Pois é pessoal, a galera que cuida do ModSecurity acaba de anunciar a versão beta para JAVA.

Para quem não sabe, o ModSecurity é o mais utilizado Web Application Firewall OpenSource do universo conhecido. Muitos portais e empresas o utilizam para assegurar os seus ambientes Web, graças as centenas de regras que existem, sejam gratuitas ou pagas, e que podemos configurar nele. Já adianto que gosto e muito das regras vendidas pelo pessoal da Atomicorp.

Acontece que em servidores Apache com mais de 10.000 conexões TCP/HTTP estabelecidas, o ModSecurity vira um baita de um gargalo. Quero dizer, este módulo de segurança deixará as respostas do seu servidor Web bem mais lentas. Daí, eu fico imaginando este WAF rodando em uma JVM – Java Virtual Machines.

Vale lembrar que a grande maioria das JVMS que rodam aplicações web no mercado possuem um tuning inadequado, gerando grande perda de performance para o seu ambiente.

Então some o problema de tuning com JVMS web com a instalação do ModSecurity. Alguns analistas dirão “Então suba outra JVM para rodar o ModSecurity sozinho.”

Não funciona assim não, já que teremos que configura-lo como proxy reverso, repassando assim todas as requisições HTTP para a JVM, que de fato, responderá o conteúdo web. E pelo que eu li da documentação fornecida pela Trustwave/ModSecurity, ele não faz isso – “The main problem this project solves is that you will no longer have to front-end your Java app servers with a reverse proxy in order to gain ModSecurity protections!  ModSecurity
standalone code uses JNI to hook into Java servers (Tomcat, Spring, Stuts, etc…) as a Servlet Filter
.”

Legal hein trustwave, como é que vou colocar uma grande aplicação Web rodando no gargalo com o modsecurity na mesma JVM ???

Nem parei para analisar a quantidade de threads e mais recursos que o modsecurity consume rodando em uma JVM. Pelo que eu li até agora, esta versão para o mundo JAVA só foi testada no TomCat. Alguém aí disposto a testar nos servidores aplicacionais JAVA de verdade, como Jboss, WebSphere e WebLogic ?

Ponto positivo para esta nova versão ou fork do modsecurity – a documentação para instalação foi bem escrita. 🙂 Parabéns