Olá a todos,
Quero saber a opinião de vocês sobre proteger serviços de VPN SSL colocando-os atrás de um WAF. Isso é uma prática comum ou talvez algo que não seja recomendado de forma alguma?
Sou um pouco novato em aplicações web, especialmente em WAF, e por isso minha mente simples acha que colocar qualquer coisa semelhante a SSL atrás de um WAF aumentaria sua postura de segurança.
Por favor, compartilhem suas opiniões.
Obrigado,
Lasse
As páginas de login, sim, claro, você poderia colocá-las atrás de um WAF e talvez obter algum valor. No entanto, a maior parte do tráfego que passa por uma VPN SSL não é HTTP, portanto o WAF não trará benefício algum. A maioria das VPNs SSL usam UDP e DTLS, para os quais um WAF não pode fazer nada.
De modo geral, sua VPN SSL deve ser um serviço de segurança já bastante endurecido e protegido contra a maioria das ameaças que um WAF ajudaria a mitigar, muito mais do que a maioria das aplicações. O tempo e esforço para implantar o WAF seriam melhor utilizados em colocá-lo na frente de tudo antes de pensar na VPN SSL.
No caso da F5, o APM está na cadeia HUD antes do ASM/AWAF, então por padrão você não consegue proteger a VPN SSL com ASM/AWAF. É necessário usar uma solução de VIP direcionado a VIP para colocar o ASM/AWAF na frente do APM. Veja: myF5