Salut à tous,
 
Je voulais savoir si quelqu'un avait une idée d'une protection que je pourrais utiliser pour protéger mes sites sous Apache/Linux ?  
 
En fait j'aimerais pouvoir voir et controler toutes les attaques web possible SQL Injection, XSS, Escape shell...
 
J'ai essayé mod_security, mais le problème c'est qu'il n'est suffisant et pas mal de failles passe encore.  
 
Des idées donc ?

c'est pour un environnement professionnel ? Quel budget ?

drapal

Environnement professionel ... oui.
Quel budget ... pas beaucoup (du libre ca serait bien)  
 
Puis si c'est un produit au sens commercial du terme j'aimerais l'essayer avant.

drapal ??? c'est quoi ?

Il y a des appliances : netScaler qui sont des load balancer/cache/commutateurs niveau 7 qui contient un IDS intégré ainsi qu'une protection contre le DDOS HTTP, les requetes mal formées etc... prévoir plusieurs dizaines de milliers de dollars pour les plus performantes, je sais pas combien coutent les petits modèles...

Deja de l'appliance ne m'interesse pas dutout pour plusieur raisons :
- Je suis limité en place (j'ai 10 machines en datacenter).  
- Je n'ais absolument pas envie de mettre une machine intermédiaire entre mes serveurs Apache/database et mon routeur.
- J'ai deja un loadbalancer.
- Je n'ais pas besoin de système de cache.
- J'ai beaucoup de session SSL.
 
Et puis mettre plus de $1500 pour une protection de sites c'est beaucoup et je vais me faire rejeter à coup sûr par la direction :s
 
En bref une solution logiciel serait le top.
Je continue à chercher sur le web tiens moi au jus si tu as d'autre des idées.
 
merci

Le netscaler est à la base un accélrateur SSL En fait c'est une appliance tout-en-un, et c'est la seule aujourd'hui qui offre la protection DDOS HTTP.
 
je suis désolé, mais pour des équipements dédiés à la protection des couches supérieures, tu ne trouveras que des équipements propriétaires (Cisco, NetScaler...) très chers.

Accélerateur SSL ? Comment il peut accélérer si il doit désassembler les packets SSL pour en connaitre le contenu et le réassembler pour le renvoyer ?
 
Très franchement ma problèmatique c'est pas le DDOS c'est les applications totalement buggy que ma boite utilise et que je dois coller tout plein de rustine de partout @#!
 

 
Je ne veux pas d'équipement dédiés justement

ben alors je pense que ton problème est insoluble
 
pour l'accélération SSL; cela fonctionne de la manière suivante : c'est l'appliance qui est en front side du ou des serveurs qui se charge de la terminaison des sessions SSL. Le problème des performances avec du SSL n'est pas le nombre de sessions simultanées mais le "taux d'arrivage" car on doit jouer les handshakes : un équipement comme NetScaler peut absorber je crois jusqu'à 10000 nouvelles sessions SSL par seconde. Derrière l'appliance, soit le trafic passe en clair, soit on recrypte, mais dans ce dernier cas; la charge pour le serveur est négligeable car il a juste une seule session à maintenir au lieu de x milliers. Pour info, NetScaler est utilisée sur amazon.com et MSN Messenger (l'authentification se fait en https).
 
voilà voilà.

Heu si quand même puisque si connexion SSL il y a alors decryptage, analyse et réassemblage il y a aussi.
 

Sans vouloir te vexer je doute que cela soit possible dans une gamme de prix résonable. Je connais un produit appliance qui fait de la protection Web grace à un moteur d'intelligence artificiel et qui annonce gêrer pas plus de 1024 requêtes SSL par secondes et c'est sur du sparc (je crois) et la boite c'est BeeWare ( http://www.bee-ware.net/ )  
 
... Le problème encore là c'est que c'est de l'appliance et c'est pas dutout dans mes budgets.

oui, mais c'est bien le jeu des handshake SSL à l'ouverture de la session qui est le plus couteux en ressources

c'est là tout le coeur du problème : le prix. Les 10000 sessions SSL/seconde annoncées sont pour le plus gros modèle; qui doit couter au moins plus de 40000 $. Par contre il y a des NetScaler lorsque tu vas faire ta déclaration d'impot, et ça tient parfaitement la charge alors que l'appliance doit gérer 300 000 sessions TCP simultanées (dont un bon nombre qui sont du https) je le sais dans ce cas là, c'est moi qui fait l'admin des équipements
 
