2011/12/6 Manfredi: > On 02/12/2011 09:05, Mauro wrote: [...] > Fossi in te procederei con l'installare un server linux con apache in > funzionalità reverse proxy ed il modulo modsecurity per la componente waf. Il > tutto posizionato su una dmz apposita con opportune regole di FW. > > A suo tempo feci una cosa simile per un amico e cercando su internet trovai > svariati link utili... te ne segnalo uno per iniziare :)
Dal 2006, un sacco di acqua è passata sotto i ponti. Personalmente ci andrei abbastanza coi piedi di piombo con mod_security... noi lo abbiamo abbandonato un paio di anni fa, in quanto 1) il software di per sé non è esattamente supportato o aggiornato (almeno non come vorrei) e ci sono state diverse controversie (lo sviluppatore principale ha lasciato la compagnia per lavorare in Qualys) 2) le regole sono abbastanza precarie - comunque da ricontrollare attentamente prima di mettere in prod 3) non è esattamente una scheggia, rallenta Apache di un buon 20% minimo (di più in certi casi per esempio se controlli anche le response HTTP o hai molte regole) 4) il logging è estremamente "buggoso" e non segue il framework di Apache, è (o almeno era all'epoca, spero sia migliorato...) praticamente impossibile ruotare i log senza far ripartire Apache (non kill -HUP, restart...). In pratica devi avere più di un server da far ripartire e alla fine installerai le nuove signature in questo momento. 5) è praticamente impossibile trasferire i log a un SIEM/syslog se non si installa un qualche accrocchio che poi dovrai mantenere. C'era un tempo disponibile un programma "logc" che credo sia stato rimosso nella versione open source ed è solo mantenuto a livello commerciale da Breach Security In pratica per qualsiasi installazione che non sia più che hobbistica bisogna stare attenti a non causarsi un "auto-DoS" ed avere molto chiaro il modello di supporto (se non vuoi essere chiamato alle 2:00 di notte perché l'hard disk è pieno dei log non ruotati o la tua ultima signature blocca traffico legittimo...). Last but not least, considera che Apache non è esattamente il web server più veloce o immune da attacchi (Slowloris docet). Se installi un reverse proxy con Apache, aggiungi un componente in più che devi mantenere, patchare etc. Non sto dicendo che non lo puoi usare - noi lo usavamo per sistemare "ad hoc" vulnerabilità che non potevamo immediatamente correggere nel ciclo di sviluppo delle applicazioni web. Ma come detto, devi andarci coi piedi di piombo e considerare bene ogni scenario, soprattutto alla luce del fatto che la combinazione mod_security ed Apache (a differenza di altro software open source nel mondo della sicurezza, come per esempio Snort nel mondo IDS/IPS) non risplende esattamente per le sue funzionalità e tecnologia. Cordiali saluti -- Marco Ermini root@human # mount -t life -o ro /dev/dna /genetic/research http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
