许多组织可能会使用Web应用程序防火墙(WAF)来帮助他们实现安全遵从并保护他们的web应用程序。许多组织也很活跃部署IPv6他们的网络系统。这两个群体的交集将会经历安全漏洞,因为他们启用了IPv6的web应用程序,但他们的WAF并没有积极地检查IPv6网络连接。
Web应用程序安全性:
的思科安全年度报告和许多其他的报告有多年显示Web应用程序在向上趋势的漏洞,仍然是一个真正的威胁。同时,这打开Web应用程序安全项目(OWASP)努力提高对这些问题的认识,并尝试提高网络系统的安全性。跨站点脚本(XSS),跨站点请求伪造(CSRF),缓冲区溢出,任意代码执行,权限升级,SQL注入等威胁,以及其他攻击导致Web服务器受到损害。在保护其Web服务器时,组织有几种选择。他们可以首先创建安全代码,或者使用Web安全应用程序公司审核该代码。他们可以通过能够检测攻击者将目标的威胁来主动扫描其Web应用程序,或者可以使用设备或软件系统尝试拦截和阻止攻击的威胁。
Web应用程序防火墙WAFs是专门构建的安全系统,用于检查web请求和检测应用层攻击。他们可以在流量路径内操作,或者至少能够观察到网络流量。如果WAF检测到恶意连接,那么WAF将能够重置连接以阻止攻击。WAFS.已经使用多年,现在在DMZ和数据中心部署中很常见。2020欧洲杯预赛WAFs可以集成到服务器负载均衡器(SLB)或应用程序交付控制器(ADC)中IPv6的能力.
符合标准:
如果PCI/HIPAA/SOX/GLBA/FISMA或其他安全标准要求您拥有WAF,那么您应该敏锐地意识到该产品有哪些功能和没有哪些功能。PCI DSS遵从性建议列于信息补充:要求6.6守则审查和应用防火墙,由PCI安全标准委员会发布“选项2讨论了WAFS。但是,PCI DSS 2.0不会直接致地IPv6。有些人可能暗示标准和指南适用于IPv4通信和IPv6通信。
大多数服务器操作系统现在支持IPv6,并默认启用IPv6。许多web服务器将监听任何接口上的任何IPv6地址上的入站TCP端口80连接,而无需任何管理员配置。如果您启用了IPv6,并将其连接到IPv6互联网,那么您可能会暴露于web应用程序的威胁。攻击者将识别出web应用程序既有IPv4“A”记录,也有IPv6“AAAA”DNS记录,攻击者将使用这两种协议测试服务器的防御。因此,服务器需要通过双协议防火墙、ips和WAFs进行防御。
的Web应用程序安全联盟WASC是一个帮助开发和提倡WAFs标准并进一步采用它们的组织。这个组织起草了Web应用程序防火墙评估标准(WAFEC),以帮助组织进行产品选择,并告知供应商什么特性对客户是重要的。不幸的是,Web应用程序防火墙评估标准版本1.0(2006年1月16日)没有提到IPv6的任何事情。这个小组正在努力WAFEC 2.0.但没有任何消息表明这将包含任何关于IPv6的内容。此外,OWASP的“最佳实践:使用Web应用程序防火墙“没有提及IPv6作为考虑因素或要求。
ICSA实验室是一个中立的独立测试实验室,作为Verizon业务的一个独立部门运行。他们的重点是测试防火墙和安全产品,但他们也进行测试Web应用程序防火墙.ICSA实验室已发表“Web应用程序防火墙认证标准2.1版(更正)".然而,它丝毫没有提到IPv6。ICSA实验室有认证几个WAFs,但这些产品都没有测试他们对IPv6的支持。ICSA实验室可以执行IPv6产品测试基于NIST USGV6测试程序因此,这表明他们知道IPv6,但它只是没有进入他们的其他测试标准。
WAF供应商:
以下是市场上提供的一些受欢迎的WAFS列表以及其IPv6能力的状态。请注意,这并非旨在是一个详尽的清单,如果您知道有能力的WAF,请发表此博客。
AQTRONiX WebKnight”IIS的Web应用程序防火墙似乎没有任何IPv6功能。事实上,他们的网站声称“WebKnight还没有为IPv6做好准备,但这目前不是一个主要问题,因为互联网仍在使用IPv4(只有本地主机环回使用IPv6)”。也许应该有人告诉他们世界IPv6推出.