Sinon pour ton problème, un IDS embarqué sur un serveur serait approprié, style Cisco Security Agent / Proventia Desktop, renseigne toi pour savoir si ça correspond bien à tes besoins, je connais peu ce genre de produits

Wow $40000 pour 10000 session SSL ! Effectivement
Juste une question pourquoi tu defend autant NetScaler ? Parceque dans mes recherches j'en ai vu plein d'autres, Kavado, Sanctum, Teros, Intelliwall, NetScreen, Symantec NetSensor (je crois) etc....
 
Ce soir je vais continuer mes recherches, j'ai trouvé quelques pistes je vous dit demain.

Hum, je défends pas vraiment NetScaler, c'est juste celle que je connais le mieux. De toutes manières, dans les concepts, tous les produits pour faire du cache et du load balancing sont identiques.
 
Dans le petit monde des load balancers, les deux leaders sont NetScaler et F5 (F5 est devant d'ailleurs en terme de marché). Ce que j'aime bien avec le NetScaler, c'est le fait qu'il soit bourré de petits gadgets assez orientés sécurité (l'ids intégré etc...) qui font que l'appliance est plus qu'un simple cache/load balancer/accélérateur SSL.
 
Pour avoir eu l'occasion de l'utiliser quelques fois, le produit à l'air super, il vient d'être racheté par Citrix d'ailleurs

Resalut à tous,
 
Bon hier j'ai trouvé 3 solutions de firewall web applicatif :
- DotDefender / Applicure - http://www.dotdefender.com/
- Binarysec WAF - http://www.binarysec.com/
- NGSec NGSecureWeb - http://www.ngsec.com/
 
J'ai pu essayer DotDefender et Binarysec WAF. J'ai pas reussi à faire fonctionner NGSecureWeb.  
 
Concernant DotDefender, après l'installation (relativement simple) j'ai essayé d'attaquer un site avec des failles de type XSS et Escape Shell et là rien de détecté :s En fait je me suis appercu qu'il fonctionné par signature :-(
 
Ensuite, j'ai essayé Binarysec WAF. Ca s'installe facilement ca détecte bien mes serveurs Apache et il y a une interface d'admin. Par contre aussi j'ai essayé des attaques comme sur DotDefender et ca me les a repèrées (j'ai aussi eu quelque faux positifs).
Le seul souci c'est qu'il est en version Beta et que je ne connais pas le prix.
 
Binarysec waf semble être pas mal je vais continuer à voir ailleur on vera.
 
Avis aux amateurs...

Re,
 
J'ai fini mes tests et tout ce que je peux dire c'est que la solution de Binarysec est la meilleur !  
dreamer18 tu devrais l'essayer c'est vraiment bleufant. Les mecs annonce une installation en 15 min et c'est le cas, tout le soft est webizé alors ca rend super simple l'utilisation. J'ai essayé quelque requête pourrit et elles ont été correctement vue ! Quand un serveur apache est connecté tu peux voir en temps réel les vhost de disponible et tu peux les sécurisés un par un. Il y a 2 modes pour les sites, le mode alerte (la requete est détectée mais elle n'est pas arrêté) et le mode blocage (la requete est détectée et tu mange un gros 406 not acceptable comme avec mod_security).
 
C'est vraiment dommage que le soft soit en Beta pour le moment... et je ne sais toujours pas le prix, je vais essayé de contacter une personne la bas...

Tu as le mod_evasive pour les attaques DDoS.

Wai il faudra que je check cette histoire de DDoS pour le moment j'ai jamais vraiment eu de DDoS sur mes machines.
 
Mon gros problème sont toutes ces failles SQL, escape shell et autre... Je m'occupe de sites adulte en fait, et c'est simplement l'allu le nombre d'attaque qu'a remonté Binarysec en même pas 2 heures (126 au moment ou j'ecris ce post). Et c'est pas du false positif je suis sur que si je cherche un peut je peux trouver des rootkit http.

Commencer par un chroot ça coute rien, c'est toujours ça de pris.