Blog

Naxsi for Apache: mod_defender

L’équipe Vulture est fière de vous annoncer la disponibilité du module “mod_defender”, pour Apache. Le code est disponible en GPLv3 sur GitHub: https://github.com/VultureProject/mod_defender

mod_defender est un fork du firewall web NAXSI pour NGINX, il est donc compatible avec les configurations NAXSI et NXAPI / NXTOOL. mod_defender est intégré dans la version 1.43 de Vulture (Engine 2.4.25-33). Vulture combine désormais 3 moteurs de filtrage : - mod_security - mod_defender - mod_svm, la solution de machine-Learning d’aDvens (https://www.advens.fr)

Nous publierons dans les prochains jours un article technique présentant mod_defender en détail, avec benchmarks et tests de performance.


Vulture team is proud to announce the release of “mod_defender” for Apache. Source code is available on Github: https://github.com/VultureProject/mod_defender

Mod Defender is an Apache2 module aiming to block attacks thanks to a whitelist policy It uses the same format as NAXSI configs and thus is fully compatible with NXAPI and NXTOOL mod_defender is part of Vulture since version 1.43 (Engine 2.4.25-33).

Vulture now combines 3 filtering engines: - mod_security - mod_defender - mod_svm, the aDvens’s machine-learning solution (https://www.advens.fr)

Will will release some technical details about mod_defender performance in a few days…

Version 1.42

Nouvelle version de la GUI qui apporte de nouvelles fonctionnalités autour d’HAProxy et corrige les bugs remontés suite à la sortie de la 1.41.
L’Engine passe en version 30, suite à de nombreuses optimisations du code C. mod_vulture est plus rapide et consomme moins de mémoire: Le code a par ailleurs été soumis à des tests de performance et de sécurité poussés (fuzzing). Retrouver le changelog complet

Note : Mettre à jour la GUI avant l’Engine.

Un nouveau moteur de filtrage Web fera son apparition en version 1.43, il fusionnera le meilleur des WAF Open Source actuels. Nous avons en effet combiné les moteurs mod_security et mod_defender (basé sur le Web firewall Nasxi pour nginx).
Vulture disposera d’un arsenal complet pour la protection des applications Web: - Réputation des sources (une version “pro” est en cours d’intégration pour disposer de bases de réputation professionnelles) - Blocage des menaces connues par blacklist mod_security et/ou virtualpatching - Whitelisting automatique via mod_defender - Machine learning pour le blocage des anomalies comportementales

Le tout dans une GUI simplifiée se configurant très simplement, avec un scoring et une journalisation unifiés. A suivre !

Version 1.41

La version 1.41 est enfin disponible !

Avant toute chose: Lisez très attentivement les releases notes ci-dessous.
En effet, cette version apporte énormément de changements, il convient de prendre quelques précautions lors de la mise à jour.
** Principaux changements: **

  • Les serveurs du projet ont été migrés en IPv6, la bande passante a doublé. On peut désormais boostraper Vulture en IPv6 sans avoir besoin de proxy.
  • Apache passe en version 2.4.25 et améliore encore les performances
  • mod_vulture a été optimisé, il est plus rapide et consomme moins de mémoire
  • Vulture peut load-balancer les connexions TCP entrantes, grâce à HA-PROXY
  • Le module de réputation a été amélioré: Vulture bloque désormais plusieurs dizaines de millions d’adresses IP malveillantes
  • Une base de réputation sur les User-Agent permet d’augmenter le score de risque en fonction du type de client
  • Une politique WAF “Vulture” a fait son apparition, elle apporte des fonctionnalités de sécurité “par défaut”
  • Les règles CRS passent en version 3
  • La géolocalisation et la réputation peuvent maintenant être bloquante, en temps réel

Retrouver le changelog complet

** Release notes **

  • Après la mise à jour, Vulture contactera les nouvelles adresses IP du projet: 163.172.108.9 en IPv4 et 2001:bc8:236b:101::100 en IPv6
    • Vérifiez que ces flux sont autorisés en sortie sur vos firewalls (TCP/443)
  • Lors de la mise à jour, plus de 100Mo seront téléchargés et plusieurs opérations seront lancées sur le système
    • Désinstallation de paquets inutiles
    • Mise à jour de configuration
    • Insertion de données dans MongoDB, Redis …

    Nous avons testé beaucoup de configurations et de cas de figure, mais il est impossible de tout prévoir.
    Aussi nous vous recommandons de ne pas lancer la mise à jour depuis la GUI. Nous vous recommandons plutôt de lancer la mise à jour en ligne de commande, afin d’avoir le détail complet des opérations.
    Les commandes à lancer en root pour mettre à jour l’Engine, puis la GUI sont : - /home/vlt-sys/scripts/install_updates engine - /home/vlt-sys/scripts/install_updates gui

  • Les nouvelles installations 1.41 bénéficient d’une protection renforcée contre les attaques DOS et augmentent également les capacités “par défaut” de Vulture, en terme de nombre de connexions simultanées et de mémoire disponible. Elles disposent également de nouvelles tables de session pf pour blacklister les IP malveillantes au niveau TCP.

Version 1.40

Nouvelle version de Vulture disponible. Vulture passe de la version 1.32 à la version 1.40 ! Cette version marque le début d’une nouvelle ère pour Vulture: ** Le passage au machine learning **

La version 1.40 intègre 4 algorithmes de blocage basés sur des “Machines à Vecteur de Support”. Ces algorithmes détectent et bloquent les anomalies basées sur un apprentissage préalable. Contrairement aux solutions basées sur du whitelisting, Vulture bloque en fonction de déviances constatées par rapport à un “noyau Gaussien” représentatif d’une activité habituelle.

Il va par exemple détecter des anomalies entre la longueur des requêtes, le ratio octets reçus / octets envoyés, … Dès la rentrée 2017, 2 nouveaux algorithmes viendront renforcer l’arsenal de blocage.

Autre fait marquant: ** L’abandon progressif de mod_security ** comme unique moteur de filtrage. Vulture commence à s’équiper de ses propres technologies et proposera dès la rentrée un module interne de filtrage contre les injections SQL. mod_security sera conservé pour des besoins bien précis, et il n’est pas exclu que nous proposions quelques patches.

Restez à l’écoute !

Retrouver le changelog complet

Version 1.32

Nouvelle version de Vulture disponible. Au delà des nouvelles fonctionnalités et bugfixes, on notera le passage à FreeBSD 11.0 Vulture s’installe désormais au dessus de FreeBSD11, et les images OVA/ESX sont en FreeBSD11.0 également. Pour les utilisateurs souhaitant migrer leur Vulture 1.31 sous FreeBSD 11.0, voici la marche à suivre:

1- Rester en GUI-1.31 (Important !!)

2- Mettre à jour le système o freebsd-update fetch o freebsd-update install o freebsd-update upgrade -r 11.0-RELEASE o freebsd-update install

3- Redémarrage et finalisation de la migration OS o shutdown -r now (Redémarrage du système) o freebsd-update install

4- Depuis la GUI, installer la GUI-1.32

Il peut arriver que redis ne redémarre pas correctement à l’issu de la mise à jour OS. Dans ce cas: service redis start && service sentinel start

Retrouver le changelog complet