[FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Bonjour, Je cherche un appliance de sécurité pour protéger un site Web de la manière suivante : - Le site Web fonctionne en HTTP - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des communications chiffrées HTTPS avec les clients et de l'autre des communications en clair HTTP avec le serveur Web - Une inspection de paquets est effectuée et des blocages ont lieux sur le trafic suspect (IPS) J'ai essayé d'utiliser un Stormshield mais sans succès. Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les communications SSL. Avez vous une suggestion ? (mis à part un Apache avec mod_security ou autre). Merci. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Bonjour, Je cherche un appliance de sécurité pour protéger un site Web de la manière suivante : - Le site Web fonctionne en HTTP - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des communications chiffrées HTTPS avec les clients et de l'autre des communications en clair HTTP avec le serveur Web - Une inspection de paquets est effectuée et des blocages ont lieux sur le trafic suspect (IPS) J'ai essayé d'utiliser un Stormshield mais sans succès. Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les communications SSL. Avez vous une suggestion ? (mis à part un Apache avec mod_security ou autre). Merci. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
FortiWeb de Fortinet Existe en appliance physique ou en VM Correspond au besoin. > Le 30 avr. 2015 à 12:09, Richard Paré a écrit : > > Bonjour, > > Je cherche un appliance de sécurité pour protéger un site Web de la manière > suivante : > - Le site Web fonctionne en HTTP > - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des > communications chiffrées HTTPS avec les clients et de l'autre des > communications en clair HTTP avec le serveur Web > - Une inspection de paquets est effectuée et des blocages ont lieux sur le > trafic suspect (IPS) > > J'ai essayé d'utiliser un Stormshield mais sans succès. > Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les > communications SSL. > > Avez vous une suggestion ? (mis à part un Apache avec mod_security ou > autre). > > Merci. > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
On utilise Cloudflare(.com) Leur service fait en même temps reverse proxy (avec SSL si on veut), CDN, WAF, et plein d'autres sécurisations et optimisations. Faire la même chose qu'eux à la mimine ou avec une box ça va couter beaucoup plus cher (surtout comparé à leur plan gratuit, déjà très bien...) juste mon avis. ;) Fabrice Le 30/04/2015 12:09, Richard Paré a écrit : Bonjour, Je cherche un appliance de sécurité pour protéger un site Web de la manière suivante : - Le site Web fonctionne en HTTP - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des communications chiffrées HTTPS avec les clients et de l'autre des communications en clair HTTP avec le serveur Web - Une inspection de paquets est effectuée et des blocages ont lieux sur le trafic suspect (IPS) J'ai essayé d'utiliser un Stormshield mais sans succès. Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les communications SSL. Avez vous une suggestion ? (mis à part un Apache avec mod_security ou autre). Merci. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Le 30/04/2015 12:35, Fabrice Vincent a écrit : > On utilise Cloudflare(.com) Et au passage tu abandonnes toutes tes données à la NSA (c'est un choix, mais il ne faut juste pas l'oublier). La "sécurité SSL" devient alors trompeuse pour tes utilisateurs qui pensent leur canal de communication sûr, alors qu'en fait, il ne l'est pas tant que ça puisqu'un tiers inconnu intercepte les données de façon opaque sur le chemin... Sans parler du fait que ce genre de pratique contribue à faire de Cloudflare et des CDN "grand public" des points de concentration de trafic importants sur Internet, ce qui n'est pas très bon en terme d'architecture (même si c'est plus ou moins réparti). > Faire la même chose qu'eux à la mimine ou avec une box ça va couter > beaucoup plus cher (surtout comparé à leur plan gratuit, déjà très bien...) Certes, mais c'est une garantie d'indépendance et de sécurité (à condition que l'éditeur de l'appliance ne soit pas américain, chinois, ou même français bientôt). Josselin Lecocq Quantic Telecom Le 30/04/2015 12:35, Fabrice Vincent a écrit : > On utilise Cloudflare(.com) > Leur service fait en même temps reverse proxy (avec SSL si on veut), > CDN, WAF, et plein d'autres sécurisations et optimisations. > Faire la même chose qu'eux à la mimine ou avec une box ça va couter > beaucoup plus cher (surtout comparé à leur plan gratuit, déjà très bien...) > > juste mon avis. ;) > Fabrice > > Le 30/04/2015 12:09, Richard Paré a écrit : >> Bonjour, >> >> Je cherche un appliance de sécurité pour protéger un site Web de la >> manière >> suivante : >> - Le site Web fonctionne en HTTP >> - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, >> des >> communications chiffrées HTTPS avec les clients et de l'autre des >> communications en clair HTTP avec le serveur Web >> - Une inspection de paquets est effectuée et des blocages ont lieux >> sur le >> trafic suspect (IPS) >> >> J'ai essayé d'utiliser un Stormshield mais sans succès. >> Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les >> communications SSL. >> >> Avez vous une suggestion ? (mis à part un Apache avec mod_security ou >> autre). >> >> Merci. >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Le 30/04/2015 12:50, Josselin Lecocq a écrit : Le 30/04/2015 12:35, Fabrice Vincent a écrit : On utilise Cloudflare(.com) Et au passage tu abandonnes toutes tes données à la NSA (c'est un choix, mais il ne faut juste pas l'oublier). La "sécurité SSL" devient alors trompeuse pour tes utilisateurs qui pensent leur canal de communication sûr, alors qu'en fait, il ne l'est pas tant que ça puisqu'un tiers inconnu intercepte les données de façon opaque sur le chemin... Certes. Mais une appliance (physique ou virtuelle) peut avoir des backdoors... Reste la solution de l'open source. Pas infaillible non plus (cf HeartBleed etc.) mais avec quand même beaucoup plus de visibilité. Sans parler du fait que ce genre de pratique contribue à faire de Cloudflare et des CDN "grand public" des points de concentration de trafic importants sur Internet, ce qui n'est pas très bon en terme d'architecture (même si c'est plus ou moins réparti). ça c'est ce qui m’embête le plus... En même temps avec le anycast massif, ça fait beaucoup de traffic passant par cette AS mais ça reste local à chaque POP. Je suppose que c'est pas pire que la concentration passant par les gros transitaires ou les GIX ? Faire la même chose qu'eux à la mimine ou avec une box ça va couter beaucoup plus cher (surtout comparé à leur plan gratuit, déjà très bien...) Certes, mais c'est une garantie d'indépendance et de sécurité (à condition que l'éditeur de l'appliance ne soit pas américain, chinois, ou même français bientôt). Avec une solution externe, qu'elle soit une appliance ou une offre SaaS, de fait on dit adieu l'indépendance, non ? Par ailleurs, un constructeur/éditeur n'ayant pas d’intérêt aux USA ou en chine, ça limite les choix et ça n'est probablement qu'une situation temporaire (en tout cas je leur souhaite ! ;) ). Et tout faire moi même serai irréaliste en temps et en expertise nécessaire, sachant que ça serai juste pour mon petit besoin (parmi tout mes autres besoins)... 