Cybersecurity_header-image_collaboration tools_1440x810px
Edouard Viot

Edouard Viot

WAF DDoS

Définition du pare-feu applicatif Web (Web application firewall)

Le pare-feu applicatif web (WAF) protège les applications web et les API contre différentes attaques comme celles mises en évidence dans le Top 10 de l’OWASP (injections SQL, cross-site scripting (XSS) etc.), les attaques de déni de service (DoS) de la couche applicative comme les attaques d’amplification ou Slowloris, les attaques « zero day » etc. Il filtre, analyse et bloque le contenu des requêtes HTTP / HTTPS dans le trafic entrant, en fonction de leur comportement et de leur logique. Cela permet de protéger vos ressources web contre les utilisateurs malveillants et de distinguer les utilisateurs légitimes du trafic DDoS[A1]  indésirable.

Limitation du débit des requêtes

Aujourd’hui, la plupart des pare-feu applicatifs Web (Web application firewall en anglais) utilisent une limitation du débit pour se protéger contre les attaques de type flooding. Il est important de vérifier le taux de requêtes du backend pour limiter les dommages causés par ces attaques et réduire les temps d’arrêt. Si vous savez quelles parties de votre application web sont les plus sensibles aux attaques de type DoS, vous pouvez définir le taux de requête maximum acceptable pour celles-ci. Si un utilisateur ne respecte pas la règle de limitation du taux que vous avez définie, vous pouvez choisir une réponse prédéfinie comme les bloquer pendant un certain temps ou les rediriger vers une page captcha. Il est donc avantageux d’ajouter à votre protection de la couche réseau une fonctionnalité de limitation du débit.

Liste noire et liste blanche (whitelist / blacklist)

L’établissement d’une liste noire ou d’une liste blanche du trafic pourrait également être une stratégie intéressante pour filtrer le trafic sur le web. Elles peuvent s’avérer bénéfiques lorsque vous souhaitez bloquer les attaques au niveau applicatif en empêchant les requêtes malveillantes de ‘faire planter’ le serveur ou de le rendre indisponible. La manière la plus efficace d’utiliser une liste noire est de travailler avec des modèles génériques, au lieu de créer un modèle pour chaque vulnérabilité. Cette technique permet de bloquer les attaques « zero day », les attaques DDoS, et conduit à de meilleures performances. Lorsque les modèles génériques ne peuvent pas détecter certaines vulnérabilités, un modèle spécifique doit être créé afin de les bloquer.

Les API, au contraire, sont censées être gérées par un modèle de sécurité positive. En créant une API, les utilisateurs connaissent le type de données attendues par chaque terminal. Les développeurs créent des fichiers Swagger ou OpenAPI qui décrivent le comportement de l’API. Une bonne technologie de liste blanche est capable de travailler avec ces formats standards et de les faire respecter. Les méthodes de liste noire et de liste blanche sont toutes deux complémentaires et un bon WAF doit être en mesure de gérer les deux.

Threat intelligence et géolocalisation

Pour compléter les approches évoquées ci-dessus, les bons WAF utilisent également le renseignement sur les menaces (Threat Intelligence) pour bloquer les adresses IP correspondantes lors d’une attaque. L’exploitation d’une base de données de Threat Intelligence en temps réel permet de protéger efficacement les clients contre les menaces que représentent les adresses IP malveillantes. Une fois que l’adresse IP du client entrant est testée par rapport à la base de données de réputation IP, elle renvoie un score de réputation ainsi que la catégorie de menace de l’adresse IP du client. Ensuite, en fonction de ce score, vous pouvez décider de mettre l’IP attaquante sur liste noire. Les adresses IP utilisées par les réseaux de botnets ont généralement une réputation négative, car elles ont déjà effectué d’autres attaques. De cette façon, vous pouvez bloquer environ 40 % d’un réseau de botnet sur la base de sa mauvaise réputation IP.

Le géo-blocage est une autre bonne solution. Lorsqu’une grande partie des adresses IP malveillantes provient de certains pays du monde, vous pouvez les bloquer grâce à cette fonctionnalité.

Comment les solutions de Rohde & Schwarz Cybersecurity vous protègent-elles ?

Une protection WAF anti-DDoS

Rohde & Schwarz Cybersecurity aspire à vous protéger contre tous les types d’attaques DoS et DDoS. L’utilisation de moteurs de sécurité reposant sur 20 ans d’expertise éprouvée vous assure le meilleur niveau de protection tout en limitant les faux positifs. C’est un aspect important, car les attaquants peuvent toujours être victorieux, si le taux de faux positifs est élevé car vous finissez par refuser l’accès à vos véritables visiteurs.

R&S®Cloud Protector offre plus de bande passante pour absorber le trafic malveillant et plus de ressources qu’un réseau privé, étant une solution WAF en mode SaaS[A4]. Elle utilise des technologies sous-jacentes pour filtrer le trafic web comme la géolocalisation, la réputation IP, la comparaison des signatures, la liste noire (blacklist) et la liste blanche (whitelist), la limitation des taux, etc. De cette façon, il bloque le trafic malveillant sans gâcher l’expérience utilisateur de vos clients.

Un WAF en mode SaaS peut fournir de bonnes et rapides techniques d’atténuation des attaques DoS, mais il doit encore détecter l’attaque plus tôt dans l’architecture. Après tout, plus vite vous vous rendez compte des problèmes au sein de votre application web, moins vous subirez de dommages. De plus, un WAF ne peut pas être la seule solution de sécurité si vous souhaitez adopter une approche proactive en matière de DDoS. Une bonne stratégie avec l’opérateur est impérative pour protéger votre infrastructure. Les stratégies décrites dans cet article fonctionnent réellement après un assainissement adéquat du trafic par une couche de protection DDoS au niveau de l’opérateur, ou lorsqu’une attaque applicative ne génère pas beaucoup de trafic. En outre, vous devez toujours intégrer certaines bonnes pratiques pour une protection anti-DDoS globale.

Un WAF, un opérateur de qualité et quelques bonnes pratiques de sécurité combinés sont votre meilleur atout contre une attaque DDoS. Pour en savoir plus, consultez notre article sur la protection[A5]  contre les DDoS.

 [A1]Lien vers l’article sur l’attaque DDoS

 [A4]Lien vers l’article sur SaaS cloud

 [A5]Lien vers l’article sur la protection contre les DDoS

Share this post

Share on twitter
Share on linkedin

Voir plus d'articles

WAF DDoS​

WAF DDoS Définition du pare-feu applicatif Web (Web application firewall) Le pare-feu applicatif web (WAF) protège les applications web et les API contre différentes attaques

Attaque DDoS

Attaque DDoS – le pire cauchemar d’une organisation Les DoS et DDoS sont des attaques courantes qui peuvent rendre votre serveur indisponible, si elles ne