Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Open Source web application firewall?

02-03-2011, 11:57 door michiel1980, 10 reacties
Hallo,

Ik ben op zoek naar een open source web application firewall of logging mechanisme dmv een IDS (aka snort).
Ik zie dat er wel ea rond zwerft op het internet met wat zelf gebakken snort rules en je hebt mod_security alleen gebruik ik Nginx als webserver.
Afgezien van de developer die de code maakt wil ik graag op de 1 of andere manier goed monitoren wat voor XSS, SQL injection en andere gespuis requests langs mijn webserver(s) langs komt.

Heeft er iemand een goeie tool voor handen? Ik weet dat je stinger hebt van de OWASP groep maar die is voornamelijk getarget op JSP/JAVA.

Ik zoek voornamelijk tools die als proxy of als IDS kunnen dienen en mijn PHP applicaties monitored die ik host met Nginx + PHP-FPM.

Als iemand een goeie link naar Snort rules heeft hou ik mij ook van harte aanbevolen maar ik kon ze niet zo 1-2-3 vinden op Google..

De meeste grote bedrijven zullen een commerciele appliance aanschaffen maar ik ben benieuwd of er ook mensen zijn die dit via Open Source oplossingen afvangt.

Mijn dank is groot :)

Michiel
Reacties (10)
02-03-2011, 12:24 door SirDice
Voor wat betreft logging zou je natuurlijk een reverse proxy in kunnen zetten. Verkeer van buitenaf komt dan aan op de proxy (hier kun je ook SSL termineren) en stuurt dit door naar de webserver. Op de reverse proxy kun je diverse zaken filteren en loggen. Als je SSL termineert op de proxy kun je ook middels een IDS het verkeer tussen de proxy en de webserver monitoren.

Nu kan ik me ook een application layer firewall herinneren maar ik ben even de naam kwijt.
02-03-2011, 12:46 door michiel1980
Ik zou dat op zich met varnish als load balancer/proxy kunnen doen.
Dan moet ik iets als swatch of snort gaan gebruiken voor checks op:
hi' or 1=1--

Into login, or password, or even in the URL. Example:
- Login: hi' or 1=1--
- Pass: hi' or 1=1--
- http://duck/index.asp?id=hi' or 1=1--

Misschien moet ik dan toch snort gaan gebruiken en kijken wat er al voor handen is en wat ik zelf evt als rule kan toevoegen.

Ik vind het opmerkelijk dat er op Open Source niveau nog niet zoiets voor handen is, dat er legio voorbeelden zijn op closed source/commercieel niveau maar niet op de gratis open source wereld.

Thanks en ik ga eens verder graven :)
02-03-2011, 13:32 door michiel1980
Ik moet zeggen dat er op de Symantec pagina iets leuks staat hier over met duidelijke SNORT examples;

http://www.symantec.com/connect/articles/detection-sql-injection-and-cross-site-scripting-attacks
02-03-2011, 13:42 door SirDice
Door michiel1980: Ik zou dat op zich met varnish als load balancer/proxy kunnen doen.
Dan moet ik iets als swatch of snort gaan gebruiken voor checks op:
hi' or 1=1--
Is het de bedoeling dat je die alleen signaleert of wil je dat soort zaken ook filteren? Het signaleren kan vrij eenvoudig met snort, rules zijn ook relatief makkelijk zelf te maken. Het filteren is erg lastig omdat er zoveel mogelijke variaties zijn. Beter is dan om te filteren op wat je verwacht en de rest te blokkeren. Nadeel daarvan is dat elke wijziging op de site ook gevolgen heeft voor je filter.

Uiteraard zul je ook je developer in de gaten moeten houden dat hij/zij zuivere code maakt en er voor zorgt dat alle input netjes gevalideerd wordt.
02-03-2011, 13:44 door michiel1980
Het detecteren is voor mij al een stap vooruit, ik wil eerst permissive beginnen en evt later zooi gaan blockeren maar daar ben ik in eerste instantie nu nog huiverig voor.

En punt 2 is uiteraard de oplossing , helaas kan en zal het daar nog wel eens mis bij gaan vanwege tijd en nieuwe xss en sql injections technieken.
02-03-2011, 14:01 door Syzygy
Ik lees net je verhaal en de reacties en ik denk dat je een goed end op weg bent.
Snort is inderdaad een leuk product maar ik zie enige twijfel in je verhaal.
Ik ken je kennisniveau niet maar als je wil heb ik wel een boekje uit de reeks "for Dummies" (electronisch)
Snort voor Dummies dus.
Let op, zo heten ze nou eenmaal en ik zeg niet dat je een dummie bent maar deze boekjes geven kort , zakelijk en op eenvoudige wijze tekst en uitleg over allerlei zaken, in dit geval Snort.

Ahh Syzygy zo kom jij aan je kennis (zal de anderen maar weer even een stap voor zijn ;-)
02-03-2011, 14:07 door michiel1980
Ik heb op zich nu een prima snort.conf en snort ruleset maar was benieuwd of mensen ook ervaringen hebben met alternatieve producten aangezien het mij opviel dat alleen snort als open source oplossing wordt aangegeven.
Als je kijkt naar de closed source/commerciele pakketten dan heb je legio voorbeelden.
Ik had eenzelfde verwacht bij een WAF product zoals je dat ziet met load balancers en firewalls die niet onder doen als commerciele pakketten.

Bedankt voor de snort voor dummies aanbieding maar die zal mij niet verder helpen ben ik bang ;)
02-03-2011, 14:33 door Syzygy
Door michiel1980:
Bedankt voor de snort voor dummies aanbieding maar die zal mij niet verder helpen ben ik bang ;)

No problemo, always at your service
02-03-2011, 14:41 door michiel1980
Thanks.

Sta nog steeds open voor mod_security of snort alternatieven. :)
Zou mooi zijn als Varnish ea zou kunnen filteren, volgens mij kan Varnish gewoon C lezen/compilen en runnen..
02-03-2011, 15:36 door Anoniem
Door Syzygy: Ik lees net je verhaal en de reacties en ik denk dat je een goed end op weg bent.
Snort is inderdaad een leuk product maar ik zie enige twijfel in je verhaal.
Ik ken je kennisniveau niet maar als je wil heb ik wel een boekje uit de reeks "for Dummies" (electronisch)
Snort voor Dummies dus.
Let op, zo heten ze nou eenmaal en ik zeg niet dat je een dummie bent maar deze boekjes geven kort , zakelijk en op eenvoudige wijze tekst en uitleg over allerlei zaken, in dit geval Snort.

Ahh Syzygy zo kom jij aan je kennis (zal de anderen maar weer even een stap voor zijn ;-)

Mij lijkt het boekje zeer handig, zou jij deze voor mij ergens willen droppen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.