Friday 10 July 2009
In Brief  Botnets Versus The US Government

Wednesday 8 July 2009
Article  Security Awareness Initiatives: Top Lessons Learned From CISOs Part Two

Wednesday 8 July 2009
Video  Barclays Security Awareness Videos

Tuesday 7 July 2009
Audio Podcast  Cloud: Outsourcing Security Into the Cloud

Tuesday 7 July 2009
Article  E-Commerce Sites & Remote SSL-VPN Sessions Still Easily Hijacked

Monday 6 July 2009
Article  July 4th Weekend Attack Infecting Windows 2000 and Windows XP Systems

Monday 6 July 2009
In Brief  Does The Uk Government Engage In CyberWarfare

Monday 6 July 2009
Article  Free Anti-Virus Software – Good or Bad?

Monday 6 July 2009
Article  The Rise of Appliance Based Security

Friday 3 July 2009
In Brief  Facebook Trying to Become More Acceptable to Organisations

Friday 3 July 2009
Video  Professor Howard Schmidt: The Readiness of Cloud Computing

Wednesday 1 July 2009
Audio Podcast  James Gay, CISO for Travelex: Educating Staff

Wednesday 1 July 2009
Article  Security Awareness Initiatives: Top Lessons Learned from CISOs

Wednesday 1 July 2009
In Brief  Spammers, Phishers and Malware Creators Prey on Michael Jackson’s Death

Tuesday 30 June 2009
Video  Julia Harris, Head of BBC Security: Invisible Security Part 2 of 2

Written by Leif Kremkow (Qualys Technologies)
Published on Thursday 14 August 2008
4 comment(s) | Subnetwork France

Si vous ne savez pas tout sur les attaques menées contre les applications Web, ces dernières ont été abordées en détail dans un précédent article disponible ici. En outre, le projet OWASP (Open Web Application Security Project) offre une profusion d'informations pédagogiques sur la sécurité des applications Web sur son site Web, notamment sur les 10 attaques contre les applications Web les plus répandues. Les firewalls pour applications Web sont très bien pour prévenir les attaques là où les firewalls réseau et les systèmes de détection/prévention des intrusions cesses d'être efficaces : attaques de type XSS, injections de code SQL et attaques contre les failles dans la logique applicative ou les vulnérabilités techniques des logiciels.

De plus, la sécurité des applications Web attire l'attention des autorités chargées de la réglementation. A noter aussi qu'une mise à jour de la norme PCI DSS (Payment Card Industry Data Security Standard), effective depuis juin 2008, exige de sécuriser les applications Web via l'analyse du code ou des firewalls WAF.

Avant de franchir le pas et d'adopter un firewall WAF, il y a plusieurs choses que vous devez comprendre et prendre en compte pour être certains de choisir celui qui correspond à vos besoins et à ceux de votre entreprise :

Les deux principales architectures WAF. Il s'agit des modèles de sécurité négatif et positif. Le modèle de sécurité négatif autorise par défaut toutes les transactions. Seules les transactions contenant des attaques sont rejetées. Basé sur une signature, ce type de firewall WAF détecte les attaques en exécutant des correspondances de définitions. Et, comme c'est le cas avec les logiciels antivirus et les systèmes de prévention des intrusions (IPS), la vitesse, la qualité et la quantité de mises à jour des signatures publiées par le fournisseur sont cruciales.

Pour ce qui est du modèle de sécurité positif, le firewall WAF refusera toutes les transactions par défaut et s'appuiera sur les ensembles de règles pour autoriser les seules transactions réputées fiables. Cette méthode exigera du firewall une activité d'« apprentissage » non négligeable pour détecter les transactions légitimes. Pour le firewall WAF fonctionnant de la sorte, il est important de savoir s'il prendra en charge les mises à jour automatiques pour son modèle de comportement applicatif, sans devoir le former à nouveau lors de chaque mise à jour. En outre, il convient de s'intéresser aux techniques de normalisation qu'il utilise afin que des pirates ne puissent pas esquiver votre firewall en modifiant tout simplement une charge utile malveillante afin qu'elle semble inoffensive.

Les firewall WAF ne se substituent pas aux analyses du code. Cependant, il ne faut pas oublier que les firewalls WAF complètent, sans pour autant les remplacer, les analyses complètes du code de sécurité. Les firewalls WAF ne sont pas parfaits et peuvent tomber en panne. Par conséquent, tous les logiciels doivent être développés et endurcis correctement. Pour les logiciels commerciaux, cette démarche comprend l'évaluation du logiciel à l'aide d'un scanner d'applications Web ainsi qu'une analyse complète du code de sécurité de toutes les applications développées à façon. Une erreur de configuration, une signature qui ne fonctionne pas ou une attaque Zero Day peut créer une faille dans laquelle les pirates vont s'engouffrer.

Secure Socket Layer (SSL). L'un des points les plus importants, en particulier pour les commerces en ligne ou toute personne ayant un site sensible, est la manière dont le firewall WAF que vous choisirez gérera SSL. Dans la mesure où le trafic SSL est généralement déchiffré par le serveur Web, le firewall WAF devra être capable de déchiffrer le trafic SSL pour vérifier si les données utiles comportent un quelconque contenu nuisible. Si votre firewall WAF ne peut pas faire cela, son utilité s'en verra grandement limitée. En règle générale, les firewalls WAF peuvent prendre en charge SSL comme suit :

1. L'opération de déchiffrement SSL migre du serveur Web vers le firewall WAF. Ce dernier inspecte les données et ne transmet que les bonnes requêtes au serveur Web.

2. Le firewall WAF est en quelque sorte intégré au serveur Web ou fournit des « crochets » que le serveur Web peut appeler après le déchiffrement des données. Le firewall WAF peut ensuite vérifier la validité de chaque requête.

Le firewall WAF prendra-t-il en charge vos protocoles et technologies d'authentification ? Supportera-t-il HTTP/0.9, HTTP/1.0 et HTTP1.1 ? Peut-il gérer une authentification de base, une authentification Digest, des certificats SSL clients ou une authentification bifactorielle ? Il ne faut jamais se laisser piégé par un firewall WAF qui ne prendrait pas en charge les certificats ou les protocoles nécessaires.

Analyse scientifique. Le firewall WAF est-il capable de consigner les connexions tant valides que non valides ainsi que les tentatives de connexion ? Peut-il supprimer des journaux les données sensibles telles que les informations personnelles concernant les clients en ligne et les données de carte de crédit ? Vous aurez besoin de ces fonctionnalités pour vos propres analyses, en plus de devoir vous conformer à la réglementation du marché et administrative.

Encombrement. Le firewall WAF est-il fourni en tant qu'appliance avec un matériel optimisé/spécialisé pour améliorer les performances ou s'agit-il d'une solution exclusivement logicielle qui peut s'installer su un ordinateur générique ? Même si les firewalls WAF logiciels sont généralement moins chers, la plupart du temps ils n'offrent pas le débit nécessaire pour les applications exigeantes. Même s'il est crucial de comparer le prix par rapport aux performances fournies pour une quelconque technologie, ce critère est encore plus vital lors de la sélection d'un firewall WAF. De plus, il vous faudra tenir compte de critères tels que le nombre maximum de nouvelles connexions/le débit/les connexions simultanées/la latence des requêtes.

La sécurité des applications Web est une science complexe si bien que le choix du bon firewall WAF mérite une réflexion approfondie. Mais avoir au final la garantie d'être protégé contre un nombre croissant d'attaques contre les applications Web justifie pleinement l'effort fourni.