Leia sobre dicas e funcionalidades da GoCache CDN para melhorar a seguranca do seu site, loja virtual ou app mobile.

SmartRules para WAF – Controle total da segurança nas suas mãos

/em

O Carnaval está chegando, mas a GoCache não pára! Anunciamos o lançamento das SmartRules para WAF! Esta nova funcionalidade permite tornar seu WAF flexível, para que você configure o acesso às áreas sensíveis do seu site como preferir.

Como funcionam as SmartRules para WAF

As possibilidades são infinitas, você especifica o critério(ou critérios) para o qual uma regra será aplicada:

waf criterios

As opções de critério são:

  • URL
  • Método HTTP
  • Cookies
  • User Agent
  • HTTP Referer
  • Endereço ou Range de IP
  • País de Origem
  • Continente de Origem

 

Em seguida seleciona qual o tipo de ação a ser tomada quando o critério for satisfeito:

 

waf acoes

As ações possíveis são:

  • Whitelist – libera o acesso para os acessos que correspondem ao critério.
  • Blacklist – bloqueia o acesso para os acessos que correspondem ao critério.
  • Challenge – exibe um captcha para que o usuário prove ser humano.

 

As regras podem ser facilmente Ativadas/Desativadas, ou Editadas, através de um simples botão:

waf on/off

 

Com a adição das SmartRules o WAF da GoCache se torna a mais flexível solução deste tipo disponível no mercado nacional, resultado do nosso compromisso em entregar o melhor produto que a tecnologia atual permite construir.

Mãos à obra, pode criar suas regras e se tiver alguma dúvida nossa equipe de atendimento está pronta para te ajudar.

 

Quer testar nosso WAF sem compromisso durante 7 dias? Cadastre-se aqui, não é necessário cartão de crédito!

 

Go faster. GoCache!

Qual a diferença entre um WAF e um IPS?

/em

Web Application Firewall x Intrusion Prevention System – Qual a diferença?

Introdução

Se você se já pesquisou seriamente sobre segurança, deve estar familiarizado com o termo “Intrusion Prevention System”, ou IPS. Porém ultimamente tem ganhado destaque e atenção outro tipo de proteção, o “Web Application Firewall”, ou WAF.  Mas qual a diferença entre os dois? Neste artigo faremos uma breve análise de ambos, suas limitações e a forma como se complementam.

O Sistema de Prevenção a Intrusão (IPS)

O IPS observa o fluxo de pacotes através da rede. Age de forma semelhante a um Sistema de Detecção de Intrusão (IDS), tentando identificar dados suspeitos nos pacotes de rede com base em um banco de dados de assinaturas, ou detectar anomalias em comparação ao que é pré-definido como tráfego “normal”. Além de sua funcionalidade IDS, um IPS pode fazer mais do que apenas gerar logs e alertas. É possível programa-lo para reagir ao que detecta. A capacidade de reagir às detecções é o que torna o IPS mais desejáveldo que o IDS.

Há algumas desvantagens para um IPS. Ele é projetado para bloquear certos tipos de tráfego, identificados como potencialmente perigosos. O IPS não tem a capacidade de compreender a lógica do protocolo da aplicação web. Assim, o IPS não distingue completamente se uma solicitação é normal ou malformada na camada de aplicação (camada OSI 7). Esta limitação poderia potencialmente permitir a passagem de alguns tipos de ataques sem que sejam detectados ou prevenidos, especialmente novos tipos de ataques mais sofisticados e sem assinaturas.

Havendo um grande número de aplicações web, tanto comerciais quanto caseiras, a tendência é que existam os mais diversos tipos de vulnerabilidades a serem exploradas por hackers. O IPS não consegue efetivamente cobrir todas essas vulnerabilidades potenciais e, provavelmente, acabará produzindo muitos falsos positivos. Falso positivos são péssimos pois fazem com que os analistas de segurança, normalmente já ocupados, fiquem ainda mais ocupados. Uma sobrecarga de falsos positivos pode atrasar a resposta a ataques reais, ou fazer com que sejam aceitos porque um analista tentou reduzir o “ruído”.

O IPS de Host (HIPS) é um pouco mais granular do que o IPS de rede (NIPS). O HIPS monitora a camada de aplicação (OSI Layer 7) um pouco mais próximo da lógica fornecida à aplicação web. Mas o HIPS ainda carece de alguma compreensão das linguagens de aplicações web e sua lógica. Em resposta a essas deficiências, surgiu o Firewall de Aplicação Web – WAF.

Web Application Firewall (WAF)

O WAF é projetado para proteger aplicações web/servidores de ataques baseados na web que um IPS não pode impedir. Assim como um IPS, o WAF pode ser baseado em rede ou host. Ele monitora o tráfego de e para os aplicativos/servidores web. Basicamente, a diferença está no nível de capacidade de análise da lógica de aplicação web na camada 7.

Enquanto o IPS avalia o tráfego comparando assinaturas e comportamentos anômalos, o Web Application Firewall avalia o comportamento e a lógica do que é solicitado e devolvido. O WAF protege contra ameaças de aplicações web tais como injeção de SQL, cross-site scripting, sequestro de sessão, alteração de URL ou de parâmetro e estouro de buffer. Ele faz isso da mesma maneira que um IPS faz, analisando o conteúdo de cada pacote de entrada e de saída.

WAFs normalmente são implantados em um proxy na frente das aplicações web, para que não vejam todo tráfego da rede. Ao monitorar o tráfego antes que ele atinja a aplicação Web, o WAF pode analisar as requisições antes de transmiti-las. Isto é o que lhe dá vantagem sobre o IPS, que é projetado para interrogar todo o tráfego de rede, sem analisar a camada de aplicação com o rigor necessário.

