Sicurezza per le applicazioni web
Pochi giorni fa sono stati aggiornati due strumenti, che si integrano a vicenda, utilizzati per la protezione attiva dagli attacchi alle applicazioni web e dei web server in generale.
Sto parlando di un ottimo progetto open source chiamato modsecurity.
Questo progetto non è altro che un modulo per Apache 2 (a proposito, avete visto l’annuncio dell’ultima release della versione 1.3.42? Pare che sarà l’ultima e tutti sono invitati a passare alla versione 2.2: http://www.apache.org/dist/httpd/Announcement1.3.html) che implementa vari controlli sulle richieste e sulle risposte da e per i client.
Si potrebbe definire questo modulo un motore per la prevenzione delle intrusioni e dello sfruttamento delle vulnerabilità nelle applicazioni web, oppure, se vi piace di più, un web application firewall (WAF).
Tra le caratteristiche principali possiamo menzionare il filtraggio delle richieste fatte al web server prima che vengano gestite da Apache stesso o da altri moduli, il rilevamento delle tecniche antievasive (percorsi e parametri vengono normalizzati), la piena comprensione e il controllo del protocollo HTTP (segnalando anomalie in qualsiasi parte), l’analisi delle richieste POST, il logging dettagliato di qualsiasi richiesta (POST comprese) e il filtraggio dei contenuti compressi e criptati (HTTPS) dato che il modulo ha accesso ai dati dopo che questi vengono decompressi e decrittati.
Quindi, ad esempio, è possibile bloccare tentativi di sql injection, proteggere alcune parti dei vari virtualhost in modo più stretto, con la possibilità di logging, bloccare DoS e DDoS e infine creare un ambiente chroot: una gabbia in cui imprigionare le vostre applicazioni.
Il tutto con una minima degradazione delle prestazioni (overhead), che definirei tranquillamente trascurabile in confronto ai benefici che si possono avere.
L’altro strumento, di cui modecurity fa uso, sono le regole che attivano o meno il filtraggio delle richieste, le quali sono sviluppate all’interno di un grosso progetto chiamato OWASP che più in generale si occupa di sicurezza per il web. Questo il link alle core rule set per modsecurity: http://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Project.
Per un utilizzo semplificato della gestione degli incidenti di sicurezza o dei falsi positivi esiste anche una console che raccoglie tutti gli eventi, con tanto di statistiche e di report. La console ovviamente può gestire più server contemporaneamente; la trovate gratuitamente a questo link per un uso di 3 sensori massimo: http://www.breach.com/products/ModSecurity-Community-Console.html.
Chiunque debba implementare un qualche servizio web è caldamente invitato a prendere varie misure di sicurezza per proteggere le applicazioni che sono esposte 24 ore su 24. Per uno dei web server più diffusi, Apache, questo modulo rappresenta un’interessante barriera, uno strato in più che può essere aggiunto ai vostri server per aumentarne la sicurezza.
