Zum Hauptinhalt springen

Die besten Open-Source-Webanwendungsfirewalls

Veröffentlicht am:
.
12 min read
.
Für die Englische Version

Das Internet ist mit dem Wilden Westen vergleichbar. Wenn eine Website live geht, wird sie sofort von Negativität aus allen Richtungen überflutet. Der Großteil dieses Verkehrs besteht aus Bots (von Robotern und automatisierten Programmen, die das Internet nach anfälligen Websites durchsuchen), die sich nicht an Geschwindigkeitsbeschränkungen halten.

Wenn Schwachstellen von Bots ausgenutzt werden, kann dies dazu führen, dass eine Website entstellt wird, Daten gestohlen werden (Benutzernamen und Passwörter, sensible private Informationen usw.) oder dass sie zu einem Zombie-Bot unter anderen Zombie-Bots wird, die dann andere anfällige Websites infizieren.

Botnets, mit der von ihnen gefangenen Rechenleistung und Internetbandbreite, werden schließlich an den Höchstbietenden auf dem Schwarzmarkt vermietet. Dort können Schwachstellen eine Vielzahl von sehr realen Schäden verursachen.

Wenn Sie ein Internetgeschäft besitzen, müssen Sie verhindern, dass Hacker Ihre Website zerstören. Wenn Ihre Website mit Hacker-Code infiziert wird, werden Suchmaschinen nicht darauf verlinken. Schützen Sie Ihre Organisation mit einer Firewall für Webanwendungen.

Also, zusätzlich zu den regelmäßigen Sicherheitsbest Practices, um schlimme Dinge zu verhindern, wird gelegentlich eine WAF als erste Schutzlinie implementiert.

Eine Web Application Firewall (WAF) ist eine Form der Anwendungsfirewall, die Sichtbarkeit und Analyse des HTTP(S)-Verkehrs zu und von einer Online-Anwendung bietet. Sein Zweck ist es, Angriffe zu vereiteln, die darauf abzielen, den Dienst zu verweigern und Daten zu stehlen. Es gewährt dem Administrator die direkte Kontrolle über die Anfragen und Antworten, die durch das System fließen, ohne dass eine Änderung des Backend-Codes erforderlich ist. Ein WAF unterscheidet sich von einer herkömmlichen Firewall darin, dass es eine bestimmte Online-Anwendung oder Gruppe von Webanwendungen schützt. Und das geschieht, ohne mit Online-Apps zu interagieren.

Es gibt mehrere kostenlose WAFs, um Ihre Webanwendungen zu schützen. Der empfindlichste Aspekt von Open-Source-WAF ist die Fähigkeit, den Code basierend auf Ihren Projekten anzupassen.

Durch diesen Artikel werden die Vor- und Nachteile der Verwendung von Open-Source-WAF-Lösungen, die besten Open-Source-WAF-Lösungen, unverzichtbare Funktionen von WAF-Lösungen und Sicherheitsbedenken bei Open-Source-WAF-Lösungen behandelt.

Abbildung 1. Was ist eine Web Application Firewall (WAF)?

Was sind die Vorteile von kostenlosen Open-Source-WAFs?

Eine Open-Source-Webanwendungs-Firewall (WAF) hat mehrere Vorteile, insbesondere für kleinere Organisationen, die möglicherweise finanzielle Einschränkungen bei der Beschaffung der Dienste prominenter WAF-Unternehmen haben. Open-Source-WAFs sind äußerst anpassungsfähig und konfigurierbar, wodurch WAF-Technologie für Unternehmen zugänglich wird, die sich kommerzielle WAFs nicht leisten können. Neben potenziellen Kostenvorteilen bietet ein Open-Source-Projekt jedem die Möglichkeit, den Quellcode einer Anwendung persönlich zu überprüfen, sofern sie die Neigung dazu haben. Zahlreiche Entwickler haben auch große Bewunderung für und identifizieren sich mit den übergreifenden Prinzipien von Open-Source-Software, die eine Vision verkörpern, die durch Offenheit, Transparenz und die Förderung einer überlegenen Codequalität gekennzeichnet ist. Die wichtigsten Vorteile der Verwendung einer Open-Source-WAF-Lösung sind unten aufgeführt:

  • Kosten-Nutzen: Verwenden Sie eine Open-Source-Webanwendungs-Firewall, wenn Sie nicht viel Geld für die Sicherheit von Webanwendungen ausgeben möchten.

  • Kein Anbieter-Lock-in: Neben den Kostenvorteilen gibt es keine Möglichkeit der Anbieterbindung, was einen Wechsel zu einem anderen Produkt oder Anbieter in der Zukunft erschwert. Je nach zugrunde liegender Lizenz können Unternehmen Open-Source-WAF-Lösungen anpassen, um einzigartige Lösungen zu entwickeln.

