{"id":1163,"date":"2012-04-17T21:57:10","date_gmt":"2012-04-17T20:57:10","guid":{"rendered":"http:\/\/blog.guiguiabloc.fr\/?p=1163"},"modified":"2012-04-18T21:16:15","modified_gmt":"2012-04-18T20:16:15","slug":"naxsi-du-waf-pour-votre-nginx","status":"publish","type":"post","link":"http:\/\/blog.guiguiabloc.fr\/index.php\/2012\/04\/17\/naxsi-du-waf-pour-votre-nginx\/","title":{"rendered":"Naxsi, du WAF pour votre Nginx"},"content":{"rendered":"

\"\"<\/a><\/p>\n

Quand je dis WAF, je parle bien s\u00fbr de Web Application Firewall<\/a> , pas de Wife Acceptance Factor <\/a>, (quoi que parfois cela peut \u00eatre \u00e9trangement li\u00e9 \ud83d\ude00 )<\/p>\n

Je tiens toute suite \u00e0 \u00e9viter toute pol\u00e9mique sur l’image illustrant l’article, c’est juste que cela m’a fait bien rire d’imaginer Ivan Drago<\/a> en Nginx russe pr\u00eat a affronter les scripts kiddies capitalistes \ud83d\ude42 (mais cela ne fait rire que moi, je sais :p)<\/p>\n

Mais revenons au sujet de ce billet.<\/p>\n

Si vous \u00eates un peu proche de la s\u00e9curit\u00e9 des \u00ab\u00a0serveurs web\u00a0\u00bb, vous avez vite compris que le simple firewalling tel qu’on le conna\u00eet devient de moins en moins adapt\u00e9 aux formes d’attaques pr\u00e9sentes sur le Nain Ternet.<\/p>\n

Au bout d’un moment, il va falloir ajouter quelques filtrages de niveau 7 pour regarder et analyser ce qu’il se trame (humour), dans nos requ\u00eates http.<\/p>\n

Pour les sites \u00ab\u00a0web\u00a0\u00bb, il s’agit principalement d’ins\u00e9rer un firewall applicatif d\u00e9di\u00e9 au requ\u00eates http, on appelle cela un WAF.<\/p>\n

Si votre serveur http est Apache<\/a>, vous utilisez s\u00fbrement le module mod_security<\/a> (un must have sur tout serveur de ce nom), ou encore Ironbee<\/a> (je vous en reparlerais peut \u00eatre un autre jour, \u00e9tant grand fan d’ Ivan Ristic, l’auteur justement de modsecurity).<\/p>\n

Vous utilisez IIS ? Je ne comprends m\u00eame pas ce que vous faites sur ce blog… \ud83d\ude41<\/p>\n

Donc, avec Apache, je jouais avec mod_security ou Ironbee mais j’utilise aussi Nginx<\/a> depuis des ann\u00e9es, le serveur http venu du froid qui pourrait bien vous faire revoir votre vision des serveurs http.<\/p>\n

Bref, ce n’est pas un d\u00e9bat Apache VS Nginx (chacun a ses avantages\/inconv\u00e9nients et cela d\u00e9pend vraiment de la fa\u00e7on dont vous utilisez votre serveur http (m\u00eame si Nginx \u00e7a roxx sa maman en slip<\/a>).<\/p>\n

Donc, m\u00eame si Nginx supporte plut\u00f4t tr\u00e8s bien certains types d’attaque (qui a dit Slowloris<\/a> ? :p), votre site web, lui, a peut \u00eatre quelques failles de type injection SQL<\/a>, Cross-Site scripting<\/a> ou Cross-Site Request Forgery<\/a>.<\/p>\n

Et ModSecurity ne fonctionne pas sous Nginx.<\/p>\n

Heureusement, il existe un WAF d\u00e9di\u00e9 pour Nginx, et pas des moindres.<\/p>\n

Ce WAF s’apple NAXSI<\/a>, et il est issu d’une soci\u00e9t\u00e9 qui n’est pas dans le genre \u00ab\u00a0plaisantin\u00a0\u00bb quand il s’agit de s\u00e9curit\u00e9 informatique : NBS-SYSTEM<\/a><\/p>\n

Pour preuve, vous trouverez chez eux des gens plut\u00f4t velus <\/a>qui entre autres fondent des groupuscules int\u00e9gristes que l’on v\u00e9n\u00e8re ou l’on d\u00e9t\u00e9ste <\/a>\ud83d\ude42<\/p>\n

(m\u00eame GuiguiAbloc en parle<\/a>, c’est pour dire :p)<\/p>\n

Vous me direz, \u00ab\u00a0mouais, c’est sympa ton truc, mais dans la vrai vie, \u00e7a a fait ses preuves ?\u00a0\u00bb<\/p>\n

Et bien, disons qu’il y en a qui ont plut\u00f4t bien appr\u00e9ci\u00e9 son efficacit\u00e9.<\/a>..<\/p>\n

