Bug Online

U lipnju 2008. stupio je na snagu PCI DDS standard (Payment Card Industry Data Security Standard) koji propisuje niz pravila i stavki oko developmenta, deploymenta i osiguravanja web servisa orijentiranih na naplatne usluge. Cilj ovakvog dokumenta je osiguravanje kompletnog ciklusa web servisa od raznoraznih slabih točaka koje hakeri danas iskorištavaju. Točka 6.5 tog standarda propisuje niz najčešćih i najopasnijih napada na web servise od kojeg se kompanija mora štititi, a točka 6.6 pak propisuje uporabu application-layer firewalla i inspekciju kôda za analizu slabosti. Ciscov ACE Web Application Firewall pokriva obje te točke. No krenimo redom.

Malo pametniji firewall

Ciscov ACE Web Application Firewall je tzv. layer 7 firewall, dakle radi na aplikacijskom sloju mreže i specijaliziran je za analizu HTML i XML prometa koji dolaze i odlaze iz data centra. Namijenjen je svim kompanijama koje svoje poslovanje baziraju na webu i web servisima. Cisco vam pritom garantira full compliance po točkama 6.5 i 6.6 PCI DDS standarda, koje se odnose na sigurnost podataka i sustava. Radi u konjunkciji s ostatkom Ciscove ACE palete proizvoda te ga se klasično postavlja na izlaz DMZ-a kao i klasičan proxy/firewall. Na mrežu se tipično spaja preko Ciscovog ACE switcha, koji je zadužen za application-level routanje web prometa na obradu u firewall i natrag. ACE switch je zapravo Catalyst serije 6500 (switch) ili 7600 (router) s instaliranim ACE modulom koji pruža, po Ciscovim tvrdnjama, throughput do 16GBps po instaliranom modulu, te do 64GBps s četri modula instalirana u jednom Cisco switch-u. Što se Application Firewalla tiče, cijela stvar upakirana je u klasično 19'' rack kućište i hvali se out-of-the-box funkcionalnošću i jednostavnim administracijskim sučeljem.

U konfiguraciji se nudi 4GB memorije (fiksna količina) i 2 dual-core Xeona za procesiranje podataka, 4 gigabitna Ethernet porta te redundantno napajanje. Podržava konfiguriranje preko CLI-ja (SSH) ili GUI-ja, preko kojeg je moguće konfigurirati i monitorirati sustav. Firewall dolazi pretkonfiguriran s širokom paletom sigurnosnih postavki, baziranih na OWASP (Open Web Application Security Project) Top-10 listi najopasnijih web napada, a kojom se služi i PCI DDS specifikacija.

Jasno je da je ovakvo rješenje ekonomičnije i lakše za implementaciju nego kompletna revizija starog kôda osjetljivog na kojekakve vrste modernih web napada. To znači da će vas i bez ekstenzivnog pisanja sigurnosnih pravila (što je, naravno, moguće) po defaultu štititi od većine modernih web napada. Sustav podržava, naravno, SNMP i Syslog za praćenje alarma i logging. Također, firewall vam nudi punu podršku za SSL v2/3, tako da transport podataka iz DMZ-a i njihovo osiguravanje možete prepustiti njemu i time si rasteretiti sam data center. Podržava i čitav niz enkripcijskih algoritama (DES, AES, RSA, DSA, MD5...).

U lipnju 2008. stupio je na snagu PCI DDS standard (Payment Card Industry Data Security Standard) koji propisuje niz pravila i stavki oko developmenta, deploymenta i osiguravanja web servisa orijentiranih na naplatne usluge. Cilj ovakvog dokumenta je osiguravanje kompletnog ciklusa web servisa od raznoraznih slabih točaka koje hakeri danas iskorištavaju. Točka 6.5 tog standarda propisuje niz najčešćih i najopasnijih napada na web servise od kojeg se kompanija mora štititi, a točka 6.6 pak propisuje uporabu application-layer firewalla i inspekciju kôda za analizu slabosti. Ciscov ACE Web Application Firewall pokriva obje te točke. No krenimo redom.

Malo pametniji firewall

Ciscov ACE Web Application Firewall je tzv. layer 7 firewall, dakle radi na aplikacijskom sloju mreže i specijaliziran je za analizu HTML i XML prometa koji dolaze i odlaze iz data centra. Namijenjen je svim kompanijama koje svoje poslovanje baziraju na webu i web servisima. Cisco vam pritom garantira full compliance po točkama 6.5 i 6.6 PCI DDS standarda, koje se odnose na sigurnost podataka i sustava. Radi u konjunkciji s ostatkom Ciscove ACE palete proizvoda te ga se klasično postavlja na izlaz DMZ-a kao i klasičan proxy/firewall. Na mrežu se tipično spaja preko Ciscovog ACE switcha, koji je zadužen za application-level routanje web prometa na obradu u firewall i natrag. ACE switch je zapravo Catalyst serije 6500 (switch) ili 7600 (router) s instaliranim ACE modulom koji pruža, po Ciscovim tvrdnjama, throughput do 16GBps po instaliranom modulu, te do 64GBps s četri modula instalirana u jednom Cisco switch-u. Što se Application Firewalla tiče, cijela stvar upakirana je u klasično 19'' rack kućište i hvali se out-of-the-box funkcionalnošću i jednostavnim administracijskim sučeljem.

U konfiguraciji se nudi 4GB memorije (fiksna količina) i 2 dual-core Xeona za procesiranje podataka, 4 gigabitna Ethernet porta te redundantno napajanje. Podržava konfiguriranje preko CLI-ja (SSH) ili GUI-ja, preko kojeg je moguće konfigurirati i monitorirati sustav. Firewall dolazi pretkonfiguriran s širokom paletom sigurnosnih postavki, baziranih na OWASP (Open Web Application Security Project) Top-10 listi najopasnijih web napada, a kojom se služi i PCI DDS specifikacija.

Jasno je da je ovakvo rješenje ekonomičnije i lakše za implementaciju nego kompletna revizija starog kôda osjetljivog na kojekakve vrste modernih web napada. To znači da će vas i bez ekstenzivnog pisanja sigurnosnih pravila (što je, naravno, moguće) po defaultu štititi od većine modernih web napada. Sustav podržava, naravno, SNMP i Syslog za praćenje alarma i logging. Također, firewall vam nudi punu podršku za SSL v2/3, tako da transport podataka iz DMZ-a i njihovo osiguravanje možete prepustiti njemu i time si rasteretiti sam data center. Podržava i čitav niz enkripcijskih algoritama (DES, AES, RSA, DSA, MD5...).