Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS

2015-05-01 Par sujet Samuel PIRON

Bonjour,

Si non, alors il faut se borner aux attaques connues, et dans ce cas tu 
as le choix en open source (mod_sec, varnish, nginx avec son waf) 
ou en commercial (fortiweb, a10?, f5 avec ltm+asm)


Petite rectification :
le WAF de Nginx (NAXSI) ne se base pas sur un mode de blocage utilisant 
une base de signature, mais fonctionne plutôt comme un filtre bayésien : 
chaque requête GET/POST obtient une note basé sur l'analyse du contenu 
de celles-ci : si il trouve trop de caractères spéciaux (type : '') ou 
mot clé ('drop'), la requête est bloquée.


Par défaut, NAXSI bloque toutes les requêtes suspectes. A l'admin 
ensuite de configurer une liste blanche pour le site protégé. (liste 
blanche créé via un script fourni avec NAXSI).


Pour donner un exemple de site régulièrement attaqué, le site web de 
Charlie Hebdo est protégé par NAXSI depuis plusieurs années...



La bonne question a se poser : as tu le temps de gérer un waf ? Genre 
est ce que tu maitrises l'appli, ses requêtes et ses variables.


C'est tout le problème des WAF : son coût ne se mesure pas seulement au 
prix de la solution choisie mais surtout au temps consacré à son 
suivi...



---
Samuel PIRON

Le 01/05/2015 01:43, Fabien V. a écrit :

Le 30 avril 2015 16:23:27 CEST, Samuel PIRON piron.sam...@neoxis.eu a 
écrit : Pour rester sur le coté 'Open-source', il y a le module WAF 
NAXSI qui

s'ajoute sur Nginx qui marche pas mal (et c'est codé par une boite
française !) - https://github.com/nbs-system/naxsi [1]

Sinon, dans le domaine des appliances, j'avais eu l'occasion de voir du

F5 fonctionner. ça avait l'air de bien marcher, mais le prix picote un
peu...

---
Samuel PIRON

Le 30/04/2015 15:20, Fabrice Vincent a écrit :

Autant pour moi !
J'avais souvenir d'un config varnish+ModSecurity
(http://en.wikipedia.org/wiki/ModSecurity [2] [1 [2]]) mais en fait 
c'est

plutot sur Apache ou nginx que ça s'installe.
J'ai bien trouvé
https://github.com/comotion/VSF#varnish-security-firewall [3] [2 [3]] 
mais

est-ce un projet pérenne ???

Bon, bref, pardon pour le bruit. Je sors -⁠

Le 30/⁠04/⁠2015 14:20, Guillaume Tournat a écrit : C'est un reverse
proxy et non un WAF.
Donc aucune sécu comme un Apache ou un Squid ou un Nginx.

Le 30 avr. 2015 à 13:39, Fabrice Vincent
f.vinc...@allibert-trekking.com a écrit :

C'est encore moi! ;)
Pour en revenir à ta demande initiale, pourquoi pas un varnish (ou un
cluster haproxy/⁠varnish) ?
Fabrice

Le 30/⁠04/⁠2015 12:09, Richard Paré a écrit : Bonjour,

Je cherche un appliance de sécurité pour protéger un site Web de la
manière
suivante :
-⁠ Le site Web fonctionne en HTTP
-⁠ L'appliance de sécurité fait office de reverse Proxy avec d'un côté, 
des

communications chiffrées HTTPS avec les clients et de l'autre des
communications en clair HTTP avec le serveur Web
-⁠ Une inspection de paquets est effectuée et des blocages ont lieux
sur le
trafic suspect (IPS)

J'ai essayé d'utiliser un Stormshield mais sans succès.
Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les
communications SSL.

Avez vous une suggestion ? (mis à part un Apache avec mod_security ou
autre).

Merci.