  • Unterstützung der Entwicklergemeinschaft: Ein weiterer wichtiger Vorteil ist das normalerweise hohe Maß an Engagement der Entwicklergemeinschaft. Da eine große Anzahl unabhängiger Entwickler am Code zusammenarbeitet und ihn regelmäßig testet, werden Fehler und Schwachstellen häufig entdeckt und schnell behoben. Dies hat einen positiven Einfluss auf die Qualität, Stabilität und Sicherheit der Software.

  • Klein anfangen, dann wachsen: Mit Open Source können Sie klein und schnell mit Community-Versionen beginnen, bevor Sie zu einer kommerziell unterstützten Lösung wechseln, wenn es die Bedürfnisse Ihres Unternehmens erfordern. Wenn das Projekt keine Unterstützung benötigt, kann die Community-Version unbegrenzt verwendet werden. Sie haben die Möglichkeit, viele Optionen zu bewerten, diejenige auszuwählen, die funktioniert, und dann mit einer kommerziellen Lösung zu skalieren.

Was sind die Nachteile von kostenlosen Open-Source-WAFs?

Neben den Vorteilen von Open-Source-WAF-Lösungen gibt es auch einige Nachteile. Die Hauptnachteile von Open-Source-WAF-Lösungen sind wie folgt:

  • Verteilte Angriffe: WAFs, die Open-Source-Frameworks und -Code verwenden, sind anfällig für weit verbreitete Schwachstellen. Aufgrund der Tatsache, dass mehrere Systeme dasselbe Framework nutzen, sind Hunderttausende von Anwendungen anfällig für neu entdeckte Schwachstellen. Sobald diese Schwachstellen aufgedeckt werden, beeilen sich die Unternehmen, einen Patch zu entwickeln, bevor sie von Angreifern ausgenutzt werden. Dies deutet darauf hin, dass Open-Source-WAFs nicht darauf verlassen werden können, Angriffe in Echtzeit zu stoppen.

  • Kann umgangen werden: Die Mehrheit der Open-Source-WAFs verwendet Software mit ausnutzbaren Schwachstellen. Open-Source-WAFs verfügen über Fail-Open- und Fail-Close-Ereignisse, wenn übermäßiger Verkehr erkannt wird. Bei einem Fail-Open führt eine WAF lediglich Überwachungen durch und lässt so allen Datenverkehr, einschließlich möglicherweise schädlicher Daten, passieren. Im Falle eines Fail-Close wird der gesamte Verkehr gestoppt. Ein DoS oder DDoS-Angriff könnte die WAF umgehen und den vollständigen Zugriff auf die Anwendung einschränken.

  • Zero-Day-Schwachstellen: Eine Zero-Day-Schwachstelle ist ein Angriff, der einem Cybersicherheitsexperten unbekannt ist und nur dem Angreifer bekannt ist. Daher dauert es eine Weile, bis ein Cybersicherheitsexperte einen Patch gegen eine Zero-Day-Schwachstelle entwickelt. In der Zwischenzeit kann ein Angreifer diese Gelegenheit nutzen, um das System zu kompromittieren. Die Mehrheit der Open-Source-WAFs ist nicht in der Lage, sich gegen diese Arten von Cyberangriffen zu verteidigen. Um eine WAF auf dem neuesten Stand mit invasiven Zero-Day-Angriffen zu halten, müssen Entwickler oft und umfassend die Systemregeln ändern, was unmöglich ist.

  • Konfigurations- und Wartungsprobleme: Open-Source-WAFs müssen oft sofort nach der Installation konfiguriert werden. In bestimmten Fällen benötigen sie erheblich mehr Arbeitsaufwand als reguläre Firewalls. Für optimalen Schutz ist das Wissen sowohl über die Open-Source-WAF als auch über die Anwendung, auf der sie installiert wird, unerlässlich.Wenn Ihnen dieses Wissen über Sicherheit im Haus fehlt, müssen Sie es auslagern, was teuer ist. Angesichts des Wertes der Vermögenswerte, die sie schützen, verdienen Fachleute in diesem Bereich ein hohes Gehalt. Du würdest nicht wollen, dass ein Anfänger deine Cybersicherheits-Frameworks durch Inkompetenz vermasselt.Die Wartung eines Open-Source-WAF-Netzwerks ist äußerst arbeitsintensiv. Aufgrund der Anpassungsfähigkeit von Webanwendungen entwickeln sie sich ständig weiter und benötigen Wartung. Benutzer benötigen oft neue Funktionen und regelmäßige Updates. Ganz zu schweigen von der sich schnell verändernden Umgebung der Computer.

Was sind die besten Open-Source-WAFs?

