 web of defence wird als Software-Plug-in auf dem Webserver installiert (z.B. Apache Version 2.0) und dort per Konfiguration aktiviert.
Grundlegende Funktionsweise: http-Requests werden geprüft und je nach eingestellter Regel abgelehnt oder weiterverarbeitet.
Hier sind weitere Fragen und Antworten zu web of defence (wod):
|
|
Wie arbeitet wod bzw. das dahinter liegende Plug-in? |
|
Das Plug-in prüft die eingehenden http-Requests und den Großteil der Antworten vom Server. Anhand definierter Regeln für z.B. Online-Formulare werden Requests entweder abgewiesen oder eine Informationen für den Benutzer angezeigt - inklusive Einträge in den SWS-eigenen Logfiles bzw. Reports an den Administrator. |
|
|
Für welchen Webserver gibt es wod? |
|
Zur Zeit für Apache 2.0 und Version 2.2, IIS etc. auf Anfrage (Stand: Juni 2007) |
|
|
Auf welchem Layer arbeitet wod? |
|
V.a. auf Layer 7, auf der Anwendungsebene. Das ist zur Zeit die größte Schwachstelle bei Unternehmens-Anwendungen im Internet. |
|
|
Bieten Sie Pattern-Updates an? |
Ja, ist im ersten Jahr kostenlos enthalten.
|
|
|
Ist die sicherheitskritische Funktion Globals ON schützbar? |
|
Ja, durch entsprechende Konfiguration. |
|
|
Gibt es eine Logging-Funktion? |
|
Ja, es wird ein eigenes Logfile generiert. |
|
|
Was kostet der Betrieb des Plug-ins an Leistung? |
|
Das kommt darauf an! Bei wenig ausgelasteten Servern ist der Leistungsverlust entsprechend gering. Und aber auch vice versa. Ein vorheriger Test - auch unter Last - ist sinnvoll. |
|
|
Werden nur eingehende Requests geprüft oder auch die Antwort des Webservers? |
|
Es werden sämtliche eingehenden Requests geprüft und nahezu alle ausgehenden. Filter für die übrigen Requests folgen. |
|
|
Wie groß ist das Paket? Wie funktioniert der Einbau? |
|
Das Paket ist nur wenige MB groß und wird ganz normal als Paket (Linux/Apache) installiert. Für den IIS gibt es ein Installations-Programm. |
|
|
Wie reagiert das Plug-in auf erkannte Attacken? |
|
Der Request wird abgelehnt, entweder mit einer Fehlerseite vom Webserver (z.B. 403 oder 404) oder es wird per Redirect auf eine andere Seite verwiesen. |
|
|
Wie hoch ist die Effizienz des Plug-ins (Trefferquote), wenn die Applikation nicht bekannt ist? |
|
Wir gehen davon aus, dass nach einer kurzen Einlernphase (ca. 3 Tage) 60-70% der möglichen Attacken erkannt werden. Diese Angabe kann jedoch komplett abweichen, deshalb sind vorherige Analysen auf jeden Fall empfohlen. |
|
|
Wie viel größer ist der Apache-Prozess? |
|
Der Apache-Prozess bleibt beim Plug-in-Einsatz gleich. |
|
|
Gibt es eine Versionierung der Konfiguration, z.B. für die interne Dokumentation? |
|
Ja, diese Versionierung ist enthalten. |
|
|
