Hallo

Ich suche eine Art "Softwareschutz Schutz" für Webanwendungen, v.a. Tomcat

Die Tomcat-Anwendungen sind eher mit "fachlichen Fokus" entwickelt als mit maximaler IT-Sicherheit.

Updates für Tomcat und Co werden nicht so oft eingespielt.

Ich möchte da eine Art "Bremse für Script-Kiddies", also eine Art Proxy, ReverseProxy oder sowas.

Es geht erstmal nur um drei Server in der DMZ, so etwa "veranstaltungskalender.firma.de" und "Broschuerenbestellung.firma.de"

Was habt ihr ausgewertet oder sogar im Einsatz?

Ciao

Gegenfrage: wenn es schon eine DMZ gibt, gibt es ja wohl auch eine halbwegs anständige Firewall, richtig? Falls ja, was für eine ist das? Viele Firewalls haben auch Reverse Proxy-Funktionen, die aber nicht immer so heißen, bei Sophos UTM heißt das z.B. Webserver Protection, das sind aber meistens separat zu lizenzierende Komponenten, falls nicht eine Lizenz mit allen Komponenten gekauft wurde.

In der Firma gibt es eine Sophos, aber eben nur eine, in der Produktivumgebung,

ich hab aber gern was in meiner Testumgebung.

vor 2 Stunden schrieb weri:

In der Firma gibt es eine Sophos, aber eben nur eine, in der Produktivumgebung,

ich hab aber gern was in meiner Testumgebung.

Ist deine Testumgebung denn komplett (pysikalisch) von der Produktivumgebung getrennt?

Falls nein, wovon ich ausgehe wenn du nicht in einem Großkonzern arbeitest, kannst du nicht eine eigene, weitere DMZ für deine Testserver hinstellen und dich an die produktive FW hängen?

Wenn deine Testumgenung keine dedizierte Internetanbindung hat musst du das doch eh tun?

vor 22 Stunden schrieb weri:

Ich möchte da eine Art "Bremse für Script-Kiddies", also eine Art Proxy, ReverseProxy oder sowas.

Solange die Webanwendung nicht sicher ist, wirst du damit keinen Erfolg haben. Zum Beispiel wenn Formulareingaben nicht geprüft werden und somit SQL-Injections möglich sind oder Cross-Site-Scripting ermöglicht wird, hilft dir auch alles drumrum erst mal nichts.