Die folgende Open-Source-Webanwendungs-Firewall könnte hilfreich sein, wenn Sie nach einer kostenlosen Alternative zu kommerziellen WAF suchen, um Ihre Website zu schützen. Die besten kostenlosen und Open-Source-WAFs sind wie folgt:

  1. NAXSI
  2. WebKnight
  3. Shadow Daemon
  4. Coraza
  5. OctopusWAF
  6. IronBee
  7. ModSecurity

Starten Sie noch heute kostenlos mit Zenarmor.

1. NAXSI

NAXSI ist ein Akronym für Nginx Anti XSS und SQL Injection. Technisch gesehen ist es ein Drittanbieter-Nginx-Modul, das mit mehreren UNIX-ähnlichen Systemen gebündelt ist. Standardmäßig liest dieses Modul eine begrenzte Auswahl grundlegender (und verständlicher) Regeln, die 99 Prozent der bekannten Muster im Zusammenhang mit Website-Sicherheitsanfälligkeiten abdecken.

Naxsi hat ein grundlegendes Regelwerk und ist erweiterbar mit benutzerdefinierten Regelwerken. Die Konfiguration erfolgt im Kontext von Nginx. Das WAF ist durch Punktzahlen für einzelne Regeln und konfigurierbare Schwellenwerte für Blockierungsoperationen an verschiedene Kontexte und Webanwendungen anpassbar.

Naxsi kann viele Daten untersuchen, einschließlich URLs, Anfrageparameter, Cookies, Header und dem POST-Body, und es kann auf Standortebene in der Nginx-Konfiguration aktiviert oder deaktiviert werden. Die automatische Erstellung von Whitelists vereinfacht die Bereitstellung von Firewalls im Netzwerk und beseitigt alle Fehlalarme. Andere Anwendungen wie NX-Utils und Doxi vereinfachen die Verwaltung, die Erstellung von Berichten und die Modifikation von Regelsets.

NX-Utils, die mit Naxsi geliefert werden, sind äußerst nützlich für die Erstellung von Whitelists und Berichten. Zunächst besteht die NX-utils-Sammlung aus dem Intercept-Modus, der es Naxsi ermöglicht, Anfragen, die vom WAF gestoppt wurden, für zukünftige Berichte und Whitelists in einer Datenbank aufzuzeichnen, und dem Report-Modus, der die gespeicherten Ereignisse visualisiert. Eine zukünftige Version von NX-Utils wird eine verbesserte Berichtverarbeitung und -filterung ermöglichen, um WAF-Ereignisse mit größerer Präzision zu bewerten.

NAXSI, ein ladbares Modul für den Nginx-Webserver, wird von der OPNsense WAF verwendet. NAXSI hat zwei Arten von Regeln:

  • Hauptregeln: Diese Regeln gelten international. Blockieren von Code-Snippets, die ausgenutzt werden könnten, um unbefugten Zugriff auf den Server zu erhalten (wie SQL-/XPATH-Injection für den Datenzugriff) oder um die Kontrolle über einen fremden Client zu übernehmen. (for example XSS).

  • Grundregeln: Diese Regeln werden typischerweise an Orten verwendet, um primäre Regeln nach ID zuzulassen oder für ergänzende Regeln.

NAXSI, im Gegensatz zu den meisten Web Application Firewalls, verlässt sich nicht auf eine Signaturdatenbank wie ein Antivirus und kann daher nicht durch eine "unbekannte" Angriffsmethode umgangen werden. Naxsi bedeutet freie Software (im Sinne von Freiheit) und kostenlos zu benutzen.

NAXSI funktioniert als standardmäßige DROP-Firewall. NAXSI filtert nur GET- und PUT-Anfragen, und seine Standardkonfiguration fungiert als DROP-by-default-Firewall, daher müssen Sie die ACCEPT-Regel hinzufügen, damit es ordnungsgemäß funktioniert.

Was sind die Funktionen von NAXSI?

Die wichtigsten Funktionen von NAXSI sind unten aufgeführt:

  • Minimale Speicherauslastung und Verarbeitungszeit
  • Widerstand gegen Angriffe mit gefährlichen Eigenschaften und unbekannten Ausdrücken.
  • Einfach zu verwalten im Vergleich zu anderen WAFs
  • Effektives Lernverfahren

NAXSI ist am besten geeignet für die Auswahl einer WAF, die mit NGINX kompatibel ist, angesichts des EoL von ModSecurity.

Abbildung 2. NAXSI

2. WebKnight

Angesichts der Zunahme von Online-Gefahren ist der Schutz einer Webanwendung immer eine Herausforderung. Sie sollten jede Option untersuchen, um Ihre Website vor Hackern zu schützen. Wenn Sie eine auf IIS gehostete Website sichern möchten, sollten Sie die Verwendung von WebKnight WAF in Betracht ziehen.

