Performance
Modsecurity verringert je nach Umfang des Regelwerks die Auslieferungsraten des Webservers spürbar. Wie stark die Leistung sinkt, zeigt ein Test mit »ab«. Das Benchmark-Programm gehört zum Apache-Paket. Aufgerufen wurde das Tool mit den Parametern »time ab -n 500 -c 30 http://server/phbBB2/index.php«. Auf einem Rechner mit einer Intel-mobile-CPU Pentium 4 (1,8 GHz) benötigt Apache 2.0.55-4 ohne aktives Modsecurity etwa 55 Sekunden, um alle Anfragen des Benchmarks zu beantworten.
Wurde Modsecurity mit der Grundkonfiguration nach Listing 2 aktiviert, verringert sich die Geschwindigkeit lediglich um etwa zwei Prozent. Kam dagegen das Regelwerk »modsecurity-general« des Modsecurity-Rules-Projekts [6] zum Einsatz, benötigte der Webserver etwa 15 bis 20 Prozent mehr Zeit, um die Seiten auszuliefern.
Die Administratoren stark frequentierter Webserver sollten daher auf jeden Fall darauf achten, das Rule-Set möglichst schlank zu halten, um größeren Performance-Einbußen vorzubeugen. Neben der Anzahl ist die Komplexität der eingesetzten Regeln ein weiteres Kriterium. Kommen zum Beispiel häufig Filter mit regulären Ausdrücken zum Einsatz, benötigt das Regelwerk deutlich mehr Rechenleistung als bei einfachen Vergleichsoperationen. Allgemein gilt: Je genauer das Regelwerk auf das zu filternde Szenario abgestimmt ist, desto weniger Rechenlast erzeugt es.
Da Apache 1 nicht wie Apache 2 über die Engine »PCRE regexp engine« verfügt, liegt die Rechenlast bei Version 1 etwas höher. Ist der Webserver massiven Angriffen ausgesetzt, kann ein gut abgestimmtes Modsecurity-Regelwerk die Performance des Webservers mitunter sogar erhöhen, da die Anfragen die Skripte nicht mehr erreichen.
Wie bei allen regelbasierten Sicherheits-Applikationen hängt der potenzielle Sicherheitsgewinn maßgeblich vom verwendeten Rule-Set ab. Das heißt: Jede Attacke, die nicht explizit von einer Regel abgefangen wird, schlägt durch.
Fazit
Als zusätzliche Barriere gegen Angriffe auf Webapplikationen bietet Modsecurity umfangreiche Schutzmechanismen. Deren Effektivität hängt jedoch, wie bei allen regelbasierten Schutzprogrammen, in erster Linie von der Konfiguration des Rule-Set ab. Bei einer optimalen Abstimmung ist das Modul in der Lage, die meisten Angriffe gegen Webserver und die darauf gehosteten Webapplikationen abzufangen.
Eine unbedachte Konfiguration birgt jedoch neben dem Risiko offener Sicherheitslücken die Gefahr, dass legitimer Inhalt ebenfalls gefiltert wird. Daher ist vor dem Erstellen der Filterregeln deren Notwendigkeit genau abzuwägen. (tle)
| Whitepaper |
|---|
|
Open Source Datenintegration in der Praxis: Fallstudien und Anwendungsbeispiele (Folge 2)
Der zweite Teil des Open Source Datenintegration in der Praxis: Fallstudien und Anwendungsbeispiele White Papers beleuchtet anhand weiterer ausgewählter Case Studies die Implementierung von Open Source Datenintegration in der Praxis und benennt die daraus resultierenden Vorteile.
Download PDF (Registrierung erforderlich)
|
|
Usage Landscape Enterprise Open Source Data Integration
Die Nachfrage nach Datenintegrationslösungen für Unternehmen ist zunehmend gestiegen und vor allem das Interesse an Open Source Technologien wird immer größer. Doch wie und von wem werden Open Source Datenintegrationslösungen genutzt und welches Nutzungsverhalten lässt sich daraus ableiten? Das vorliegende White Paper präsentiert die Erfahrungswerte von über 1000 Open Source Nutzern und liefert fundierte Antworten auf diese Fragen.
Download PDF (Registrierung erforderlich)
|
Dieser Online-Artikel kann Links enthalten, die auf nicht mehr vorhandene Seiten verweisen. Wir ändern solche "broken links"
nur in wenigen Ausnahmefällen. Der Online-Artikel soll möglichst unverändert der gedrucken Fassung entsprechen.
|