-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠
Liste de diffusion du FRnOG
http://www.frnog.org/ [4] [3 [4]]

-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠
Liste de diffusion du FRnOG
http://www.frnog.org/ [4] [3 [4]]
-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠
Liste de diffusion du FRnOG
http://www.frnog.org/ [4] [3 [4]]

Links:
--
[1] http://en.wikipedia.org/wiki/ModSecurity [2]
[2] https://github.com/comotion/VSF#varnish-security-firewall [3]
[3] http://www.frnog.org/ [4]

---
Liste de diffusion du FRnOG
http://www.frnog.org/ [4]


 La bonne question a se poser : as tu le temps de gérer un waf ? Genre 
est ce que tu maitrises l'appli, ses requêtes et ses variables.


 Si oui, alors il y a des reverse proxy sympa comme beeware et son 
acolyte dont j'ai oublié le nom a cette heure..., avec coupure SSL.


 Si non, alors il faut se borner aux attaques connues, et dans ce cas tu 
as le choix en open source (mod_sec, varnish, nginx avec son waf) ou 
en commercial (fortiweb, a10?, f5 avec ltm+asm)


 De ton budget et de ta maîtrise de l'application dépendra ton besoin.
 Ne pas oublier de te donner un TPS pour sélectionner ton produit.

 F5 fait ça a merveille (et même le café), mais ça dépend du budget 
(pique aux fesses), de la scalabilite et du niveau de secu recherché 



 Équation difficile a résoudre avec le peu de variables données ici.

Links:
--
[1] https://github.com/nbs-system/naxsi
[2] http://en.wikipedia.org/wiki/ModSecurity
[3] https://github.com/comotion/VSF#varnish-security-firewall
[4] http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS

2015-04-30 Par sujet Richard Paré
Bonjour,

Je cherche un appliance de sécurité pour protéger un site Web de la manière
suivante :
- Le site Web fonctionne en HTTP
- L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des
communications chiffrées HTTPS avec les clients et de l'autre des
communications en clair HTTP avec le serveur Web
- Une inspection de paquets est effectuée et des blocages ont lieux sur le
trafic suspect (IPS)

J'ai essayé d'utiliser un Stormshield mais sans succès.
Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les
communications SSL.

Avez vous une suggestion ? (mis à part un Apache avec mod_security ou
autre).

Merci.

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS

2015-04-30 Par sujet Fabrice Vincent

On utilise Cloudflare(.com)
Leur service fait en même temps reverse proxy (avec SSL si on veut), 
CDN, WAF, et plein d'autres sécurisations et optimisations.
Faire la même chose qu'eux à la mimine ou avec une box ça va couter 
beaucoup plus cher (surtout comparé à leur plan gratuit, déjà très bien...)


juste mon avis.  ;)
Fabrice

Le 30/04/2015 12:09, Richard Paré a écrit :

Bonjour,

Je cherche un appliance de sécurité pour protéger un site Web de la manière
suivante :
- Le site Web fonctionne en HTTP
- L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des
communications chiffrées HTTPS avec les clients et de l'autre des
communications en clair HTTP avec le serveur Web
- Une inspection de paquets est effectuée et des blocages ont lieux sur le
trafic suspect (IPS)

J'ai essayé d'utiliser un Stormshield mais sans succès.
Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les
communications SSL.

Avez vous une suggestion ? (mis à part un Apache avec mod_security ou
autre).

Merci.

---
Liste de diffusion du FRnOG
http://www.frnog.org/





---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS

2015-04-30 Par sujet Guillaume Tournat
FortiWeb de Fortinet
Existe en appliance physique ou en VM
Correspond au besoin. 



 Le 30 avr. 2015 à 12:09, Richard Paré richard.pare...@gmail.com a écrit :
 
 Bonjour,
 
 Je cherche un appliance de sécurité pour protéger un site Web de la manière
 suivante :
 - Le site Web fonctionne en HTTP
 - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des
 communications chiffrées HTTPS avec les clients et de l'autre des
 communications en clair HTTP avec le serveur Web
 - Une inspection de paquets est effectuée et des blocages ont lieux sur le
 trafic suspect (IPS)
 
 J'ai essayé d'utiliser un Stormshield mais sans succès.
 Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les
 communications SSL.
 
