NAXSI : un pare-feu applicatif pour Nginx

 

NAXSI est un outil de sécurité informatique libre permettant d’analyser, de filtrer et donc de sécuriser le trafic entrant sur votre site web. NAXSI est un pare-feu applicatif (ou firewall applicatif) vous protège contre les attaques informatiques les plus répandues sur le web, en repérant les comportements douteux et en les bloquant en temps réel. Il est installé par défaut chez nos clients ayant choisi la solution d’hébergement de haute sécurité CerberHost.

Firewall applicatif : pourquoi l’utiliser, pourquoi NAXSI ?

L’importance du pare-feu applicatif

Les attaques visant les sites et applications web peuvent avoir des impacts très variés : vol de données, utilisation des ressources de vos serveurs, espionnage industriel… Ces sites et applications sont donc des cibles de choix pour les pirates informatiques.

En effet, ils sont facilement accessibles, et présentent de nombreux vecteurs d’attaques informatiques s’ils ne sont pas bien protégés :

  • injection de code par l’intermédiaire de formulaires en ligne
  • vol d’identifiants de connexion
  • mauvaise gestion des accès
  • configurations non sécurisées

Les risques les plus communs sont listés par l’OWASP, une organisation mondiale à but non lucratif.

Toutes ces menaces peuvent être adressées directement : mise à jour immédiate des logiciels en cas d’annonce de l’existence d’une faille, bonnes configurations, code composant l’application complètement sécurisé. Cependant, il peut être compliqué de s’assurer du respect de toutes ces bonnes pratiques de sécurité, d’autant plus qu’elles évoluent souvent à cause de l’avènement de nouveaux types d’attaques.

Un pare-feu applicatif comme NAXSI permet de vous protéger contre la grande majorité de ces menaces, y compris toutes celles du Top 10 OWASP, peu importe le niveau de sécurité sous-jacent. Installé sur vos reverse proxies, il analyse les requêtes envoyées par les utilisateurs de votre site web. Si l’une de ces requêtes est considérée comme douteuse, elle sera bloquée avant d’arriver sur votre serveur : l’attaque est stoppée avant même d’avoir commencé.

NAXSI : quels sont ses avantages ?

Il existe de nombreuses solutions de pare-feu informatique dédié aux applications, dont la majorité fonctionne en liste noire : le pare-feu applicatif bloque les attaques qu’il reconnait, et laisse passer vers le serveur toutes les autres requêtes. NAXSI est différent, car il fonctionne en liste blanche : il bloque par défaut toutes les requêtes et laisse uniquement passer le trafic qu’il considère comme légitime. Cette différence permet de se protéger même contre les attaques informatiques émergentes, dont la signature n’est pas encore connue, qui ne peuvent donc pas encore être détectées via des règles spécifiques.

Pour éviter les faux positifs, et donc ne pas bloquer des requêtes légitimes, NAXSI s’adapte à chaque environnement et à chaque site, pour permettre une protection personnalisée et réellement adaptée à vos risques et enjeux.

De plus, NAXSI ne cause aucune perte de performance et ne nécessite aucune mise à jour (en dehors de la liste blanche évidemment), vous évitant des ralentissements ou des coupures régulières de votre production.


Open source WAF : l’expertise de NBS System

Années d’existence
étoiles sur Github

Ils utilisent NAXSI, ils en parlent

« NAXSI est fantastique. L’augmentation du temps de réponse est négligeable, quand il y en a. »

« Avec NAXSI, l’application ne tombe pas et je peux dormir plus sereinement ! […] Il fait exactement ce qu’il est censé faire, et il le fait extrêmement bien. »

« Je suis pentesteur, j’ai rencontré NAXSI plusieurs fois, et la plupart du temps, j’ai perdu. »

Retrouvez d’autres retours des utilisateurs de NAXSI !

WAF NAXSI : comment l’obtenir ?

NAXSI est un module de pare-feu applicatif associé au logiciel de reverse proxy NGINX. Vous pouvez le télécharger sur la page Github NAXSI, et demander à vos prestataires de l’installer sur votre infrastructure. Nos équipes aussi peuvent vous accompagner dans sa configuration.

