Vous hébergez des applications Web et votre défense se limite à un coupe-feu réseau. Cependant, une grande partie des attaques sont menées directement via le protocole HTTP et l’utilisation d’un coupe-feu traditionnel s’avère inutile.
Le coupe-feu applicatif Web (Web Application Firewall, WAF) se veut une solution à cette problématique. La présentation, basée sur mon expérience des dernières années, fait le point sur les diverses utilités de cette technologie :
Les choix d’implémentations. Les diverses modes de fonctionnements. L’importance et le choix des types de règles à implémenter. Rapports et collection des alertes. Méthodologie de développement de règles. Bonus: Contournement de règles et exceptions.
Le logiciel Open Source ModSecurity sera utilisé comme exemple ainsi que les règles OWASP CRS. D’autres règles conçues pour la présentation seront aussi présentées dans le but de démontrer une utilisation sur mesure du WAF.
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
1. Les utilités d'un
coupe-feu applicatif Web
Jonathan Marcil
OWASP Montréal #ASFWS
Canada
Application Security Forum - 2012
Western Switzerland
7-8 novembre 2012 - Y-Parc / Yverdon-les-Bains
https://www.appsec-forum.ch
8. 8
Philosophies
Boîte noire et espérance
À conseiller pour surveillance
Boîte blanche et personnalisation
À conseiller pour protection
9. 9
Types de règles
Surveillance (watchlist)
Liste blanche (whitelist)
Liste noire (blacklist)
Exceptions surveillées (bypass)
À ignorer (ignorelist)
Expérience utilisateur (UX)
10. 10
Alertes et rapports
Importance pour la sécurité
Importance pour la fonctionnalité
Console centrale vs. journaux
11. 11
Méthodologie de
développement de règles
Focus sur liste noire
Audit d’applications ou collectes des failles connues
Création des règles pour corriger les failles
Tests en mode surveillance
Vérification des alertes
Pour ne pas impacter la production
Passage en mode protection
Suivis
Des alertes pour suivre les changements imprévus la production et les
attaques
Des changements pour mises à jour itératives des règles
12. 12
Méthodologie de
développement de règles
Focus sur liste blanche
Collection et analyse trafic légitime
Création des règles
À partir du trafic (profil des applications)
Tests en mode surveillance
Vérification des alertes
Pour ne pas impacter la production
Passage en mode protection
Suivis
Des alertes pour suivre les changements imprévus la production, les
anomalies et attaques
Des changements pour mises à jour itératives des règles
13. 13
Conclusions
Autres utilités que la sécurité
Fonctionnalités (UX)
Détection d’anomalies (QA)
Traces en profondeur (DEBUG)
Attention au contournement des règles
Corriger vos applications si possible