 Avez vous une suggestion ? (mis à part un Apache avec mod_security ou
 autre).
 
 Merci.
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS

2015-04-30 Par sujet Josselin Lecocq
Le 30/04/2015 12:35, Fabrice Vincent a écrit :
 On utilise Cloudflare(.com)

Et au passage tu abandonnes toutes tes données à la NSA (c'est un choix,
mais il ne faut juste pas l'oublier).

La sécurité SSL devient alors trompeuse pour tes utilisateurs qui
pensent leur canal de communication sûr, alors qu'en fait, il ne l'est
pas tant que ça puisqu'un tiers inconnu intercepte les données de façon
opaque sur le chemin...

Sans parler du fait que ce genre de pratique contribue à faire de
Cloudflare et des CDN grand public des points de concentration de
trafic importants sur Internet, ce qui n'est pas très bon en terme
d'architecture (même si c'est plus ou moins réparti).

 Faire la même chose qu'eux à la mimine ou avec une box ça va couter
 beaucoup plus cher (surtout comparé à leur plan gratuit, déjà très
bien...)

Certes, mais c'est une garantie d'indépendance et de sécurité (à
condition que l'éditeur de l'appliance ne soit pas américain, chinois,
ou même français bientôt).

Josselin Lecocq
Quantic Telecom


Le 30/04/2015 12:35, Fabrice Vincent a écrit :
 On utilise Cloudflare(.com)
 Leur service fait en même temps reverse proxy (avec SSL si on veut),
 CDN, WAF, et plein d'autres sécurisations et optimisations.
 Faire la même chose qu'eux à la mimine ou avec une box ça va couter
 beaucoup plus cher (surtout comparé à leur plan gratuit, déjà très bien...)
 
 juste mon avis.  ;)
 Fabrice
 
 Le 30/04/2015 12:09, Richard Paré a écrit :
 Bonjour,

 Je cherche un appliance de sécurité pour protéger un site Web de la
 manière
 suivante :
 - Le site Web fonctionne en HTTP
 - L'appliance de sécurité fait office de reverse Proxy avec d'un côté,
 des
 communications chiffrées HTTPS avec les clients et de l'autre des
 communications en clair HTTP avec le serveur Web
 - Une inspection de paquets est effectuée et des blocages ont lieux
 sur le
 trafic suspect (IPS)

 J'ai essayé d'utiliser un Stormshield mais sans succès.
 Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les
 communications SSL.

 Avez vous une suggestion ? (mis à part un Apache avec mod_security ou
 autre).

 Merci.

 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/

 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS

2015-04-30 Par sujet Richard Paré
Merci pour ces réponses. Le Fortiweb semble la réponse la plus adaptée à
mon besoin.
Quelqu'un à une idée du tarif d'un FortiWeb-100D et un contact commercial
en privé pour établir un devis ?
Merci.

Le 30 avril 2015 13:57, ADENIS | David MARCIANO dmarci...@adenis.fr a
écrit :

 Il semblerait que certaines solutions ne fonctionnent pas avec Fortinet ou
 ce type de boitier.

 Nous avons essayé avec une plateforme qui utilise du Magento, et on a du
 faire un retour arrière.

 Si quelqu'un a une expérience Fortinet/ Magento, je suis preneur d'un
 petit échange.


 Bonne réception
 David Marciano


 163 Avenue Gallieni - 93170 Bagnolet - France
 Tel : +33 (0)1 48 24 07 07 - Fax : +33 (0)1 48 24 07 08
 Mail : dmarci...@adenis.fr




 -Message d'origine-
 De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part
 de Guillaume Tournat
 Envoyé : jeudi 30 avril 2015 12:21
 À : Richard Paré
 Cc : frnog-t...@frnog.org
 Objet : Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load
 Balancing et IPS

 FortiWeb de Fortinet
 Existe en appliance physique ou en VM
 Correspond au besoin.



