WAF – Firewall Applicatif

 

La sécurité web peut faire pleurer, rire, grincer des dents, mais il est difficile de ne pas s’en préoccuper. « DARWIN » revient tout de suite sur le devant de la scène : ceux qui ne s’adaptent pas disparaitront !


Qu’est-ce qu’un pare-feu applicatif ?

Le WAF : Web Application Firewall, est une solution logicielle placée en amont d’un site ou d’une application métier web, qui analyse les échanges de données entre les utilisateurs et le service web AVANT qu’ils ne soient exécutés.

L’objectif est de détecter et prévenir l’utilisation des principales vulnérabilités web connues (Owasp), telles que l’injection de commandes, le référentiel à des scripts externes, le téléchargement de données, la surcharge des contextes …

La majorité des protections WAF connues (éditeurs de boitiers firewall par exemple) ont des fonctionnements similaires aux antivirus : ils recherchent des «  »signatures » » de conversations connues. Cette protection comporte des limites importantes (attaques inconnues, bases de signatures, attaques masquées …) et ne permet pas de «  »corriger » » les vulnérabilités connues tout en conservant le bon fonctionnement de l’application (virtual patching).

La solution NAXSI, développée par des équipes d’OT Group et ouverte à la communauté sous licence open-source, a été développée pour mettre en oeuvre les meilleures pratiques de protection, conserver les fonctionnalités affaiblies (temporairement) par patch, et améliorer sa protection par des modules d’apprentissage comportementaux continus.

Naxsi

Toute application peut-elle bénéficier du WAF ?

Le pare-feu applicatif web est destiné à la protection des applications WEB.
Un site vitrine, une solution e-commerce, une diffusion de contenus … la majorité des applications dont l’accès commence par https:// sont protégeables.

La limite se pose le mode d’interaction avec le site : requêtes textes. Les interfaces web graphiques, les solutions de reconnaissance de voix, d’images, de gestes … ne sont pas couvertes à ce jour.
Les applications métiers avec un « client » poste-travail ou mobile peuvent être prises en compte dans certains cas (web-services) … un audit pourra être réalisée au cas par cas.

Quels sont les effets indésirables du WAF ?

La solution de pare-feu vient en interception des conversations entre le client (navigateur web ou appli mobile) et le serveur web (site, e-commerce, appli métier). Comme tout système intermédiaire, on injecte trois risques :

  • Un temps de traitement additionnel (quelques millisecondes)
  • Un risque de coupure en cas de défaillance (tout comme un firewall )
  • Des détections de faux positifs (comme un antispam)

 

Faut-il privilégier performance ou sécurité ?

« Les deux mon capitaine ! « 

C’est à cet instant précis que l’expertise d’architectes de cloud vient se poser. On n’ajoute pas un WAF devant son application. On urbanise l’application pour prendre en compte les avantages d’un pare-feu applicatif et les contraintes qu’il apporte.

  • Mettre en place une paire de serveurs pour la haute disponibilité,
  • Adapter les listes blanches / listes noires pour améliorer les temps de traitement,
  • Favoriser le maintien opérationnel éditeur pour retirer au fil du temps les patchs virtuels n’ayant plus de cas d’usage,
  • Observer une phase d’apprentissage transparente dans les premières semaines pour anticiper les faux positifs,
  • Combiner le déploiement du WAF avec un cache de données statiques (si ce n’est pas déjà fait)

… les leviers d’optimisation du WAF et de l’application sont nombreux et le bénéfice attendu clairement établit : performance et sécurité, pas de concessions !