Bonjour,
Si non, alors il faut se borner aux attaques connues, et dans ce cas tu
as le choix en open source (mod_sec, varnish, nginx avec son waf....)
ou en commercial (fortiweb, a10?, f5 avec ltm+asm)
Petite rectification :
le WAF de Nginx (NAXSI) ne se base pas sur un mode de blocage utilisant
une base de signature, mais fonctionne plutôt comme un filtre bayésien :
chaque requête GET/POST obtient une note basé sur l'analyse du contenu
de celles-ci : si il trouve trop de caractères spéciaux (type : '<') ou
mot clé ('drop'), la requête est bloquée.
Par défaut, NAXSI bloque toutes les requêtes suspectes. A l'admin
ensuite de configurer une liste blanche pour le site protégé. (liste
blanche créé via un script fourni avec NAXSI).
Pour donner un exemple de site régulièrement attaqué, le site web de
Charlie Hebdo est protégé par NAXSI depuis plusieurs années...
La bonne question a se poser : as tu le temps de gérer un waf ? Genre
est ce que tu maitrises l'appli, ses requêtes et ses variables.
C'est tout le problème des WAF : son coût ne se mesure pas seulement au
prix de la solution choisie mais surtout au temps consacré à son
suivi...
---
Samuel PIRON
Le 01/05/2015 01:43, Fabien V. a écrit :
Le 30 avril 2015 16:23:27 CEST, Samuel PIRON <piron.sam...@neoxis.eu> a
écrit : Pour rester sur le coté 'Open-source', il y a le module WAF
NAXSI qui
s'ajoute sur Nginx qui marche pas mal (et c'est codé par une boite
française !) -> https://github.com/nbs-system/naxsi [1]
Sinon, dans le domaine des appliances, j'avais eu l'occasion de voir du
F5 fonctionner. ça avait l'air de bien marcher, mais le prix picote un
peu...
---
Samuel PIRON
Le 30/04/2015 15:20, Fabrice Vincent a écrit :
Autant pour moi !
J'avais souvenir d'un config varnish+ModSecurity
(http://en.wikipedia.org/wiki/ModSecurity [2] [1 [2]]) mais en fait
c'est
plutot sur Apache ou nginx que ça s'installe.
J'ai bien trouvé
https://github.com/comotion/VSF#varnish-security-firewall [3] [2 [3]]
mais
est-ce un projet pérenne ???
Bon, bref, pardon pour le bruit. Je sors ->
Le 30/04/2015 14:20, Guillaume Tournat a écrit : C'est un reverse
proxy et non un WAF.
Donc aucune sécu comme un Apache ou un Squid ou un Nginx.
Le 30 avr. 2015 à 13:39, Fabrice Vincent
<f.vinc...@allibert-trekking.com> a écrit :
C'est encore moi! ;)
Pour en revenir à ta demande initiale, pourquoi pas un varnish (ou un
cluster haproxy/varnish) ?
Fabrice
Le 30/04/2015 12:09, Richard Paré a écrit : Bonjour,
Je cherche un appliance de sécurité pour protéger un site Web de la
manière
suivante :
- Le site Web fonctionne en HTTP
- L'appliance de sécurité fait office de reverse Proxy avec d'un côté,
des
communications chiffrées HTTPS avec les clients et de l'autre des
communications en clair HTTP avec le serveur Web
- Une inspection de paquets est effectuée et des blocages ont lieux
sur le
trafic suspect (IPS)
J'ai essayé d'utiliser un Stormshield mais sans succès.
Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les
communications SSL.
Avez vous une suggestion ? (mis à part un Apache avec mod_security ou
autre).
Merci.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/ [4] [3 [4]]
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/ [4] [3 [4]]
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/ [4] [3 [4]]
Links:
------
[1] http://en.wikipedia.org/wiki/ModSecurity [2]
[2] https://github.com/comotion/VSF#varnish-security-firewall [3]
[3] http://www.frnog.org/ [4]
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/ [4]
La bonne question a se poser : as tu le temps de gérer un waf ? Genre
est ce que tu maitrises l'appli, ses requêtes et ses variables.
Si oui, alors il y a des reverse proxy sympa comme beeware et son
acolyte dont j'ai oublié le nom a cette heure..., avec coupure SSL.
Si non, alors il faut se borner aux attaques connues, et dans ce cas tu
as le choix en open source (mod_sec, varnish, nginx avec son waf....) ou
en commercial (fortiweb, a10?, f5 avec ltm+asm)
De ton budget et de ta maîtrise de l'application dépendra ton besoin.
Ne pas oublier de te donner un TPS pour sélectionner ton produit.
F5 fait ça a merveille (et même le café), mais ça dépend du budget
(pique aux fesses), de la scalabilite et du niveau de secu recherché
....
Équation difficile a résoudre avec le peu de variables données ici.....
Links:
------
[1] https://github.com/nbs-system/naxsi
[2] http://en.wikipedia.org/wiki/ModSecurity
[3] https://github.com/comotion/VSF#varnish-security-firewall
[4] http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