  Le 30 avr. 2015 à 12:09, Richard Paré richard.pare...@gmail.com a
 écrit :
 
  Bonjour,
 
  Je cherche un appliance de sécurité pour protéger un site Web de la
  manière suivante :
  - Le site Web fonctionne en HTTP
  - L'appliance de sécurité fait office de reverse Proxy avec d'un côté,
  des communications chiffrées HTTPS avec les clients et de l'autre des
  communications en clair HTTP avec le serveur Web
  - Une inspection de paquets est effectuée et des blocages ont lieux
  sur le trafic suspect (IPS)
 
  J'ai essayé d'utiliser un Stormshield mais sans succès.
  Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les
  communications SSL.
 
  Avez vous une suggestion ? (mis à part un Apache avec mod_security ou
  autre).
 
  Merci.
 
  ---
  Liste de diffusion du FRnOG
  http://www.frnog.org/


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS

2015-04-30 Par sujet Fabrice Vincent

Autant pour moi !
J'avais souvenir d'un config varnish+ModSecurity 
(http://en.wikipedia.org/wiki/ModSecurity) mais en fait c'est plutot sur 
Apache ou nginx que ça s'installe.
J'ai bien trouvé 
https://github.com/comotion/VSF#varnish-security-firewall mais est-ce un 
projet pérenne ???


Bon, bref, pardon pour le bruit.   Je sors -


Le 30/04/2015 14:20, Guillaume Tournat a écrit :

C'est un reverse proxy et non un WAF.
Donc aucune sécu comme un Apache ou un Squid ou un Nginx.


Le 30 avr. 2015 à 13:39, Fabrice Vincent f.vinc...@allibert-trekking.com a 
écrit :

C'est encore moi!  ;)
Pour en revenir à ta demande initiale, pourquoi pas un varnish (ou un cluster 
haproxy/varnish) ?
Fabrice

Le 30/04/2015 12:09, Richard Paré a écrit :

Bonjour,

Je cherche un appliance de sécurité pour protéger un site Web de la manière
suivante :
- Le site Web fonctionne en HTTP
- L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des
communications chiffrées HTTPS avec les clients et de l'autre des
communications en clair HTTP avec le serveur Web
- Une inspection de paquets est effectuée et des blocages ont lieux sur le
trafic suspect (IPS)

J'ai essayé d'utiliser un Stormshield mais sans succès.
Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les
communications SSL.

Avez vous une suggestion ? (mis à part un Apache avec mod_security ou
autre).

Merci.

---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS

2015-04-30 Par sujet ADENIS | David MARCIANO
Il semblerait que certaines solutions ne fonctionnent pas avec Fortinet ou ce 
type de boitier. 

Nous avons essayé avec une plateforme qui utilise du Magento, et on a du faire 
un retour arrière. 

Si quelqu'un a une expérience Fortinet/ Magento, je suis preneur d'un petit 
échange. 


Bonne réception
David Marciano


163 Avenue Gallieni - 93170 Bagnolet - France
Tel : +33 (0)1 48 24 07 07 - Fax : +33 (0)1 48 24 07 08
Mail : dmarci...@adenis.fr 




-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Guillaume Tournat
Envoyé : jeudi 30 avril 2015 12:21
À : Richard Paré
Cc : frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load 
Balancing et IPS

FortiWeb de Fortinet
Existe en appliance physique ou en VM
Correspond au besoin. 



 Le 30 avr. 2015 à 12:09, Richard Paré richard.pare...@gmail.com a écrit :
 
 Bonjour,
 
 Je cherche un appliance de sécurité pour protéger un site Web de la 
 manière suivante :
 - Le site Web fonctionne en HTTP
 - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, 
 des communications chiffrées HTTPS avec les clients et de l'autre des 
 communications en clair HTTP avec le serveur Web
 - Une inspection de paquets est effectuée et des blocages ont lieux 
 sur le trafic suspect (IPS)
 
 J'ai essayé d'utiliser un Stormshield mais sans succès.
 Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les 
 communications SSL.
 