O WAF não apena detecta ataques que são conhecidos por ocorrerem em ambientes de aplicações Web, mas também detecta (e pode prevenir) novos tipos desconhecidos de ataques. Ao observar padrões inusitados ou inesperados no tráfego, ele pode alertar e/ou defender contra ataques até então desconhecidos. Por exemplo, se o WAF detecta um aplicativo retornando mais dados que o esperado, pode bloqueá-lo e alertar alguém.

Conclusão

Os Firewalls de Aplicação Web são um tipo especial de produto, utilizados para detectar ataques contra aplicações web com mais profundidade e critério do que os Sistemas de Prevenção a Intrusão. O WAF pode ser usado no ambiente para fornecer proteção aprimorada a aplicações/servidores Web. Usar um WAF é uma boa maneira de complementar o IPS e fornecer uma camada adicional de proteção para uma arquitetura de defesa em profundidade mais completa.

*Publicado originalmente no portal iMasters: http://imasters.com.br/infra/seguranca/web-application-firewall-x-intrusion-prevention-system-qual-diferenca/

HTTPS, Google Chrome e o seu site

/em

Bem-vindo a 2017, o ano da Internet mais segura. Você ainda não utiliza SSL para que seu site seja acessado via HTTPS? É muito provável que isto mude neste ano.

HTTPS & SSL

O “https” que é exibido na barra de endereços do navegador demonstra que o site possui um certificado SSL instalado. SSL é a abreviação para Secure Sockets Layer. É um protocolo de comunicação que cria um canal criptografado entre o servidor e o navegador, para garantir o sigilo e a segurança dos dados transmitidos. É comumente utilizado para tornar mais seguros os pagamentos online e a autenticação de dados em áreas com acesso restrito. Os usuários de um website reconhecem a segurança quando visualizam o “cadeado fechado” na barra de endereço do site.

Por que usar SSL se tornou praticamente obrigatório?

Tudo começou em 2014, quando o Google anunciou que o uso de SSL seria considerado um fator importante no posicionamento de um site nas páginas de resultados de buscas (SERPs). Este foi oficialmente o início do movimento por uma internet mais segura.

Em seguida, em Setembro de 2016, o Google fez um novo anúncio, estabelecendo Janeiro de 2017 como o mês em que todo e qualquer formulário que solicite senha, ou cartão de crédito, deve obrigatoriamente utilizar HTTPS, ou será exibido como inseguro no Chrome.

HTTPS not secure

 

Por que isso é importante?

Bem, no Brasil o Chrome é “um pouco” mais utilizado do que os demais navegadores (fonte StatCounter):

chome mkt share BR

 

Ou seja, se você tem um formulário para alguma área logada em seu site e não utiliza HTTPS, 3 de cada 4 visitantes estão recebendo um aviso de “não seguro”.

E o Google irá além, conforme o anúncio de Setembro de 2016 eles pretendem exibir como “inseguro” no Chrome todos os sites que não utilizarem HTTPS em todo o site!

site sem HTTPS

 

Apesar de ainda não haverem divulgado a data para esta última mudança, melhor prevenir do que remediar, certo?

 

Como adquirir um certificado SSL?

 

Existem duas opções, o certificado tradicional e pago, ou o certificado gratuito. O certificado pago pode ser adquirido através de diferentes entidades certificadoras tradicionais. A alternativa mais econômica e simples é  o certificado gratuito da Let’s Encrypt.

A Let’s Encrypt foi fundada em Abril de 2016, justamente com o objetivo de ajudar a tornar a internet mais segura. Seu certificado gratuito pode ser obtido rapidamente e renovado automaticamente, para utilização em qualquer website. Além disso, o certificado da Let’s Encrypt não necessita de um endereço IP dedicado para sua instalação, neste caso dependendo de ter a extensão SNI habilitada no servidor web em questão.

Ainda existem algumas limitações, comparado a outras certificadores, como a não possibilidade de emissão de certificados Wildcard e nem do tipo EV (Extended Validation SSL), que mostra a barra verde completa no navegador com informações específicas da empresa.
Apesar disso, atende muito bem aos requisitos de segurança para tornar o site mais seguro e ainda impacta positivamente o SEO.
Agora você não tem mais motivos para deixar de usar o HTTPS em seu site, está esperando o quê?

Agora na GoCache CDN o SSL gratuito automático pode ser usado em todos os planos!

/em

Quer usar um certificado SSL gratuito e rodar seu site em HTTPS?

 

ssl browser

O que é SSL e para que serve?

É uma tecnologia que criptografa a comunicação entre o usuário do site e o servidor onde o website está hospedado. Isso assegura a privacidade e integridade dos dados do usuário. Por este motivo seu uso é considerado obrigatório em sites de comércio eletrônico, por exemplo.

Seu site em HTTPS na GoCache

Agora todos os planos da GoCache CDN contemplam o usodo certificado da Let’s Encrypt. É um certificado gratuito, automatizado e aberto, sem nenhum custo adicional. Com isso os clientes GoCache ganham a oportunidade de economizar os custos de aquisição e manutenção de um certificado próprio. Além disso, o uso de SSL ajuda a melhorar a posição do website nos mecanismos de busca, conforme anunciado pelo Google.

Para entender como configurar no seu WordPress, por favor consulte o seguinte tutorial:

Tutorial de configuração

 

Já os usuários que não utilizam WordPress podem entrar em contato com nosso suporte – suporte@gocache.com.br – caso tenham dúvidas e teremos prazer em auxiliar com a configuração.

 

Se tiver alguma dúvida ou sugestão, por favor não hesite em falar conosco no contato@gocache.com.br .

 

Go faster. Go Cache.