Version 1.41 - Mars 2017 1
Introduction Les risques principaux selon l OWASP A1 : Injection de commandes A2 : Mauvaise gestion de l authentification et des sessions A3 : Cross Site Scripting A4 : Références directes non sécurisées A5 : Mauvaise configuration sécurité A6 : Exposition de données sensibles A7 : Manque de contrôle d accès au niveau fonctionnel A8 : Cross Site Request Forgery A9 : Utilisation de composants vulnérables A10 : Redirection et renvois non validés 2
Introduction Le WAF ne remplace pas le zèle du développeur mais peut réduire les risques du Top 10 OWASP Chiffrement des communications Validation des requêtes entrantes Contrôle des données sortantes Blocage des attaques connues (blacklist) Blocage des flux suspects Géolocalisation, Réputation de l IP source Blocage des anomalies comportementales et des zéro days whitelisting, Machine learning 3
Introduction Le projet Vulture Créé en 2003, 14 ans d expertise en sécurité applicative Open Source Sous licence GPLv3: Interface de management Sous licence Apache2: Moteur de filtrage et algorithmes de machine learning Des déploiements à l international Plus de 10 pays 1,500 déploiements en version 3 recensés au 1 er mars 2017 Des services professionnels opérés par advens Intégration, formation Support et services managés Services de protection Cloud 4
Fonctionnalités réseau Load-balancer Web Vulture peut répartir la charge sur plusieurs serveurs Web et maintenir les sessions applicatives Load-balancer réseau IPv4 / IPv6 Le trafic entrant est distribué sur tous les nœuds du cluster Adresses virtuelles IPv4 / IPv6 En cas de défaillance d un nœud, les autres prennent le relai Firewall réseau IPv4 / IPv6 Les IP malveillantes sont bloquées avant qu elles n atteignent les applications 5
Fonctionnalités réseau Vulture localise les IP sources et analyse leur réputation Il est possible de faire des politiques de filtrage sur ces critères Le blocage est réalisé avant de traiter la requête HTTP 6
Fonctionnalités réseau Les logs réseau sont consultables depuis l interface de gestion Interface rapide et intuitive, possibilité de sauvegarder ses filtres de recherches Logs disponibles: Firewall, WAF, accès aux applications, logs internes (API, système de diagnostique, ) Connecteurs pour envoyer les logs vers un SIEM ou des bases externes: Syslog, MongoDB et Elastic 7
Web Application Firewall Vulture utilise une version améliorée de modsecurity Cette version est plus performante et travaille en cluster sur tous les nœuds: Les décisions de filtrage d un nœud sont partagées avec les autres nœuds 8
Web Application Firewall Vulture simplifie l usage d un WAF Des règles qualifiées et prêtes à l emploi sont intégrées par défaut Protection contre les anomalies protocolaires Protection contre l interception de session Protection contre le Cross Site Request Forgery Sécurisation des Cookies Une intégration automatisée des règles OWASP CRS (Open Source) et SLR (Commercial) Import automatique et versioning des jeux de règles Interface graphique pour éditer les règles Assistant pour l écriture de règles 9
Web Application Firewall Machine learning: En complément du filtrage basé sur des règles et sur la réputation des sources, Vulture propose une approche basée sur des mathématiques pures : 1. Apprentissage et modélisation du trafic type 2. Détection des requêtes «Anormales» 10
Web Application Firewall Au final, la décision de bloquer une requête suit un processus basé sur de multiples facteurs : Si géolocalisation suspecte => Augmentation du score de risque Si réputation de l IP douteuse => Augmentation du score de risque Si User-Agent suspect => Augmentation du score de risque Si une règle WAF«matche» => Augmentation du score de risque Si le machine learning «matche» => Augmentation du score de risque Vulture prend la décision de bloquer lorsque le score de risque dépasse le seuil toléré. L administrateur décide de la sensibilité du blocage. 11
Virtual Patching Permet de ne protéger que ce qui est faillible Uploadez un rapport de scan de vulnérabilités Qualys, Acunetix ou ZAP Vulture génère les règles permettant de corriger les failles identifiées 12
Web SSO Authentifier l utilisateur avant qu il accède à l application Authentification par certificat numérique Via la PKI intégrée ou grâce aux certificats existants dans l entreprise Authentification par login / mot de passe LDAP, Active Directory, Kerberos, Radius, MongoDB, SQL Authentification transparente HTTP basic et Kerberos Authentification double facteur Envoi d un token par SMS (authy.com) ou email Système de captcha, responder OAuth2,... Portail self-service pour perte et changement de mot de passe 13
Web SSO Propager l identité aux applications protégées Support des formulaires HTML, Authentification Javascript, AJAX Support des méthodes transparentes «Basic» et Kerberos avec propagation des jetons SSO Forward Vulture «scanne» les applications protégées et détecte les informations nécessaires pour propager l authentification 14
MODES DE DISTRIBUTION PACKAGING ET SUPPORT 15
Packaging Vulture est disponible gratuitement sous forme d ISO Enregistrement nécessaire lors de l installation Support assuré par la communauté ou support professionnel advens Vulture est disponible à la vente Appliances physiques aux performances garanties Support assuré par advens Vulture est disponible «as-a-service» Cloud sécurisé par advens Protection anti-ddos optionnelle Contrat de service sur-mesure 16
Merci de votre attention Communauté Vulture - contact@vultureproject.org Professional Services - contact@advens.fr https://www.advens.fr Advens Paris : + 33 1 84 16 30 25 Advens Lille : +33 3 20 68 41 81 17