 Avez vous une suggestion ? (mis à part un Apache avec mod_security ou 
 autre).
 
 Merci.
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS

2015-04-30 Par sujet Fabrice Vincent

Le 30/04/2015 12:50, Josselin Lecocq a écrit :

Le 30/04/2015 12:35, Fabrice Vincent a écrit :

On utilise Cloudflare(.com)

Et au passage tu abandonnes toutes tes données à la NSA (c'est un choix,
mais il ne faut juste pas l'oublier).

La sécurité SSL devient alors trompeuse pour tes utilisateurs qui
pensent leur canal de communication sûr, alors qu'en fait, il ne l'est
pas tant que ça puisqu'un tiers inconnu intercepte les données de façon
opaque sur le chemin...

Certes.
Mais une appliance (physique ou virtuelle) peut avoir des backdoors...
Reste la solution de l'open source. Pas infaillible non plus (cf 
HeartBleed etc.) mais avec quand même beaucoup plus de visibilité.


Sans parler du fait que ce genre de pratique contribue à faire de
Cloudflare et des CDN grand public des points de concentration de
trafic importants sur Internet, ce qui n'est pas très bon en terme
d'architecture (même si c'est plus ou moins réparti).

ça c'est ce qui m’embête le plus...
En même temps avec le anycast massif, ça fait beaucoup de traffic 
passant par cette AS mais ça reste local à chaque POP. Je suppose que 
c'est pas pire que la concentration passant par les gros transitaires ou 
les GIX ?

Faire la même chose qu'eux à la mimine ou avec une box ça va couter
beaucoup plus cher (surtout comparé à leur plan gratuit, déjà très

bien...)

Certes, mais c'est une garantie d'indépendance et de sécurité (à
condition que l'éditeur de l'appliance ne soit pas américain, chinois,
ou même français bientôt).
Avec une solution externe, qu'elle soit une appliance ou une offre SaaS, 
de fait on dit adieu l'indépendance, non ?
Par ailleurs, un constructeur/éditeur n'ayant pas d’intérêt aux USA ou 
en chine, ça limite les choix et ça n'est probablement qu'une situation 
temporaire (en tout cas je leur souhaite !  ;)   ).
Et tout faire moi même serai irréaliste en temps et en expertise 
nécessaire, sachant que ça serai juste pour mon petit besoin (parmi tout 
mes autres besoins)...  8-/
Alors quitte à m'appuyer sur une solution externe dont le code n'est pas 
public, ben je maintiens mon choix...
Ceci dit je bosse aujourd'hui pour une PME, pas pour une banque, un 
opérateur ou une boite du CAC40 (j'ai pas les même moyens !   ~8-P )


Merci pour cet échange intéressant.
Cordialement,
Fabrice


Josselin Lecocq
Quantic Telecom


Le 30/04/2015 12:35, Fabrice Vincent a écrit :

On utilise Cloudflare(.com)
Leur service fait en même temps reverse proxy (avec SSL si on veut),
CDN, WAF, et plein d'autres sécurisations et optimisations.
Faire la même chose qu'eux à la mimine ou avec une box ça va couter
beaucoup plus cher (surtout comparé à leur plan gratuit, déjà très bien...)

juste mon avis.  ;)
Fabrice

Le 30/04/2015 12:09, Richard Paré a écrit :

Bonjour,

Je cherche un appliance de sécurité pour protéger un site Web de la
manière
suivante :
- Le site Web fonctionne en HTTP
- L'appliance de sécurité fait office de reverse Proxy avec d'un côté,
des
communications chiffrées HTTPS avec les clients et de l'autre des
communications en clair HTTP avec le serveur Web
- Une inspection de paquets est effectuée et des blocages ont lieux
sur le
trafic suspect (IPS)

J'ai essayé d'utiliser un Stormshield mais sans succès.
Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les
communications SSL.

Avez vous une suggestion ? (mis à part un Apache avec mod_security ou
autre).

Merci.