Tout de suite, on se dit, \u00ab\u00a0ok, ca a quand m\u00eame subit un bon test IRS (In Real Situation)\u00a0\u00bb<\/p>\n

Si je vous parle avec autant de passion de Naxsi, c’est que ce WAF a une approche plut\u00f4t originale du firewall.<\/p>\n

Alors que ses confr\u00e8res se basent surtout sur des signatures (comme un antivirus), Naxsi, lui, fonctionne comme un filtre bay\u00e9sien (et oui, comme les anti-spams).<\/p>\n

Il d\u00e9tecte les cha\u00eenes de caract\u00e8res suspectes et donne un \u00ab\u00a0score\u00a0\u00bb qui, quand il devient trop \u00e9lev\u00e9, renvoi le \u00ab\u00a0visiteur\u00a0\u00bb vers une page de votre choix (403, ou pire, vers votre NIDS pour analyse ult\u00e9rieure \ud83d\ude09 )<\/p>\n

Je vous invite bien entendu \u00e0 vous goinfrer du Wiki du projet<\/a>.<\/p>\n

Suffit la causette, comment on met cela en place ?<\/strong><\/p>\n

Je suppose que vous avez t\u00e9l\u00e9charger les sources de Nginx <\/a>ainsi que la derni\u00e8re version stable de Naxsi (0.43-1 a ce jour).<\/a><\/p>\n

On d\u00e9targ\u00e9z\u00e8de tout cela et on compile Nginx avec Naxsi en tant que module.<\/p>\n

Attention<\/strong> : Sp\u00e9cifier bien le add-module Nasxi en premier ! Nginx est sensible \u00e0 l’ordre de chargement de ses modules.<\/p>\n

