D’abord, pour les lecteurs qui ont ouvert cet article sans conviction parce que FreeBSD, bon, c’est un OS pour les moustachus, je vais expliquer mon choix un peu plus bas.

 

Naxsi

Avant tout quelques explications sur ce qu’est Naxsi :

Naxsi est un WAF.

Maintenant que c’est dit, quelques explications sur ce qu’est un WAF :

Un WAF est un firewall pour applications Web, autrement dit une bébête qui vérifie les requêtes des clients Web avant de les transmettre aux serveurs Web. Il protège notamment contre les attaques SQLi ou XSS qui sont les plus communes (voir TOP10 Owasp). C’est un reverse proxy, c’est à dire un proxy qui protège les serveurs Web.

 

Si c’est sous FreeBSD je préfère quitter cette page dès maintenant

Quand il s’agit de mettre en place un serveur public donc visible sur le Net, qui plus est chargé de faire de la sécurité, il n’y a pas photo, il vaut mieux utiliser un BSD.

Les chiffres vont parler d’eux même :

 

Et Maintenant, installation de Naxsi sous FreeBSD

Fini de rire, on est partis pour l’installation :

La bonne nouvelle c’est que depuis quelques années, il y a un gestionnaire de packages à la APT sous FreeBSD.

La mauvaise nouvelle c’est que Naxsi n’est pas livré par défaut avec le paquet nginx, il va donc falloir le compiler avec les ports.

cd /usr/ports/www/nginx
make config

A ce moment là, vous pouvez tout laisser par défaut et ne cocher que Naxsi en plus, ou alors choisir les modules que vous voulez pour votre Nginx.

Pour télécharger et installer Nginx on se contentera d’un :

make install

 

Configuration d’un reverse proxy/WAF Nginx/Naxsi :

Avant de commencer, on n’oublie pas les préconisations de sécurité que ce soit pour SSL, pour les headers ou encore pour rendre Nginx silencieux.

 

Dans la configuration du contexte http de /usr/local/etc/nginx/nginx.conf, on peut ajouter ces lignes :

 

Dans le contexte server, on peut ajouter ces lignes, où backend est l’adresse IP du « vrai » site :

 

Enfin le fichier revproxy qui est appelé peut contenir ces lignes :

 

 

Sur le même sujet :