ModSecurity Frequently Asked Questions (FAQ) | Cerca per titolo, autore, parola chiave | ||||||||
ModSecurity Frequently Asked Questions (FAQ) ModSecurity Frequently Asked Questions (FAQ). ModSecurity™ è un modulo firewall open source e gratuito per il server Apache. Con il 70% degli attacchi sferrati al livello delle applicazioni web, le aziende e le organizzazioni hanno bisogno di un aiuto per mettere in sicurezza i loro sistemi. I firewall denominati Web Application Firewall ( WAF ) vengono proprio impiegati per creare un livello esterno di sicurezza, il cui fine è identificare e prevenire gli attacchi prima che possano raggiungere le applicazioni web. ModSecurity offre una protezione da una varietà di attacchi sferrati contro le applicazioni web, permette il monitoraggio e l'analisi, in tempo reale, del traffico HTTP, senza richiedere cambiamenti consistenti all'infrastruttura esistente. I server web, normalmente, sono ben forniti di strumenti di analisi del traffico web, utilizzati come veri e propri strumenti di marketing, ma, spesso, non sono in grado di registrare il traffico destinato alle applicazioni web. In particolare, molti server non hanno strumenti per catturare i messaggi di richiesta ( header e body ), inviati alle applicazioni residenti. I vostri avversari sanno tutto questo. Ecco perchè, oggi, molti attacchi vengono sferrati attraverso le richieste HTTP POST, rendendo i sistemi ciechi di fronte ad essi. ModSecurity può, invece, intercettare tutte le transazioni HTTP, permettendo di registrare tutte le richieste inviate al server e tutte le risposte spedite dal server. Inoltre, ModSecurity è in grado di monitorare, in tempo reale, il traffico HTTP e di identificare eventuali attacchi, proprio come un web "intrusion detection tool". ModSecurity™, di default, non offre una grande protezione. Affinchè ModSecurity possa diventare utilissimo, è necessario configurarlo con una serie di Regole. Trustwave's SpiderLabs, a questo fine, ha creato una serie certicata di regole per ModSecurity™ 2.x. Diversamente dalla "intrusion detection" e dai sistemi di prevenzione, che basano la loro attività sulle chiavi delle vulnerabilità già note, il Core Rule Set ( CRS ) offre una generica protezione contro le vulnerabilità ancora non conosciute, spesso nascoste nelle applicazioni web e, nella gran parte dei casi, codificate appositamente. Il Core Rule Set ( CRS ) utilizza le seguenti tecniche: HTTP Protection - intercetta le violazioni al protocollo HTTP ed alla policy definita localmente; Real-time Blacklist Lookup - realizzata da un programma di IP Reputation di terze parti; Web-based Malware Detection - intercetta i contenuti web pericolosi, grazie alla API Google Safe Browsing; HTTP Denial of Service Protections - una difesa contro HTTP Flooding e gli Slow HTTP DoS Attacks; Common Web Attacks Protection - intercetta gli attacchi più comuni alle applicazioni web; Automation Detection - intercetta i robot, i crawler, gli scanner ed altre attività pericolose; Integration with AV Scanning for File Uploads - intercetta i file pericolosi caricati dalle applicazioni web; Tracking Sensitive Data - tiene traccia dell'utilizzo delle carte di credito e blocca i tentativi di furto; Trojan Protection - intercetta l'accesso ai Trojan horse; Identification of Application Defects - avvisa su eventuali configurazioni errate nelle applicazioni; Error Detection and Hiding - intercetta e maschera i messaggi inviati dal server. Core Rule Set ( CRS ) Project è un progetto del Open Web Application Security Project ( OWASP ).
|
|||||||||
ModSecurity Frequently Asked Questions (FAQ) | Disclaimer: questo è un link a contenuti ospitati su server esterni. |