web-dev-qa-db-fra.com

Pourquoi devrais-je utiliser WAF?

J'étudiais différents Wafs, de la source ouverte (tels que Modsecurity et Naxsi) aux solutions commerciales (Imperva, Citrix, Fortinet, etc.). Beaucoup de gens déclarent que le fait d'avoir une WAF à base de Whitelist est beaucoup plus efficace que la liste noire.

Je comprends essentiellement pourquoi une liste noire peut être obsolète (même si dans le cas de bots, cela peut être assez bon) et comment une blancheur résout ces problèmes. Mais il est difficile de trouver une explication détaillée de la raison pour laquelle les whitelistes devraient être utilisés au lieu de noueuses.

Question: Pourquoi je devrais utiliser Whitelist au lieu de la liste noire avec un waf?

Les explications et/ou les liens vers des journaux seraient les bienvenus.

11
Quentin Mollard

La liste noire est bonne si vous avez une connaissance omnisciente de chaque vulnérabilité qui pourrait exister pour un seul produit. Je suppose que vous n'avez pas de connaissances infinies, vous seriez donc dans une bagarre constante pour la liste noire des prochaines menaces.

Un whitelist est bon si vous avez le comportement et les intrants attendus pour un produit. Par exemple. Vous vous attendez à ce que les utilisateurs visitent le site et les numéros d'entrée dans une zone de texte. Vous limitez la saisie de la zone de texte uniquement aux chiffres, de sorte que tous les exploits possibles impliquant des lettres et des symboles sont explicitement interdits.

Les whitelistes peuvent vous protéger du futur. Les noueuses peuvent vous protéger du passé.

25
Ohnana

Si vous êtes en mesure de conception et maintenir une liste blanche décrivant exactement toutes les entrées légales toutes vos applications hébergées peuvent éventuellement recevoir, il vous apportera Sécurité complémentaire car elle aura une meilleure capacité à bloquer des attaques inconnues.

Si vous ne remplissez pas la condition préalable ci-dessus, une liste noire peut être un meilleur choix:

  • La liste est déjà disponible, il sera plus rapide que vous puissiez déployer,
  • La liste sera maintenue par le vendeur/communauté en amont, il vous suffit de vous assurer que vous mettez à jour régulièrement pour être sûr qu'il devrait fonctionner comme prévu et bénéficier de l'expérience et des connaissances d'une grande entreprise/communauté (plus les gens impliqués, moins les chances Il y a pour la liste de contenir une erreur),
  • Une liste noire contenant tous les modèles connus pour être utilisés au moins par des outils automatisés vous apportera plus de sécurité qu'une whitelist trop permissive où certains canaux entrées ont été manqués ou ont été faites trop permissive pour éviter de bloquer des données complexes (cookies de Google Analytics semble être un classique Exemple).

Dans l'ensemble, un whiteliste bien fait et bien entretenu apportera en effet une meilleure sécurité. Cependant, puisqu'il est spécifique, tout le travail repose uniquement sur vous. Lorsque vous n'êtes pas en mesure ou confiance en faire et maintenir la liste, une liste noire générale fait et maintenu par une société/communauté en amont peut être un meilleur choix.

2
WhiteWinterWolf