Les sites et applications web sont l’une des portes d’entrée principales vers votre Système d’Information. Cependant, leur sécurité est trop souvent négligée : manque de mise à jour des logiciels applicatifs, mauvais contrôles des accès… Une solution simple existe pour vous protéger contre une grande partie des attaques web : le pare-feu applicatif comme WAF Naxsi, qui bloque les attaques en temps réel avant qu’elles n’atteignent votre serveur.
Sécurité des applications web et performances
Si la sécurité de votre site web est primordiale, elle ne doit pas être mise en place au détriment de sa performance, afin de ne pas impacter votre activité. Le firewall applicatif NAXSI permet d’atteindre ce résultat !
Pare-feu applicatif : pourquoi ?
En pénétrant sur votre architecture web, un pirate peut modifier le contenu de votre site, voler les données de vos clients ou vos secrets de fabrication, exploiter vos ressources pour mener des attaques informatiques contre des tiers et vous faire porter le chapeau… Les impacts d’une compromission peuvent être nombreux, et surtout visibles. En outre, un accès à votre serveur web peut souvent servir de point intermédiaire pour atteindre votre Système d’Information dans son ensemble, et accéder aux données personnelles de vos collaborateurs, à des documents internes confidentiels…
Il est donc essentiel pour votre activité de protéger efficacement vos serveurs web. L’utilisation du protocole HTTPS, qui permet de chiffrer les échanges avec vos clients, ne suffit pas, puisqu’il ne permet pas de contrôler le contenu de ces échanges ! En effet, les sites et applications web présentent une surface d’exploitation facilement accessible, trop souvent minée de vulnérabilités oubliées, non corrigées… ou pas encore découvertes !
Les pare-feux applicatifs permet de limiter ces risques : c’est une solution logicielle placée en amont d’un site ou application web, qui analyse les échanges entre vos internautes et votre serveur et bloque les requêtes dangereuses avant qu’elles ne soient exécutées par ce dernier. Cet outil de sécurité permet de vous protéger contre les principales attaques web connues, comme celles renseignées dans le Top 10 de l’OWASP, une organisation mondiale à but non lucratif.
Firewall applicatif web : NAXSI, la protection sans perte de performance
La majorité des solutions de firewall applicatif connues fonctionne en liste noire, à la manière d’un antivirus : ces protections bloquent les requêtes qu’elles reconnaissent comme malicieuses grâce à des « signatures », des chaînes de caractères nécessaires à la réussite de tel ou tel type d’attaque et identifiées comme telles. Les autres requêtes, elles, sont transmises à votre serveur web pour être traitées. Le risque avec ce fonctionnement, c’est de laisser passer les attaques dont la signature n’a pas encore été identifiée : qu’elles soient émergentes, masquées, ou que leur signature ait simplement été changée. Cela implique également que les règles de filtrage applicatif web doivent être mises à jour régulièrement, pour y inclure les signatures de nouvelles attaques.
NAXSI répond à ce problème grâce à son fonctionnement en liste blanche. Il bloque l’ensemble des requêtes par défaut, et ne laisse passer à votre serveur que celles qu’il sait être légitimes. Pour éviter les faux positifs, et donc ne pas bloquer de requêtes qui devraient être autorisées, NAXSI s’appuie sur un module d’auto-apprentissage. Ce dernier permet de créer des règles de filtrage spécifiques à votre application : vous bénéficiez d’une protection vraiment adaptée à votre activité.
NAXSI permet également de mettre en place du virtual patching. Cette technique consiste à protéger vos serveurs web d’une vulnérabilité spécifique, sans avoir besoin de toucher à votre code ou de mettre à jour votre application. Pour cela, il suffit de créer des règles de filtrage, adaptées à la vulnérabilité souhaitée, au niveau de NAXSI : toute tentative d’exploitation de la vulnérabilité informatique sera alors bloquée. Attention, cela ne doit pas vous empêcher de mettre à jour vos logiciels, mais c’est un moyen de protéger votre plateforme dans l’attente de cette mise à jour.
Enfin, NAXSI a été pensé pour des environnements de production : il ne cause presque aucune perte de performance, et ne requiert aucune mise à jour nécessitant de coupure de votre plateforme.
Comment le pare-feu applicatif NAXSI fonctionne ?