8-/ Alors quitte à m'appuyer sur une solution externe dont le code n'est pas public, ben je maintiens mon choix... Ceci dit je bosse aujourd'hui pour une PME, pas pour une banque, un opérateur ou une boite du CAC40 (j'ai pas les même moyens ! ~8-P ) Merci pour cet échange intéressant. Cordialement, Fabrice Josselin Lecocq Quantic Telecom Le 30/04/2015 12:35, Fabrice Vincent a écrit : On utilise Cloudflare(.com) Leur service fait en même temps reverse proxy (avec SSL si on veut), CDN, WAF, et plein d'autres sécurisations et optimisations. Faire la même chose qu'eux à la mimine ou avec une box ça va couter beaucoup plus cher (surtout comparé à leur plan gratuit, déjà très bien...) juste mon avis. ;) Fabrice Le 30/04/2015 12:09, Richard Paré a écrit : Bonjour, Je cherche un appliance de sécurité pour protéger un site Web de la manière suivante : - Le site Web fonctionne en HTTP - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des communications chiffrées HTTPS avec les clients et de l'autre des communications en clair HTTP avec le serveur Web - Une inspection de paquets est effectuée et des blocages ont lieux sur le trafic suspect (IPS) J'ai essayé d'utiliser un Stormshield mais sans succès. Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les communications SSL. Avez vous une suggestion ? (mis à part un Apache avec mod_security ou autre). Merci. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
C'est encore moi! ;) Pour en revenir à ta demande initiale, pourquoi pas un varnish (ou un cluster haproxy/varnish) ? Fabrice Le 30/04/2015 12:09, Richard Paré a écrit : Bonjour, Je cherche un appliance de sécurité pour protéger un site Web de la manière suivante : - Le site Web fonctionne en HTTP - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des communications chiffrées HTTPS avec les clients et de l'autre des communications en clair HTTP avec le serveur Web - Une inspection de paquets est effectuée et des blocages ont lieux sur le trafic suspect (IPS) J'ai essayé d'utiliser un Stormshield mais sans succès. Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les communications SSL. Avez vous une suggestion ? (mis à part un Apache avec mod_security ou autre). Merci. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Il semblerait que certaines solutions ne fonctionnent pas avec Fortinet ou ce type de boitier. Nous avons essayé avec une plateforme qui utilise du Magento, et on a du faire un retour arrière. Si quelqu'un a une expérience Fortinet/ Magento, je suis preneur d'un petit échange. Bonne réception David Marciano 163 Avenue Gallieni - 93170 Bagnolet - France Tel : +33 (0)1 48 24 07 07 - Fax : +33 (0)1 48 24 07 08 Mail : dmarci...@adenis.fr -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Guillaume Tournat Envoyé : jeudi 30 avril 2015 12:21 À : Richard Paré Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS FortiWeb de Fortinet Existe en appliance physique ou en VM Correspond au besoin. > Le 30 avr. 2015 à 12:09, Richard Paré a écrit : > > Bonjour, > > Je cherche un appliance de sécurité pour protéger un site Web de la > manière suivante : > - Le site Web fonctionne en HTTP > - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, > des communications chiffrées HTTPS avec les clients et de l'autre des > communications en clair HTTP avec le serveur Web > - Une inspection de paquets est effectuée et des blocages ont lieux > sur le trafic suspect (IPS) > > J'ai essayé d'utiliser un Stormshield mais sans succès. > Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les > communications SSL. > > Avez vous une suggestion ? (mis à part un Apache avec mod_security ou > autre). > > Merci. > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Merci pour ces réponses. Le Fortiweb semble la réponse la plus adaptée à mon besoin. Quelqu'un à une idée du tarif d'un FortiWeb-100D et un contact commercial en privé pour établir un devis ? Merci. Le 30 avril 2015 13:57, ADENIS | David MARCIANO a écrit : > Il semblerait que certaines solutions ne fonctionnent pas avec Fortinet ou > ce type de boitier. > > Nous avons essayé avec une plateforme qui utilise du Magento, et on a du > faire un retour arrière. > > Si quelqu'un a une expérience Fortinet/ Magento, je suis preneur d'un > petit échange. > > > Bonne réception > David Marciano > > > 163 Avenue Gallieni - 93170 Bagnolet - France > Tel : +33 (0)1 48 24 07 07 - Fax : +33 (0)1 48 24 07 08 > Mail : dmarci...@adenis.fr > > > > > -Message d'origine- > De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part > de Guillaume Tournat > Envoyé : jeudi 30 avril 2015 12:21 > À : Richard Paré > Cc : frnog-t...@frnog.org > Objet : Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load > Balancing et IPS > > FortiWeb de Fortinet > Existe en appliance physique ou en VM > Correspond au besoin. > > > > > Le 30 avr. 2015 à 12:09, Richard Paré a > écrit : > > > > Bonjour, > > > > Je cherche un appliance de sécurité pour protéger un site Web de la > > manière suivante : > > - Le site Web fonctionne en HTTP > > - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, > > des communications chiffrées HTTPS avec les clients et de l'autre des > > communications en clair HTTP avec le serveur Web > > - Une inspection de paquets est effectuée et des blocages ont lieux > > sur le trafic suspect (IPS) > > > > J'ai essayé d'utiliser un Stormshield mais sans succès. > > Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les > > communications SSL. > > > > Avez vous une suggestion ? (mis à part un Apache avec mod_security ou > > autre). > > > > Merci. > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Bonjour, Les solutions de F5 (Big IP) ou Citrix (Netscaler) sont très répandues. Cela fait d'ailleurs bien + que simple Reverse-Proxy+Offloading SSL+inspection. On peut faire plein de choses avec et s'adapter à tous les environnements, même complexes. Ça existe en boitier ou en VM. De mémoire; F5 reste très cher, et Citrix est plus compétitif avec le Netscaler qui est quand même un très bon produit. Par contre, je pense que ça sera sur une tranche tarifaire au dessus de Fortinet. Le 30 avril 2015 12:09, Richard Paré a écrit : > Bonjour, > > Je cherche un appliance de sécurité pour protéger un site Web de la manière > suivante : > - Le site Web fonctionne en HTTP > - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des > communications chiffrées HTTPS avec les clients et de l'autre des > communications en clair HTTP avec le serveur Web > - Une inspection de paquets est effectuée et des blocages ont lieux sur le > trafic suspect (IPS) > > J'ai essayé d'utiliser un Stormshield mais sans succès. > Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les > communications SSL. > > Avez vous une suggestion ? (mis à part un Apache avec mod_security ou > autre). > > Merci. > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
