WAF

 

Sto considerando l’ ipotesi di aggiungere un web application firewall al nostro server minifisto.  Cosa fa un web application firewall, beh pensate a come funziona un semplice firewall, che opera a livello 3 e 4 del protocollo osi/iso. Beh un web application firewall si occupa di analizzare specificatamente tutto il traffito http/https al fine di bloccare e contrastare principalmente attacchi di cross site scripting e sql injection. Ovviamente tutto questo e’ da aggiungersi ad eventuali altre contromisure che dovrebbero essere prese al livello di : codice, applicazione, network e via dicendo.

Ora… tutto sarebbe piu’ semplice se potessi farlo a livello di pfsense, cosi da proteggere anche altri eventuali websites. Fatto sta che non ci sono webservers disponibili per pfsense da usare come reverse proxy ( e tramite i quali usare modsecurity ), per cui dovro’ per forza percorrere la strada piu scomoda. Tra i vari waf che si possono installare direttamente su nginx nell’ instanza di minifisto, c’ e’ l ‘ ormai famoso modsecurity e naxsi appunto. Entrambi, a meno che non prenda qualche pacchetto in giro per la rete, necessitano la ricompliazione di nginx. Naxsi mi attira sopratutto per il fatto che non ha un database da aggiornare via via, e mi pare overall piu’ semplice come approccio. Inoltre ha una interessante modalita’ ( dry run per gli addetti ai lavori ) che in poche parole permette di non fare l’ enforcing delle regole, e di riportaresolamente nei logs blocchi o falsi postivi. Si apre quindi l’ interessante opzione ( specie una volta che e’ in production ) di lasciarlo qualche giorno in questa modalita’ per vedere se c’ e’ stato un eventuale match e nel caso scrivere apposite regole. Gia’, ci sara’ scriversi qualche regola, ma sul progetto github dello stesso gia’ ci sono dei file da cui prendere spunto. Testero’ naxsi su un’ istanza e faro’ dei test in locale.