Bescherm je site met een web application firewall

Internetaanvallen zijn mettertijd meer van de netwerklaag naar de applicatielaag verschoven. Op het web kan een web application firewall (WAF) je helpen om deze aanvallen tegen te houden. Webwereld sprak met Erwin Geirnaert, oprichter en CEO van het Belgische beveiligingsbedrijf Zion Security, en Xavier Mertens, principal security consultant bij het Belgische beveiligingsbedrijf C-Cure. Beiden hebben ervaring met heel wat WAF's, waaronder ModSecurity, IronBee, Barracuda, Profense, BeeWare, F5 en Zion Secured (Zions eigen WAF).

Een WAF kan heel wat typen aanvallen tegenhouden, waaronder SQL/LDAP/XML-injecties, cross-site scripting, session hijacking, path traversal (zoals het lezen van ../../../../etc/passwd), en brute-force aanvallen. Alles waarvoor signatures bestaan, is eenvoudig tegen te houden. Maar er bestaan ook WAF's die zelf leren wat het gevaarlijke verkeer is, waarna je de automatisch gegeneerde signatures nog kunt fine-tunen. Bovendien zorgt een WAF voor een grote toegevoegde waarde omdat alle inkomende en uitgaande HTTP-aanvragen kunnen worden gelogd, terwijl webapplicaties hier standaard niet voor instaan en een webserver alleen GET-requests logt en geen POST-requests.

Beschikbare WAF's

Het productaanbod van WAF's is heel breed. Dat begint bij opensource-producten zoals ModSecurity, een module voor de webserver Apache, die met mod_proxy ook als reverse proxy gebruikt kan worden om IIS-applicaties af te schermen. "ModSecurity heeft een redelijk goede community. Het gebruikt wel een negatief beveiligingsmodel, wat dus betekent dat het alleen bekende aanvallen zal tegenhouden of loggen", stelt Geirnaert. Volgens Mertens is ModSecurity de beste opensource WAF van het moment, maar om zelf je eigen firewallregels te schrijven moet je wel een heuse regex-goeroe zijn. Een ander opensource-product, nog nieuw maar volgens Mertens veelbelovend, is IronBee.

De meeste WAF's zijn echter commerciële producten. Geirnaert noemt Profense van het Deense Armorlogic: "Voor een commercieel product is het vrij goedkoop, ongeveer 5000 euro voor de cluster, en het kan virtueel of op eender welke hardware worden geïnstalleerd. Profense kan na voldoende webverkeer zelf bepalen welke URL's, parameters en dergelijke zijn toegestaan. Deze WAF vereist ook niet veel bijkomende configuratie en is heel stabiel, dus dit alles maakt het de ideale oplossing voor kleinere websites." Een andere goedkope oplossing is Geirnaerts eigen product Zion Secured: "Dit is een WAF in de cloud, waarvoor je zelf geen hardware of software hoeft te installeren: je moet alleen een DNS-record aanpassen, waarna onze WAF je website afschermt, Dat kost 130 euro per maand per website."

Tot 100.000 euro

Een trapje hoger (ook qua kostprijs: 10000 tot 30000 euro) is de WAF van het Franse bedrijf BeeWare. Volgens Geirnaert is dit een goede oplossing die een combinatie biedt van een negatief en positief beveiligingsmodel, en ze laat toe om een eenvoudige workflow te definiëren op basis van de HTTP-aanvragen. "Bijkomend kan hun appliance ook authenticatie verzorgen voor verschillende webapplicaties en web services beveiligen met XML security."

En dan is er nog F5, dat sinds de overname van Sanctum AppShield een WAF heeft geïntegreerd in hun BIG-IP appliances, de Application Security Manager (ASM). Voor hard- en software spreek je dan al snel over een kostprijs van 100.000 euro zonder configuratie, maar dan is er volgens Geirnaert wel veel mogelijk: "Zelfs transactionele websites zoals voor internetbankieren kun je met ASM volledig dichttimmeren, iets wat bij andere producten heel wat moeilijker is. Bovendien hebben veel bedrijven al BIG-IP draaien, dus dan is de stap om ASM toe te voegen niet zo groot."

Volgende pagina: Vals gevoel van veiligheid

De rubriek Tips & Tools biedt praktische informatie die IT-professionals in hun dagelijkse werk kunnen toepassen.