C'est un reverse proxy et non un WAF. Donc aucune sécu comme un Apache ou un Squid ou un Nginx. > Le 30 avr. 2015 à 13:39, Fabrice Vincent a > écrit : > > C'est encore moi! ;) > Pour en revenir à ta demande initiale, pourquoi pas un varnish (ou un cluster > haproxy/varnish) ? > Fabrice > > Le 30/04/2015 12:09, Richard Paré a écrit : >> Bonjour, >> >> Je cherche un appliance de sécurité pour protéger un site Web de la manière >> suivante : >> - Le site Web fonctionne en HTTP >> - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des >> communications chiffrées HTTPS avec les clients et de l'autre des >> communications en clair HTTP avec le serveur Web >> - Une inspection de paquets est effectuée et des blocages ont lieux sur le >> trafic suspect (IPS) >> >> J'ai essayé d'utiliser un Stormshield mais sans succès. >> Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les >> communications SSL. >> >> Avez vous une suggestion ? (mis à part un Apache avec mod_security ou >> autre). >> >> Merci. >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Autant pour moi ! J'avais souvenir d'un config varnish+ModSecurity (http://en.wikipedia.org/wiki/ModSecurity) mais en fait c'est plutot sur Apache ou nginx que ça s'installe. J'ai bien trouvé https://github.com/comotion/VSF#varnish-security-firewall mais est-ce un projet pérenne ??? Bon, bref, pardon pour le bruit. Je sors -> Le 30/04/2015 14:20, Guillaume Tournat a écrit : C'est un reverse proxy et non un WAF. Donc aucune sécu comme un Apache ou un Squid ou un Nginx. Le 30 avr. 2015 à 13:39, Fabrice Vincent a écrit : C'est encore moi! ;) Pour en revenir à ta demande initiale, pourquoi pas un varnish (ou un cluster haproxy/varnish) ? Fabrice Le 30/04/2015 12:09, Richard Paré a écrit : Bonjour, Je cherche un appliance de sécurité pour protéger un site Web de la manière suivante : - Le site Web fonctionne en HTTP - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des communications chiffrées HTTPS avec les clients et de l'autre des communications en clair HTTP avec le serveur Web - Une inspection de paquets est effectuée et des blocages ont lieux sur le trafic suspect (IPS) J'ai essayé d'utiliser un Stormshield mais sans succès. Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les communications SSL. Avez vous une suggestion ? (mis à part un Apache avec mod_security ou autre). Merci. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
>>Le 30/04/2015 12:09, Richard Paré a écrit : >> Bonjour, >> >> Je cherche un appliance de sécurité pour protéger un site Web de la >> manière suivante : >> - Le site Web fonctionne en HTTP >> - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, >> des communications chiffrées HTTPS avec les clients et de l'autre des >> communications en clair HTTP avec le serveur Web > Le 30/04/2015 12:36, Fabrice Vincent a écrit >On utilise Cloudflare(.com) >Leur service fait en même temps reverse proxy (avec SSL si on veut), CDN, >WAF, et plein d'autres sécurisations et optimisations. J'ai peut-être loupé un truc mais partir sur du Cloudflare dans le cas du besoin exprimé (à savoir http entre le proxy et la plateforme) expose les flux en clair entre Cloudflare et la plateforme cible, non? Nicolas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Tout a fait Le 30 avr. 2015 à 15:28, Nicolas Gaudin a écrit : >>> Le 30/04/2015 12:09, Richard Paré a écrit : >>> Bonjour, >>> >>> Je cherche un appliance de sécurité pour protéger un site Web de la >>> manière suivante : >>> - Le site Web fonctionne en HTTP >>> - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, >>> des communications chiffrées HTTPS avec les clients et de l'autre des >>> communications en clair HTTP avec le serveur Web > >> Le 30/04/2015 12:36, Fabrice Vincent a écrit >> On utilise Cloudflare(.com) >> Leur service fait en même temps reverse proxy (avec SSL si on veut), CDN, >> WAF, et plein d'autres sécurisations et optimisations. > > J'ai peut-être loupé un truc mais partir sur du Cloudflare dans le cas du > besoin exprimé (à savoir http entre le proxy et la plateforme) expose les > flux en clair entre Cloudflare et la plateforme cible, non? > > Nicolas > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Bonjour Richard, Il existe comme produit qui peut éventuellement faire l'affaire Kemp que ce soit en physique qu'en VM. Le produit inclus depuis peu une option WAF + possibilité d'utiliser des règles snort. Alex Le 30/04/15 12:09, Richard Paré a écrit : > Bonjour, > > Je cherche un appliance de sécurité pour protéger un site Web de la manière > suivante : > - Le site Web fonctionne en HTTP > - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des > communications chiffrées HTTPS avec les clients et de l'autre des > communications en clair HTTP avec le serveur Web > - Une inspection de paquets est effectuée et des blocages ont lieux sur le > trafic suspect (IPS) > > J'ai essayé d'utiliser un Stormshield mais sans succès. > Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les > communications SSL. > > Avez vous une suggestion ? (mis à part un Apache avec mod_security ou > autre). > > Merci. > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Pour rester sur le coté 'Open-source', il y a le module WAF NAXSI qui s'ajoute sur Nginx qui marche pas mal (et c'est codé par une boite française !) -> https://github.com/nbs-system/naxsi Sinon, dans le domaine des appliances, j'avais eu l'occasion de voir du F5 fonctionner. ça avait l'air de bien marcher, mais le prix picote un peu... --- Samuel PIRON Le 30/04/2015 15:20, Fabrice Vincent a écrit : Autant pour moi ! J'avais souvenir d'un config varnish+ModSecurity (http://en.wikipedia.org/wiki/ModSecurity [1]) mais en fait c'est plutot sur Apache ou nginx que ça s'installe. J'ai bien trouvé https://github.com/comotion/VSF#varnish-security-firewall [2] mais est-ce un projet pérenne ??? Bon, bref, pardon pour le bruit. Je sors -> Le 30/04/2015 14:20, Guillaume Tournat a écrit : C'est un reverse proxy et non un WAF. Donc aucune sécu comme un Apache ou un Squid ou un Nginx. Le 30 avr. 2015 à 13:39, Fabrice Vincent a écrit : C'est encore moi! ;) Pour en revenir à ta demande initiale, pourquoi pas un varnish (ou un cluster haproxy/varnish) ? Fabrice Le 30/04/2015 12:09, Richard Paré a écrit : Bonjour, Je cherche un appliance de sécurité pour protéger un site Web de la manière suivante : - Le site Web fonctionne en HTTP - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des communications chiffrées HTTPS avec les clients et de l'autre des communications en clair HTTP avec le serveur Web - Une inspection de paquets est effectuée et des blocages ont lieux sur le trafic suspect (IPS) J'ai essayé d'utiliser un Stormshield mais sans succès. Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les communications SSL. Avez vous une suggestion ? (mis à part un Apache avec mod_security ou autre). Merci. