Bonjour tous le monde

Dans le cadre d'un projet, j'utilise actuellement un serveur (un VPS à 5$/mois de chez DigitalOcean) avec une Debian 7.0 x64 , et je fais juste tourner un module utilisant nodejs dessus (onramp).

Je voudrais savoir:

1- Est-il possible de mettre un parefeu qui filtrerait les requêtes/paquets entrant ne correspondant pas à un modèle précis (genre que la requête contenu dans le paquet soit exactement un message, avec un identifiant d'une taille connu, et rien d'autres ?)

2- Serais-ce utile comme mesure, et niveau performance sachant que le VPS devrait pouvoir en recevoir BEAUCOUPS ?

3- Il y a t-il d'autres mesures de sécurités importantes que je devrais prendre ?

Merci d'avance .

Précision par rapport à mon premier message et à l'évolution de mon projet:

Mon serveur nodejs reçoit des requêtes WebSocket désormais et n'utilise plus onramp mais "WebSocket-over-Nodejs" .

Tu ne peux pas simplement vérifier tes paquets au niveau de ton application (dans la fonction qui traite les messages des WebSockets) ?

Ça m'étonnerait que ton pare feu (je suppose iptables) soit capable de faire de l'inspection de paquets à la couche application, donc c'est pas son boulot d'analyser les paquets du protocole WebSocket pour éventuellement les filtrer.

Si tu veux externaliser ça de ton application, tu peux utiliser un reverse proxy qui lui peut parler WebSocket et analyser les données, et choisir de les passer ou non à ton application. N'oublie pas que si tu fais du WebSocket over SSL, c'est ton reverse proxy qui va devoir utiliser le certificat publique, et plus ton application qui ne causera qu'avec le proxy. Si tu veux un soft en particulier, apparemment HAProxy est capable de gérer les WebSockets out of the box (et faut le dire, ce soft a un nom fantastique ).

Enfaite mon application est une extension Chrome, et donc simplement composé de javascript, du coup, je ne suis pas sûr de pouvoir faire "confiance" à mon projet coté client, et je cherche à sécurisé le coté serveur à la place.

Du coup faut que je regarde du coté de HAProxy, mais j'espère que ça ne réclame pas trop de perf' pour un petit VPS :/ ...

Quand je te dis de vérifier les paquets au niveau de l'application, je parlais de l'application côté serveur (ton script qui tourne avec Node.js et qui est chargé de traiter les messages WebSocket). C'est à mon avis le plus simple que tu peux faire, sans t'embêter à passer par un reverse proxy ou quoi.

que tu puisses faire*

D'accord , actuellement je n'ai pas de script perso qui tourne, j'enclenche simplement WebSocket-over-Nodejs ( https://github.com/muaz-khan/WebRTC-Experiment/tree/master/websocket-over-nodejs ), du coup je n'ai pas vraiment regardé le code ni comment filtré de ce coté là (je sais juste que ça fonctionne bien avec la library RTCMultiConnection que j'ai utilisé).

Il va falloir mettre le nez dans le code alors.

https://github.com/muaz-khan/WebRTC-Experiment/blob/5b080b7822a5ff7dd76c288a70fbc0d9a588a475/websocket-over-nodejs/simple.js#L41-L53

C'est à cet endroit que tu reçois les messages WebSocket, tu peux alors choisir de les ignorer si ils ne respectent pas un certain format.