Contactez nos équipes pour être accompagné dans la mise en place de NAXSI !

Pare-feu applicatif : quand utiliser NAXSI ?

NAXSI est un pare-feu applicatif. Cet un outil de sécurité qui doit être maintenu en production à tout moment, puisqu’il constitue une brique de votre système de protection. S’il est désactivé sur votre site ou application, votre trafic ne sera pas analysé et vous courrez donc un risque supplémentaire.

NAXSI, comment ça marche ?

NAXSI est installé sur l’infrastructure de votre site web au niveau des reverse proxies. Ces équipements, qui font l’intermédiaire entre le navigateur web de vos visiteurs et votre serveur web, reçoivent l’intégralité du trafic de votre site.

Lors du passage d’une requête (accès à une nouvelle page, réponse à un formulaire de contact) sur un reverse proxy, le pare-feu applicatif analyse cette requête afin d’étudier sa légitimité, si elle est dangereuse pour votre système sous-jacent.

Outil de sécurité : des règles simples, un score, une action

Pour cela, un pare-feu applicatif se base, en général, sur un système de règles complexes permettant de reconnaître une requête douteuse grâce à une signature : une chaîne de caractères, nécessairement utilisée pour réaliser un certain type d’attaque informatique. L’inconvénient de ce mode de fonctionnement, c’est que ces règles sont difficiles à maintenir. En effet, pour toute nouvelle attaque, c’est une nouvelle règle à créer et à intégrer dans le firewall applicatif.

Comme nous l’avons évoqué plus haut, NAXSI fonctionne différemment. Plutôt que de rechercher des chaînes complètes de caractères, l’outil repère seulement les caractères douteux, souvent utilisés dans des attaques web, comme les chevrons, les parenthèses, les crochets, les apostrophes… Cela a plusieurs avantages, comme la simplicité de maintien (mises à jour rares) et le traitement rapide des requêtes (pas de perte de performance).

Pour chaque occurrence d’un de ces caractères dans une requête, NAXSI augmente le « score » de cette dernière : plus il est élevé, plus la requête est douteuse. En dessous d’un certain palier, elle est autorisée à passer vers le serveur. Au-delà, elle est considérée comme dangereuse et est bloquée. D’autres actions et paliers intermédiaires peuvent également être mis en place, en fonction de vos besoins, enjeux et utilisateurs.

Protection informatique personnalisée grâce au module d’apprentissage

La définition des paliers de scores et des actions qui y sont liées est inhérente à votre site, à votre projet, à votre cas d’usage. En évitant l’utilisation de règles génériques, NAXSI limite le risque de bloquer une requête légitime, ou de laisser une fenêtre d’exploitation aux pirates à cause de règles trop permissives.

Pour mettre en place cette configuration, NAXSI se base sur une période d’apprentissage initial. Le module d’apprentissage, NXTOOLS, tourne pendant un temps sur votre reverse proxy, pour analyser les requêtes sans les bloquer, et générer une liste blanche. Cette liste blanche comprendra l’ensemble des comportements qui pourraient être considérés comme douteux par NAXSI, mais qui sont légitimes dans le cadre de l’utilisation de votre site web.

Pour exemple, si plus de 20% de vos utilisateurs ont le même facteur déclenchant, celui-ci sera enregistré comme légitime, et ne sera pas bloqué lors de la mise en production de NAXSI. Il en est de même pour certains comportements spécifiques à l’application que vous utilisez, comme les cookies de Google Analytics par exemple.

Une assistance humaine est cependant nécessaire, afin d’orienter l’outil vers les bonnes exceptions et définir les différents paliers.

Attaques informatiques : une visibilité claire sur les actions de NAXSI

Une fois la phase d’apprentissage terminée, NAXSI peut être activé et commencer son travail de pare-feu applicatif. Grâce à ElasticSearch et Kibana, deux projets open source utilisés dans l’exploitation de NAXSI, vous bénéficiez d’une console montrant, en temps réel, les attaques informatiques bloquées sur l’ensemble des sites web que vous protégez par ce biais.

Nos experts en sécurité informatique peuvent vous accompagner sur ce point !

Contactez-nous pour en savoir plus.