J'ai lu en zigzag ce fil, mais je n'ai pas vu passer Vulture Project. C'est un WAF local (ou plutôt une surcouche) basé sur FreeBSD, Apache et Mod_Security. Il y a tout de même, si je ne m'abuse, des dépendances "cloud" dans le sens ou les listes de filtrage sont récupérées depuis l'OWASP ... Mais en cas de soucis, ça supprime juste le côté "automagique" sans trop être pénalisant (suffit juste d'adapter les regex contenues dans les fichiers).
Les devs sont français (Lille). Il y a quelques releases de temps en temps, le projet avance régulièrement. L'interface est assez propre, la documentation est relativement bien faite (mais mal indexée sur Google). Y'a du mongodb (pour la conf répliquée), du haproxy, du redis, du packetfilter, du elastic, bref, plein de technos géniales et jeunes. Ça gère la compression, les certificats, la haute dispo, le SSO, la répartition de charge nativement par exemple. Vulture a probablement des défauts, mais il peut faire le job suivant vos besoins. Il répondait vraiment à notre besoin quand nous avions creusé le sujet y'a ~2 ans. Je n'ai aucune expérience sur d'autres WAF, donc je ne sais pas si les autres sont mieux, pires, si Vulture est génial ou mauvais .... Il répond juste à ce que nous voulions :D Lien du produit : https://www.vultureproject.org/ Doc : https://www.vultureproject.org/doc/ Alexis Le 02/07/2019 à 17:21, Wallace a écrit : Pour avoir testé deux offres avec dépendances, j'ai vu les très gros inconvénients. Je peux citer : - le délai de traitement qui se rallonge de quelques minutes à quelques heures pour du traitement que j'aurais espéré pratiquement temps réel parce que l'infra cloud rame - la même lorsque bien sur un client est bloqué par le waf, qu'il faut aller éditer des règles de filtrage et que l'interface web / api ne fonctionne plus pour maintenance ou indisponibilité ... - dans une de nos solutions éprouvées, l'entreprise est tombée en silence radio du jour au lendemain, plus de news, plus personne joignable, problème l'intelligence du produit n'est pas chez nous, on est pas autonome si la partie cloud s'arrête en cas de faillite ou autre. Il en va de même pour une entreprise qui déciderait de changer brutalement le mode économique - le fait que pour gérer des règles, des configurations il faille passer par une interface web ou api alors qu'on sait très bien gérer des configurations en fichier ou BD à partir d'outils d'infras as a code. Coder tous les 4 matins des interfaces API ça nous botte pas surtout quand elles changent sans prévenir. - avoir des limites dans les possibilités de réglage parce que l'interface ne l'a pas encore prévu ou que c'est by design, en full local s'il faut monter un contournement on est autonome pour le faire et régler comme on le souhaite C'est pour cela que nous nous orientons doucement vers modsecurity / naxsi où l'on aura pleine maitrise des réglages, néanmoins je ne suis pas fermé à découvrir d'autres produits. On ne cherche pas de l'open source à tout prix, seulement d'avoir une solution autonome et ne pas dépendre de tiers, donc des logiciels sous Linux avec licence oui c'est possible. Le 02/07/2019 à 15:48, Stephane Pham a écrit : hey, Le on prem sans dépendance dans le "cloud" est vraiment un pré-requis ? Le lun. 1 juil. 2019 à 16:08, Laurent-Charles Fabre <lc.fa...@gmail.com<mailto:lc.fa...@gmail.com>> a écrit : Bonjour, nous pour les clients Denyall qui a fusionné avec beware et qui maintenant ça s’appelle Rohde &Schwarz Directeur technique disponible pour causer appliance ou vm modèle commercial adaptable pour les hébergeurs. Accessoirement, c’est béni par l'ANSSI Laurent-Charles Fabre > Le 1 juil. 2019 à 08:32, Ludovic RAMOSFILIPE > <l.ra...@sct-telecom.fr<mailto:l.ra...@sct-telecom.fr>> a écrit : > > Salut, > > Sinon il y a aussi fortinet fortiweb > > Le dim. 30 juin 2019 à 18:30, Alexandre DERUMIER > <aderum...@odiso.com<mailto:aderum...@odiso.com>> a > écrit : > >> Wallarm ca marche pas mal en effet, par contre c'est hors de prix. >> >> et pour avoir négocier avec leur commerciaux, c'est vraiment pas le genre >> de démarche commerciale que j'aime. >> (tarif non public, à la tete du client, tu fais le mort , bam t'as une >> ristourne de 50%) >> >> Enfin bref... >> >> >> >> >> Perso, j'utilise pour mes clients >> >> https://bitninja.io/ (entre 10-40€ par mois/par serveur. ca dépend du >> nombre d'utilisateur sur le serveur. (uid>1000) >> >> >> ca fait en autre waf (basé sur modsecurity), mais le plus interessant >> c'est la réputation d'ip collaborative (whitelist/greylist + captcha). >> >> j'avais testé justement avec wallarm derriere, il me restait quelques >> injections sql qui passait encore derrière, on va dire 1% avec dedans pas >> mal de faux positif. >> >> >> >> sinon j'attend avec impatience la sortie de darwin du projet vulture, qui >> sera un waf machine learning intégré à haproxy. >> https://2018.pass-the-salt.org/files/talks/13-vulture.pdf >> >> >> >> ----- Mail original ----- >> De: "Wallace" <wall...@morkitu.org<mailto:wall...@morkitu.org>> >> À: "frnog-tech" <frnog-t...@frnog.org<mailto:frnog-t...@frnog.org>> >> Envoyé: Jeudi 27 Juin 2019 13:00:40 >> Objet: [FRnOG] [TECH] solution WAF >> >> >> >> Bonjour à tous, >> >> On exploite du WAF en amont de certains clients, on est passé par les >> étapes Naxsi, IngenSec (qui a fermé), Wallarm. >> >> On est assez content de Wallarm même s'il reste des améliorations à faire >> et que techniquement on est pas fan d'une partie on premise avec une >> dépendance dans le cloud que l'on ne maitrise pas. Par contre leur modèle >> commercial n'est pas adapté à ce que l'on désire mettre en place se basant >> sur un coût par host au lieu d'un coût par domaine / site ou hits. >> >> Du coup qu'avez-vous testé et éprouvé en solutions WAF on premise tournant >> sous Linux? >> >> >> Merci par avance. >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > -- > > > > > > > > Ludovic Ramos | Responsable VOIP > > | *SCT TELECOM *| La plaine saint denis > | phone: 0 <892020220>892020220 > | email: l.ra...@sct-telecom.fr<mailto:l.ra...@sct-telecom.fr> > | site: www.sct-telecom.fr<http://www.sct-telecom.fr> > | skype: ludovic.ramos95 > | address: 17-19 avenue de la metallurgie > <https://fr-fr.facebook.com/scttelecom/> <https://twitter.com/SCT_Telecom_> > <https://www.youtube.com/channel/UCq3sTrWumacQq1Dh20Ix80Q> > <https://mysignature.io/preview/www.sct-telecom.fr> > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