Exemple :<\/p>\n

\r\n.\/configure --prefix=\/opt\/nginx -add-module=..\/naxsi-0.43-1\/naxsi_src\/ --with-http_ssl_module --without-mail_pop3_module --without-mail_smtp_module --without-mail_imap_module --without-http_uwsgi_module --without-http_scgi_module\r\n<\/pre>\n
.Bien s\u00fbr je vous laisse adapter \u00e0 votre configuration \ud83d\ude42<\/p>\n
Copier le fichier naxsi-0.43-1\/naxsi_config\/naxsi_core.rules dans votre r\u00e9pertoire conf de Nginx (par exemple), et on pr\u00e9pare la configuration de Nginx.<\/p>\n
\r\n...\r\n\r\nhttp {\r\ninclude\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 \/opt\/nginx\/conf\/naxsi_core.rules;\r\n\r\n...\r\n\r\nserver {\r\nproxy_set_header Proxy-Connection \"\";\r\nlisten\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 *:80;\r\naccess_log\u00a0 \/opt\/nginx\/logs\/nginx_access.log;\r\nerror_log\u00a0 \/opt\/nginx\/logs\/nginx_error.log debug;\r\n\r\nlocation \/RequestDenied {\r\nproxy_pass http:\/\/127.0.0.1:4242;\r\n}\r\n\r\nlocation \/ {\r\ninclude\u00a0\u00a0\u00a0 \/opt\/nginx\/conf\/monsite.rules;\r\n...\r\n<\/pre>\n
Petite explication dans le texte.<\/p>\n
Au niveau du block http de Nginx on charge les filtres de Naxsi (\/opt\/nginx\/conf\/naxsi_core.rules)<\/p>\n
Puis au niveau du virtualhost, on d\u00e9finie une destination \u00ab\u00a0RequestDenied\u00a0\u00bb o\u00f9 seront envoy\u00e9es toutes les requ\u00e8tes intercept\u00e9es par Naxsi.<\/p>\n
On se fait un petit fichier incluant les r\u00e8gles nouvellement apprises :<\/p>\n
\r\ninclude\u00a0\u00a0\u00a0 \/opt\/nginx\/conf\/monsite.rules\r\n<\/pre>\n
Fichier qui contient :<\/p>\n
\r\nLearningMode;\r\nSecRulesEnabled;\r\nDeniedUrl \"\/RequestDenied\";\r\n\r\ninclude \"\/tmp\/naxsi_rules.tmp\";\r\n\r\n## check rules\r\nCheckRule \"$SQL >= 8\" BLOCK;\r\nCheckRule \"$RFI >= 8\" BLOCK;\r\nCheckRule \"$TRAVERSAL >= 4\" BLOCK;\r\nCheckRule \"$EVADE >= 4\" BLOCK;\r\nCheckRule \"$XSS >= 8\" BLOCK;\r\n<\/pre>\n
La ligne \u00ab\u00a0proxy_pass http:\/\/127.0.0.1:4242\u00a0\u00bb est un petit plus de Naxsi : l’apprentissage.<\/p>\n
Et oui, comme tout filtre bay\u00e9sien, Naxsi est capable d’apprendre des requ\u00e8tesiqui sont l\u00e9gitimes pour votre site web, ce la s’appelle une liste blanche (white list).<\/p>\n
Pour cet apprentissage (learning mode), il vous faut un petit serveur http local qui \u00e9coutera sur le port 4242 et alimentera la base de Naxsi (dans mon exemple, le fichier \/tmp\/naxsi_rules.tmp\u00a0 qui deviendra ensuite le \/opt\/nginx\/conf\/monsite.rules.<\/p>\n
Vous pouvez donc t\u00e9l\u00e9charger le script http_config.py ici :<\/p>\n
http:\/\/code.google.com\/p\/naxsi\/source\/browse\/trunk\/contrib\/rules_generator\/http_config.py<\/a><\/p>\n
C’est fait ?<\/p>\n
Lancons le http_config :<\/p>\n
\r\n\/opt\/nginx\/sbin# python http_config.py --rules \/opt\/nginx\/conf\/naxsi_core.rules\r\nStarting server, use  to stop\r\n<\/pre>\n
Puis Nginx.<\/p>\n
Maintenant vous pouvez surfer sur votre site, afin d’alimenter la liste blanche qui se cr\u00e9era en fonction des sp\u00e9cificit\u00e9s de votre site web.<\/p>\n
Une petite visite sur http:\/\/localhost:4242 vous indiquera les r\u00e8gles apprises et en attente de validation :<\/p>\n
\r\nYou currently have 4 rules generated by naxsi\r\nYou have a total of 1584 exceptions hit.You should reload nginx's\r\nconfig.Write rules and reload for ALL sites. [write&reload eos|0\r\npending rules|\r\nfilename:\/tmp\/naxsi_rules.tmp.21db4a5fea0f4dedb0aa90007de5c3c3]\r\n[write&reload wafing.me|4 pending rules|\r\n<\/pre>\n
Il vous suffit alors de valider le \u00ab\u00a0Write&reload\u00a0\u00bb pour enregistrer les r\u00e8gles dans votre fichier.<\/p>\n
Tout cela bien s\u00fbr est clairement expliqu\u00e9 ici :<\/p>\n
http:\/\/code.google.com\/p\/naxsi\/wiki\/Howto#Installing_nginx_+_naxsi<\/a><\/p>\n
Une fois votre fichier bien rempli, vous pouvez modifier votre VirtualHost pour renvoyer les visiteurs ind\u00e9licats sur un 403 :<\/p>\n
\r\nlocation \/RequestDenied {\r\n#proxy_pass http:\/\/127.0.0.1:4242;\r\nreturn 403;\r\n}\r\n<\/pre>\n
Et de commenter le \u00ab\u00a0learning mode\u00a0\u00bb dans votre fichier de r\u00e8gles.<\/p>\n
Si bien sur, vous voulez continuez \u00e0 alimenter votre filtre avec une restriction d’acc\u00e8s, un excellent exemple est disponible ici :<\/p>\n
http:\/\/blog.memze.ro\/?p=81<\/a><\/p>\n
Une fois en place, vous pouvez tester a loisir la puissance de votre Naxsi :<\/p>\n
\r\nGuiguiAbloc:~# wget \"http:\/\/wafing.me?a=<>\"\r\n--2012-04-17 22:40:55--\u00a0 http:\/\/wafing.me\/?a=%3C%3E\r\nR\u00e9solution de wafing.me... 8.20.110.175\r\nConnexion vers wafing.me|8.20.110.175|:80...connect\u00e9.\r\nrequ\u00eate HTTP transmise, en attente de la r\u00e9ponse...403 Forbidden\r\n2012-04-17 22:40:55 ERREUR 403: Forbidden.\r\n<\/pre>\n
Je ne peux que vous inviter chaudement (tss tss), \u00e0 lire la documenation de Naxsi et surtout remonter les \u00e9ventuels probl\u00e8mes \u00e0 l’\u00e9quipe pour ce projet jeune mais terriblement efficace et innovant dans le monde merveilleux des WAF.<\/p>\n
Amusez-vous bien \ud83d\ude00<\/p>\n","protected":false},"excerpt":{"rendered":"
Quand je dis WAF, je parle bien s\u00fbr de Web Application Firewall , pas de Wife Acceptance Factor , (quoi que parfois cela peut \u00eatre \u00e9trangement li\u00e9 \ud83d\ude00 ) Je tiens toute suite \u00e0 \u00e9viter toute pol\u00e9mique sur l’image illustrant … Read More →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[7,8],"tags":[183,181,182],"_links":{"self":[{"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/posts\/1163"}],"collection":[{"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/comments?post=1163"}],"version-history":[{"count":11,"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/posts\/1163\/revisions"}],"predecessor-version":[{"id":1175,"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/posts\/1163\/revisions\/1175"}],"wp:attachment":[{"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/media?parent=1163"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/categories?post=1163"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/tags?post=1163"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}