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ [3] --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ [3] --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ [3] Links: -- [1] http://en.wikipedia.org/wiki/ModSecurity [2] https://github.com/comotion/VSF#varnish-security-firewall [3] http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Le 30 avril 2015 16:23:27 CEST, Samuel PIRON a écrit : >Pour rester sur le coté 'Open-source', il y a le module WAF NAXSI qui >s'ajoute sur Nginx qui marche pas mal (et c'est codé par une boite >française !) -> https://github.com/nbs-system/naxsi > >Sinon, dans le domaine des appliances, j'avais eu l'occasion de voir du > >F5 fonctionner. ça avait l'air de bien marcher, mais le prix picote un >peu... > > >--- >Samuel PIRON > >Le 30/04/2015 15:20, Fabrice Vincent a écrit : > >> Autant pour moi ! >> J'avais souvenir d'un config varnish+ModSecurity >> (http://en.wikipedia.org/wiki/ModSecurity [1]) mais en fait c'est >> plutot sur Apache ou nginx que ça s'installe. >> J'ai bien trouvé >> https://github.com/comotion/VSF#varnish-security-firewall [2] mais >> est-ce un projet pérenne ??? >> >> Bon, bref, pardon pour le bruit. Je sors -> >> >> Le 30/04/2015 14:20, Guillaume Tournat a écrit : C'est un reverse >> proxy et non un WAF. >> Donc aucune sécu comme un Apache ou un Squid ou un Nginx. >> >> Le 30 avr. 2015 à 13:39, Fabrice Vincent >> a écrit : >> >> C'est encore moi! ;) >> Pour en revenir à ta demande initiale, pourquoi pas un varnish (ou un > >> cluster haproxy/varnish) ? >> Fabrice >> >> Le 30/04/2015 12:09, Richard Paré a écrit : Bonjour, >> >> Je cherche un appliance de sécurité pour protéger un site Web de la >> manière >> suivante : >> - Le site Web fonctionne en HTTP >> - L'appliance de sécurité fait office de reverse Proxy avec d'un >côté, >> des >> communications chiffrées HTTPS avec les clients et de l'autre des >> communications en clair HTTP avec le serveur Web >> - Une inspection de paquets est effectuée et des blocages ont lieux >> sur le >> trafic suspect (IPS) >> >> J'ai essayé d'utiliser un Stormshield mais sans succès. >> Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les >> communications SSL. >> >> Avez vous une suggestion ? (mis à part un Apache avec mod_security ou >> autre). >> >> Merci. >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ [3] >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ [3] > > --------------------------- > Liste de diffusion du FRnOG >http://www.frnog.org/ [3] > >Links: >-- >[1] http://en.wikipedia.org/wiki/ModSecurity >[2] https://github.com/comotion/VSF#varnish-security-firewall >[3] http://www.frnog.org/ > > >--- >Liste de diffusion du FRnOG >http://www.frnog.org/ La bonne question a se poser : as tu le temps de gérer un waf ? Genre est ce que tu maitrises l'appli, ses requêtes et ses variables. Si oui, alors il y a des reverse proxy sympa comme beeware et son acolyte dont j'ai oublié le nom a cette heure..., avec coupure SSL. Si non, alors il faut se borner aux attaques connues, et dans ce cas tu as le choix en open source (mod_sec, varnish, nginx avec son waf) ou en commercial (fortiweb, a10?, f5 avec ltm+asm) De ton budget et de ta maîtrise de l'application dépendra ton besoin. Ne pas oublier de te donner un TPS pour sélectionner ton produit. F5 fait ça a merveille (et même le café), mais ça dépend du budget (pique aux fesses), de la scalabilite et du niveau de secu recherché Équation difficile a résoudre avec le peu de variables données ici. -- Envoyé de mon téléphone Android avec K-9 Mail. Excusez la brièveté. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Bonjour,
Si non, alors il faut se borner aux attaques connues, et dans ce cas tu
as le choix en open source (mod_sec, varnish, nginx avec son waf)
ou en commercial (fortiweb, a10?, f5 avec ltm+asm)
Petite rectification :
le WAF de Nginx (NAXSI) ne se base pas sur un mode de blocage utilisant
une base de signature, mais fonctionne plutôt comme un filtre bayésien :
chaque requête GET/POST obtient une note basé sur l'analyse du contenu
de celles-ci : si il trouve trop de caractères spéciaux (type : '<') ou
mot clé ('drop'), la requête est bloquée.
Par défaut, NAXSI bloque toutes les requêtes suspectes. A l'admin
ensuite de configurer une liste blanche pour le site protégé. (liste
blanche créé via un script fourni avec NAXSI).
Pour donner un exemple de site régulièrement attaqué, le site web de
Charlie Hebdo est protégé par NAXSI depuis plusieurs années...
La bonne question a se poser : as tu le temps de gérer un waf ? Genre
est ce que tu maitrises l'appli, ses requêtes et ses variables.
C'est tout le problème des WAF : son coût ne se mesure pas seulement au
prix de la solution choisie mais surtout au temps consacré à son
suivi...
---
Samuel PIRON
Le 01/05/2015 01:43, Fabien V. a écrit :
Le 30 avril 2015 16:23:27 CEST, Samuel PIRON a
écrit : Pour rester sur le coté 'Open-source', il y a le module WAF
NAXSI qui
s'ajoute sur Nginx qui marche pas mal (et c'est codé par une boite
française !) -> https://github.com/nbs-system/naxsi [1]
Sinon, dans le domaine des appliances, j'avais eu l'occasion de voir du
F5 fonctionner. ça avait l'air de bien marcher, mais le prix picote un
peu...
---
Samuel PIRON
Le 30/04/2015 15:20, Fabrice Vincent a écrit :
Autant pour moi !
J'avais souvenir d'un config varnish+ModSecurity
(http://en.wikipedia.org/wiki/ModSecurity [2] [1 [2]]) mais en fait
c'est
plutot sur Apache ou nginx que ça s'installe.
J'ai bien trouvé
https://github.com/comotion/VSF#varnish-security-firewall [3] [2 [3]]
mais
est-ce un projet pérenne ???
Bon, bref, pardon pour le bruit. Je sors ->
Le 30/04/2015 14:20, Guillaume Tournat a écrit : C'est un reverse
proxy et non un WAF.
Donc aucune sécu comme un Apache ou un Squid ou un Nginx.
Le 30 avr. 2015 à 13:39, Fabrice Vincent
a écrit :
C'est encore moi! ;)
Pour en revenir à ta demande initiale, pourquoi pas un varnish (ou un
cluster haproxy/varnish) ?
Fabrice
Le 30/04/2015 12:09, Richard Paré a écrit : Bonjour,
Je cherche un appliance de sécurité pour protéger un site Web de la
manière
suivante :
- Le site Web fonctionne en HTTP
- L'appliance de sécurité fait office de reverse Proxy avec d'un côté,
des
communications chiffrées HTTPS avec les clients et de l'autre des
communications en clair HTTP avec le serveur Web
- Une inspection de paquets est effectuée et des blocages ont lieux
sur le
trafic suspect (IPS)
J'ai essayé d'utiliser un Stormshield mais sans succès.
Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les
communications SSL.
Avez vous une suggestion ? (mis à part un Apache avec mod_security ou
autre).
Merci.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/ [4] [3 [4]]
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/ [4] [3 [4]]
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/ [4] [3 [4]]
Links:
--
[1] http://en.wikipedia.org/wiki/ModSecurity [2]
[2] https://github.com/comotion/VSF#varnish-security-firewall [3]
[3] http://www.frnog.org/ [4]
---
Liste de diffusion du FRnOG
http://www.frnog.org/ [4]
La bonne question a se poser : as tu le temps de gérer un waf ? Genre
est ce que tu maitrises l'appli, ses requêtes et ses variables.
Si oui, alors il y a des reverse proxy sympa comme beeware et son
acolyte dont j'ai oublié le nom a cette heure..., avec coupure SSL.
Si non, alors il faut se borner aux attaques connues, et dans ce cas tu
as le choix en open source (mod_sec, varnish, nginx avec son waf) ou
en commercial (fortiweb, a10?, f5 avec ltm+asm)
De ton budget et de ta maîtrise de l'application dépendra ton besoin.
