Le 30 avril 2015 16:23:27 CEST, Samuel PIRON <piron.sam...@neoxis.eu> a écrit : >Pour rester sur le coté 'Open-source', il y a le module WAF NAXSI qui >s'ajoute sur Nginx qui marche pas mal (et c'est codé par une boite >française !) -> https://github.com/nbs-system/naxsi > >Sinon, dans le domaine des appliances, j'avais eu l'occasion de voir du > >F5 fonctionner. ça avait l'air de bien marcher, mais le prix picote un >peu... > > >--- >Samuel PIRON > >Le 30/04/2015 15:20, Fabrice Vincent a écrit : > >> Autant pour moi ! >> J'avais souvenir d'un config varnish+ModSecurity >> (http://en.wikipedia.org/wiki/ModSecurity [1]) mais en fait c'est >> plutot sur Apache ou nginx que ça s'installe. >> J'ai bien trouvé >> https://github.com/comotion/VSF#varnish-security-firewall [2] mais >> est-ce un projet pérenne ??? >> >> Bon, bref, pardon pour le bruit. Je sors -> >> >> Le 30/04/2015 14:20, Guillaume Tournat a écrit : C'est un reverse >> proxy et non un WAF. >> Donc aucune sécu comme un Apache ou un Squid ou un Nginx. >> >> Le 30 avr. 2015 à 13:39, Fabrice Vincent >> <f.vinc...@allibert-trekking.com> a écrit : >> >> C'est encore moi! ;) >> Pour en revenir à ta demande initiale, pourquoi pas un varnish (ou un > >> cluster haproxy/varnish) ? >> Fabrice >> >> Le 30/04/2015 12:09, Richard Paré a écrit : Bonjour, >> >> Je cherche un appliance de sécurité pour protéger un site Web de la >> manière >> suivante : >> - Le site Web fonctionne en HTTP >> - L'appliance de sécurité fait office de reverse Proxy avec d'un >côté, >> des >> communications chiffrées HTTPS avec les clients et de l'autre des >> communications en clair HTTP avec le serveur Web >> - Une inspection de paquets est effectuée et des blocages ont lieux >> sur le >> trafic suspect (IPS) >> >> J'ai essayé d'utiliser un Stormshield mais sans succès. >> Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les >> communications SSL. >> >> Avez vous une suggestion ? (mis à part un Apache avec mod_security ou >> autre). >> >> Merci. >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ [3] >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ [3] > > --------------------------- > Liste de diffusion du FRnOG >http://www.frnog.org/ [3] > >Links: >------ >[1] http://en.wikipedia.org/wiki/ModSecurity >[2] https://github.com/comotion/VSF#varnish-security-firewall >[3] http://www.frnog.org/ > > >--------------------------- >Liste de diffusion du FRnOG >http://www.frnog.org/
La bonne question a se poser : as tu le temps de gérer un waf ? Genre est ce que tu maitrises l'appli, ses requêtes et ses variables. Si oui, alors il y a des reverse proxy sympa comme beeware et son acolyte dont j'ai oublié le nom a cette heure..., avec coupure SSL. Si non, alors il faut se borner aux attaques connues, et dans ce cas tu as le choix en open source (mod_sec, varnish, nginx avec son waf....) ou en commercial (fortiweb, a10?, f5 avec ltm+asm) De ton budget et de ta maîtrise de l'application dépendra ton besoin. Ne pas oublier de te donner un TPS pour sélectionner ton produit. F5 fait ça a merveille (et même le café), mais ça dépend du budget (pique aux fesses), de la scalabilite et du niveau de secu recherché .... Équation difficile a résoudre avec le peu de variables données ici..... -- Envoyé de mon téléphone Android avec K-9 Mail. Excusez la brièveté. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