---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/





---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS

2015-04-30 Par sujet Nicolas Gaudin
Le 30/04/2015 12:09, Richard Paré a écrit :
 Bonjour,

 Je cherche un appliance de sécurité pour protéger un site Web de la
 manière suivante :
 - Le site Web fonctionne en HTTP
 - L'appliance de sécurité fait office de reverse Proxy avec d'un côté,
 des communications chiffrées HTTPS avec les clients et de l'autre des
 communications en clair HTTP avec le serveur Web

 Le 30/04/2015 12:36, Fabrice Vincent a écrit
On utilise Cloudflare(.com)
Leur service fait en même temps reverse proxy (avec SSL si on veut), CDN,
WAF, et plein d'autres sécurisations et optimisations.

J'ai peut-être loupé un truc mais partir sur du Cloudflare dans le cas du
besoin exprimé (à savoir http entre le proxy et la plateforme) expose les
flux en clair entre Cloudflare et la plateforme cible, non?

Nicolas


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS

2015-04-30 Par sujet Fabrice Vincent

C'est encore moi!  ;)
Pour en revenir à ta demande initiale, pourquoi pas un varnish (ou un 
cluster haproxy/varnish) ?

Fabrice

Le 30/04/2015 12:09, Richard Paré a écrit :

Bonjour,

Je cherche un appliance de sécurité pour protéger un site Web de la manière
suivante :
- Le site Web fonctionne en HTTP
- L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des
communications chiffrées HTTPS avec les clients et de l'autre des
communications en clair HTTP avec le serveur Web
- Une inspection de paquets est effectuée et des blocages ont lieux sur le
trafic suspect (IPS)

J'ai essayé d'utiliser un Stormshield mais sans succès.
Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les
communications SSL.

Avez vous une suggestion ? (mis à part un Apache avec mod_security ou
autre).

Merci.

---
Liste de diffusion du FRnOG
http://www.frnog.org/





---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS

2015-04-30 Par sujet Denis VINCIGUERRA
Bonjour,

Les solutions de F5 (Big IP) ou Citrix (Netscaler) sont très répandues.
Cela fait d'ailleurs bien + que simple Reverse-Proxy+Offloading
SSL+inspection. On peut faire plein de choses avec et s'adapter à tous les
environnements, même complexes.

Ça existe en boitier ou en VM.

De mémoire; F5 reste très cher, et Citrix est plus compétitif avec le
Netscaler qui est quand même un très bon produit. Par contre, je pense que
ça sera sur une tranche tarifaire au dessus de Fortinet.

Le 30 avril 2015 12:09, Richard Paré richard.pare...@gmail.com a écrit :

 Bonjour,

 Je cherche un appliance de sécurité pour protéger un site Web de la manière
 suivante :
 - Le site Web fonctionne en HTTP
 - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des
 communications chiffrées HTTPS avec les clients et de l'autre des
 communications en clair HTTP avec le serveur Web
 - Une inspection de paquets est effectuée et des blocages ont lieux sur le
 trafic suspect (IPS)

 J'ai essayé d'utiliser un Stormshield mais sans succès.
 Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les
 communications SSL.

 Avez vous une suggestion ? (mis à part un Apache avec mod_security ou
 autre).

 Merci.

 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS

2015-04-30 Par sujet Alexandre AMSALEG
Bonjour Richard,

Il existe comme produit qui peut éventuellement faire l'affaire Kemp que 
ce soit en physique qu'en VM.
Le produit inclus depuis peu une option WAF + possibilité d'utiliser des 
règles snort.

Alex

Le 30/04/15 12:09, Richard Paré a écrit :
 Bonjour,

 Je cherche un appliance de sécurité pour protéger un site Web de la manière
 suivante :
 - Le site Web fonctionne en HTTP
 - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des
 communications chiffrées HTTPS avec les clients et de l'autre des
 communications en clair HTTP avec le serveur Web
 - Une inspection de paquets est effectuée et des blocages ont lieux sur le
 trafic suspect (IPS)

 J'ai essayé d'utiliser un Stormshield mais sans succès.
 Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les
 communications SSL.