Ne pas oublier de te donner un TPS pour sélectionner ton produit.
F5 fait ça a merveille (et même le café), mais ça dépend du budget
(pique aux fesses), de la scalabilite et du niveau de secu recherché
Équation difficile a résoudre avec le peu de variables données ici.
Links:
--
[1] https://github.com/nbs-system/naxsi
[2] http://en.wikipedia.org/wiki/ModSecurity
[3] https://github.com/comotion/VSF#varnish-security-firewall
[4] http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
FortiWeb de Fortinet Existe en appliance physique ou en VM Correspond au besoin. > Le 30 avr. 2015 à 12:09, Richard Paré a écrit : > > Bonjour, > > Je cherche un appliance de sécurité pour protéger un site Web de la manière > suivante : > - Le site Web fonctionne en HTTP > - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des > communications chiffrées HTTPS avec les clients et de l'autre des > communications en clair HTTP avec le serveur Web > - Une inspection de paquets est effectuée et des blocages ont lieux sur le > trafic suspect (IPS) > > J'ai essayé d'utiliser un Stormshield mais sans succès. > Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les > communications SSL. > > Avez vous une suggestion ? (mis à part un Apache avec mod_security ou > autre). > > Merci. > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
On utilise Cloudflare(.com) Leur service fait en même temps reverse proxy (avec SSL si on veut), CDN, WAF, et plein d'autres sécurisations et optimisations. Faire la même chose qu'eux à la mimine ou avec une box ça va couter beaucoup plus cher (surtout comparé à leur plan gratuit, déjà très bien...) juste mon avis. ;) Fabrice Le 30/04/2015 12:09, Richard Paré a écrit : Bonjour, Je cherche un appliance de sécurité pour protéger un site Web de la manière suivante : - Le site Web fonctionne en HTTP - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des communications chiffrées HTTPS avec les clients et de l'autre des communications en clair HTTP avec le serveur Web - Une inspection de paquets est effectuée et des blocages ont lieux sur le trafic suspect (IPS) J'ai essayé d'utiliser un Stormshield mais sans succès. Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les communications SSL. Avez vous une suggestion ? (mis à part un Apache avec mod_security ou autre). Merci. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Le 30/04/2015 12:35, Fabrice Vincent a écrit : > On utilise Cloudflare(.com) Et au passage tu abandonnes toutes tes données à la NSA (c'est un choix, mais il ne faut juste pas l'oublier). La "sécurité SSL" devient alors trompeuse pour tes utilisateurs qui pensent leur canal de communication sûr, alors qu'en fait, il ne l'est pas tant que ça puisqu'un tiers inconnu intercepte les données de façon opaque sur le chemin... Sans parler du fait que ce genre de pratique contribue à faire de Cloudflare et des CDN "grand public" des points de concentration de trafic importants sur Internet, ce qui n'est pas très bon en terme d'architecture (même si c'est plus ou moins réparti). > Faire la même chose qu'eux à la mimine ou avec une box ça va couter > beaucoup plus cher (surtout comparé à leur plan gratuit, déjà très bien...) Certes, mais c'est une garantie d'indépendance et de sécurité (à condition que l'éditeur de l'appliance ne soit pas américain, chinois, ou même français bientôt). Josselin Lecocq Quantic Telecom Le 30/04/2015 12:35, Fabrice Vincent a écrit : > On utilise Cloudflare(.com) > Leur service fait en même temps reverse proxy (avec SSL si on veut), > CDN, WAF, et plein d'autres sécurisations et optimisations. > Faire la même chose qu'eux à la mimine ou avec une box ça va couter > beaucoup plus cher (surtout comparé à leur plan gratuit, déjà très bien...) > > juste mon avis. ;) > Fabrice > > Le 30/04/2015 12:09, Richard Paré a écrit : >> Bonjour, >> >> Je cherche un appliance de sécurité pour protéger un site Web de la >> manière >> suivante : >> - Le site Web fonctionne en HTTP >> - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, >> des >> communications chiffrées HTTPS avec les clients et de l'autre des >> communications en clair HTTP avec le serveur Web >> - Une inspection de paquets est effectuée et des blocages ont lieux >> sur le >> trafic suspect (IPS) >> >> J'ai essayé d'utiliser un Stormshield mais sans succès. >> Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les >> communications SSL. >> >> Avez vous une suggestion ? (mis à part un Apache avec mod_security ou >> autre). >> >> Merci. >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Le 30/04/2015 12:50, Josselin Lecocq a écrit : Le 30/04/2015 12:35, Fabrice Vincent a écrit : On utilise Cloudflare(.com) Et au passage tu abandonnes toutes tes données à la NSA (c'est un choix, mais il ne faut juste pas l'oublier). La "sécurité SSL" devient alors trompeuse pour tes utilisateurs qui pensent leur canal de communication sûr, alors qu'en fait, il ne l'est pas tant que ça puisqu'un tiers inconnu intercepte les données de façon opaque sur le chemin... Certes. Mais une appliance (physique ou virtuelle) peut avoir des backdoors... Reste la solution de l'open source. Pas infaillible non plus (cf HeartBleed etc.) mais avec quand même beaucoup plus de visibilité. Sans parler du fait que ce genre de pratique contribue à faire de Cloudflare et des CDN "grand public" des points de concentration de trafic importants sur Internet, ce qui n'est pas très bon en terme d'architecture (même si c'est plus ou moins réparti). ça c'est ce qui m’embête le plus... En même temps avec le anycast massif, ça fait beaucoup de traffic passant par cette AS mais ça reste local à chaque POP. Je suppose que c'est pas pire que la concentration passant par les gros transitaires ou les GIX ? Faire la même chose qu'eux à la mimine ou avec une box ça va couter beaucoup plus cher (surtout comparé à leur plan gratuit, déjà très bien...) Certes, mais c'est une garantie d'indépendance et de sécurité (à condition que l'éditeur de l'appliance ne soit pas américain, chinois, ou même français bientôt). Avec une solution externe, qu'elle soit une appliance ou une offre SaaS, de fait on dit adieu l'indépendance, non ? Par ailleurs, un constructeur/éditeur n'ayant pas d’intérêt aux USA ou en chine, ça limite les choix et ça n'est probablement qu'une situation temporaire (en tout cas je leur souhaite ! ;) ). Et tout faire moi même serai irréaliste en temps et en expertise nécessaire, sachant que ça serai juste pour mon petit besoin (parmi tout mes autres besoins)... 8-/ Alors quitte à m'appuyer sur une solution externe dont le code n'est pas public, ben je maintiens mon choix... Ceci dit je bosse aujourd'hui pour une PME, pas pour une banque, un opérateur ou une boite du CAC40 (j'ai pas les même moyens ! ~8-P ) Merci pour cet échange intéressant. Cordialement, Fabrice Josselin Lecocq Quantic Telecom Le 30/04/2015 12:35, Fabrice Vincent a écrit : On utilise Cloudflare(.com) Leur service fait en même temps reverse proxy (avec SSL si on veut), CDN, WAF, et plein d'autres sécurisations et optimisations. Faire la même chose qu'eux à la mimine ou avec une box ça va couter beaucoup plus cher (surtout comparé à leur plan gratuit, déjà très bien...) juste mon avis. ;) Fabrice Le 30/04/2015 12:09, Richard Paré a écrit : Bonjour, Je cherche un appliance de sécurité pour protéger un site Web de la manière suivante : - Le site Web fonctionne en HTTP - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des communications chiffrées HTTPS avec les clients et de l'autre des communications en clair HTTP avec le serveur Web - Une inspection de paquets est effectuée et des blocages ont lieux sur le trafic suspect (IPS) J'ai essayé d'utiliser un Stormshield mais sans succès. Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les communications SSL. Avez vous une suggestion ? (mis à part un Apache avec mod_security ou autre). Merci. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
