Rétrospective SecurityVibes : le pare-feu web Jerome Saiz le 27 décembre 2010 à 18h10, dans la rubrique Produits & Technologies Commentaires fermés sur Rétrospective SecurityVibes : le pare-feu web applicatif webapplication webinjection sqlowaspreverse proxyweb application firewall Quelles sont les menaces spécifiques aux applications web ? Comment bien choisir son pare-feu applicatif web (WAF) ? Un reverse proxy applicatif dispense-t-il vraiment de corriger ses serveurs ? Et quelles fonctionnalités offrent les WAF actuels ? Voici quelques unes des questions qui reviennent souvent lorsque l’on aborde le thème du filtrage applicatif web. Cette rétrospective thématique a pour but d’y répondre à travers des articles, des discussions et des interviews déjà publiés dans les colonnes de SecurityVibes. Parce que si les technologies vieillissent mal, les questions de fond, elles, gardent toutes leur fraîcheur ! Les menaces web, d’abord, avec un article paru en septembre 2009 à l’occasion du troisième petit-déjeuner thématique de SecurityVibes. L’on y apprend notamment qu’avant même de se poser la question de la sécurité des applications web se pose celle de leur recensement : impossible de sécuriser ce dont on ignore jusqu’à l’existence ! Or bon nombre de RSSI avouent rencontrer les plus grandes difficultés à recenser précisément l’ensemble de leurs applications web. En cause notamment : les initiatives débridées du service marketing ou les mini-sites éphémères conçus par une agence externe, par exemple. Lire le billet original Le WAF lui-même, ensuite. D’abord avec un billet daté de 2008 qui détaille quelques critères d’achat essentiels en la matière. Faire la différence entre les modèles de sécurité positifs et négatifs (blacklist / whitelist), se pencher sur la prise en charge de SSL, des certificats existants, des diverses méthodes d’authentification supportées… les conseils n’ont finalement pas vraiment vieillis ! Et en prime les commentaires à la suite de ce billet permettent de découvrir le Web Application Firewall Evaluation Criteria, une initiative de l’OWASP qui vise à fournir une série de critères essentiels que tout bon WAF se devrait de remplir. A soumettre à son fournisseur sans modération. Lire le billet original Du côté des discussions entre les membres de SecurityVibes, le sujet du pare-feu applicatif fait également couler beaucoup d’encre. « Quel est le meilleur WAF ? » demande un RSSI dans l’espace privé CSO Interchange. Parmi les nombreuses réponses de ses pairs l’on découvre des critères intéressants qui n’apparaissent pas dans notre billet daté de 2008. La prise en charge des Services Web, des technologies telles Ajax ou XML-RPC, de son comportement vis-à-vis des réécritures d’URL ou de sa capacité à fonctionner avec un IPS, par exemple, témoignent de la nécessaire évolution des WAF face à celle des technologies web. Accéder à la discussion « Du WAF en reverse proxy ? », demande un autre membre ? La discussion présente alors les mérites du reverse proxy en matière de protection des applications web (capacité à corriger des applications difficilement corrigibles autrement, fonction de partage de charge, prise en charge des opérations cryptographiques à la place des serveurs, etc…). Mais elle n’ignore pas pour autant ses contraintes, et notamment sa configuration, qui exige l’implication d’équipes aux profils très différents (notamment les métiers, pour les particularités de l’application à protéger, et le réseau, pour comprendre le trafic). Toujours au chapitre des contraintes un membre parle d’expérience en faisant la liste des impératifs d’une mise en oeuvre sérieuse : « des environnements de test, d’homologation et de production« , conseille-t-il par exemple. Ou encore la nécessité des tests de non-régression a chaque modification des règles du pare-feu web. Enfin plusieurs excellentes réponses détaillent notamment la mise en oeuvre d’une telle solution. Accéder à la discussion Liste noire ou liste blanche ? C’est la question que nous posions à l’occasion d’un court billet consacré au parallèle entre les anti-virus et les pare-feux applicatifs. Une présentation lors de la conférence AppSec Europe 2009 venait de démontrer alors comment la seule approche à base de signatures (la liste noire, donc) est insuffisante si le pare-feu ne procède pas à une excellente normalisation des requêtes à traiter. D’après les chercheurs à l’origine de cette présentation l’option de la liste blanche est certes beaucoup plus efficace mais également plus complexe à mettre en oeuvre dans un environnement de production, ce qui en limite parfois l’intérêt. Lire le billet original Les WAF, finalement, sont-ils vraiment utiles ? Ce sera mot de la fin de cette première rétrospective SecurityVibes, avec Patrick Chambet, architecte sécurité chez Bouygues Telecom. Nous lui avons posé la question en vidéo lors des dernières Assises de la Sécurité. D’après Patrick Chambet le WAF est non seulement utile mais il a surtout su évoluer au delà du seul filtrage des requêtes web, pour proposer notamment des fonctionnalités de passerelle XML, d’authentification, de chiffrement voire même de journalisation des sites web, ce qui assure son intérêt au sein des architectures modernes. Voir la vidéo Vous avez aimé cet article? Cliquez sur le bouton J'AIME ou partagez le avec vos amis! Notez L'article Participez ou lancez la discussion!