AQTRONiXs WebKnight ist eine Open-Source-Webanwendungs-Firewall für IIS-Webserver. Es verhindert, dass schädliche Anfragen den IIS erreichen, indem alle Anfragen gescannt werden.

Alle blockierten Anfragen werden standardmäßig protokolliert, und Sie können dies nach Ihren Bedürfnissen anpassen. WebKnight 3.0 verfügt über eine Admin-Weboberfläche zur Konfiguration von Regeln und zur Durchführung administrativer Aufgaben, einschließlich Statistiken.

Was sind die Funktionen von WebKnight?

Einige der herausragenden Funktionen von WebKnight sind unten aufgeführt:

  • Schnittstelle für die Verwaltung - praktisch zur Verwaltung von WebKnight und Statistiken

  • Protokollierung - Protokolliere Anfragen, die von WebKnight blockiert oder bearbeitet werden

  • Verwendung mit WebDAV, Cold Fusion, OWA, Share Point usw.

  • Mit roher Gewalt gegen Verteidigungen vorgehen

  • IP blockieren, was nützlich ist, um eingehende Anfragen von bekannten bösartigen IP-Adressen

  • Hotlinking-Sicherheit

  • Roboter behindern

  • Untersuchen Sie sowohl GET- als auch POST-Nutzlasten

  • Laufzeitaktualisierung - es ist nicht notwendig, IIS neu zu starten, während WebKnight aktualisiert wird

  • SSL-Sitzungsverschlüsselung

  • SQLi, XSS, CSRF und Datenverlustprävention (DLP)

WebKnight ist am besten geeignet für Schutz gegen SQL-Injection, Verzeichnisdurchquerung, Zeichencodierung und Pufferüberlauf

Abbildung 3. WebKnight

Was sind die Vorteile von WebKnight?

Lassen Sie uns einen Blick darauf werfen, welche Vorteile es zusätzlich zu den oben genannten Funktionen hat.

Hier sind einige der Vorteile von WebKnight:

  • Schützt Ihre Webanwendung vor Bedrohungen und stoppt auch bösartige Roboter.

  • Gibt Informationen über die laufenden Angriffe und erhöht die Sichtbarkeit des blauen Teams.

  • Erfüllen Sie die Anforderungen zur PCI DSS-Konformität.

  • Open Source (GNU GPL) mit nur Supportgebühren.

3. Schattendämon

Shadow Daemon ist eine Suite von Werkzeugen, die entwickelt wurden, um Angriffe auf Webanwendungen zu identifizieren, aufzuzeichnen und zu verhindern. Der Shadow Daemon ist technisch gesehen eine Webanwendungs-Firewall, die Anfragen abfängt und schädliche Parameter entfernt. Es ist eine modulare Lösung, die Online-Anwendungen, Analysen und Schnittstellen isoliert, um Sicherheit, Flexibilität und Skalierbarkeit zu erhöhen.

Shadow Daemon ist eine kostenlose Anwendung. Es wird unter der GPLv2-Lizenz angeboten, was bedeutet, dass der Quellcode von jedem studiert, aktualisiert und verteilt werden kann.

Der Shadow Daemon ist einfach zu installieren und zu warten, dank einer gut organisierten Web-Oberfläche, die eine eingehende Analyse von Bedrohungen ermöglicht.

Die Schnittstelle umfasst Shell-Skripte zum Versenden wöchentlicher Berichte per E-Mail, zum Rotieren von Protokollen und ähnliche Aufgaben.

Der Schatten-Dämon kann häufige Angriffe wie folgt identifizieren:

  • SQL-Injektionen

  • XML-Injektionen

  • Code-Injektionen

  • Befehlsinjektionen

  • Cross-Site-Scripting

  • Lokale/remote Dateieinbindungen

  • Hintertürzugang

Shadow Daemon wird durch umfassende Dokumentation und eine lebendige Community unterstützt. Dies ist eine benutzerfreundliche und verwaltbare Open-Source-Firewall für Webanwendungen.

Der Shadow Daemon blockiert im Gegensatz zu vielen anderen Webanwendungs-Firewalls bösartige Anfragen nicht vollständig, wann immer es möglich ist. Stattdessen entfernt es nur die potenziell schädlichen Komponenten einer Anfrage, bevor es diese weiterleitet. Dies verhindert Angriffe, ohne Besucher im Falle von Fehlalarmen unnötig zu frustrieren.

Shadow Daemon ist am besten für diejenigen, die ihre eigene dynamische Website hosten möchten, ohne sich ständig um Schwachstellen und Angriffe sorgen zu müssen.

Shadow Daemon ist am besten für diejenigen, die herausfinden möchten, ob und wie ihre Website angegriffen wird.

