Анонсированы новые межсетевые экраны для защиты web-приложений — IronBee и openWAF

16 февраля 2011 года

Компания Qualys, основанная ключевыми разработчиками системы ModSecurity, при участии сети доставки контента Akamai, разработала(недоступная ссылка) новый открытый проект - IronBee (Архивная копия от 27 октября 2016 на Wayback Machine), представляющий собой универсальную WAF-систему (Web Application Firewall) для отслеживания и предотвращения атак на web-приложения. Как и ModSecurity, IronBee позволяет (Архивная копия от 10 апреля 2016 на Wayback Machine) нейтрализовать широкий спектр атак на web-приложения, таких как межсайтовый скриптинг, подстановка SQL-запросов, CSRF, подстановка JavaScript-блоков на страницы и DoS/DDoS-атаки. Код проекта открыт под лицензией Apache.

В комплекте с IronBee поставляется библиотека LibHTP, предназначенная для парсинга транзитного HTTP-трафика и выявления в нем аномалий. Ключевым отличием от ModSecurity является возможность разделения модуля, осуществляющего анализ и фильтрацию трафика на стороне HTTP-сервера, и компонента, выявляющего угрожающие безопасности запросы на основе доступного набора правил. Иными словами, на сервере может быть оставлен только интерфейсный модуль, а вся логика анализа потоков информации организована в виде универсального cloud-сервиса, который может обслуживать сразу несколько web-серверов предприятия. Подобный подход позволяет перенести значительную нагрузку, возникающую при выполнении анализа трафика, на внешний хост, высвободив дополнительные ресурсы для web-приложений.

Серверный процесс инспектирования может быть внедрен несколькими способами, например, загружен как модуль для http-сервера, встроен в приложение, запущен в режиме пассивного анализа трафика (как сниффер) или внедрен в виде прокси-акселератора (reverse proxy). Проект имеет модульную архитектуру, позволяя легко создавать и подключать расширяющие функциональность дополнения, без детального изучения внутренней архитектуры IronBee. Планируется создание инфраструктуры для совместного накопления и обмена правилами по блокированию различных видов атак на различные web-приложения. Кроме того, будет создана централизованная БД с набором правил для конкретных web-приложений и известных уязвимостей.

Одновременно, компания Art of Defence представила (Архивная копия от 13 июня 2021 на Wayback Machine) похожий открытый проект openWAF (Архивная копия от 29 марта 2013 на Wayback Machine), представляющий собой распределенную систему для защиты web-приложений (dWAF), выполненную в виде модуля для http-сервера Apache и являющуюся открытым вариантом коммерческого продукта Hyperguard. Система имеет клиент-серверную модель, в которой Apache-модуль выступает в роли фильтрующего клиента, перенаправляющего все запросы на специальный серверы принятия решений (decider). Серверов принятия решений может быть несколько, при этом они имеют общую конфигурацию и управляются централизованно. Управление производится через web-интерфейс.

К сожалению, для загрузки пока доступны только бинарные пакеты со сборкой openWAF для CentOS, Debian, RHEL, Fedora, Gentoo, Solaris и Ubuntu. Исходные тексты проекта будут опубликованы (Архивная копия от 26 сентября 2011 на Wayback Machine) в ближайшее время под лицензией Apache, также ожидается появление бинарных сборок для FreeBSD и Windows. Код будет включать в себя фильтрующий модуль для http-сервера Apache 2, сервер принятия решений о блокировании, обработчик дополнений для системы принятия решений, набор административных клиент-серверных компонентов и управляющий web-интерфейс. Все компоненты, кроме Apache-модуля, написаны на языке Python.