CloudFlare vs Incapsula vs ModSecurity. Analisi comparativa su quale scegliere e perchè.

Tutti amano le comparazioni non è vero? Ancora di più se a confronto ci sono CloudFlare vs Incapsula vs ModSecurity, 3 nomi che conosci sicuramente, messi a dura prova da Zero Science Lab, un team di ricercatori macedoni, attivi nel campo della sicurezza informatica e della ricerca di vulnerabilità all’interno dei software. Se hai sempre desiderato una comparazione tra CloudFlare, Incapsula e ModSecurity è arrivato il momento di leggere con attenzione questo post.

CloudFlare, Incapsula e ModSecurity sono tre prodotti completamente differenti. Dico quasi perchè visto dall’esterno ModSecurity ad esempio non ha nulla da spartire con CloudFlare ed Incapsula, data la sua natura di WAF puro. Cos’è un WAF? La nocciola non c’entra nulla, e neanche i wafer. Un WAF è un acronimo che sta per Web Application Firewall, un software che ha il compito di fare Virtual Patching. Quanti paroloni! Ma cercherò di rendere la cosa più semplice anche per i novizi.

WAF e Virtual Patching

Hai presente le patch? Le pezze, quelle che devi applicare ad un software di tanto in tanto. Ci sono patch per WordPress, ci sono patch per Joomla. Le patch chiudono dei buchi, delle debolezze del codice che possono essere sfruttate per danneggiare un sito web. Il patching classico prevede che il produttore rilasci un aggiornamento del codice che tu dovrai applicare sul tuo sito web. Non sempre questi aggiornamenti però vengono rilasciati con tempestività. Dalla scoperta di una vulnerabilità fino al rilascio della patch potrebbero passare svariate settimane, se non mesi. Questo a causa delle tempistiche che ha ogni rilascio del codice. Oppure in quel momento potresti trovarti nella situazione di non poter aggiornare il sito perchè il codice è troppo personalizzato e rischieresti di rompere qualcosa. Il virtual patching invece permette di mettere una “pezza sulla pezza”. Il virtual patching è una patch virtuale che può essere applicata ad uno strato diverso da quello su cui vive il codice.

ModSecurity è un firewall per applicazioni web che opera a livello HTTP e fa un lavoro di patching virtuale, bloccando le minacce prima che raggiungano il codice vulnerabile.

In tutto questo CloudFlare e Incapsula si differenziano da ModSecurity perchè oltre alla funzione di WAF includono anche e soprattutto delle funzioni per velocizzare i siti web che fanno uso di essi. Si parla e si scrive veramente tanto di CloudFlare e Incapsula ma i dati ed i vantaggi reali sono ancora abbastanza nebulosi e si va quasi sempre per sentito dire. Zero Science Lab ha voluto fare un pò di luce sull’efficacia e sull’utilità di CloudFlare, Incapsula e ModSecurity svelando alcuni dettagli che ti lasceranno sicuramente molto sorpreso. Posso comunque anticiparti che CloudFlare esce come sconfitto illustre nel confronto con Incapsula e ModSecurity.

Zero Science Lab ha messo a confronto i piani più costosi: la versione Business di CloudFlare (200 dollari al mese!), la versione Business di Incapsula (59 dollari al mese). ModSecurity invece è free, distribuito gratuitamente. L’azienda che lo sviluppa, TrustWave Lab offre comunque delle regole commerciali a pagamento. Le regole sono in parole povere lo scheletro di funzionamento di ModSecurity. Per ogni minaccia esiste una regola che se fatta scattare blocca l’attacco. Un insieme di regole gratuite sono liberamente disponibili per il download.

CloudFlare vs Incapsula vs ModSecurity: l’installazione

Nel report di Zero Science Lab il confronto tra i prodotti inizia con una panoramica sulle modalità di installazione.
Posso dirti che sia Incapsula, sia CloudFlare non richiedono un intervento fisico sul server, nè sul sito web. L’attivazione di questi prodotti avviene quasi esclusivamente via browser. L’azione richiesta è la modifica dei record DNS ed NS del sito web che stai per proteggere, in modalità leggermente differenti per Incapsula e CloudFlare, ma abbastanza simili.

L’installazione di ModSecurity richiede invece un intervento fisico sul server all’interno del quale deve essere attivato. L’ultima installazione di cui mi sono occupato ad esempio è stata per un cliente con grossi problemi su Joomla. Tra vecchie versioni e l’impossibilità di aggiornare in tempi brevi l’unica alternativa tra deface e problemi continui è stata quella di installare ModSecurity.
Il setup di Mod Security non è alla portata di tutti e richiede delle competenze specifiche, soprattutto nella gestione delle regole. Un WAF configurato male è quasi come non averlo mai installato.