梭鱼网络Web应用程序防火墙他们声称已经“准备好了IPv6”数据表.Barracuda的产品博客去年列出了7.6固件的IPv6支持,但它是默认情况下禁用.显然,客户需要联系Barracuda的支持工程师,让他们了解启用IPv6的过程。Barracuda Networks WAF家族经ICSA实验室测试但对于IPv6则不然。
2010年,思科宣布生命的尽头因此,思科ACE Web应用防火墙(WAF)的销售结束。该产品没有任何IPv6支持,因为该产品已经达到其开发的终点,它将永远不会得到IPv6的能力。
CitrixNetScaler应用程序交付控制器家族支持IPv6已经很多年了。他们的产品数据表显示IPv6是他们所有平台和版本的标准特性(不需要额外的许可费用)。CitrixNetScaler应用防火墙是支持ipv6NetScaler还提供简单acl和扩展acl、DDoS保护和HDOSP。ICSA实验室测试Citrix NetScaler Application Firewall,但不是因为它的IPv6能力。
F5 Networks Inc. Big-IP设备运行应用安全经理(ASM)WAF。截至TMOS软件版本11.1(11.2是最新版本),ASM WAF是支持ipv6并提供IPv6 Web应用程序和HTTP协议检查。但是,有一些说明上市在他们的文档中,在IPv6(ID 359405)的支持限制时,当ASM支持应用程序流量管理的IPv6地址时,ASM不支持以下配置的IPv6地址:ICAP服务器,SMTP服务器,远程记录服务器,DNS服务器,WhiteHat服务器和搜索引擎/机器人域名“。ICSA实验室测试F5的Big IP应用程序安全管理器(ASM),但没有测试其IPv6功能。
Fortinet防火墙已经有了重大的影响支持IPv6很多年了。然而,他们的FortiWeb Web应用程序安全system没有任何IPv6特性。ICSA实验室进行测试Fortinet的FortiWeb-1000C,但不执行该产品的任何IPv6测试。
Imperva制作了他们的AX系列SecureSphere在一个与A10网络合作.因为这个web应用防火墙系统运行在A10高级核心操作系统(ACOS)上,所以WAF支持ipv6。A10网络AX系列具有丰富的IPv6能力2012年2月NWW清晰选择测验.ICSA实验室做了测试Imperva SecureSphere Web应用防火墙,但不适用于IPv6。
今年早些时候,Juniper收购了该公司米克诺斯网络安全(MWS)及其Web应用程序安全系统。不幸的是,没有一个在线文档提到了它的IPv6能力。希望随着该产品的发展,并进一步与其他Juniper IPv6产品集成,有一天它将完全支持IPv6。
Qualys开发了IronBee开源web应用程序防火墙。即使IPv6没有列在特性的参考手册演示如何在产品中配置IPv6地址。
modsecurity.是最古老的Web应用程序防火墙之一。ModSecurity现在由网络爬行SpiderLabs(以前违反安全性)和ModSecurity规则可提供支持合同。最新版本的ModSecurity 2.7.0-RC3具有IPv6功能,该功能首先在2.6版中引入。IPv6也支持各种各样的数据格式和日志记录.
webSecurity Inc.制造了它们webapp.secure.Web应用程序安全系统。他们的产品来自专业版(PE)和LiveCD版。但是,他们的网站在其产品中没有关于IPv6功能的任何细节。WebSecurity确实发布了一个新闻稿在2010年8月20日宣布他们的产品现在支持IPv6,然而,这一链接现在被打破了。
扫描:
在前面,本文提到,公司可能会选择执行主动扫描和/或web应用程序代码验证,以帮助他们的web应用程序安全。这样的公司Veracode和WhiteHat Security可以执行web应用程序的动态或静态扫描。这些公司可以在执行静态脱机代码评估时检查与ipv6相关的问题。然而,今天,几乎没有人能够通过IPv6传输执行动态扫描。仍然可以在IPv4传输上执行动态扫描,然后假设如果应用程序在IPv4上是安全的,那么它就必须在IPv6上是安全的。然而,如果同样的安全保护措施在IPv4中并不存在,那么这可能是一个错误的假设。有众多产品和服务但它们中很少有具备IPv6能力的。Web漏洞扫描工具Cenzic的冰雹可能没有IPv6功能。Sapid7这样的安全公司拥有IPv6并将支持放入他们的Nexpose5.4扫描仪,Metasploit4.2软件。
结论:
客户已经开始询问这些安全供应商关于他们的IPv6产品能力。然而,一些制造商并没有在他们的产品开发路线图上优先考虑IPv6。产品测试实验室也没有测试安全设备是否能同样有效地保护两个IP版本。
如果您的WAF不支持IPv6,那么如果您没有IPv6防御功能,您应该避免将IPv6 Internet连接到Web应用程序。如果您的IPv6-启用Web应用程序并公开漏洞,那么您无法遵守安全性。IPv6部署很重要,很多组织都很重要。但是,最好不要急于急于部署,并无意中创建安全问题。为IPv6采取学科的方法是更好的,使您的互联网的系统能够,并确保您的部署从一开始就安全。
斯科特