MAINTENANCE DES INFRASTRUCTURES RESEAUX

Transcription

1 MAINTENANCE DES INFRASTRUCTURES RESEAUX ISET SILIANA 1

2 Chapitre2 : Sécurité des Applications WEB Grands principes Qu est-ce qu un réseau? C est un ensemble de matériels et de logiciels permettant à des équipements de communiquer entre eux. L objectif d un réseau est le partage des ressources matérielles (disques durs, imprimantes) et des ressources logicielles (fichiers, applications) Les réseaux regroupent un ensemble hétérogène d architectures, du filaire au sans-fil, du LAN au WAN 2

3 Chapitre 1: Introduction à la Définir les principaux besoins Généralisation de la messagerie Support de la VoIP et de la Vidéo Généralisation de l accès à Internet Infrastructure et architecture évolutives et robustes Support de la mobilité 3

4 Chapitre 1: Introduction à la Topologies de réseaux Les principales topologies de réseaux existantes : en étoile en bus en anneau maillé Ces éléments de base sont combinés pour former des réseaux complexes. 4

5 Chapitre 1: Introduction à la CLASSIFICATION DES RESEAUX DE COMMUNICATION Les réseaux de communications peuvent être classés en fonction du type d informations transportées et de la nature des entités impliquées. On distingue ainsi trois principales catégories de réseaux : 1. Les réseaux de télécommunications : Ce sont les réseaux les plus anciens. Ils ont pour objectif l acheminement de communications vocales entre individus. Exemples : Réseau Téléphonique Commuté Public, Numéris, Réseaux mobiles GSM/DCS 2. Les réseaux de télédiffusion : Plus récents, ils servent à la diffusion de canaux de télévisions entre les studios TV et les particuliers. On retrouve les réseaux de distribution terrestre des câbloopérateurs et les réseaux satellites (TDF, EutelSat, Noos, Numericable). 3. Les réseaux Téléinformatiques : Ils servent à l échange de données numériques et le partage de ressources (Imprimantes, disques, ) entre systèmes et applications informatiques tels que les traitements de textes, ou les navigateurs Web. 5

6 Chapitre 1: Introduction à la Commutation Manière de faire passer l information de l émetteur au récepteur Commutation de circuits Commutation de paquets Commutation de cellules 6

7 Chapitre 1: Introduction à la Commutation de circuit Utilisée sur le réseau téléphonique, RNIS, GSM Création d un circuit physique reliant les deux extrémités lors de l établissement de la connexion Elle est adaptée au transport de la voix Contrainte de temps de transmission (téléphonie : isochronie et écho) Inconvénient : le circuit est occupé pendant la communication, qu il soit utilisé ou non 7

8 Chapitre 1: Introduction à la La commutation de paquets La commutation de paquets, ou commutation par paquets, aussi appelée commutation d'étiquettes, est une technique commutation utilisée dans le transfert de données dans les réseaux informatiques Cette technique de commutation est fondée sur le découpage des données afin d'en accélérer le transfert. Chaque paquet est composé d'un en-tête contenant des informations sur son contenu et sa destination, qui permet au commutateur d'aiguiller le paquet sur le réseau vers son point final. 8

9 Chapitre 1: Introduction à la Commutation de cellules Utilisée par ATM (Asynchronous Transfer Mode) Cellule de taille fixe : 53 octets (5 d en-tête + 48 de données) Temps de commutation très faible par rapport au temps de propagation du signal Permet d introduire des notions de qualité de service Utilisée principalement sur les liens d interconnexion ou dans des applications multimédia 9

10 Chapitre 1: Introduction à la Mode avec/sans connexion Mode connecté : toute transmission doit être précédée d une demande de connexion réussie permet de contrôler proprement la transmission : authentification des intervenants, contrôle de flux trois phases : établissement de la connexion, transfert des données, coupure de la connexion Les ressources mobilisées ne sont pas forcément utilisées Mode non connecté : pas de négociation entre les intervenants (ni contrôle de flux ou d erreur), bon pour des envois de messages courts; similaire à l envoi d une lettre à la Poste 10