 Avez vous une suggestion ? (mis à part un Apache avec mod_security ou
 autre).

 Merci.

 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS

2015-04-30 Par sujet Samuel PIRON
Pour rester sur le coté 'Open-source', il y a le module WAF NAXSI qui 
s'ajoute sur Nginx qui marche pas mal (et c'est codé par une boite 
française !) - https://github.com/nbs-system/naxsi


Sinon, dans le domaine des appliances, j'avais eu l'occasion de voir du 
F5 fonctionner. ça avait l'air de bien marcher, mais le prix picote un 
peu...



---
Samuel PIRON

Le 30/04/2015 15:20, Fabrice Vincent a écrit :


Autant pour moi !
J'avais souvenir d'un config varnish+ModSecurity 
(http://en.wikipedia.org/wiki/ModSecurity [1]) mais en fait c'est 
plutot sur Apache ou nginx que ça s'installe.
J'ai bien trouvé 
https://github.com/comotion/VSF#varnish-security-firewall [2] mais 
est-ce un projet pérenne ???


Bon, bref, pardon pour le bruit. Je sors -⁠

Le 30/⁠04/⁠2015 14:20, Guillaume Tournat a écrit : C'est un reverse 
proxy et non un WAF.

Donc aucune sécu comme un Apache ou un Squid ou un Nginx.

Le 30 avr. 2015 à 13:39, Fabrice Vincent 
f.vinc...@allibert-trekking.com a écrit :


C'est encore moi! ;)
Pour en revenir à ta demande initiale, pourquoi pas un varnish (ou un 
cluster haproxy/⁠varnish) ?

Fabrice

Le 30/⁠04/⁠2015 12:09, Richard Paré a écrit : Bonjour,

Je cherche un appliance de sécurité pour protéger un site Web de la 
manière

suivante :
-⁠ Le site Web fonctionne en HTTP
-⁠ L'appliance de sécurité fait office de reverse Proxy avec d'un côté, 
des

communications chiffrées HTTPS avec les clients et de l'autre des
communications en clair HTTP avec le serveur Web
-⁠ Une inspection de paquets est effectuée et des blocages ont lieux 
sur le

trafic suspect (IPS)

J'ai essayé d'utiliser un Stormshield mais sans succès.
Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les
communications SSL.

Avez vous une suggestion ? (mis à part un Apache avec mod_security ou
autre).

Merci.

-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠
Liste de diffusion du FRnOG
http://www.frnog.org/ [3]

-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠
Liste de diffusion du FRnOG
http://www.frnog.org/ [3]


 -⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠
 Liste de diffusion du FRnOG
http://www.frnog.org/ [3]

Links:
--
[1] http://en.wikipedia.org/wiki/ModSecurity
[2] https://github.com/comotion/VSF#varnish-security-firewall
[3] http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS

2015-04-30 Par sujet Guillaume Tournat
Tout a fait 



Le 30 avr. 2015 à 15:28, Nicolas Gaudin nicolas.gau...@polyconseil.fr a écrit 
:

 Le 30/04/2015 12:09, Richard Paré a écrit :
 Bonjour,
 
 Je cherche un appliance de sécurité pour protéger un site Web de la
 manière suivante :
 - Le site Web fonctionne en HTTP
 - L'appliance de sécurité fait office de reverse Proxy avec d'un côté,
 des communications chiffrées HTTPS avec les clients et de l'autre des
 communications en clair HTTP avec le serveur Web
 
 Le 30/04/2015 12:36, Fabrice Vincent a écrit
 On utilise Cloudflare(.com)
 Leur service fait en même temps reverse proxy (avec SSL si on veut), CDN,
 WAF, et plein d'autres sécurisations et optimisations.
 
 J'ai peut-être loupé un truc mais partir sur du Cloudflare dans le cas du
 besoin exprimé (à savoir http entre le proxy et la plateforme) expose les
 flux en clair entre Cloudflare et la plateforme cible, non?
 
