Locked History Actions

Présentation

23 septembre 2009

Contrer la menace Slowloris avec Vulture

http://vulture.open-source.fr/wiki/Slowloris

-

1er avril 2009

Nouvelle version Vulture-PKI

http://vulture.open-source.fr/wiki/PKI

-

29 mars 2009

Faille mod_security

Il est conseillé de mettre à jour le socle INTRINsec-common

en version 1.8

Download

-

28 avril 2008

Vulture 1.99

ChangeLog

Download

-

8 novembre 2005

Slides présentation Vulture à l'OSSIR

http://www.ossir.org/(...)vulture_ossir.pdf

Vulture est un firewall applicatif (également connu sous l'acronyme WAF) protégeant efficacement les applications Web.
Basé sur une technologie de Proxy Inverse, Vulture fait barrière entre les applications et le monde extérieur.

Vulture prend en charge toutes les fonctionnalités liées à la sécurité, et notamment :

  • L'authentification des utilisateurs
  • Le chiffrement des flux
  • Le filtrage de contenu
  • La réécriture des Urls
  • La haute disponibilité
  • La répartition de charge

Composants logiciels :

  • mod_proxy
  • mod_security
  • mod_perl
  • mod_php (interface d’administration)

La configuration est contenue dans un fichier de base de donné sqlite embarqué dans Vulture et alimenté exclusivement depuis l’interface d’administration.

Protection contre les menaces :

Vulture s'appuie sur le serveur web open-source le plus répandu : Apache et ses modules mod_ssl et mod_security. Par le principe de rupture du flux et par la fiabilité d'Apache Vulture constitue déjà une protection efficace contre les menaces.

Vulture va cependant plus loin via l'utilisation du module mod_security. Ce module permet de définir un ensemble de règles destinées à protéger vos applications des différentes techniques d'attaques (Cross Site Scripting, SQL injection, Buffer overflow, directory traversal, PHP hacks, ...).

Authentification :

L’authentification sur Vulture permet d’interdire à un utilisateur non authentifié d’accéder (au niveau du flux) aux applications.

Vulture supporte différentes méthodes d’authentification parmi lesquelles :

  • Authentification par certificat client x509v3 (cf interaction avec la PKI Rooster)
  • Authentification LDAP/Active Directory
  • Authentification sur base SQL
  • Authentification RADIUS

Pour chaque méthode d'authentification une liste de contrôle d'accès par utilisateur ou par groupe (LDAP) est configurable depuis l'interface d'administration.

Single Sign On (SSO)

Vulture implémente nativement le Single Sign On, sans aucune configuration particulière. En effet, supposons que Vulture gère deux applications, toutes deux protégées par un contrôle d’accès.

  1. L’utilisateur voulant accéder à l’application 1 devra d’abord s’authentifier sur Vulture
  2. Si l’authentification réussit, l’utilisateur accède à l’application 1
  3. Si maintenant il veut accéder à l’application 2, Vulture acceptera automatiquement la requête, car l’authentification a déjà eu lieu.

Propagation de l'authentification (SSO Forward)

Le « SSO Forward » permet à Vulture d’aller beaucoup plus loin que le simple SSO. Il est en effet possible d’associer à un identifiant de connexion, sur Vulture, un profil applicatif, et de transférer automatiquement ce profil vers l’application interne:

sso_forward

  1. L’utilisateur s’authentifie sur Vulture
  2. Vulture vérifie si l’utilisateur peut accéder au site
  3. Vulture récupère le profil de l’utilisateur
  4. Vulture envoi le profil de l’utilisateur vers le site

Si l’utilisateur ne dispose pas encore de profil, Vulture lui demandera de saisir les informations (ou les enverra automatiquement, en fonction du type de profil).

Les mots de passe du profil applicatif sont chiffrés. Le mot de passe de la méthode d’authentification est utilisé comme clé de chiffrement.

Si la méthode d’authentification ne demande pas de mot de passe, comme c’est le cas pour l’authentification SSL, l’utilisateur est invité à saisir un code PIN pour le chiffrement de son profil. Il lui sera demandé à chaque nouvelle connexion à l’application pour déchiffrer son profile.

Lorsque le mot de passe de l’authentification de l’utilisateur sur Vulture change, Vulture demande alors l’ancien mot de passe pour déchiffrer le profil chiffré avec l’ancien mot de passe et le rechiffre automatiquement avec le nouveau mot de passe.

Cela permet de s’authentifier avec un mot de passe unique à des applications necessitant chacune un profile (nom d’utilisateur, mots de passe) different.

Performances

Le coeur du reverse proxy s'appui sur mod_proxy, entièrement développé en C, et c'est très largement ce code qui est exécuté le plus souvent. Pour les phases d'authentification et/ou de récriture des requêtes, Vulture utilise le module mod_perl. L'interpréteur de mod_perl est chargé et le code de Vulture compilé au démarrage pour des performances optimales.

last edited 2010-07-21 10:07:34 by ads