Shadow Daemon ist am besten für diejenigen, die nicht blind auf geschlossene, teure und geheime Software vertrauen möchten.

Abbildung 4. Schatten-Dämon

Was sind die Funktionen von Shadow Daemon?

Einige Eigenschaften des Schatten-Dämons sind unten aufgeführt:

  • Die Kombination von Blacklists und Whitelists ermöglicht eine genaue Erkennung.
  • Umfassende Abdeckung mit zahlreichen Anschlüssen
  • Näher an der Anwendung für erhöhte Sicherheit
  • Nur schädliche Teile bösartiger Anfragen blockieren

Was sind die Funktionen von Shadow Daemon?

Einige Eigenschaften des Schatten-Dämons sind unten aufgeführt:

  • Die Kombination von Blacklists und Whitelists ermöglicht eine genaue Erkennung.
  • Umfassende Abdeckung mit zahlreichen Anschlüssen
  • Näher an der Anwendung für erhöhte Sicherheit
  • Nur schädliche Teile bösartiger Anfragen blockieren

4. Coraza

Coraza ist eine Open-Source, unternehmensgerechte, hochleistungsfähige Web Application Firewall (WAF), die entwickelt wurde, um Ihre wertvollsten Apps zu schützen. Es wird in der Programmiersprache Go entwickelt, unterstützt ModSecurity- und SecLang-Regelsätze und ist vollständig kompatibel mit dem OWASP Core Rule Set.

Coraza ist ein direkter Ersatz für die bald eingestellte Trustwave ModSecurity Engine und unterstützt SecLang-Regelsätze als Branchenstandard.

Coraza ist eines der besten WAFs, da es ein Gemeinschaftsprojekt mit einer klaren kontinuierlichen Entwicklungs-Roadmap ist.

Abbildung 5. Coraza

Was sind die Eigenschaften von Coraza?

Die Hauptmerkmale von Coraza sind wie folgt:

  • Sicherheit: Coraza nutzt das OWASP Core Rule Set (CRS), um Ihre Webanwendungen vor einer Vielzahl von Bedrohungen, einschließlich der OWASP Top Ten, mit minimalen Fehlalarmen zu schützen. CRS verteidigt sich gegen eine Vielzahl typischer Angriffsarten, einschließlich SQL Injection (SQLi), Cross Site Scripting (XSS), PHP- und Java-Code-Injection, HTTPoxy, Shellshock, Scripting/Scanner/Bot-Erkennung sowie Metadaten- und Fehlerlecks.

  • Erweiterbar: Im Kern ist Coraza eine Bibliothek mit mehreren Konnektoren zum Bereitstellen von On-Premise-Webanwendungs-Firewall-Instanzen. Erstellen Sie Ihre eigenen Audit-Logger, Persistenz-Engines, Operatoren und Aktionen, um Coraza nach Belieben zu erweitern.

  • Leistung: Coraza kann große Websites und kleine Blogs mit minimalem Leistungseffekt verwalten.

  • Barrierefreiheit: Jeder kann den Quellcode von Coraza verstehen und ändern. Es ist einfach, zusätzliche Funktionen zu Coraza hinzuzufügen.

  • Gemeinschaft: Coraza ist ein gemeinschaftlich betriebenes Projekt; Beiträge sind willkommen und alle Vorschläge werden geprüft.

Ein Golang-Compiler der Version 1.16+ ist eine Voraussetzung. Die Linux-Distribution (Debian oder CentOS empfohlen, Windows wird noch nicht unterstützt) ist jetzt verfügbar.

5. OctopusWAF

OctopusWAF ist eine Open-Source-Webanwendungs-Firewall, die vollständig in C geschrieben ist und zahlreiche Verbindungen über libevent herstellt. Das ereignisgesteuerte Design ist auf viele gleichzeitige Verbindungen (Keep-Alive) ausgelegt, was für AJAX-Anwendungen mit hoher Geschwindigkeit unerlässlich ist. Dieses Werkzeug ist ziemlich leicht. Sie können es auf jede gewünschte Weise verwenden. Diese Ressource ist ideal, um bestimmte Endpunkte abzusichern, die eine maßgeschneiderte Sicherheit erfordern.

Was sind die Funktionen von OctopusWAF?

Die Hauptmerkmale von OctopusWAF sind wie folgt:

  • Reverse-Proxy-Funktionalität

  • Anomalien mit regulären Ausdrücken und lib PCRE-Ressourcen erkennen

  • Sicherheitsanomalien mit String-Matching-Algorithmen wie DFA, Horspool und Karp erkennen-rabin

  • Anomalien in der Sicherheit mit libinjection erkennen

  • Optionen zum Speichern von Protokollen

Octopus WAF ist am besten geeignet für *Organisationen jeder Größe, die ihre Webanwendungen vor Angriffen schützen müssen. Es eignet sich besonders gut für Organisationen, die eine hochkarätige Online-Präsenz haben oder mit sensiblen Daten umgehen.

