The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Анонсированы новые межсетевые экраны для защиты web-приложений - IronBee и openWAF

16.02.2011 20:21

Компания Qualys, основанная ключевыми разработчиками системы ModSecurity, при участии сети доставки контента Akamai, разработала новый открытый проект - IronBee, представляющий собой универсальную WAF-систему (Web Application Firewall) для отслеживания и предотвращения атак на web-приложения. Как и ModSecurity, IronBee позволяет нейтрализовать широкий спектр атак на web-приложения, таких как межсайтовый скриптинг, подстановка SQL-запросов, CSRF, подстановка JavaScript-блоков на страницы и DoS/DDoS-атаки. Код проекта открыт под лицензией Apache.

В комплекте с IronBee поставляется библиотека LibHTP, предназначенная для парсинга транзитного HTTP-трафика и выявления в нем аномалий. Ключевым отличием от ModSecurity является возможность разделения модуля, осуществляющего анализ и фильтрацию трафика на стороне HTTP-сервера, и компонента, выявляющего угрожающие безопасности запросы на основе доступного набора правил. Иными словами, на сервере может быть оставлен только интерфейсный модуль, а вся логика анализа потоков информации организована в виде универсального cloud-сервиса, который может обслуживать сразу несколько web-серверов предприятия. Подобный подход позволяет перенести значительную нагрузку, возникающую при выполнении анализа трафика, на внешний хост, высвободив дополнительные ресурсы для web-приложений.

Серверный процесс инспектирования может быть внедрен несколькими способами, например, загружен как модуль для http-сервера, встроен в приложение, запущен в режиме пассивного анализа трафика (как сниффер) или внедрен в виде прокси-акселератора (reverse proxy). Проект имеет модульную архитектуру, позволяя легко создавать и подключать расширяющие функциональность дополнения, без детального изучения внутренней архитектуры IronBee. Планируется создание инфраструктуры для совместного накопления и обмена правилами по блокированию различных видов атак на различные web-приложения. Кроме того, будет создана централизованная БД с набором правил для конкретных web-приложений и известных уязвимостей.

Одновременно, компания Art of Defence представила похожий открытый проект openWAF, представляющий собой распределенную систему для защиты web-приложений (dWAF), выполненную в виде модуля для http-сервера Apache и являющуюся открытым вариантом коммерческого продукта Hyperguard. Система имеет клиент-серверную модель, в которой Apache-модуль выступает в роли фильтрующего клиента, перенаправляющего все запросы на специальный серверы принятия решений (decider). Серверов принятия решений может быть несколько, при этом они имеют общую конфигурацию и управляются централизованно. Управление производится через web-интерфейс.

К сожалению, для загрузки пока доступны только бинарные пакеты со сборкой openWAF для CentOS, Debian, RHEL, Fedora, Gentoo, Solaris и Ubuntu. Исходные тексты проекта будут опубликованы в ближайшее время под лицензией Apache, также ожидается появление бинарных сборок для FreeBSD и Windows. Код будет включать в себя фильтрующий модуль для http-сервера Apache 2, сервер принятия решений о блокировании, обработчик дополнений для системы принятия решений, набор административных клиент-серверных компонентов и управляющий web-интерфейс. Все компоненты, кроме Apache-модуля, написаны на языке Python.

  1. Главная ссылка к новости (http://www.qualys.com/company/...)
  2. OpenNews: Увидел свет GreenSQL-FW 1.2.0, межсетевой экран для защиты СУБД
  3. OpenNews: Разработчики Netfilter представили замену iptables
  4. OpenNews: Первый релиз системы мониторинга системных журналов Sagan 0.1.0
  5. OpenNews: Выпущен релиз ModSecurity 2.5.0
  6. OpenNews: Blitzableiter - свободный анализатор уязвимостей во Flash контенте
Лицензия: CC-BY
Тип: Интересно / Программы
Короткая ссылка: https://opennet.ru/29626-waf
Ключевые слова: waf, firewall, filter, attack, block, security, modsecurity, IronBee, openwaf
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (15) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Alex Ott (?), 22:59, 16/02/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    я работал с Art of Defence'овским Hyperguard - неплохой продукт
     
     
  • 2.11, oxyum (ok), 01:48, 18/02/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Алекс, как оно грузит проц и память? Что лучше брать мегагерцы или ядра? :)
     
     
  • 3.12, Alex Ott (?), 10:40, 18/02/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Алекс, как оно грузит проц и память? Что лучше брать мегагерцы или
    > ядра? :)

    В основном проц, но я работал с коммерческой версией, которая скомпилирована в нативный код. При Cloud-deployment оно может быть и начнет грузить память, но тут уже зависит от политик

     

  • 1.3, Аноним (-), 00:40, 17/02/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    написаны на языке Python, я думал вообще на яве будет.
    такое вверху надо писать, чтобы сразу можно было сказать "дальше не читал".
     
     
  • 2.7, BoOgatti (?), 09:52, 17/02/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > написаны на языке Python, я думал вообще на яве будет.
    > такое вверху надо писать, чтобы сразу можно было сказать "дальше не читал".

    у Вас на яве свет клином сошелся? Или писать НЕ на яве уже не тру?

     
  • 2.8, spanasik (ok), 10:39, 17/02/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Не читал, но осуждаю - признак профана.
     

  • 1.4, Alatar (ok), 07:36, 17/02/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    ИМХО, заголовок не совсем соответствует новости: всё-таки файрвол уровня приложений - это несколько более широкое понятие =). А то я уж было обрадовался, что таки свежий файрвол появился, полез сразу по ссылкам, а там совсем другое...
     
     
  • 2.6, BoOgatti (?), 09:51, 17/02/2011 [^] [^^] [^^^] [ответить]  
  • +/
    same shit =)

    но все равно оказалось что-то интересное

     
  • 2.9, anonymous (??), 13:21, 17/02/2011 [^] [^^] [^^^] [ответить]  
  • +/
    угу
    я надеялся на layer7
     
     
  • 3.13, vlakas (ok), 20:58, 18/02/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Т. е. анализ HTTP трафика это не layer7 (если же, конечно, речь идет о модели OSI)?
     

  • 1.5, Аноним (-), 09:50, 17/02/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Всё, F5 и Cisco ACE остались без работы :)
     
     
  • 2.14, vlakas (ok), 21:14, 18/02/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Всё, F5 и Cisco ACE остались без работы :)

    Ага, щас... у них сейлы и маркетологи хорошие :)

     
  • 2.16, анонимус (??), 23:29, 18/02/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Всё, F5 и Cisco ACE остались без работы :)

    ACE как бы end of life.

     

  • 1.10, redixin (?), 14:04, 17/02/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    До чего маразм веб девелоперов дошел -- просто жуть. Уже специальные фаерволы ставят чтобы csrf фильтровать.
     
  • 1.17, Аноним (-), 00:41, 20/02/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как интересно в сравнение с Imperva будет...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру