente web. Escolhemos um dos servidores para a instalação e configuração do modesecurity, incluimos as regras do pessoal da atomic corp, demos o start e o resultado foiiiii lenditão.

Depois de mexei dali e mexi daqui, instalamos um varnish cache como frontend, removemos uma série de regras desnecessárias do próprio modsecurity, “tunamos/afinamos” o apache, e tudo passou a funcionar. Mas posso adiantar que há perda de performance com o modsecurity, cerca de 10%.

A aplicação para esta perda é simples, ele é um firewall. Então, ele precisa verificar em todas as suas regras as requisições que recebe.

Então vai a dica – Caso vc esteja pensando em colocar o modsecurity para rodar em seu ambiente, assegurando-o assim de uma série de ataques, cuidado com a quantidade de requisições que o seu web server responde. Se forem muitas, o waf vai te dar dor de cabeça.

Isso é mais um dos pontos que abordaremos no curso de Hardening em S.O. + Web que será ministrado em parceria com o pessoal da 4bios e que tem web seminário gratuito programado para amanhã, quinta-feira. Corram e se inscrevam.. 🙂