C'est encore moi! ;) Pour en revenir à ta demande initiale, pourquoi pas un varnish (ou un cluster haproxy/varnish) ? Fabrice Le 30/04/2015 12:09, Richard Paré a écrit : Bonjour, Je cherche un appliance de sécurité pour protéger un site Web de la manière suivante : - Le site Web fonctionne en HTTP - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des communications chiffrées HTTPS avec les clients et de l'autre des communications en clair HTTP avec le serveur Web - Une inspection de paquets est effectuée et des blocages ont lieux sur le trafic suspect (IPS) J'ai essayé d'utiliser un Stormshield mais sans succès. Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les communications SSL. Avez vous une suggestion ? (mis à part un Apache avec mod_security ou autre). Merci. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Il semblerait que certaines solutions ne fonctionnent pas avec Fortinet ou ce type de boitier. Nous avons essayé avec une plateforme qui utilise du Magento, et on a du faire un retour arrière. Si quelqu'un a une expérience Fortinet/ Magento, je suis preneur d'un petit échange. Bonne réception David Marciano 163 Avenue Gallieni - 93170 Bagnolet - France Tel : +33 (0)1 48 24 07 07 - Fax : +33 (0)1 48 24 07 08 Mail : dmarci...@adenis.fr -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Guillaume Tournat Envoyé : jeudi 30 avril 2015 12:21 À : Richard Paré Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS FortiWeb de Fortinet Existe en appliance physique ou en VM Correspond au besoin. > Le 30 avr. 2015 à 12:09, Richard Paré a écrit : > > Bonjour, > > Je cherche un appliance de sécurité pour protéger un site Web de la > manière suivante : > - Le site Web fonctionne en HTTP > - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, > des communications chiffrées HTTPS avec les clients et de l'autre des > communications en clair HTTP avec le serveur Web > - Une inspection de paquets est effectuée et des blocages ont lieux > sur le trafic suspect (IPS) > > J'ai essayé d'utiliser un Stormshield mais sans succès. > Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les > communications SSL. > > Avez vous une suggestion ? (mis à part un Apache avec mod_security ou > autre). > > Merci. > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Merci pour ces réponses. Le Fortiweb semble la réponse la plus adaptée à mon besoin. Quelqu'un à une idée du tarif d'un FortiWeb-100D et un contact commercial en privé pour établir un devis ? Merci. Le 30 avril 2015 13:57, ADENIS | David MARCIANO a écrit : > Il semblerait que certaines solutions ne fonctionnent pas avec Fortinet ou > ce type de boitier. > > Nous avons essayé avec une plateforme qui utilise du Magento, et on a du > faire un retour arrière. > > Si quelqu'un a une expérience Fortinet/ Magento, je suis preneur d'un > petit échange. > > > Bonne réception > David Marciano > > > 163 Avenue Gallieni - 93170 Bagnolet - France > Tel : +33 (0)1 48 24 07 07 - Fax : +33 (0)1 48 24 07 08 > Mail : dmarci...@adenis.fr > > > > > -Message d'origine- > De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part > de Guillaume Tournat > Envoyé : jeudi 30 avril 2015 12:21 > À : Richard Paré > Cc : frnog-t...@frnog.org > Objet : Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load > Balancing et IPS > > FortiWeb de Fortinet > Existe en appliance physique ou en VM > Correspond au besoin. > > > > > Le 30 avr. 2015 à 12:09, Richard Paré a > écrit : > > > > Bonjour, > > > > Je cherche un appliance de sécurité pour protéger un site Web de la > > manière suivante : > > - Le site Web fonctionne en HTTP > > - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, > > des communications chiffrées HTTPS avec les clients et de l'autre des > > communications en clair HTTP avec le serveur Web > > - Une inspection de paquets est effectuée et des blocages ont lieux > > sur le trafic suspect (IPS) > > > > J'ai essayé d'utiliser un Stormshield mais sans succès. > > Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les > > communications SSL. > > > > Avez vous une suggestion ? (mis à part un Apache avec mod_security ou > > autre). > > > > Merci. > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Bonjour, Les solutions de F5 (Big IP) ou Citrix (Netscaler) sont très répandues. Cela fait d'ailleurs bien + que simple Reverse-Proxy+Offloading SSL+inspection. On peut faire plein de choses avec et s'adapter à tous les environnements, même complexes. Ça existe en boitier ou en VM. De mémoire; F5 reste très cher, et Citrix est plus compétitif avec le Netscaler qui est quand même un très bon produit. Par contre, je pense que ça sera sur une tranche tarifaire au dessus de Fortinet. Le 30 avril 2015 12:09, Richard Paré a écrit : > Bonjour, > > Je cherche un appliance de sécurité pour protéger un site Web de la manière > suivante : > - Le site Web fonctionne en HTTP > - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des > communications chiffrées HTTPS avec les clients et de l'autre des > communications en clair HTTP avec le serveur Web > - Une inspection de paquets est effectuée et des blocages ont lieux sur le > trafic suspect (IPS) > > J'ai essayé d'utiliser un Stormshield mais sans succès. > Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les > communications SSL. > > Avez vous une suggestion ? (mis à part un Apache avec mod_security ou > autre). > > Merci. > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
