Network Performance Monitoring (NPM) and Diagnostics | Application Performance Monitoring (APM) | Application-Aware Network Performance Monitoring (AA NPM) | Network Fault Management | Information Security | Network Security

Выбираем WAF систему для защиты веб-приложений: NAXSI vs ModSecurity

WAF система для защиты веб-приложений - NAXSI vs ModSecurity

Каждый день киберпреступники взламывают почти 50 000 сайтов! Вот почему для защиты от этих многочисленных попыток взлома веб-сервера нуждаются в специализированном программном инструментарии (брандмауэре для веб-приложений), таком как ModSecurity, NAXSI или других подобных им по функциональным возможностям.

Сегодня мы поговорим о плюсах и минусах NAXSI и ModSecurity, популярных WAF (Web Application Firewall, межсетевой экран для веб-приложений) с открытым исходным кодом. И хотя оба этих программных продукта бесплатны, ваш выбор между NAXSI и Modsecurit во многом будет продиктован конкретной конфигурацией вашего сервера.

NAXSI — что это и для чего?

Nginx Anti-XSS & SQL Injection или просто NAXSI

Nginx Anti-XSS & SQL Injection (или просто NAXSI) — это брандмауэр для веб-приложений, специально разработанный для серверов Nginx.

NAXSI помогает бороться со злоумышленниками, которые добавляют уязвимые скрипты на веб-сайт. Кроме того, он позволяет избежать атак внедрения кода (code injections) в базу данных, используемую веб-сайтами.

А теперь давайте более подробно рассмотрим основные преимущества и недостатки NAXSI.

Плюсы NAXSI

Основные преимущества NAXSI включают в себя:

  • Простой набор правил

NAXSI защищает веб-сайты с помощью простого набора правил, используя основанную на оценке систему защиты. Так, основываясь на этих жестких правилах, каждому получаемому URL-запросу выставляется оценка. Если эта оценка превышает некоторое пороговое значение, заданное в конфигурации, NAXSI автоматически блокирует этот запрос к веб-сайту. К примеру, когда URL-запрос содержит потенциально вредоносные символы, такие как «<», «/» (слэш), «drop», а также другие «опасные» символы и ключевые слова-запросы SQL, то это автоматически повышает значение оценки. И выполнение таких URL-запросов будет заблокировано на сервере.

  • Поддержка белых списков

Также сильной стороной NAXSI является поддержка создания набора правил так называемого «белого» списка. Эти правила определяют, какие шаблоны с потенциально вредоносными паттернами и для каких приложений являются приемлемыми, и, соответственно, NAXSI не будет блокировать их выполнение. Чтобы упростить администраторам задачу по составлению набора правил для «белого» списка, NAXSI поставляется с программным инструментарием под названием Nxtool. Этот инструмент способен автоматически изучать трафик веб-сайта, а также создавать и дополнять «белый» список. Следует отметить, что этот программный инструментарий способен учитывать активность ваших пользователей. Так, если более 20 % ваших пользователей постоянно используют идентичный «опасный» метод для своих запросов на веб-сайте, то он будет зарегистрирован как разрешенный. И все подобные запросы будут беспрепятственно проходить через веб-сервер.

  • Устойчивость к методам обхода WAF

Под любые даже самые строгие правила межсетевых экранов для веб-приложений хакеры находят альтернативные способы их обхода. Но NAXSI прекрасно справляется с нейтрализацией возможных методов обхода WAF, таких как кодирование URL, объединение строк в запросе и т. д.

  • Быстрое и легкое администрирование

NAXSI не будет «съедать» большую часть ваших серверных ресурсов. Кроме того, он не требует проведения периодических и частых обновлений, чем выгодно отличается от также обсуждаемого в рамках данной статьи межсетевого экрана для веб-приложений ModSecurity. Сразу после установки NAXSI будет работать непрерывно и надежно, без каких-либо периодов вынужденного простоя.

nginx naxsi

Минусы NAXSI

Хотя у NAXSI есть много преимуществ, у него также есть и свои недостатки:

  • Требуется запуск обучающегося режима для каждого обновления веб-приложения.

