WAF

Ni kanske har hört talas om "webbapplikationsbrandväggar". På benämningen kan den listige gissa sig till vad det handlar om; en brandvägg för webbapplikationer. Tyvärr säger detta ingenting, ordet brandvägg har använts för att beskriva allt möjligt genom tiderna.

Web Application Firewall (WAF) verkar vara den term som branschen har konvergerat mot för ett system som filtrerar de anrop en webbapplikation tar emot från sina besökare. Alltså samma princip som för konventionella (nätverks)brandväggar som filtrerar paket från Internet på väg in mot det interna nätverket.

Anledningen till att jag tar upp ämnet är att WAF ofta missförstås precis som brandväggar missförstås. Jag har skrivit om det senare här och här. För WAF är missförståndet dock annorlunda och det slog mig när jag var och tittade på James Lyne från Sophos när han körde ett seminarie på IT Security Expo i förra veckan. Lyne sa något i stil med: "webbapplikationsbrandväggar är inget att ha, de är precis som intrångsdetektering och använder bara signaturer".

Det stämmer inte alls. Faktum är att en WAF liknar, och kan användas precis som, vanliga brandväggar i nätverket. En brandvägg definerar vilken TCP/IP-trafik som är tillåten. Paket får nå webbtjänster på den och den porten, namnservrn kan nås på den porten och så vidare. En WAF definerar vilka HTTP-anrop som är tillåtna. De här parametrarna ska vara siffror, de här parametrarna får bara innehålla bokstäver och så vidare. Enkelt. Det handlar om att driva igenom en policy, fast på ett annat lager i stacken.

Precis som brandväggar egentligen inte behövs eftersom servrarna själva kan se till att portarna är stängda kan applikationerna, naturligtvis, definera hur godkänd indata från besökare ska se ut. Men. Litar den som har ansvar för säkerheten på systemadministratörerna? Litar hon på utvecklarna? Har hon ens möjlighet att stänga portar eller göra indatavalidering? Allt är inte open source.

...så Sophos (och deras konkurrenter) borde alltså inse att deras produkter är "precis som intrångsdetektering och använder bara signaturer" även om signaturerna beskriver ett programs "beteende" (läs: "behavioral foo" eller "heuristic bar").

--
Stefan Pettersson

Kommentarer

Kommentera inlägget här:

Namn:
Kom ihåg mig?

E-postadress: (publiceras ej)

URL/Bloggadress:

Kommentar:

Trackback

HPS säkerhetsblogg


High Performance Systems logo


RSS 2.0