6. IronBee

Auf der RSA-Konferenz 2011 stellte Qualys, Inc., der führende Anbieter von On-Demand-Risiko- und Compliance-Management-Lösungen für IT-Sicherheit, IronBee vor, ein neues Open-Source-Projekt, das die nächste Generation der Web Application Firewall (WAF)-Technologie liefern wird.

Die zunehmende Nutzung von Webanwendungen und der Übergang zu Cloud-Computing erfordern den Einsatz von WAF-Technologie, um Daten zu sichern und Anforderungen wie die Einhaltung der Richtlinien der Zahlungsverkehrsbranche (PCI) zu erfüllen. Mit der Veröffentlichung von IronBee etabliert Qualys eine Gemeinschaft von kommerziellen und Open-Source-Beitragsleistenden, die es Unternehmen jeder Größe ermöglichen wird, die nächste Generation der WAF-Technologie zu übernehmen, um ihre Daten und IT-Ressourcen zu schützen.

IronBee ist eines der besten WAFs, da es eine Kultur des Beitrags hat, die den Austausch von Informationen ermöglicht.

IronBee ist am besten geeignet für Unternehmen jeder Größe, die ihre Kundenservice- und Verkaufsbemühungen verbessern möchten. Seine Funktionen sind darauf ausgelegt, Aufgaben zu automatisieren, rund um die Uhr Unterstützung zu bieten und das Kundenerlebnis zu personalisieren.

Was sind die Eigenschaften von IronBee?

Die Hauptmerkmale von IronBee sind unten aufgeführt:

  • Hochgradig tragbar und außergewöhnlich leicht

  • Moderner Sicherheitsbewertungs-Engine für Anwendungen, die neue Verarbeitungsfähigkeiten und HTTP-Verkehrsanalyse bietet.

  • Die Apache Software License v2 ist eine nicht-virale Open-Source-Lizenz, die sowohl die Teilnahme von Einzelpersonen als auch von kommerziellen Unternehmen ermöglicht und somit eine Gemeinschaft von Nutzern und Entwicklern aufbaut.

  • Von Grund auf für zahlreiche Bereitstellungsoptionen entwickelt, einschließlich passiv, eingebettet, außerhalb des Prozesses und Reverse Proxy.

  • Die modulare Architektur ermöglicht es den Mitwirkenden, ihre eigenen Module einfach zu erstellen, ohne ein umfassendes Verständnis der IronBee-Architektur zu haben, und erleichtert zudem das Verpacken von Konfigurationsinformationen und Modulen basierend auf den Benutzeranforderungen.

  • Gemeinschaftsbasierte Anstrengung, um die erforderlichen Informationen zum Schutz von Webanwendungen zu sammeln, zu konsolidieren und zu verteilen.

    Abbildung 6. IronBee

7. ModSecurity

ModSecurity, manchmal auch als Modsec bezeichnet, ist eine Open-Source-Webanwendungs-Firewall. (WAF). Ursprünglich als Modul für den Apache HTTP Server entstanden, hat es sich zu einer Vielzahl von Funktionen zur Filterung von Hypertext Transfer Protocol-Anfragen und -Antworten sowie anderen Sicherheitsfunktionen auf mehreren Plattformen, einschließlich Apache HTTP Server, Microsoft IIS und Nginx, entwickelt. Es ist eine beliebte Wahl sowohl für lokale als auch für cloudbasierte Bereitstellungen. Es ist freie Software, die unter der Apache 2.0-Lizenz verteilt wird.

Ab dem 1. Juli 2024 wird Trustwave keinen Support mehr für ModSecurity anbieten. Die Wartung des ModSecurity-Codes wird danach an die Open-Source-Community zurückgegeben.

Die NGINX ModSecurity WAF ist eine Web Application Firewall (WAF), die auf ModSecurity 3.0 basiert, einer Neuschreibung der ursprünglichen ModSecurity-Software, die als natives dynamisches Modul für NGINX Plus fungiert. Das NGINX ModSecurity WAF kann verwendet werden, um eine Vielzahl von Layer-7-Angriffen zu verhindern und sich mit virtuellem Patchen an neue Bedrohungen anzupassen. Trotz einer kostenlosen Version ist NGINX ModSecurity kein Open-Source-Projekt, also beachten Sie das.