NAXSI имеет два режима работы: рабочий (Live) и обучающий (Learning). Именно в режиме обучения NAXSI не блокирует запросы, а изучает поведение пользователей, автоматически создавая правила «белого» списка. Поэтому всякий раз, когда в коде вашего веб-сайта происходит обновление, вам нужно будет запускать NAXSI в режиме обучения, чтобы внести коррективы в разрешающие правила «белого» списка и избежать блокировки легитимного трафика. Это создает определенные дополнительные трудности, особенно если на сайте часто происходят модификации кода.

  • Зависимость от типа веб-сервера.

К существенному недостатку NAXSI можно отнести то, что он работает только с системами, реализованными на базе Nginx. То есть он не подходит для использования с Apache или IIS, что накладывает серьезные ограничения на параметры используемого веб-сервера. Тем не менее, NAXSI прекрасно работает в приложениях на основе Docker. Поэтому NAXSI можно настроить для таких популярных приложений, как ownCloud, Elasticsearch и т.д..

ModSecurity — что это и для чего?

ModSecurity

ModSecurity — это один из самых популярных брандмауэров для веб-приложений, который поддерживает такие веб-серверы, такие как Apache, IIS, Nginx и т. д. Он работает с библиотекой вредоносных шаблонов, известных также как сигнатуры. Когда URL-запрос соответствует какой-либо из сигнатур, он блокируются. Хотя ModSecurity и является отличным программным инструментарием для обнаружения атак XSS (Cross-Site Scripting, межсайтовый скриптинг), троянских атак и т. д., он также имеет свои преимущества и недостатки.

Плюсы ModSecurity

ModSecurity обладает такими достоинствами, как:

  • Блокировка стандартных атак

ModSecurity поставляется с набором правил Core Rule, который учитывает практически все известные атаки в Интернете. Поэтому вам не нужно будет самостоятельно прописывать правила для блокировки уже известных уязвимостей приложений.

  • Поддержка виртуального патчинга (Virtual patching)

Также ModSecurity предоставляет возможность Virtual patching. Опция «Виртуальный патчинг» поможет защитить сервер от атак, использующих недавно обнаруженные уязвимости. Другими словами, как только появляется новая атака на основе уязвимости WordPress или PHP, вам просто нужно будет поставить новый патч приложения ModSecurity. Это нивелирует возможность проведения дальнейших атак на ваши сайты с помощью этой уязвимости. Таким образом, вы получите больше времени для обновления каждого уязвимого сайта, созданного на WordPress или PHP.

  • Продвинутая настройка

Кроме того, ModSecurity позволяет писать конкретные правила для приложений, размещенных на сервере. Эта открывает широкие возможности для использования пользовательских модификаций, когда у вас есть необходимость выстроить более надежную защиту от определенных типов атак, которые наиболее критичны для ваших веб-приложений.

ModSecurity для Apache, IIS, Nginx

Минусы ModSecurity

Опять же, у ModSecurity есть и свои недостатки:

  • Сложное администрирование большого набора правил

Практически все правила ModSecurity основываются на регулярных выражениях, администрирование которых само по себе является довольно сложной задачей. Кроме того, чем больше правил, тем сложнее становиться грамотно отфильтровывать «хороший» трафик от «плохого». Тем, кто работает с ModSecurity, приходиться периодически сталкиваться с жалобами от клиентов о том, что, помимо блокировки вредоносных атак, этот брандмауэр для веб-приложений часто блокирует и легитимный трафик.

  • Ресурсоемкость

Когда настроено слишком много правил, ModSecurity начинает использовать слишком много ресурсов. Поэтому, чем больше веб-сайтов запущено на сервере, тем больше будет тратиться ресурсов на их защиту, и, соответственно, тем выше будет нагрузка на сервер. Поэтому ваш выбор в пользу ModSecurity также во многом будет зависеть от специфики ваших задач и характеристик самого сервера.

Заключение

Защиты веб-приложений

При грамотной реализации и тщательной настройке брандмауэры для веб-приложений, такие как NAXSI и ModSecurity помогут вам защитить ваши сайты и избежать взломов вашего веб-сервера. Надеемся, что наш сравнительный анализ поможет вам сделать правильный выбор.

 

Появились вопросы или нужна консультация? Обращайтесь!

Вечный параноик, Антон Кочуков.

Комментарии
Тут пока ничего нет, но Вы можете быть первым!
Авторизуйтесь для этого

См. также:
Заказать звонок

- Email
- Confirm
Имя *
Телефон *
Комментарий
Согласие на отправку персональных данных *

* - Обязательное для заполнения