CloudFlare vs Incapsula vs ModSecurity:  l’efficacia

Qui iniziano le vere sorprese. Credo che un’immagine in questo caso possa valere più di mille considerazioni:

cloudflare-incapsula-modsecurity

Efficacia di CloudFlare come WAF : QUASI NULLA
Efficacia di Mod Security come WAF: OTTIMA
Efficacia di Incapsula come WAF: OTTIMA

Veniamo ai numeri.

Su 54 iniezioni SQL CloudFlare ne blocca 0. Incapsula ne blocca 53, ModSecurity ne blocca 54.
Su 46 attacchi XSS CloudFlare ne blocca 0. Incapsula ne blocca 43, ModSecurity ne blocca 46.
Su 23 attacchi LFI/RFI CloudFlare ne blocca 0. Incapsula ne blocca 19, ModSecurity ne blocca 21.

I numeri parlano da soli ! Zero Science dice a riguardo che “Though CloudFlare is presented as, besides other things, a very proficient web application firewall, we concluded that’s just a marketing sales point and nothing more“. Nonostante CloudFlare venga presentato tra le altre cose come un buon WAF, nella realtà si tratta solo di una trovata pubblicitaria e nient’altro.

Tra l’altro per quanto riguarda gli attacchi di test andati a buon fine a causa di alcuni difetti nelle regole anti intrusione, sia ModSecurity che Incapsula hanno risposto prontamente rilasciando degli aggiustamenti al codice delle rules. Nessun commento invece (almeno così mi sembra) da parte di CloudFlare.

Ci tengo a ribadire che CloudFlare, Incapsula e ModSecurity sono tre software molto diversi l’uno dall’altro. La principale caratteristica in comune è la funzione di WAF, web application firewall. A giudicare dai risultati del confronto ModSecurity non ha rivali.
CloudFlare e Incapsula si distinguono rispetto a ModSecurity per le funzionalità avanzate di acceleratore per siti web e di protezione contro gli attacchi DoS e DDOS. Nel confronto questi aspetti specifici non sono stati presi in considerazione ma posso assicurarti che per quanto riguarda l’accelerazione dei siti web sia Incapsula che CloudFlare svolgono un ottimo lavoro. Per quanto riguarda la capacità di difesa contro gli attacchi DoS l’efficacia è buona. Ti ricordo inoltre che Mod Security non ha compiti di accelerazione web, nè funzioni di difesa contro i DoS e DDOS.

CloudFlare vs Incapsula vs ModSecurity: configurazione ed opzioni

Incapsula offre una gestione più approfondita rispetto a CloudFlare mentre Mod Security non ha un pannello di controllo. Per quest’ultimo infatti la possibilità di intervenire sulle regole e sui registri è limitata alla sola interfaccia da console, via SSH (tranne ovviamente per le soluzioni a pagamento come ASL).

CloudFlare viene criticato dai più esperti per le scarse informazioni che il prodotto fornisce al cliente: poche info sulle minacce bloccate. Forse alla luce di questo pentesting risulta un pò più chiaro il perchè.

Incapsula invece offre buone possibilità di controllo delle regole di sicurezza, notifiche per le allerte di attacco ed uno storico dettagliato.

CloudFlare vs Incapsula vs ModSecurity: il responso

Il responso di questo pentesting vede fallire clamorosamente CloudFlare, almeno sotto il punto di vista dell’application firewall.
Incapsula si difende bene ma per scelta della compagnia le regole che dovrebbero bloccare gli attacchi sono volutamente non troppo aggressive per poter bilanciare la sicurezza con l’usabilità. Uno dei problemi maggiori dei WAF infatti sono i falsi positivi. Quei blocchi cioè che fermano anche le richieste HTTP lecite. ModSecurity sotto questo punto di vista è abbastanza aggressivo e questo forse è il suo unico difetto.

Conclusioni

E’ veramente molto difficile comparare. E chiunque potrà sollevare un’eccezione appellandosi al fatto che non è possibile mettere a confronto dei prodotti che sono molto differenti l’uno dall’altro. In questo caso però credo che il lavoro di Zero Science sia stato encomiabile, se non altro perchè sono state messe in luce delle (presunte) gravi carenze su un prodotto come CloudFlare che fa dell’application firewall uno dei suoi cavalli di battaglia. Le risposte al come ed al se queste mancanze siano reali o meno viene a mio parere proprio dal fatto che sia Incapsula sia ModSecurity hanno preparato degli aggiustamenti per quelle regole di sicurezza che durante il pentesting non hanno funzionato. Sarebbe stato interessante conoscere la replica di CloudFlare al whitepaper di Zero Science.

Per il momento alla luce delle analisi di Zero Science la realtà è una sola: se stai cercando un WAF non scegliere CloudFlare.

Riferimenti: CloudFlare Versus Incapsula Versus ModSecurity:

http://packetstormsecurity.com/files/120407/wafreport2013.pdf