Firewall applicatif : solution WAF NAXSI

Logo Oceanet Technology
Logo Oceanet Technology
Firewall applicatif : solution WAF NAXSI
 

Les sites et applications web sont l’une des portes d’entrée principales vers votre Système d’Information. Cependant, leur sécurité est trop souvent négligée : manque de mise à jour des logiciels applicatifs, mauvais contrôles des accès… Une solution simple existe pour vous protéger contre une grande partie des attaques web : le pare-feu applicatif, qui bloque les attaques en temps réel avant qu’elles n’atteignent votre serveur.

Sécurité des applications web et performances

Si la sécurité de votre site web est primordiale, elle ne doit pas être mise en place au détriment de sa performance, afin de ne pas impacter votre activité. Le firewall applicatif NAXSI permet d’atteindre ce résultat !

Pare-feu applicatif : pourquoi ?

En pénétrant sur votre architecture web, un pirate peut modifier le contenu de votre site, voler les données de vos clients ou vos secrets de fabrication, exploiter vos ressources pour mener des attaques informatiques contre des tiers et vous faire porter le chapeau… Les impacts d’une compromission peuvent être nombreux, et surtout visibles. En outre, un accès à votre serveur web peut souvent servir de point intermédiaire pour atteindre votre Système d’Information dans son ensemble, et accéder aux données personnelles de vos collaborateurs, à des documents internes confidentiels…

Il est donc essentiel pour votre activité de protéger efficacement vos serveurs web. L’utilisation du protocole HTTPS, qui permet de chiffrer les échanges avec vos clients, ne suffit pas, puisqu’il ne permet pas de contrôler le contenu de ces échanges ! En effet, les sites et applications web présentent une surface d’exploitation facilement accessible, trop souvent minée de vulnérabilités oubliées, non corrigées… ou pas encore découvertes !

Les pare-feux applicatifs permet de limiter ces risques : c’est une solution logicielle placée en amont d’un site ou application web, qui analyse les échanges entre vos internautes et votre serveur et bloque les requêtes dangereuses avant qu’elles ne soient exécutées par ce dernier. Cet outil de sécurité permet de vous protéger contre les principales attaques web connues, comme celles renseignées dans le Top 10 de l’OWASP, une organisation mondiale à but non lucratif.

Firewall applicatif web : NAXSI, la protection sans perte de performance

La majorité des solutions de firewall applicatif connues fonctionne en liste noire, à la manière d’un antivirus : ces protections bloquent les requêtes qu’elles reconnaissent comme malicieuses grâce à des « signatures », des chaînes de caractères nécessaires à la réussite de tel ou tel type d’attaque et identifiées comme telles. Les autres requêtes, elles, sont transmises à votre serveur web pour être traitées. Le risque avec ce fonctionnement, c’est de laisser passer les attaques dont la signature n’a pas encore été identifiée : qu’elles soient émergentes, masquées, ou que leur signature ait simplement été changée. Cela implique également que les règles de filtrage applicatif web doivent être mises à jour régulièrement, pour y inclure les signatures de nouvelles attaques.

NAXSI répond à ce problème grâce à son fonctionnement en liste blanche. Il bloque l’ensemble des requêtes par défaut, et ne laisse passer à votre serveur que celles qu’il sait être légitimes. Pour éviter les faux positifs, et donc ne pas bloquer de requêtes qui devraient être autorisées, NAXSI s’appuie sur un module d’auto-apprentissage. Ce dernier permet de créer des règles de filtrage spécifiques à votre application : vous bénéficiez d’une protection vraiment adaptée à votre activité.

NAXSI permet également de mettre en place du virtual patching. Cette technique consiste à protéger vos serveurs web d’une vulnérabilité spécifique, sans avoir besoin de toucher à votre code ou de mettre à jour votre application. Pour cela, il suffit de créer des règles de filtrage, adaptées à la vulnérabilité souhaitée, au niveau de NAXSI : toute tentative d’exploitation de la vulnérabilité informatique sera alors bloquée. Attention, cela ne doit pas vous empêcher de mettre à jour vos logiciels, mais c’est un moyen de protéger votre plateforme dans l’attente de cette mise à jour.

Enfin, NAXSI a été pensé pour des environnements de production : il ne cause presque aucune perte de performance, et ne requiert aucune mise à jour nécessitant de coupure de votre plateforme.

Contactez-nous

NAXSI : l’expertise sécurité d’OT Group

Années d’existence
de perte de performance

Comment le pare-feu applicatif NAXSI fonctionne ?

NAXSI est un outil de sécurité web open source développé par l’équipe sécurité d’OT Group. Ce pare-feu applicatif est un module du logiciel de reverse proxy NGINX. Vous pouvez le télécharger sur la page Github NAXSI et l’installer sur votre architecture. Si vous êtes déjà client de Oceanet Technology, nous pouvons l’installer, le configurer et le maintenir pour vous.

Avant de mettre NAXSI en production, vous pouvez passer par une phase d’apprentissage initial : c’est particulièrement sur ce point que nos équipes vous accompagnent. Le module d’apprentissage passe un certain temps à analyser les requêtes passant par vos serveurs, sans prendre aucune action. A la fin de cette phase d’étude, il produit pour vous une liste blanche, répertoriant tous les comportements que NAXSI considère comme douteux, mais qui semblent être légitimes dans le fonctionnement de votre application. Cela peut concerner des comportements observés chez plus de 20% de vos internautes, ou bien des requêtes spécifiques à des applications tierces, comme les cookies de Google Analytics par exemple. Une assistance humaine est ici nécessaire pour valider la configuration de l’outil avant de le lancer en production.

Une fois NAXSI lancé, ce firewall applicatif analyse toutes les requêtes (validation d’un formulaire, accès à une nouvelle page…) qui sont envoyées depuis le navigateur web de vos internautes vers votre serveur web. Chacune de ces requêtes se voit attribuer un score : en dessous d’un certain seuil, la requête sera acceptée, et au-dessus elle sera bloquée.

Pour attribuer un score, plutôt que de comparer le contenu de la requête avec de nombreuses chaînes de caractère correspondant à des signatures d’attaques (fonctionnement en liste noire), NAXSI y mesure le nombre d’occurrences de caractères douteux. Ce sont les parenthèses, chevrons, apostrophes, crochets… souvent utilisés lors d’attaques web. C’est ce qui fait de NAXSI un WAF très facile à maintenir (peu de maintien de règles) et aux excellentes performances (temps d’analyse court).

Ainsi, plus la requête contient de caractères douteux, plus son score sera élevé. En fonction de ce score, vous pouvez déterminer différentes actions à prendre selon les enjeux pesant sur votre activité : blocage, alerte, autorisation de la requête, etc. Avant tout blocage cependant, NAXSI vérifie si la requête correspond à un cas de la liste blanche obtenue suite à la phase d’apprentissage initiale. Si c’est le cas, elle est autorisée à passer vers votre serveur, car elle est légitime dans votre contexte.

Autre avantage : vous pouvez voir, en temps réel, les attaques bloquées par NAXSI grâce à une console visuelle !

Quand utiliser le WAF NAXSI ?

NAXSI n’est efficace que quand il est en marche, puisque ce WAF a pour objectif d’analyser et de filtrer votre trafic en temps réel. Une fois la phase d’apprentissage réalisée, nous vous conseillons de le maintenir en production à tout moment pour ne pas risquer d’attaque inutile.

Faites installer NAXSI sur votre infrastructure et montez en sécurité !

Contactez-nous pour en savoir plus.