11 Chapitre 1: Introduction à la Mode d envoi des informations unicast : point à point ; une source, une destination. C est le cas général multicast : multidiffusion ; une source, des destinations multiples. Permet d atteindre plusieurs correspondants à la fois, utilisé dans certaines applications (Mbone, routage) broadcast : multidiffusion ; une source, toutes les cibles possibles (en général, toutes les machines d un réseau local) 11

12 Chapitre 1: Introduction à la Architectures L architecture client/serveur Architecture Poste à Poste (peer2peer) Informatique Centralisée Informatique Répartie 12

13 Chapitre 1: Introduction à la Les constituants : L architecture Client/Serveur Un client Un Serveur Un Réseau Les caractéristiques : Centralisation et partage des ressources (Accès Sécurisé et Gestion centralisée) Services (Fournisseurs et Consommateurs) Localisation(Transparence) Souplesse et adaptabilité (Systèmes Hétérogènes, Evolutivité des différents éléments) 13

14 Chapitre 1: Introduction à la Exemples SD Client-serveur 2 niveaux (2-tier) Le poste de travail héberge l ensemble de la gestion d interface homme-machine et le traitement, Le serveur est un serveur de base de données Architecture dénommée «client obèse» IHM T D 14

15 Chapitre 1: Introduction à la Client-serveur 3 niveaux (3-tier) Le poste de travail héberge la gestion d'interface homme-machine et une partie des traitements, Le serveur d applications gère l'autre partie des traitements Le serveur de données gère les accès aux données Architecture dénommée "traitements coopératifs«ihm T T D 15

16 Chapitre 1: Introduction à la Architecture Poste à Poste (peer2peer). Chaque ordinateur dans un tel réseau est un peu serveur et un peu client. Cela signifie que chacun des ordinateurs du réseau est libre de partager ses ressources Dans cet exemple, le PC2 peut partager son imprimante avec les autres stations. Le PC3 peut aussi fournir, aux autres stations, des fichiers ou une connexion Internet. 16

17 Chapitre 1: Introduction à la l informatique distribuée L informatique répartie : état de fait de applications, et une mutation plusieurs Besoin propre des applications Intégration : applications séparées, ressources de calcul, ressources de gestion de données, etc Nouvelles applications: informatique omniprésente Possibilités techniques Interconnexion généralisée : convergence informatiquetélécom Performance et coût des machines et des réseaux 17

18 Chapitre 1: Introduction à la Mode d envoi des informations évolution technologique banalisation et capillarité des réseaux de télécommunications performance des voies de télécommunication (débit et fiabilité) rapport coût/performance des Stations convergence informatique et téléphonie Applications distribuées évolution des besoins structure des entreprises et des organisations : communication et partage (ex. Intranet) accès universel à l information (ex. Web) informatique distribuée grand public (ex. vidéo interactive) 18

19 Chapitre 1: Introduction à la Exemples SD WWW Contrôle du trafic aérien Système de courtage Banques Super calcul distribué Système de fichier distribué DNS Systèmes Pair-à-pair (P2P) 19

20 Chapitre 1: Introduction à la Systèmes centralisés Terminaux caractère IBM MVS, Unix émulation de terminal Systèmes centralisés 20 haabani Nizar

21 Chapitre 1: Introduction à la Exemples SD WWW Contrôle du trafic aérien Système de courtage Banques Super calcul distribué Système de fichier distribué DNS Systèmes Pair-à-pair (P2P) 21

22 Chapitre 1: Introduction à la Architecture centralisée Composants localisés sur un site unique Centralisation des données, des traitements et de la présentation Historiquement sur systèmes propriétaires Terminaux légers Coûts? 22 8

23 Chapitre 1: Introduction à la Du modèle centralisé au client-serveur Modèle centralisé Modèle de l informatique répartie Mainframe données développement des postes de travail banalisés à coût bas et des réseaux entreprise étendue, intégration de sites distants Besoin en applications interactives distribution de la charge matériel banalisé et standard outils logiciels de coût réduit et de grande diffusion ouverture Mais assemblage de progiciels à la charge de l intégrateur 23

24 Chapitre 1: Introduction à la Le «modèle» réparti poste client poste client Logiciels clients distribution de la charge matériel banalisé et standard outils logiciels de coût réduit et de grande diffusion Ouverture Mais : administration et déploiement construction de systèmes par Logiciels serveurs machine serveur machine serveur Familles technologiques de base : Systèmes de Gestion de Bases de Données Moniteurs transactionnels Systèmes de Groupware Objets distribués Serveurs d application Services Web 24 8 intégration de progiciels