Die Open-Source-Community von ModSecurity ist aktiv und veröffentlicht regelmäßig Updates. Die ergänzenden Regelungen von ModSecurity sind ausreichend, um die Sicherheit der Webanwendung zu verbessern. ModSecurity verfügt nicht über eine grafische Benutzeroberfläche, daher sollten Sie WAF-FLE in Betracht ziehen, wenn Sie eine benötigen. Es ermöglicht, das Ereignis in einer Konsole zu speichern, zu durchsuchen und anzuzeigen.

Was sind die Funktionen von ModSecurity?

Die Hauptmerkmale von ModSecurity sind wie folgt:

  • Vollständige HTTP-Verkehrsprotokolle
  • Echtzeit-Anwendungsüberwachung und Zugriffskontrolle
  • Verstärkung von Webanwendungen
  • Kontinuierliche passive Sicherheitsbewertung
  • Umfassende Dokumentation

NGINX ModSecurity WAF ist am besten geeignet für die Verhinderung häufiger Schwachstellen wie SQL-Injection und XSS.

Abbildung 7. NGINX ModSecurity

Was sind die Unterschiede zwischen ModSecurity und NAXSI?

Während ModSecurity über ein umfassenderes und anpassbares Regelset verfügt, hat NAXSI ein einfacheres Regelset mit Fokus auf häufige Angriffe. Obwohl das CRS-Regelsystem für Modsecurity eine solide Grundlage zu sein scheint, ist es wahrscheinlich, dass Sie dennoch umgebungspezifische Regeln anpassen oder hinzufügen müssen. Das Einhalten der Whitelisting-Vorschriften für eine bestimmte Anwendung erfordert mit NAXSI ein hohes Maß an Wissen und Konzentration.

ModSecurity wird von einer breiteren Palette von Webserver-Plattformen unterstützt. Aber NAXSI ist speziell für den NGINX-Webserver entwickelt.

Darüber hinaus bietet ModSecurity fortschrittlichere Funktionen, wie z.B. die Erkennung von Anomalien in Echtzeit und die Datenkorrelation, als NAXSI.

Beim Betrieb in großem Maßstab müssen einige Leistungskompromisse berücksichtigt werden, wenn ModSecurity mit NAXSI verwendet wird. Insbesondere unter Berücksichtigung komplexer und vielfältiger URI-Pfade, Methodenarten, Header-Optionen und ähnlichem. Obwohl ModSecurity ressourcenintensiver ist und die Leistung beeinträchtigen kann, ist NAXSI im Allgemeinen schneller und weniger ressourcenintensiv als ModSecurity, könnte jedoch gegen ausgeklügeltere Angriffe weniger effektiv sein.

Was sind die Unterschiede zwischen Coraza und ModSecurity?

Coraza und ModSecurity sind Open-Source-Webanwendungs-Firewalls (WAFs), die speziell entwickelt wurden, um Webanwendungen vor bösartigen Angriffen zu schützen. Nichtsdestotrotz weisen sie die folgenden Unterschiede auf:

  • Funktionen: Beide Web Application Firewalls (WAFs) umfassen eine umfangreiche Palette an Funktionen, wie regelbasiertes Filtern, Anomalieerkennung und IP-Reputationsprüfungen. Dennoch bietet Coraza möglicherweise eine zeitgemäßere und intuitivere Benutzeroberfläche.
  • Leistung: Coraza behauptet, einen erheblichen Geschwindigkeitsvorteil gegenüber ModSecurity zu haben, wobei einige Berichte eine hundertfache Verbesserung angeben. Dennoch erfordert diese Behauptung eine unabhängige Überprüfung.
  • Kompatibilität: Coraza ist speziell darauf ausgelegt, mit dem Regelwerk von ModSecurity v2 kompatibel zu sein. Allerdings wird derzeit ModSecurity v3 nicht unterstützt. Folglich könnte Coraza eine vorteilhaftere Option für Unternehmen sein, die derzeit ModSecurity verwenden.
  • Sprache: Coraza ist in der Programmiersprache Go implementiert, während ModSecurity in der Programmiersprache C implementiert ist. Infolgedessen hat Coraza das Potenzial, schneller und effizienter zu sein, ist aber auch weniger entwickelt und wurde nicht umfassend genutzt.

Was sind die unverzichtbaren Funktionen einer WAF?

Bei der Suche nach einer WAF für Ihren Server werden mehrere Open-Source-Optionen in den Suchergebnissen erscheinen. Open-Source-Projekte geben ein klares Bild davon, was in einer Webanwendungs-Firewall erforderlich ist und wie sie funktionieren, was dies zu einem geeigneten Ausgangspunkt macht.

Das Open Web Application Security Project (OWASP) ist eine gemeinnützige Organisation, die sich der Transparenz von Software- und Serversicherheit widmet, "damit Einzelpersonen und Unternehmen informierte Entscheidungen treffen können".

