Cortafuegos de aplicaciones web basadas en anomalías

Navega tus respuestas
2

¿Qué tan prácticos son los firewall de aplicaciones web basadas en anomalías para mitigar los ataques basados en web? ¿Con qué tipo de amenazas mitigan y cuáles no? ¿Son implementaciones prácticas de ellos?

    
pregunta Ali Ahmad 26.08.2012 - 17:54
fuente

2 respuestas

1

Consulte ModSecurity : es un enfoque bastante decente, incluye anomalías y un sistema de puntuación colectivo. Puede consultar Reglas principales , también hay entradas de anomalías. Simplemente carga Reglas principales a ModSecurity , y listo, todo lo que necesitas es probar las aplicaciones y, finalmente, eliminar, agregar, modificar algunas reglas. .

Las entradas de anomalías se protegen principalmente de bots automatizados u otros clientes sospechosos que realizan solicitudes poco habituales. Sin reglas creadas para aplicaciones específicas (existen reglas para los cmses populares), lo que sí evita es, por ejemplo, solicitar contenido web con un conjunto de encabezados no estándar.

Cuando hay reglas para aplicaciones específicas, previene algunas solicitudes que no son típicas de una aplicación específica, sin embargo, cómo funciona específicamente y a qué nivel necesitaría echar un vistazo a las Reglas principales.

Estas reglas no son super-específicas, pero tienen un enfoque más práctico de la misma forma que sin una gran filosofía simplemente puntúan las anomalías basadas en las reglas, y requieren muchos ajustes y cambios para que esto funcione con cualquier específico. aplicación, así que básicamente hace lo que está en las reglas, más lo que puedes hacer tú mismo.

No protegen de las malas palabras, pero es fácil de agregar, tampoco protegen de ataques bien ofuscados y diseñados.

Aquí hay una lista de protecciones de Reglas principales , que son parte de ModSecurity :

  • Protección HTTP: detectando violaciones del protocolo HTTP y una política de uso definida localmente.
  • Búsquedas de listas negras en tiempo real: utiliza la reputación de IP de terceros
  • Detección de Malware basada en la Web: identifica el contenido web malintencionado comparándolo con la API de navegación segura de Google.
  • Protecciones de denegación de servicio HTTP: defensa contra inundaciones HTTP y ataques DoS HTTP lentos.
  • Protección de ataques web comunes: detección de ataques de seguridad de aplicaciones web comunes.
  • Detección de automatización: detección de robots, rastreadores, rastreadores y otras actividades maliciosas de la superficie.
  • Integración con AV Scanning for File Uploads: detecta los archivos maliciosos cargados a través de la aplicación web.
  • Seguimiento de datos confidenciales: rastrea el uso de la tarjeta de crédito y bloquea las fugas.
  • Protección de troyanos: detección de acceso a caballos de Troya.
  • Identificación de defectos de la aplicación: alertas sobre configuraciones erróneas de la aplicación.
  • Detección y ocultación de errores: disfrazando los mensajes de error enviados por el servidor.

ModSecurity se usa en un vasto espacio de Internet; por ejemplo, Akamai, el CDN más grande, lo tiene instalado en muchos servidores, ya que lo integraron / o lo vincularon un poco a su propio software. Esto se debe a que es compatible con la nube (detección de anomalías basada en colectivos), la información proviene de varios servidores, por lo que detecta anomalías que se distribuyen geográficamente entre sus propios servidores.

    
respondido por el Andrew Smith 26.08.2012 - 20:36
fuente
1

Intente verificar Big-IP desde F5 ... utilizado por Facebook, BoA y otras compañías ..

enlace

Es el ASM (Administrador de seguridad de aplicaciones) el que maneja la protección de ataques web ... enlace

    
respondido por el joey 27.08.2012 - 20:13
fuente

Lea otras preguntas en las etiquetas

Usando la cuenta de root mysql para ejecutar comandos de root ¿Cómo funciona el montaje de cifrado de disco con un disco grande y poca memoria RAM?