 Nicolas
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS

2015-04-30 Par sujet Fabien V.
Le 30 avril 2015 16:23:27 CEST, Samuel PIRON piron.sam...@neoxis.eu a écrit :
Pour rester sur le coté 'Open-source', il y a le module WAF NAXSI qui 
s'ajoute sur Nginx qui marche pas mal (et c'est codé par une boite 
française !) - https://github.com/nbs-system/naxsi

Sinon, dans le domaine des appliances, j'avais eu l'occasion de voir du

F5 fonctionner. ça avait l'air de bien marcher, mais le prix picote un 
peu...


---
Samuel PIRON

Le 30/04/2015 15:20, Fabrice Vincent a écrit :

 Autant pour moi !
 J'avais souvenir d'un config varnish+ModSecurity 
 (http://en.wikipedia.org/wiki/ModSecurity [1]) mais en fait c'est 
 plutot sur Apache ou nginx que ça s'installe.
 J'ai bien trouvé 
 https://github.com/comotion/VSF#varnish-security-firewall [2] mais 
 est-ce un projet pérenne ???
 
 Bon, bref, pardon pour le bruit. Je sors -⁠
 
 Le 30/⁠04/⁠2015 14:20, Guillaume Tournat a écrit : C'est un reverse 
 proxy et non un WAF.
 Donc aucune sécu comme un Apache ou un Squid ou un Nginx.
 
 Le 30 avr. 2015 à 13:39, Fabrice Vincent 
 f.vinc...@allibert-trekking.com a écrit :
 
 C'est encore moi! ;)
 Pour en revenir à ta demande initiale, pourquoi pas un varnish (ou un

 cluster haproxy/⁠varnish) ?
 Fabrice
 
 Le 30/⁠04/⁠2015 12:09, Richard Paré a écrit : Bonjour,
 
 Je cherche un appliance de sécurité pour protéger un site Web de la 
 manière
 suivante :
 -⁠ Le site Web fonctionne en HTTP
 -⁠ L'appliance de sécurité fait office de reverse Proxy avec d'un
côté, 
 des
 communications chiffrées HTTPS avec les clients et de l'autre des
 communications en clair HTTP avec le serveur Web
 -⁠ Une inspection de paquets est effectuée et des blocages ont lieux 
 sur le
 trafic suspect (IPS)
 
 J'ai essayé d'utiliser un Stormshield mais sans succès.
 Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les
 communications SSL.
 
 Avez vous une suggestion ? (mis à part un Apache avec mod_security ou
 autre).
 
 Merci.
 
 -⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠
 Liste de diffusion du FRnOG
 http://www.frnog.org/ [3]
 
 -⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠
 Liste de diffusion du FRnOG
 http://www.frnog.org/ [3]

  -⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠
  Liste de diffusion du FRnOG
http://www.frnog.org/ [3]

Links:
--
[1] http://en.wikipedia.org/wiki/ModSecurity
[2] https://github.com/comotion/VSF#varnish-security-firewall
[3] http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

La bonne question a se poser : as tu le temps de gérer un waf ? Genre est ce 
que tu maitrises l'appli, ses requêtes et ses variables. 

Si oui, alors il y a des reverse proxy sympa comme beeware et son acolyte dont 
j'ai oublié le nom a cette heure..., avec coupure SSL.

Si non, alors il faut se borner aux attaques connues, et dans ce cas tu as le 
choix en open source (mod_sec, varnish, nginx avec son waf) ou en 
commercial (fortiweb, a10?, f5 avec ltm+asm)

De ton budget et de ta maîtrise de l'application dépendra ton besoin. 
Ne pas oublier de te donner un TPS pour sélectionner ton produit. 

F5 fait ça a merveille (et même le café), mais ça dépend du budget (pique aux 
fesses), de la scalabilite et du niveau de secu recherché 

Équation difficile a résoudre avec le peu de variables données ici.
-- 
Envoyé de mon téléphone Android avec K-9 Mail. Excusez la brièveté.
---
Liste de diffusion du FRnOG
http://www.frnog.org/