NAXSI est un outil de sécurité web open source développé par l’équipe sécurité du groupe Oceanet Technology. Ce pare-feu applicatif est un module du logiciel de reverse proxy NGINX. Vous pouvez le télécharger sur la page Github NAXSI et l’installer sur votre architecture. Si vous êtes déjà client de Oceanet Technology, nous pouvons l’installer, le configurer et le maintenir pour vous.
Avant de mettre NAXSI en production, vous pouvez passer par une phase d’apprentissage initial : c’est particulièrement sur ce point que nos équipes vous accompagnent. Le module d’apprentissage passe un certain temps à analyser les requêtes passant par vos serveurs, sans prendre aucune action. A la fin de cette phase d’étude, il produit pour vous une liste blanche, répertoriant tous les comportements que NAXSI considère comme douteux, mais qui semblent être légitimes dans le fonctionnement de votre application. Cela peut concerner des comportements observés chez plus de 20% de vos internautes, ou bien des requêtes spécifiques à des applications tierces, comme les cookies de Google Analytics par exemple. Une assistance humaine est ici nécessaire pour valider la configuration de l’outil avant de le lancer en production.
Une fois NAXSI lancé, ce firewall applicatif analyse toutes les requêtes (validation d’un formulaire, accès à une nouvelle page…) qui sont envoyées depuis le navigateur web de vos internautes vers votre serveur web. Chacune de ces requêtes se voit attribuer un score : en dessous d’un certain seuil, la requête sera acceptée, et au-dessus elle sera bloquée.
Pour attribuer un score, plutôt que de comparer le contenu de la requête avec de nombreuses chaînes de caractère correspondant à des signatures d’attaques (fonctionnement en liste noire), NAXSI y mesure le nombre d’occurrences de caractères douteux. Ce sont les parenthèses, chevrons, apostrophes, crochets… souvent utilisés lors d’attaques web. C’est ce qui fait de NAXSI un WAF très facile à maintenir (peu de maintien de règles) et aux excellentes performances (temps d’analyse court).
Ainsi, plus la requête contient de caractères douteux, plus son score sera élevé. En fonction de ce score, vous pouvez déterminer différentes actions à prendre selon les enjeux pesant sur votre activité : blocage, alerte, autorisation de la requête, etc. Avant tout blocage cependant, WAF NAXSI vérifie si la requête correspond à un cas de la liste blanche obtenue suite à la phase d’apprentissage initiale. Si c’est le cas, elle est autorisée à passer vers votre serveur, car elle est légitime dans votre contexte.
Autre avantage : vous pouvez voir, en temps réel, les attaques bloquées par NAXSI grâce à une console visuelle !
Quand utiliser le WAF NAXSI ?
WAF NAXSI n’est efficace que quand il est en marche, puisque ce WAF a pour objectif d’analyser et de filtrer votre trafic en temps réel. Une fois la phase d’apprentissage réalisée, nous vous conseillons de le maintenir en production à tout moment pour ne pas risquer d’attaque inutile.
Faites installer NAXSI sur votre infrastructure et montez en sécurité !
Il parle de WAF NAXSI
La sécurité est devenue un incontournable de toutes propositions d’architecture technique.
Le WAF fait beaucoup parler de lui ces dernières années, mais sans pour autant s’imposer encore massivement dans les grosses sociétés. Et pourtant c’est un premier rempart efficace contre les attaques extérieures via du code malveillant.
Lorsque j’ai voulu construire mon propre site Internet pour ma société, que j’héberge sur mes propres serveurs. J’ai été confronté aux mêmes problématiques de sécurité que n’importe quelles sociétés exposées sur INTERNET.
Après plusieurs recherches et POC de produit du marché sur le sujet. Mon choix s’est porté sur le WAF NAXSI. Ayant fait le choix préalable, pour des raisons de performances, d’un reverse proxy NGINX. L’intégration de NAXSI à ce dernier se fait de manière tout à fait simpliste et compréhensible.
Le mode de fonctionnement et de paramétrage se fait de manière très naturelle. Des outils tiers sont disponibles (de la même solution) pour vous aider à personnaliser vos whitelists.
Enfin son mode d’apprentissage permet une intégration et une mise en production progressive.
Le time du market est donc très rapide de ce côté-là.
J’ai pu faire faire des pentests par la suite et je suis plus que satisfait du résultat.
En résumé :
NAXSI : rapide d’implémentation, performant (prend peu de ressources), dispose d’outils d’aide au paramétrage, mode d’apprentissage non intrusif, et est bougrement efficace.
V.Autheville
Architecte Technique Infrastructure
