Produits

Présentation des produits rWeb sProxy rFTP Appliances Présentation des technologies Scoring List UBT Architecture ouverte

News

V. Rasneur (Equipe R&D) a gagné le concours de développement organisé par Hex-Rays

Tables rondes sur les vulnérabilités des applications Web pendant itsa

Deny All releases a patch against Slowloris, an attack against Web servers

Evaluation de rWeb 3.8 par SIC Laboratorio

Présentation des technologies

La Sécurité Applicative Web

Les technologies puissantes développées par les experts en sécurité de Deny All permettent de gérer la totalité des problématiques de sécurité applicative WEB.

Vérifications protocolaires et canonisation

Certaines attaques sont réalisées en utilisant le Protocole http de façon inappropriée. La vérification protocolaire permet de s’assurer que les requêtes reçues sont conformes au protocole. La Canonisation permet entre autres de protéger contre des attaques permettant d’accéder à des ressources qui ne devraient pas être accessibles comme le Directory traversal.

Anti évasion

Les hackers encodent fréquemment leurs attaques afin de passer outre les moyens de filtrage applicatif. Il est donc primordial de pouvoir décoder les requêtes avant de les filtrer. rWeb réalise ce décodage de manière fine et configurable.

Anti DoS

Certaines pages dynamiques, lorsqu’elles sont sollicitées, consomment énormément de ressources pour les serveurs (applicatifs ou de base de données). Le module d’analyse comportementale permet répondre à cette problématique en associant l’origine de la requête et le nombre de sollicitations. Au-delà d’un certain seuil les requêtes en provenance de cette origine sont bloquées.

La Black List

Tous les jours, de nouvelles vulnérabilités sont découvertes sur les applications WEB.
Ces vulnérabilités sont répertoriées au sein de la blacklist sous forme de signatures.
Si une requête est similaire à l’une de ces signatures, elle est rejetée.
La sécurité ne doit pas être réalisée aux dépends de l’expérience utilisateur. C’est pourquoi Deny All à mis au point une black list à groupes qui permet d’évaluer la requête au regard de certaines conditions, évitant ainsi de consommer des ressources inutilement.
Deny All dispose de sa propre cellule de veille : le « DARC » (DenyAll Research Center) dont la mission est d’enrichir et de mettre à jour la blacklist.
La mise en oeuvre de la black list est instantanée et ne demande aucun apprentissage.

La Scoring List

Un grand nombre d’attaques se basent sur des langages de programmation ou de commande. Ces attaques ont une structure variable et leur détection ne peut être réalisée efficacement avec une blacklist.
C’est pour répondre à cette problématique que Deny All à créé la Scoring List, fruit de 10 ans d’expérience et de recherche dans le domaine du filtrage applicatif.
La mise en oeuvre de la Scoring List est instantanée et ne demande aucun apprentissage.

La White List

La White List permet de renforcer le niveau de sécurité en décrivant le cadre normal d’utilisation de l’application WEB. Elle valide l’intégrité des échanges entre le client et le serveur, vérifie la conformité des requêtes à destination des pages statiques et dynamiques ainsi que les paramètres.
rWeb permet de définir trois niveaux de White List. Ces niveaux correspondent à un ratio « niveau de sécurité/complexité d’administration » sur une échelle allant du niveau le plus strict où tous les éléments de la requête seront contrôlés jusqu’au niveau « extension » qui se contente de vérifier l’extension des pages demandées.
Les règles de liste blanche adaptées à chaque application sont générées automatiquement à l’aide de Scanweb, scanneur de sites et du « Rules Wizard » :
Scanweb prototype l’ensemble des possibilités d’utilisation de l’application y compris les applications faisant appel au javascript, le Rules wizard génère automatiquement les règles de filtrage.

Le Statefull tracking

Les applications Web transmettent des informations de « session » aux navigateurs afin d’assurer la persistance des données tout au long de la connexion. Il peut s’agir de cookies, ou de données « cachées » dans la page web.
Certaines attaques consistent à modifier ces données afin d’altérer le fonctionnement de l’application.
rWeb met en place un mécanisme de suivi et de vérification permettant de détecter et de bloquer ce type de menace.

L'Anti brute force

Les hackers utilisent des outils faciles à mettre en œuvre afin d’effectuer des tentatives d’authentification automatisées. Ces outils utilisent des dictionnaires ou des générateurs de chaînes de caractères afin de « deviner » le mot de passe de l’utilisateur.
Le module d’analyse comportementale permet de détecter ce type de tentative et de bloquer les requêtes de l’attaquant.