Sie können auf ihrem Wiki mehr über die zehn wichtigsten Sicherheitsprobleme von Webanwendungen erfahren. Die OWASP Top 10 betont die wichtigsten Sicherheitsprobleme bei der Gestaltung oder Bereitstellung einer WAF für einen Server. Dies ist der Hauptangriff, den eine WAF verhindern soll, und die Liste erklärt, wie eine WAF Ihren Server sichert.

Hier sind fünf Aspekte, die bei der Auswahl einer WAF wesentlich sind.

  • Integration: Wie bei anderen Aspekten der Sicherheit beginnt der Schutz mit einer Analyse des zu schützenden Objekts. Sie haben möglicherweise bereits Vermögenswerte, die durch eine Hardware-WAF geschützt sind. Ein cloud-basierter WAF kann vor diese Geräte geschaltet werden, um häufigere Web-Angriffe zu entlasten. Sie haben wahrscheinlich einige cloud-basierte Vermögenswerte, und wenn Sie wie die Mehrheit der Unternehmen heute sind, verfolgen oder erwägen Sie entweder eine Multi-Cloud-Strategie. In diesem Fall ist es unerlässlich, eine umgebungsunabhängige Sicherheitslösung in Betracht zu ziehen.

  • Positive und Negative Sicherheit: Es ist notwendig, viele Arten von Verteidigungspositionen zu berücksichtigen, beginnend mit positiver oder negativer Sicherheit. Eine negative Sicherheitsstrategie geht davon aus, dass alle Kommunikation erlaubt ist, es sei denn, sie enthält eine zuvor erkannte Gefahr oder einen Angriff. Dies ist der gebräuchlichste Bereitstellungsstil für WAFs, und es ist klar zu verstehen, warum: Ein negativer Ansatz blockiert wesentlich seltener echten Datenverkehr. Offensichtlich hängt die Wirksamkeit dieser Strategie vom Status der Signaturregel-Datenbank des Sicherheitsanbieters und dem Bewusstsein für bevorstehende Bedrohungen ab, da dies das erwartete Schutzniveau definiert. Wenn Sie diese Haltung einnehmen, ist es entscheidend, dass Ihre Datenbanken mit den sich entwickelnden Angriffen Schritt halten, während sie produziert werden und sich im Laufe der Zeit verändern. Dieses Modell wird Null-Tag-Bedrohungen nicht erkennen, da diese per Definition keine zugehörigen Signaturen haben.Der positive Sicherheitsansatz hingegen besagt, dass der Verkehr abgelehnt wird, es sei denn, er wird ausdrücklich genehmigt. Dieses Modell wird Null-Tag-Bedrohungen nicht erkennen, da diese Cyberangriffe per Definition keine zugehörigen Signaturen haben.

  • Lernmodus: Um optimale Sicherheit zu erreichen, ist es unerlässlich, dass der Dienst/das Gerät aus seinen eigenen Erfahrungen "lernt". Dies ist ein entscheidender Aspekt, zu dem der Dienst gut beitragen kann. Da Sicherheitsteams häufig ausreichend von Entwicklungsteams isoliert sind, fehlt ihnen möglicherweise das Wissen über Programmkomponenten oder darüber, was "akzeptables Verhalten" definiert. Der Lernmodus beobachtet den Datenverkehr, der das Gerät durchläuft, und gibt Empfehlungen, welche Entspannungsregel, falls vorhanden, implementiert werden sollte.

  • Anpassung: Schwachstellen und Angriffssignaturen sind gängige Komponenten von WAFs. Es ist entscheidend, dass Unternehmen an der Spitze der Schwachstellenforschung bleiben und regelmäßig Signaturen zur Sicherung anfälliger Dienste und Open-Source-Bibliotheken bereitstellen. Es ist unerlässlich, Signaturen aus anderen Quellen, wie z.B. von Branchen-ISACs und Drittanbietern, einbeziehen zu können. Zusätzlich sollte es Ihnen leichtfallen, Ihre eigenen Signaturen basierend auf Ihrem eigenen Fachwissen und Ihrer eigenen Erfahrung zu den WAF-Regeln hinzuzufügen.

  • Einfach zu bedienen: Sie sollten in der Lage sein, aus einer Vielzahl von Steuerungen zu wählen und diese in granularer Form anzuwenden, einschließlich der Möglichkeit, Richtlinien auf Gruppen von Apps anzuwenden. Während der Einsatz eines WAF selbstverständlich sein mag, ist es ein Wettbewerbsvorteil, einen WAF zu haben, der leicht aktualisiert und gewartet werden kann. Aufgrund der fortlaufenden Entwicklung von Bedrohungen muss ein WAF anpassungsfähig genug sein, um funktionsfähig zu bleiben.

Letztes Update am von Zenarmor