Bonjour,
Je suis aujourd'hui alternant dans une entreprise proposant des services
d'hébergement à ses clients,et dans la continuité de la certification
PCI-DSS nous étudions des solutions de WAF afin de proposer ce service à
nos clients,( Requirement 6.6 de la certification).
De ce fait je voulais savoir si quelqu'un avait des informations
complémentaires/fais une étude de cas pour ce genre de service.
J'ai commencé à faire mes devoirs et :
Le WAF serait à priori en frontal devant les serveurs (comme un load
balancer), le soucis c'est qu'il faudrait pouvoir s'occuper du chiffrement
SSL.
Donc soit le WAF a la clé privée du serveur et peut le
déchiffrer/rechiffrer à la volée, ou le WAF possède un serveur SSL (celui
que le client voit) il décrypte les informations et les renvoient au
travers d'une connexion sécurisée ou non.
Sachant que si on opte pour la première solution cela voudrait dire que
le WAF possède toutes les clées SSL des clients derrières, personnellement
je suis pas bien fan de l'idée ( votre opinion? )
A priori je valoriserais une whitelist plus qu'une blacklist, mais un
mélange des deux types de sécurité pourrait être intéressant.
Le blacklist protège du passé et le whitelist du présent.
Le blacklist est idéal pour les attaques connus et les bot, mais il faut
savoir les attaques possibles, et notre connaissance étant limité nous ne
pouvons restreindre tout type d'attaque, quand au whitelist si on a une
bonne connaissance de l'input que l'utilisateur devra mettre cela sera
efficace mais on peut toujours tenter de le bypasser.
Sinon sur les WAF en eux-même:
Du côtés Open source, je ne pense pas partir sur mod-security suite à des
soucis de performances pour un hébergeur, et je m'orientais plus pour Naxsi
(mais sous un cas de traffic important cela ne me semble pas forcément le
plus adapté non plus)
Ensuite reste les solutions commerciales(pour ne citer qu'elle :)
imperva,sonicwall,baraccuda,citrix,fortinet,f5...
Mais avoir un retour objectif dessus est assez difficile, du fait que ce
sont des solutions commerciales...
Donc si certaines personnes peuvent débattre avec moi du sujet, ou on
conduit une recherche similaire par le passé et m'aider ou juste pointer
vers des documents ou papiers pouvant m'aider je serais grandement
reconnaissant !
Bonne journée,
--
Cordialement,
MOLLARD Quentin,
Etudiant en Master Informatique,
à l'IM2AG , Université Joseph Fourier.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
