Par Kaloyan Lazarov
Ingénieur Réseau et Sécurité chez Neywork
CONTEXTE
Qu’est-ce qu’un WAF ?
Les Web Application Firewalls (WAF) sont des pare-feux conçus pour protéger les applications web des attaques de différents types. Leur principale fonction est l’inspection des requêtes HTTP et HTTPS avant qu’elles ne soient traitées par le serveur backend hébergeant les applications web. Cette fonction est d’autant plus critique aujourd’hui car les failles des applications web sont l’entrée privilégiées des attaquants.
Pour mieux comprendre la protection offerte par les WAF, il faut d’abord connaître les deux grandes familles d’attaques possibles contre les applications web.
La première catégorie est l’injection SQL (SQLi) qui exploite les vulnérabilités des bases de données nécessaires au fonctionnement d’une application. L’origine du risque est souvent une requête injectée depuis une zone de l’application destinée à la saisie de texte, par exemple les champs d’authentification utilisateur ou de recherche. Un attaquant vise à saisir des requêtes SQL qui seront ensuite interprétées par la base de données, ainsi lui permettant de contourner l’authentification, d’usurper l’identité d’un utilisateur légitime ou même de supprimer une table entière de la base.
Nous avons ensuite la famille d’attaques Cross-site Scripting ou encore appelée XSS. Le principe de cette attaque repose sur l’injection de script malveillant dans le code HTML pendant le chargement de la page. Contrairement aux injections SQL, le XSS ne vise pas le serveur directement mais le client pour lui soutirer des informations en se faisant passer pour une page web légitime.
Maintenant que nous avons une idée plus claire sur les attaques, nous allons explorer comment les WAF comblent les vulnérabilités des applications web. Prenons l’exemple des WAF Signal Sciences. En plus d’inspecter les requêtes HTTP/HTTPS, les pare-feux de Signal Sciences étudient le comportement des applications pour décider de la légitimité du trafic. Ces comportements, ou « signaux », contiennent non seulement la requête mais aussi des informations comme la source, la destination, la date de la requête et bien d’autres pour analyser plus en détail la validité de la transaction entre le client et le serveur applicatif.
Toute cette analyse nécessite, bien entendu, une capacité de calcul que seul un service Cloud peut fournir.
Mais quelle est la différence entre les WAF Signal Sciences et les firewalls nouvelle génération qui fournissent des fonctionnalités similaires ?
Tout simplement, les WAF illustrés dans cet article se distinguent en évitant de s’appuyer sur les signatures des applications, ainsi réduisant les risques potentiels de faux positifs ou, pire encore, de faux négatifs. Si la signature de notre application est trop générale, elle peut être valide mais détectée comme une attaque et nous rentrons dans le cas du faux positif. A l’inverse, une signature trop spécifique peut laisser à un attaquant l’opportunité de faire des changements dans les signatures pour éviter la détection par le WAF.
CHALLENGE
Les problèmes récurrents des WAF
Les limitations des équipements réseaux et sécurité qui fonctionnent au niveau de la couche 7 ne sont pas si évidents au premier regard. De plus, les équipementiers ont tendance à inclure un maximum de fonctionnalités dans un seul produit. Par exemple, certains clients peuvent penser qu’ils ont un WAF du constructeur F5, connu pour ses équipements de sécurité, alors qu’en réalité, ils disposent d’un load balancer qui est destiné à un tout autre usage. D’autre part, les load balancers, comme ceux proposés par Kemp, disposent d’options WAF qui ne sont que rarement activées.
La plupart des WAF présentent tout de même certains inconvénients. Le premier est qu’ils ont du mal à se distinguer, souvent à cause d’une mauvaise compréhension de la part des administrateurs.
Le deuxième challenge à relever est la compatibilité avec les applications web.
En effet, une application web est un ensemble de modules assurant chacun une fonction spécifique. Un WAF peu optimisé peut rentrer en conflit avec certains modules. C’est d’autant plus probable avec des applications web « legacy ».
D’autre part, les WAF sont souvent présentés comme des équipements qui doivent être physiquement déployés dans les environnements existants. Cette approche freine l’évolutivité de la solution, contient souvent des coûts cachés liés aux licences et nécessite des ressources dédiées. En outre, elle est parfois difficile à intégrer dans une infrastructure existante, même impossible dans les applications Cloud qui sont la tendance majeure aujourd’hui.
Tous ces défis poussent la majorité des responsables de la sécurité informatique à limiter l’utilisation des WAF.
MISSION
Mettre en place un WAF next-gen fonctionnel rapidement
Pourtant, cela ne devrait pas être le cas ! Reprenons l’exemple de Signal Sciences pour explorer comment cette solution répond aux challenges évoqués précédemment.
Tout d’abord, c’est une solution qui a un but bien précis. C’est un WAF dédié au lieu d’être packagé dans un produit. Nous savons ainsi exactement ce qui doit être déployé et éliminons toute confusion (surtout, pas de coûts cachés).
Plus important encore, nous allons comprendre comment Signal Sciences a réussi à palier au défi de compatibilité. La majorité des WAF valide les requêtes en faisant uniquement de l’analyse d’expressions régulières (regex). Signal Sciences pousse l’analyse en utilisant des « tokens » à la place. Chaque token correspond à une transaction entre le client et le serveur web et sont à l’origine de l’analyse par signaux plutôt que l’analyse par regex. Si toutefois un ingénieur est plus à l’aise avec le filtrage par expression régulière, la possibilité de rester en mode « legacy » est toujours présente. Ainsi, la compatibilité avec les applications web n’est pas compromise et les conflits sont écartés.
L’intégration fluide avec les applications web et la performance de la sécurité fournie n’étant pas le seul objectif, la supervision est également un des objectifs majeurs de Signal Sciences. Leurs WAF sont conçus pour remonter des indicateurs directement auprès des outils dédiés au monitoring tels que Centreon.
C’est un double avantage : exploiter ce qui existe déjà dans l’infrastructure des entreprises et centraliser les canaux de remontée d’information.
Nous abordons maintenant les options de déploiement. Signal Sciences a développé sa solution pour qu’elle puisse être déployée « on premise » ou dans le Cloud. Ce déploiement se fait par des agents WAF qui sont installés dans les machines virtuelles ou dans les conteneurs.
Ainsi, l’évolutivité est garantie à la fois pour un hébergement applicatif local et pour celui du Cloud. Quant à la consommation de ressources des agents, une seule CPU est nécessaire.
RÉSULTAT
Neywork vous accompagne à implémenter un WAF performant dans n’importe quel environnement et à un prix compétitif
Neywork recommande donc les WAF Signal Sciences pour la protection des données exposées sur Internet.
Pour rassurer les experts sécurité concernant la performance de cette solution que nous appuyons, 95% des entreprises qui ont déployé les WAF Signal Sciences les utilisent en mode « full blocking » après un temps de déploiement record (moins d’une heure !). Nos ingénieurs sont présents pour vous accompagner dans le déploiement et l’implémentation des agents WAF dans votre infrastructure.
