Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Les firewalls applicatifs HTTP / WAF

2,439 views

Published on

DANGER. Les chiffres sont éloquents : 90% des applications web sont vulnérables. Et leur nombre ne cesse d'augmenter
de façon drastique. Un article de Sylvain Maret

Published in: Technology
  • Be the first to comment

Les firewalls applicatifs HTTP / WAF

  1. 1. l C O M M U N I C AT I O N La sécurité des applications web Les firewalls applicatifs HTTP DANGER. Les chiffres sont éloquents : 90% des applications web sont vulnérables. Et leur nombre ne cesse d’augmenter de façon drastique. Un article de e-Xpert Solutions. généralement basées sur une vent être mises en œuvre. L’ap- architecture en trois tiers : proche classique consiste à sé- curiser le périmètre, les com- 1. Présentation munications et les systèmes Le premier tiers est responsable d’exploitation qui hébergent les de la présentation des informa- applications web. tions entre le client et le serveur. Cette partie est composée du Sécurité du périmètre – navigateur et d’un serveur web, firewall auxquels s’ajoute généralement Le but de la sécurisation du pé- un générateur de pages (JSP, rimètre est de protéger l’accès ASP, Java Script, HTML, etc.). réseau aux applications web et plus particulièrement au ser- 2. Application veur web frontal (Apache, IIS, Le deuxième tiers est le «mo- IPlanet, etc.). Cette protection teur» de l’application. Il est est généralement mise en place L es problèmes de sécurité responsable de la logique de à l’aide d’un firewall. Son rôle sont incontestablement l’application, du traitement des principal est de filtrer les accès un motif de préoccupa- données, de la prise de déci- et de n’autoriser que les proto- tion, un frein important au dé- sion, etc. Cette partie est géné- coles réseaux nécessaires au ploiement des applications et ralement basée sur une appli- bon fonctionnement de l’appli- services web. Cet article a pour cation serveur (WebLogic, cation web. ambition d’explorer les outils, WebSphere, Jakarta, JBoss, Dans la plupart des cas – s’il classiques ou plus avant-gar- etc.) et a recours à des techno- s’agit d’une application web distes, qui peuvent être mis en logies comme Java, .Net, PHP, publique – le serveur web est œuvre pour réduire tout ces CGI, etc. placé sur une DMZ (zone pu- risques. blique du firewall). Le firewall 3. Données n’autorise alors que le proto- Les applications web Enfin, le dernier tiers assure cole HTTP (port 80), voire le Une application web est une l’interfaçage et le stockage des protocole HTTPS (SSL port application qui n’a besoin que informations nécessaires au 443). Tous les autres sont par du protocole HTTP pour être fonctionnement de l’application contre bloqués. pilotée par un utilisateur. Ce- web. Plusieurs méthodes d’ac- Sécurisation des lui-ci a alors besoin d’un sim- cès peuvent être utilisées, telles communications – SSL ple navigateur web ou d’une que XLM, SQL, JDBC, etc. Dans certains cas, il est néces- application propriétaire utili- Naturellement, il existe des ap- saire de sécuriser l’accès entre sant le protocole HTTP. plications web beaucoup plus le navigateur et l’application La plupart des applications simples, qui ne fonctionnent web. SSL est une solution très web sont accessibles depuis pas sur ce modèle. Elles néces- intéressante à cet égard. Elle Internet. Un grand nombre sitent toutefois autant de pré- offre : d’entre elles se trouvent égale- cautions en termes de sécurisa- la confidentialité, qui permet ment sur des intranets. Or, tion. de chiffrer les communications ceux-ci ne peuvent pas non entre le navigateur et le serveur plus être considérés comme L’approche classique web par des algorithmes cryp- des réseaux sûrs. Différentes manières de proté- tographiques du type 3DES, Les applications web sont ger les applications web peu- RC4, etc. Il devient alors extrê- 58 l 04/03
  2. 2. l C O M M U N I C AT I O N mement difficile pour des «hac- caractères, Back Door, Cookies kers» de déchiffrer les informa- e-Xpert Solutions SA Poisoning, Brute force, Mani- tions transitant sur le réseau; Au bénéfice d'une longue expérience dans les secteurs financier et pulation d’URL, etc. l’intégrité, qui propose un mé- industriel, e-Xpert Solutions SA propose à sa clientèle des solutions canisme capable de détecter «clés en main» dans le domaine de la sécurité informatique des ré- Déploiement d’éventuelles modifications des seaux et des applications. Des solutions qui vont de la sécurité La mise en œuvre d’une solu- d'architecture – tel le firewall, VPN, IDS, FIA, le contrôle de contenu, informations transitant entre le tion de sécurisation des appli- l’antivirus – aux solutions plus avant-gardistes comme la préven- navigateur et le serveur web. Il tion des intrusions (approche comportementale), les firewalls ap- cations web peut s’effectuer de est dès lors très difficile de mo- plicatifs HTTP, l'authentification forte, la biométrie, les architectu- plusieurs façons : difier les informations sans lais- res PKI ou encore la sécurisation des OS Unix et Microsoft et des • installation d’un agent sur le ser de traces; postes clients (firewall personnel). serveur web frontal; l’authentification des commu- • installation d’une machine re- nications. Avec la technologie lais (reverse proxy) devant le des certificats numériques (PKI, l’administration (SecurID, Pourquoi le port 80 serveur web. X509), tout navigateur qui se Token USB, carte à puces, pose-t-il problème? La première approche est in- connecte à un serveur web SSL etc.); Les statistiques le démontrent téressante en termes de coûts, peut obtenir la preuve qu’il est • mise en place de mécanismes largement : la plupart des ap- mais elle est très intrusive. La bien en train de communiquer d’alerte; plications web sont vulnérables seconde offre une architecture avec le serveur de son choix. Le • mise en place de procédures aux attaques applicatives. Ces plus robuste, dans la mesure où certificat numérique permet en de backup; vulnérabilités sont essentielle- la machine relais est pensée effet d’attester l’appartenance • application des patchs de sé- ment dues à des failles dans pour être très sécurisée. d’un site web à telle ou telle so- curité; leurs différents composants lo- ciété. A noter que ce mécanisme • etc. giciels. Un «hacker» a dès lors Nécessaire propose une authentification à Afin de garantir l’intégrité tout loisir d’exploiter ces mais pas suffisant sens unique : l’utilisateur peut des systèmes d’exploitation, il failles par l’intermédiaire du Encore trop d’entreprises pen- authentifier le serveur web, peut s’avérer très utile de met- protocole HTTP (port 80/443). sent que dès lors qu’elles ont mais pas l’inverse. tre en œuvre une solution de Le firewall classique n’est mis en place un firewall clas- Avec SSL, il est toutefois contrôle d’intégrité. Il s’agit donc pas en mesure de bloquer sique, elles sont à l’abri de me- possible de disposer de l’au- alors de surveiller, grâce à des de telles attaques. naces externes. Certes, le fire- thentification mutuelle. Cela si- mécanismes de signature digi- wall classique est un élément gnifie que le serveur web peut, tale, les fichiers sensibles. La Quelle solution? nécessaire. Il ne peut cependant lui aussi, identifier avec certi- technologie FIA (File Integrity Le firewall applicatif HTTP protéger, à lui seul, les applica- tude la personne utilisant le na- Assesment) – dont le produit le Une autre solution consiste à tions web. Il est dès lors re- vigateur. Pour cela, il est néces- plus utilisé est Tripwire – per- protéger les applications web commandé, pour sécuriser vos saire de délivrer un certificat met de déceler le moindre des attaques externes. Cette applications web stratégiques, numérique à l’utilisateur lui- changement intervenant sur une protection se comporte comme de recourir à un firewall appli- même. Le certificat sera alors machine. Elle est ainsi très effi- un firewall classique, à cette catif HTTP. l utilisé par le navigateur web. cace pour détecter et lutter différence près qu’elle se contre les intrusions (technolo- concentre exclusivement sur le Sylvain Maret Sécurisation des systèmes gie IDS). protocole HTTP et son contenu Directeur d’exploitation – FIA (XML, SOAP, HTML, etc.). veille technologique Malgré la multiplication des fi- Limites de l’approche Cette technologie, appelée fire- e-Xpert Solutions SA rewalls, il est entré dans les classique – le port 80 wall applicatif HTTP, est à mœurs de sécuriser les systè- L’approche classique est néces- même de filtrer toutes les re- Contact : e-Xpert Solutions SA mes d’exploitation qui héber- saire, mais elle ne répond pas au quêtes HTTP, de manière à ne Route de Pré-Marais 29 gent les applications web et principal problème de sécurité laisser passer que les informa- 1233 Bernex plus particulièrement le ser- des applications web. En dépit tions nécessaires et considérées Tél : +41 22 727 05 55 veur web. Qu’il s’agisse d’une de tous les mécanismes mis en comme non dangereuses. Il est info@e-xpertsolutions.com plate-forme Unix/Linux ou place, il est nécessaire de laisser ainsi possible de se prémunir http://www.e- Windows, l’approche reste la le port 80 ou 443 traverser le fi- contre des attaques de type : xpertsolutions.com même. rewall pour atteindre le serveur Buffer Overflow, Directory L’idée est de blinder l’OS. web frontal. Dans ce cas, le rôle Traversal, Cross Site Scripting Différentes mesures peuvent du firewall est donc d’autoriser (XSS), SQL Injection, Meta être prises à cet effet : ou non le port 80 ou 443. Il n’est • restriction des services, blin- toutefois pas en mesure d’analy- Article paru dans IB com, avril 2003 dage du «stack» IP; ser les informations transportées • sécurisation de la méthode par le protocole. Cela revient à d’administration (SSH, Re- laisser des camions passer la mote contrôle sécurisé); douane sans regarder le contenu • authentification forte pour de leur cargaison! 04/03 l 59

×