Le Contrôle des fichiers uploadés

Certaines applications peuvent demander à l’utilisateur d’uploader des fichiers.
Dans ce cas, un contrôle antiviral peut être réalisé (en local ou via ICAP) avant de transférer le fichier à l’application WEB.

Outgoing filtering

Les applications peuvent divulguer dans leurs pages d’erreurs des informations sensibles qui ne devraient pas être accessibles aux utilisateurs. Ces informations peuvent par exemple permettre à des hackers de réaliser un état des lieux pour déterminer le périmètre d’attaque.
D’autre part, il est important de pouvoir empêcher les fuites d’informations sensibles telles que les numéros de carte de crédit (PCI-DSS). Le filtrage sortant permet de répondre à ces problématiques.

Virtual Patching

Des audits de sécurité réalisés sur des applications WEB peuvent mettre à jour des vulnérabilités applicatives qui dans certains cas ne peuvent être comblées avec des modules de sécurités positives ou négatives, comme les vulnérabilités d’escalade horizontale.
Le module d’analyse comportemental permet de réaliser un patch virtuel de façon à pouvoir combler cette vulnérabilité immédiatement en amont sur le reverse proxy. Ceci permet de corriger la faille immédiatement et donne aux équipes de développement le temps nécessaire pour corriger la vulnérabilité en profondeur sur l’applicatif.

Performances Applicatives

« La sécurité ne doit pas être réalisée au dépens de l’expérience utilisateur ».

Cache

rWeb offre des fonctionnalités de cache pour les composants statiques des pages Web (images, texte fixe etc.). Les ressources des serveurs sont ainsi libérées pour les opérations nécessitant les traitements les plus importants.

Déchargement SSL

Les serveurs Web sont déchargés du traitement SSL très exigeant en termes de ressource CPU.

TCP multiplexing

Le TCP multiplexing permet de réduire le nombre de connexions qu’un serveur Web doit gérer et réduit la consommation de ressources liées au traitement des entrées / sorties.

Compression

La compression à la volée permet de réduire la taille des pages renvoyées. Par conséquent elle permet une économie de bande passante et diminue les taux de transfert.

Load Balancing

Pour répondre à des contraintes de trafic élevé et pour faire face à une demande grandissante du nombre d’utilisateurs, il est important de disposer d’une infrastructure évolutive. La fonctionnalité Loadbalancing permet de répondre à ces attentes en apportant également une forte valeur ajoutée en termes de disponibilité de services.
En effet un test de santé est réalisé sur chaque serveur afin de maintenir en permanence une liste des serveurs disponibles. Ce test peut être réalisé jusqu’au niveau 7 (lecture d’un élément prédéterminé dans une page).
Le SLB (Serveur Load Balancing) répartit le trafic suivant différents algorithmes (round robin, nombre de requêtes, ou pondération en fonction du temps de réponse des serveurs) et met en œuvre un mécanisme de persistance garantissant le maintient d’une session sur un seul serveur.

Sécurité de l'Architecture

« Un firewall applicatif permet aussi d’améliorer le niveau de sécurité de l’infrastructure »

Reverse Proxy

La technologie « Reverse Proxy » améliore le niveau de sécurité en offrant une rupture protocolaire et en virtualisant l’infrastructure applicative. De plus la totalité des flux Web étant filtrés et analysés, ceux-ci peuvent être renvoyés en n’importe quel point de l’infrastructure de façon sécurisée.

Multi DMZ

Le mode « Multi DMZ » permet d’améliorer le niveau de sécurité de l’infrastructure en déployant les deux composants de rWeb dans deux DMZ différentes. La partie accélération est réalisée en DMZ publique et la partie filtrage + authentification est réalisée en DMZ privée. Cette segmentation permet de rapprocher les applicatifs WEB et les bases de données du cœur du système d’information et permet une exploitation des applicatifs WEB et des bases de données moins contraignante.

Mode Diode

Plutôt que de transférer les requêtes de la DMZ publique vers la DMZ privée, le composant filtrant qui se trouve en DMZ privée va chercher les requêtes en DMZ publique. Ceci permet de n’avoir aucune règle de firewall qui autorise les connexions de la DMZ publique vers la DMZ privée rendant cette dernière totalement « étanche » vis-à-vis de la DMZ publique.

Haute disponibilité

Nos solutions Appliance implémentent des mécanismes de haute disponibilité qui permettent de garder une continuité de service même en cas de défaillance d’un équipement.