25 Chapitre 1: Introduction à la Options d architecture Interface interactive terminal Interface utilisateur Interface utilisateur Interface utilisateur Interface utilisateur Interface utilisateur Présentation pplication Application Application Application Application Application Appli Gest. données Gestion de Données Gestion de données mainfram e ou Station Unix + Gestion de données Ex : Gestion de données revamping dialogue appli - BD Application Gestion de données Application distribuée Gestion de données Gestion de données BD répartie Appli Gest. données Gestion de données Appli distribué e et BD 25 terminal 8 répartie

26 Chapitre 1: Introduction à la Communications client-serveur Application Lecture/écriture de fichiers Application Application Modèle Serveur de fichiers Serveur de fichiers Forme d échange de très bas niveau partage de fichiers sur un réseau (ex : NFS) bases de documents, d images Résultats Application Appels SQL Serveur de BD Modèle Serveur de bases de données relationnelles Traitements de sélection sur le serveur utilisation du produit commercial d un éditeur 26 8

27 27

28 I. Introduction II. Les technologies web 1) Architecture d une application WEB. 2) le protocole http. 3) Mythes et réalités de sécurité web. 4) L application web la porte la plus facile pour les hackers. III. Les technologies web 1) Terminologies essentielles. 2) Les attaques en injection (SQL Injection /command Injection/OS injection/xpath injection/.) 3) Les attaques SQL Injection VI. Les Bonnes pratiques du développement sécurisé et d administration de plate forme d hébergement. 1) Bonnes pratiques de développement sécurisé. 2) Bonnes pour l administration des sites web. 3) Bonnes pratiques pour la sécurité des plateformes web. 4) Travaux pratiques : correction des vulnérabilités. 28

29 Application utilisant le protocole HTTP (80) ou HTTPS (443) pour être pilotée par un utilisateur L utilisateur a besoin d un simple navigateur Web ou d une application propriétaire utilisant le protocole HTTP/HTTPS pour travailler sur l applicatif 29

30 Architecture d une application Web Serveur Web App. Web DB HTTP / HTTPS Port 80 / 443 XML, Soap, HTML, etc. Apache IIS Iplanet Zeus Etc. RMI IIOP XML Soap etc. Application Server CGI, PHP Etc. SQL XML JDBC etc. XML App. Web DB Client Web Firewall Classique 30

31 Chapitre2 : Sécurité des Applications WEB Risques les plus connus dans les applications Web : SQL Injection, Cross Site Scripting, La manipulation de variables, L exploitation des mauvaises configurations, L exploitation de certaines sections comme «J ai oublié mon mot de passe», La mauvaise interprétation d URL. 31

32 Chapitre2 : Sécurité des Applications WEB Introduction: Qui sont les hackers? hacktivisme est un acte de promotion d une agenda par le piratage qui se manifeste spécialement par le effacement ou la désactivation des sites web. 32

33 Chapitre2 : Sécurité des Applications WEB Les technologies web 33

34 Chapitre2 : Sécurité des Applications WEB Le protocole HTTP 34

35 Chapitre2 : Sécurité des Applications WEB Les Méthodes HTTP GET Renvoie le contenu du document indiqué, peut placer des paramètres dans l entête de la requête POST Demande un document comme GET, peut traiter le document comme s il était un script et lui envoi des données, peut placer des paramètres PUT Inscrit des données dans le contenu du document TRACE Cette méthode demande au serveur de retourner ce qu'il a reçu, dans le but de tester et effectuer un diagnostic sur la connexion. DELETE Efface le document indiqué HEAD Retourne l information de l entête du document (Taille de fichier, date de modification, version du serveur) OPTIONS Demandes des informations sur les options disponibles sur communication CONNECT Demande une connexion au serveur relais pour établir une communication via un tunnel (exemple SSL) 35