C'est un reverse proxy et non un WAF. Donc aucune sécu comme un Apache ou un Squid ou un Nginx. > Le 30 avr. 2015 à 13:39, Fabrice Vincent a > écrit : > > C'est encore moi! ;) > Pour en revenir à ta demande initiale, pourquoi pas un varnish (ou un cluster > haproxy/varnish) ? > Fabrice > > Le 30/04/2015 12:09, Richard Paré a écrit : >> Bonjour, >> >> Je cherche un appliance de sécurité pour protéger un site Web de la manière >> suivante : >> - Le site Web fonctionne en HTTP >> - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des >> communications chiffrées HTTPS avec les clients et de l'autre des >> communications en clair HTTP avec le serveur Web >> - Une inspection de paquets est effectuée et des blocages ont lieux sur le >> trafic suspect (IPS) >> >> J'ai essayé d'utiliser un Stormshield mais sans succès. >> Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les >> communications SSL. >> >> Avez vous une suggestion ? (mis à part un Apache avec mod_security ou >> autre). >> >> Merci. >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Autant pour moi ! J'avais souvenir d'un config varnish+ModSecurity (http://en.wikipedia.org/wiki/ModSecurity) mais en fait c'est plutot sur Apache ou nginx que ça s'installe. J'ai bien trouvé https://github.com/comotion/VSF#varnish-security-firewall mais est-ce un projet pérenne ??? Bon, bref, pardon pour le bruit. Je sors -> Le 30/04/2015 14:20, Guillaume Tournat a écrit : C'est un reverse proxy et non un WAF. Donc aucune sécu comme un Apache ou un Squid ou un Nginx. Le 30 avr. 2015 à 13:39, Fabrice Vincent a écrit : C'est encore moi! ;) Pour en revenir à ta demande initiale, pourquoi pas un varnish (ou un cluster haproxy/varnish) ? Fabrice Le 30/04/2015 12:09, Richard Paré a écrit : Bonjour, Je cherche un appliance de sécurité pour protéger un site Web de la manière suivante : - Le site Web fonctionne en HTTP - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des communications chiffrées HTTPS avec les clients et de l'autre des communications en clair HTTP avec le serveur Web - Une inspection de paquets est effectuée et des blocages ont lieux sur le trafic suspect (IPS) J'ai essayé d'utiliser un Stormshield mais sans succès. Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les communications SSL. Avez vous une suggestion ? (mis à part un Apache avec mod_security ou autre). Merci. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
>>Le 30/04/2015 12:09, Richard Paré a écrit : >> Bonjour, >> >> Je cherche un appliance de sécurité pour protéger un site Web de la >> manière suivante : >> - Le site Web fonctionne en HTTP >> - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, >> des communications chiffrées HTTPS avec les clients et de l'autre des >> communications en clair HTTP avec le serveur Web > Le 30/04/2015 12:36, Fabrice Vincent a écrit >On utilise Cloudflare(.com) >Leur service fait en même temps reverse proxy (avec SSL si on veut), CDN, >WAF, et plein d'autres sécurisations et optimisations. J'ai peut-être loupé un truc mais partir sur du Cloudflare dans le cas du besoin exprimé (à savoir http entre le proxy et la plateforme) expose les flux en clair entre Cloudflare et la plateforme cible, non? Nicolas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Tout a fait Le 30 avr. 2015 à 15:28, Nicolas Gaudin a écrit : >>> Le 30/04/2015 12:09, Richard Paré a écrit : >>> Bonjour, >>> >>> Je cherche un appliance de sécurité pour protéger un site Web de la >>> manière suivante : >>> - Le site Web fonctionne en HTTP >>> - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, >>> des communications chiffrées HTTPS avec les clients et de l'autre des >>> communications en clair HTTP avec le serveur Web > >> Le 30/04/2015 12:36, Fabrice Vincent a écrit >> On utilise Cloudflare(.com) >> Leur service fait en même temps reverse proxy (avec SSL si on veut), CDN, >> WAF, et plein d'autres sécurisations et optimisations. > > J'ai peut-être loupé un truc mais partir sur du Cloudflare dans le cas du > besoin exprimé (à savoir http entre le proxy et la plateforme) expose les > flux en clair entre Cloudflare et la plateforme cible, non? > > Nicolas > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Bonjour Richard, Il existe comme produit qui peut éventuellement faire l'affaire Kemp que ce soit en physique qu'en VM. Le produit inclus depuis peu une option WAF + possibilité d'utiliser des règles snort. Alex Le 30/04/15 12:09, Richard Paré a écrit : > Bonjour, > > Je cherche un appliance de sécurité pour protéger un site Web de la manière > suivante : > - Le site Web fonctionne en HTTP > - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des > communications chiffrées HTTPS avec les clients et de l'autre des > communications en clair HTTP avec le serveur Web > - Une inspection de paquets est effectuée et des blocages ont lieux sur le > trafic suspect (IPS) > > J'ai essayé d'utiliser un Stormshield mais sans succès. > Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les > communications SSL. > > Avez vous une suggestion ? (mis à part un Apache avec mod_security ou > autre). > > Merci. > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Pour rester sur le coté 'Open-source', il y a le module WAF NAXSI qui s'ajoute sur Nginx qui marche pas mal (et c'est codé par une boite française !) -> https://github.com/nbs-system/naxsi Sinon, dans le domaine des appliances, j'avais eu l'occasion de voir du F5 fonctionner. ça avait l'air de bien marcher, mais le prix picote un peu... --- Samuel PIRON Le 30/04/2015 15:20, Fabrice Vincent a écrit : Autant pour moi ! J'avais souvenir d'un config varnish+ModSecurity (http://en.wikipedia.org/wiki/ModSecurity [1]) mais en fait c'est plutot sur Apache ou nginx que ça s'installe. J'ai bien trouvé https://github.com/comotion/VSF#varnish-security-firewall [2] mais est-ce un projet pérenne ??? Bon, bref, pardon pour le bruit. Je sors -> Le 30/04/2015 14:20, Guillaume Tournat a écrit : C'est un reverse proxy et non un WAF. Donc aucune sécu comme un Apache ou un Squid ou un Nginx. Le 30 avr. 2015 à 13:39, Fabrice Vincent a écrit : C'est encore moi! ;) Pour en revenir à ta demande initiale, pourquoi pas un varnish (ou un cluster haproxy/varnish) ? Fabrice Le 30/04/2015 12:09, Richard Paré a écrit : Bonjour, Je cherche un appliance de sécurité pour protéger un site Web de la manière suivante : - Le site Web fonctionne en HTTP - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des communications chiffrées HTTPS avec les clients et de l'autre des communications en clair HTTP avec le serveur Web - Une inspection de paquets est effectuée et des blocages ont lieux sur le trafic suspect (IPS) J'ai essayé d'utiliser un Stormshield mais sans succès. Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les communications SSL. Avez vous une suggestion ? (mis à part un Apache avec mod_security ou autre). Merci. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ [3] --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ [3] --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ [3] Links: -- [1] http://en.wikipedia.org/wiki/ModSecurity [2] https://github.com/comotion/VSF#varnish-security-firewall [3] http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Le 30 avril 2015 16:23:27 CEST, Samuel PIRON a écrit : >Pour rester sur le coté 'Open-source', il y a le module WAF NAXSI qui >s'ajoute sur Nginx qui marche pas mal (et c'est codé par une boite >française !) -> https://github.com/nbs-system/naxsi > >Sinon, dans le domaine des appliances, j'avais eu l'occasion de voir du > >F5 fonctionner. ça avait l'air de bien marcher, mais le prix picote un >peu... > > >--- >Samuel PIRON > >Le 30/04/2015 15:20, Fabrice Vincent a écrit : > >> Autant pour moi ! >> J'avais souvenir d'un config varnish+ModSecurity >> (http://en.wikipedia.org/wiki/ModSecurity [1]) mais en fait c'est >> plutot sur Apache ou nginx que ça s'installe. >> J'ai bien trouvé >> https://github.com/comotion/VSF#varnish-security-firewall [2] mais >> est-ce un projet pérenne ??? >> >> Bon, bref, pardon pour le bruit. Je sors -> >> >> Le 30/04/2015 14:20, Guillaume Tournat a écrit : C'est un reverse >> proxy et non un WAF. >> Donc aucune sécu comme un Apache ou un Squid ou un Nginx. >> >> Le 30 avr. 2015 à 13:39, Fabrice Vincent >> a écrit : >> >> C'est encore moi! ;) >> Pour en revenir à ta demande initiale, pourquoi pas un varnish (ou un > >> cluster haproxy/varnish) ? >> Fabrice >> >> Le 30/04/2015 12:09, Richard Paré a écrit : Bonjour, >> >> Je cherche un appliance de sécurité pour protéger un site Web de la >> manière >> suivante : >> - Le site Web fonctionne en HTTP >> - L'appliance de sécurité fait office de reverse Proxy avec d'un >côté, >> des >> communications chiffrées HTTPS avec les clients et de l'autre des >> communications en clair HTTP avec le serveur Web >> - Une inspection de paquets est effectuée et des blocages ont lieux >> sur le >> trafic suspect (IPS) >> >> J'ai essayé d'utiliser un Stormshield mais sans succès. >> Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les >> communications SSL. >> >> Avez vous une suggestion ? (mis à part un Apache avec mod_security ou >> autre). >> >> Merci. >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ [3] >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ [3] > > --------------------------- > Liste de diffusion du FRnOG >http://www.frnog.org/ [3] > >Links: >-- >[1] http://en.wikipedia.org/wiki/ModSecurity >[2] https://github.com/comotion/VSF#varnish-security-firewall >[3] http://www.frnog.org/ > > >--- >Liste de diffusion du FRnOG >http://www.frnog.org/ La bonne question a se poser : as tu le temps de gérer un waf ? Genre est ce que tu maitrises l'appli, ses requêtes et ses variables. Si oui, alors il y a des reverse proxy sympa comme beeware et son acolyte dont j'ai oublié le nom a cette heure..., avec coupure SSL. Si non, alors il faut se borner aux attaques connues, et dans ce cas tu as le choix en open source (mod_sec, varnish, nginx avec son waf) ou en commercial (fortiweb, a10?, f5 avec ltm+asm) De ton budget et de ta maîtrise de l'application dépendra ton besoin. Ne pas oublier de te donner un TPS pour sélectionner ton produit. F5 fait ça a merveille (et même le café), mais ça dépend du budget (pique aux fesses), de la scalabilite et du niveau de secu recherché Équation difficile a résoudre avec le peu de variables données ici. -- Envoyé de mon téléphone Android avec K-9 Mail. Excusez la brièveté. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Bonjour,
Si non, alors il faut se borner aux attaques connues, et dans ce cas tu
as le choix en open source (mod_sec, varnish, nginx avec son waf)
ou en commercial (fortiweb, a10?, f5 avec ltm+asm)
Petite rectification :
le WAF de Nginx (NAXSI) ne se base pas sur un mode de blocage utilisant
une base de signature, mais fonctionne plutôt comme un filtre bayésien :
chaque requête GET/POST obtient une note basé sur l'analyse du contenu
de celles-ci : si il trouve trop de caractères spéciaux (type : '<') ou
mot clé ('drop'), la requête est bloquée.
Par défaut, NAXSI bloque toutes les requêtes suspectes. A l'admin
ensuite de configurer une liste blanche pour le site protégé. (liste
blanche créé via un script fourni avec NAXSI).
Pour donner un exemple de site régulièrement attaqué, le site web de
Charlie Hebdo est protégé par NAXSI depuis plusieurs années...
La bonne question a se poser : as tu le temps de gérer un waf ? Genre
est ce que tu maitrises l'appli, ses requêtes et ses variables.
C'est tout le problème des WAF : son coût ne se mesure pas seulement au
prix de la solution choisie mais surtout au temps consacré à son
suivi...
---
Samuel PIRON
Le 01/05/2015 01:43, Fabien V. a écrit :
Le 30 avril 2015 16:23:27 CEST, Samuel PIRON a
écrit : Pour rester sur le coté 'Open-source', il y a le module WAF
NAXSI qui
s'ajoute sur Nginx qui marche pas mal (et c'est codé par une boite
française !) -> https://github.com/nbs-system/naxsi [1]
Sinon, dans le domaine des appliances, j'avais eu l'occasion de voir du
F5 fonctionner. ça avait l'air de bien marcher, mais le prix picote un
peu...
---
Samuel PIRON
Le 30/04/2015 15:20, Fabrice Vincent a écrit :
Autant pour moi !
J'avais souvenir d'un config varnish+ModSecurity
(http://en.wikipedia.org/wiki/ModSecurity [2] [1 [2]]) mais en fait
c'est
plutot sur Apache ou nginx que ça s'installe.
J'ai bien trouvé
https://github.com/comotion/VSF#varnish-security-firewall [3] [2 [3]]
mais
est-ce un projet pérenne ???
Bon, bref, pardon pour le bruit. Je sors ->
Le 30/04/2015 14:20, Guillaume Tournat a écrit : C'est un reverse
proxy et non un WAF.
Donc aucune sécu comme un Apache ou un Squid ou un Nginx.
Le 30 avr. 2015 à 13:39, Fabrice Vincent
a écrit :
C'est encore moi! ;)
Pour en revenir à ta demande initiale, pourquoi pas un varnish (ou un
cluster haproxy/varnish) ?
Fabrice
Le 30/04/2015 12:09, Richard Paré a écrit : Bonjour,
Je cherche un appliance de sécurité pour protéger un site Web de la
manière
suivante :
- Le site Web fonctionne en HTTP
- L'appliance de sécurité fait office de reverse Proxy avec d'un côté,
des
communications chiffrées HTTPS avec les clients et de l'autre des
communications en clair HTTP avec le serveur Web
- Une inspection de paquets est effectuée et des blocages ont lieux
sur le
trafic suspect (IPS)
J'ai essayé d'utiliser un Stormshield mais sans succès.
Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les
communications SSL.
Avez vous une suggestion ? (mis à part un Apache avec mod_security ou
autre).
Merci.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/ [4] [3 [4]]
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/ [4] [3 [4]]
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/ [4] [3 [4]]
Links:
--
[1] http://en.wikipedia.org/wiki/ModSecurity [2]
[2] https://github.com/comotion/VSF#varnish-security-firewall [3]
[3] http://www.frnog.org/ [4]
---
Liste de diffusion du FRnOG
http://www.frnog.org/ [4]
La bonne question a se poser : as tu le temps de gérer un waf ? Genre
est ce que tu maitrises l'appli, ses requêtes et ses variables.
Si oui, alors il y a des reverse proxy sympa comme beeware et son
acolyte dont j'ai oublié le nom a cette heure..., avec coupure SSL.
Si non, alors il faut se borner aux attaques connues, et dans ce cas tu
as le choix en open source (mod_sec, varnish, nginx avec son waf) ou
en commercial (fortiweb, a10?, f5 avec ltm+asm)
De ton budget et de ta maîtrise de l'application dépendra ton besoin.
Ne pas oublier de te donner un TPS pour sélectionner ton produit.
F5 fait ça a merveille (et même le café), mais ça dépend du budget
(pique aux fesses), de la scalabilite et du niveau de secu recherché
Équation difficile a résoudre avec le peu de variables données ici.
Links:
--
[1] https://github.com/nbs-system/naxsi
[2] http://en.wikipedia.org/wiki/ModSecurity
[3] https://github.com/comotion/VSF#varnish-security-firewall
[4] http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/
