Documentation

Politiques de filtrage Web

La création de politique de sécurité permet de recenser un ensemble de règles de sécurité et d’y associer des scores de pondération pour la prise de décision.

La création de politique de sécurité du firewall applicatif est facilitée dans l’onglet Policy. Une politique de sécurité régie les règles sécurité misent en place (cf édition de règles de sécurité). Il est possible de créer plusieurs profils de politique de sécurité qui pourront être affectés, ou non, à une application.

Page overview

L’onglet Main Settings recense les paramètres généraux de la politique du Firewall Applicatif.

Page overview

  • Friendly name : donner un nom à la politique de sécurité.
  • Engine version : renseigner le numéro de version de l’engine utilisé (champ à remplir par l’utilisateur et optionnel; il permet de repérer la version rapidement dans l’interface)
  • Connections engine : défini le fonctionnement de l’engine mod_security.
    • Positionné sur On, le WAF va analyser le trafic et bloquer l’accès en cas de détection d’une attaque. Il est préférable d’activer ce mode une fois que le jeu de règles associé est testé et fonctionnel afin d’éviter tout faux positif.
    • Positionné sur Detection Only, le WAF va analyser le trafic en mode « détection », sans prise de décision. Il est conseillé d’utiliser ce mode en période de test de la politique pour évaluer sa pertinence.
    • Positionné sur Off, le WAF n’est pas actif.
  • Audit engine : gestion des logs :
    • Log all transactions : log tous les évènements d’audit.
    • Do not log any tansaction : log aucun évènement d’audit.
    • Log only relevant transactions : log uniquement les évènements de sécurité répondant à l’expression du champ « Relevant status code » (dans l’exemple ci-dessous, on loggera uniquement les évènements d’audit avec un code 500 ou 400, excepté 404):

Page overview

  • Logging mode : indique à mod_security dans quel fichier logger les événements de sécurité
    • Fichier de log d’erreur Apache (Directive ErrorLog).
    • Fichier de log mod_security.
    • Les deux.
  • Enable content injection : active l’analyse d’injection de contenu
  • Disable backend compression : désactive la compression côté backend. Vulture ne décompressera pas les archives gzip dans son analyse.
  • Validate UTF8 enconding : vérifie si les données envoyées par l’utilisateur sont au format UTF8.
  • XML inspection : analyse le contenu des échanges XML/SOAP afin d’éviter les injections.

L’onglet Scoring permet d’associer des scores d’anomalie aux règles de sécurité.

Page overview

  • Critical anomaly score : poids à attribuer aux événements de sécurités jugés « critique » par mod_security.
  • Error anomaly score : poids à attribuer aux événements de sécurités jugés « en erreur » par mod_security.
  • Warning anomaly score : poids à attribuer aux événements de sécurités jugés « dangereux » par mod_security.
  • Notice anomaly score : poids à attribuer aux événements de sécurités jugés « informatifs » par mod_security.
  • Block if inbound score exceeds : seuil de blocage à partir duquel une requête entrante est bloquée.
  • Block if outbound score exceeds : seuil de blocage à partir duquel une requête sortante est bloquée.

Dans notre exemple, il faut au moins 3 évènements de type « Notice » pour déclencher un blocage en entrée, ou un seul évènement de type « Critical ».

L’onglet HTTP recense l’ensemble des contraintes pour qu’une requête HTTP soit jugée valide par le WAF.

Page overview

  • Maximum number of arguments in request : nombre d’argument maximum pouvant être passé dans une requête.
  • Maximum argument name length : taille maximum d’un nom argument en nombre de caractères.
  • Maximum arguments value length : taille maximum d’une valeur d’argument en nombre de caractères.
  • Maximum arguments value total length : taille maximum des arguments passés à tous les paramètres.
  • Maximum file size, in bytes : taille maximum d’upload de fichier en Méga-octets.
  • Maximum combined file size, in bytes : taille maximum d’upload de fichier en Méga-octets lors de l’upload de plusieurs fichiers.
  • Allowed HTTP versions : versions du protocole HTTP autorisées par le client.
  • Allowed request content type : type MIME de données autorisés.
  • Restricted extensions : extensions de fichiers interdites lors de l’upload.
  • Restricted headers : Headers interdits dans les requêtes.

L’onglet DOS & BF Protection recense les paramètres de la protection de déni de service & brute force intégrée dans Vulture :

Page overview

  • DOS Burst Time Slice : Période durant laquelle Vulture va compter le nombre de connexions afin de savoir s’il n’y a pas d’attaque DOS (en secondes).
  • DOS Counter Threshold : Nombre de requêtes maximale autorisées dans la fenêtre de temps avant de déclencher un blocage du client.
  • DOS Block Timeout : Durée du blocage en secondes.

Dans notre exemple, pour un client donné, si plus de 100 requêtes sont reçues en moins de 60 secondes, alors le client sera bloqué (403 Forbidden) durant 600 secondes.