Teil 4: Workshop: Mod Security
- Workshop: Mod Security
- Teil 2: Workshop: Mod Security
- Teil 3: Workshop: Mod Security
- Teil 4: Workshop: Mod Security
Der Profiler verwendet die Transaktionsprotokolle für die Traffic-Analyse. Daraus erzeugt er ein Anwendungsmodell, das dann in Mod-Security-Regeln exportiert werden kann. Diese Regeln basieren auf dem so genannten positiven Sicherheitsmodell. Bei der Mod-Security-Konsole handelt es sich um eine w...
Der Profiler verwendet die Transaktionsprotokolle für die Traffic-Analyse. Daraus erzeugt er ein Anwendungsmodell, das dann in Mod-Security-Regeln exportiert werden kann. Diese Regeln basieren auf dem so genannten positiven Sicherheitsmodell.
Bei der Mod-Security-Konsole handelt es sich um eine webbasierte Schnittstelle, die die Mod-Security-Aktionen und -Warnungen in Echtzeit ausgibt. Das Tool gibt die Warnungen der Web Application Firewall in aufbereiteter Form aus, was zum einen die Analyse und zum anderen die Reaktion auf sicherheitskritische Aktionen vereinfacht.Die Konsole sammelt die Daten in einer eigenen Datenbank, wobei der Datenbestand über ein aufwendiges Suchformular nach den unterschiedlichsten Kriterien wie Transaktions-ID, Hostname, angefragte URL, Status-Code, Anwendung et cetera durchsucht werden kann. Nicht minder interessant: Die Konsole kann Berichte im PDF-Format erzeugen und diese dann per Zeitsteuerung oder bei Bedarf sogar per E-Mail verschicken.
Fazit
Dank Mod Security können Sie endlich Ihre Apache-Umgebung vor typischen Web-Attacken schützen. Das Beste daran: Sie müssen nicht einmal Änderungen an der Anwendung vornehmen. Durch den vorgebauten Schutz ist nicht einmal das Schließen von bekannten Sicherheitslücken zwingend.
Durch die Mod-Security-eigene Update-Funktion und die verfügbaren Regeleditoren vereinfacht sich zudem der Umgang mit den Firewall-Regeln. Einfacher, zuverlässiger und besser können Sie Ihre Apache-Umgebungen nicht schützen.
Alternative Web Application Firewalls
Mod Security ist bei Leibe nicht die einzige Web Application Firewall - ganz im Gegenteil. Inzwischen gibt es eine ansehnliche Palette an freien und kommerziellen Lösungen. Ihre Zahl dürfte weiter wachsen, denn schließlich liegt hier ein beachtliches kommerzielles Potenzial.
Eine freie Web-Application-Firewall ist Web Knight von Aqtronix (). Die- se Lösung ist für den Internet Informationen Server und andere gängige Webserver konzipiert. Ein ISAPI-Filter sorgt für den notwendigen Schutz.
Der Filter ist insbesondere auf das Zusammenspiel mit Windows- und IIS-basierten Servern vorbereitet. So unterstützt Web Knight beispielsweise Frontpage-Extensions, Outlook Web Access, Outlook Mobile Access und Sharepoint-Services.
Aus Deutschland kommt die Firewall Hyperguard (), eine kommerzielle Lösung. Diese Lösung verspricht Attack-Detection und -Protection. Sie bietet zentrales Security Monitoring, Reporting und Alerting.
Laut Angaben der Entwickler ist das System dank seiner Clusterfähigkeit und der mandantenfähigen Administration auch für den Schutz großer, verteilter Web-Infrastrukturen geeignet.
Aus dem Hause Deny all stammt die kommerzielle Web-Application-Firewall rWeb (). Sie basiert auf der Reverse-Proxy-Technologie und wird wie andere Lösungen vor der zu schützenden Web-Anwendungen eingesetzt.
Der Filter authentifiziert die Anwender und filtert den gesamten HTTP(S)-Datenverkehr. Direkt nach der Aktivierung eliminiert es automatisch Angriffe, die generische Abfragen enthalten.
Außerdem gibt es inzwischen verschiedene Lösungen, die sich speziell an Provider und Netzbetreiber richten, beispielsweise die Secure Sphere Web Application Firewall ().
