WAF DDoS : comment se protéger avec Cloud Protector

Définition du pare-feu applicatif Web (Web Application Firewall)

Le pare-feu applicatif web (WAF) protège les applications web et les API contre différentes attaques comme celles mises en évidence dans le Top 10 de l’OWASP (injections SQL, cross-site scripting (XSS) etc.), les attaques de déni de service (DoS) de la couche applicative comme les attaques d’amplification ou Slowloris, les attaques « zero day » etc. Il filtre, analyse et bloque le contenu des requêtes HTTP / HTTPS dans le trafic entrant, en fonction de leur comportement et de leur logique. Cela permet de protéger vos ressources web contre les utilisateurs malveillants et de distinguer les utilisateurs légitimes du trafic DDoS indésirable.

Limitation du débit des requêtes

Aujourd’hui, la plupart des pare-feu applicatifs Web (Web application firewall en anglais) utilisent une limitation du débit pour se protéger contre les attaques de type flooding. Il est important de vérifier le taux de requêtes du backend pour limiter les dommages causés par ces attaques et réduire les temps d’arrêt. Si vous savez quelles parties de votre application web sont les plus sensibles aux attaques de type DoS, vous pouvez définir le taux de requête maximum acceptable pour celles-ci. Si un utilisateur ne respecte pas la règle de limitation du taux que vous avez définie, vous pouvez choisir une réponse prédéfinie comme les bloquer pendant un certain temps ou les rediriger vers une page captcha. Il est donc avantageux d’ajouter à votre protection de la couche réseau une fonctionnalité de limitation du débit.

Liste noire et liste blanche (whitelist / blacklist)

L’établissement d’une liste noire ou d’une liste blanche du trafic pourrait également être une stratégie intéressante pour filtrer le trafic sur le web. Elles peuvent s’avérer bénéfiques lorsque vous souhaitez bloquer les attaques au niveau applicatif en empêchant les requêtes malveillantes de ‘faire planter’ le serveur ou de le rendre indisponible. La manière la plus efficace d’utiliser une liste noire est de travailler avec des modèles génériques, au lieu de créer un modèle pour chaque vulnérabilité. Cette technique permet de bloquer les attaques « zero day », les attaques DDoS, et conduit à de meilleures performances. Lorsque les modèles génériques ne peuvent pas détecter certaines vulnérabilités, un modèle spécifique doit être créé afin de les bloquer.

Les API, au contraire, sont censées être gérées par un modèle de sécurité positive. En créant une API, les utilisateurs connaissent le type de données attendues par chaque terminal. Les développeurs créent des fichiers Swagger ou OpenAPI qui décrivent le comportement de l’API. Une bonne technologie de liste blanche est capable de travailler avec ces formats standards et de les faire respecter. Les méthodes de liste noire et de liste blanche sont toutes deux complémentaires et un bon WAF doit être en mesure de gérer les deux.

Threat intelligence et géolocalisation

Pour compléter les approches évoquées ci-dessus, les bons WAF utilisent également le renseignement sur les menaces (Threat Intelligence) pour bloquer les adresses IP correspondantes lors d’une attaque. L’exploitation d’une base de données de Threat Intelligence en temps réel permet de protéger efficacement les clients contre les menaces que représentent les adresses IP malveillantes. Une fois que l’adresse IP du client entrant est testée par rapport à la base de données de réputation IP, elle renvoie un score de réputation ainsi que la catégorie de menace de l’adresse IP du client. Ensuite, en fonction de ce score, vous pouvez décider de mettre l’IP attaquante sur liste noire. Les adresses IP utilisées par les réseaux de botnets ont généralement une réputation négative, car elles ont déjà effectué d’autres attaques. De cette façon, vous pouvez bloquer environ 40 % d’un réseau de botnet sur la base de sa mauvaise réputation IP.

Le géo-blocage est une autre bonne solution. Lorsqu’une grande partie des adresses IP malveillantes provient de certains pays du monde, vous pouvez les bloquer grâce à cette fonctionnalité.

Demandez vos 14 jours gratuits

Comment savoir si on subbit une attaque ddos ?

Outre les pressions des attaquants, il pourrait y avoir plusieurs autres signes d’une attaque DDoS. Par exemple, lorsque des clients se plaignent que votre site web est resté inaccessible (perte de connexion réseau) pendant une période prolongée ou si vous observez dans vos journaux un pic irrégulier dans le trafic du site web. Il est en effet difficile à dire, car ce dernier pourrait également être dû à des requêtes légitimes.

Qui fait des attaques DDoS et pourquoi ?

De nombreux attaquants peuvent former des groupes actifs pour mener des attaques DDoS afin d’exprimer leurs opinions sur un certain sujet (politique, éthique, etc.) ou de venger une organisation. Parfois, des personnes qui font partie de groupes criminels organisés le font pour obtenir une énorme rançon.

Aujourd’hui, les pirates DDoS sont disponibles à bas prix sur le dark Web. Parfois, les entreprises engagent ces attaquants et lancent de telles attaques, pour perturber les services de leurs concurrents et rediriger le trafic vers leur propre site web.

Il arrive également que les agresseurs mènent de telles attaques juste pour montrer leurs compétences.

En savoir plus sur les attaques DDoS

Comment les solutions d’UBIKA vous protègent-elles ?

Une protection WAF anti-DDoS

UBIKA aspire à vous protéger contre tous les types d’attaques DoS et DDoS. L’utilisation de moteurs de sécurité reposant sur 20 ans d’expertise éprouvée vous assure le meilleur niveau de protection tout en limitant les faux positifs. C’est un aspect important, car les attaquants peuvent toujours être victorieux, si le taux de faux positifs est élevé car vous finissez par refuser l’accès à vos véritables visiteurs.

Cloud Protector offre plus de bande passante pour absorber le trafic malveillant et plus de ressources qu’un réseau privé, étant une solution WAF en mode SaaS. Elle utilise des technologies sous-jacentes pour filtrer le trafic web comme la géolocalisation, la réputation IP, la comparaison des signatures, la liste noire (blacklist) et la liste blanche (whitelist), la limitation des taux, etc. De cette façon, il bloque le trafic malveillant sans gâcher l’expérience utilisateur de vos clients.

Un WAF en mode SaaS peut fournir de bonnes et rapides techniques d’atténuation des attaques DoS, mais il doit encore détecter l’attaque plus tôt dans l’architecture. Après tout, plus vite vous vous rendez compte des problèmes au sein de votre application web, moins vous subirez de dommages. De plus, un WAF ne peut pas être la seule solution de sécurité si vous souhaitez adopter une approche proactive en matière de DDoS. Une bonne stratégie avec l’opérateur est impérative pour protéger votre infrastructure. Les stratégies décrites dans cet article fonctionnent réellement après un assainissement adéquat du trafic par une couche de protection DDoS au niveau de l’opérateur, ou lorsqu’une attaque applicative ne génère pas beaucoup de trafic. En outre, vous devez toujours intégrer certaines bonnes pratiques pour une protection anti-DDoS globale.

Un WAF, un opérateur de qualité et quelques bonnes pratiques de sécurité combinés sont votre meilleur atout contre une attaque DDoS. Pour en savoir plus, consultez notre page sur la protection contre les DDoS.