36 Chapitre2 : Sécurité des Applications WEB Les réponses HTTP Code de réponse donné par le serveur au client: Informationnel 100 : Continue (le client peut envoyer la suite de la requête), Succès de la requête client 200: OK, 201: Created, 204 : No Content, Redirection de la Requête client 301: Redirection, 302: Found, 304: Not Modified, 305 : Use Proxy, Requête client incomplète 400: Bad Request, 401: Unauthorized, 403: Forbidden, 404: Not Found Erreur Serveur 500: Server Error, 501: Not Implemented, 502: Bad Gateway, 503: Out Of Resources (Service Unavailable) 36

37 Chapitre2 : Sécurité des Applications WEB Les attaques web 37

38 Chapitre2 : Sécurité des Applications WEB L injection L injection Utilisent les chaines et les interpretent comme des commandes SQL, OS Shell, LDAP, XPath, etc Les Interpréteurs Enormément d applications y sont sensibles Même s il est très simple de s en affranchir. L injection SQL est toujours commune Souvent très sévère. Le plupart du temps l ensemble des données de la base sont lisibles ou modifiables. Cela peut même aller jusqu au schéma de la base, les comptes ou un accès OS. Impact Souvent très sévère. Le plupart du temps l ensemble des données de la base sont lisibles ou modifiables. Cela peut même aller jusqu au schéma de la base, les comptes ou un accès OS. 38

39 Chapitre2 : Sécurité des Applications WEB SQL Injection technique qui permet aux attaquants d injecter des requêtes SQL directement sur la base de données qui se trouve derrière un serveur Web, en manipulant l entrée «INPUT» à une application. Exemple : sur une page d authentification «login.asp», l utilisateur est amené à saisir un Nom d utilisateur «User1» et un mot de passe «pass2012», cette opération se traduit sous forme d un requête SQL : SELECT * FROM Utilisateur WHERE nom= User1' and mot_passe= pass

40 Chapitre2 : Sécurité des Applications WEB SQL Injection Dans le cas de SQL Server, «--» est utilisé pour mettre un commentaire jusqu à la fin de la ligne, la requête serait alors SELECT * FROM Utilisateur WHERE username= or 1=1 Cette requête recherche dans la base de données les champs dont le nom d utilisateur est vide en réponse à la condition. La requête va retourner tous les champs de la table utilisateur et l attaquant serait authentifié. L attaquant a réussi ainsi à s authentifier sans avoir pour autant utilisé de nom d utilisateur ni de mot de passe. 40

41 Chapitre2 : Sécurité des Applications WEB SQL Injection 41

42 Chapitre2 : Sécurité des Applications WEB SQL Injection 42

43 Chapitre2 : Sécurité des Applications WEB SQL INJECTION Comment se protéger Recommandations 1.Se passer des interpréteurs, 2.Utiliser une interface permettant de préparer les requêtes (ex, prepared statements, or les procédures stockées), 3.Encoder toutes les données fournies par l utilisateur avant de les passer à l interpréteur Toujours effectuer une validation de type white liste sur les données utilisateurs. Minimiser les privilèges dans les bases pour limiter l impact de la faille. 43

44 Chapitre2 : Sécurité des Applications WEB Comment éviter SQL Injection Les failles d'injection SQL sont introduits au niveau de code source au cours de développement de l application: les développeurs de logiciels de créer des requêtes de bases de données dynamiques qui incluent l'entrée fournie par l'utilisateur. Pour éviter les attaques par injection SQL est simple. Les développeurs doivent soit: a) cesser d'écrire des requêtes dynamiques, et / ou b) empêcher l'entrée fournie par l'utilisateur qui contient des verbes SQL 44

45 Chapitre2 : Sécurité des Applications WEB Comment éviter SQL Injection Les fondamentaux défenses: Règle 1:Utilisation Prepared Statements(requêtes paramétrées) Règle 2:Utilisation de procédures stockées. Règle 3: Valider toutes les entrées utilisateur Fourni de coté serveur Les défenses additionnel: Exécuter avec le moindre des privilèges. White List Input Validation. 45

46 Chapitre2 : Sécurité des Applications WEB Protection contre les injections 46

47 Chapitre2 : Sécurité des Applications WEB Protection contre les injections 47

48 Chapitre2 : Sécurité des Applications WEB Protection contre les injections 48

49 Chapitre2 : Sécurité des Applications WEB Protection contre les injections 49

50 Chapitre2 : Sécurité des Applications WEB Protection contre les injections 50

51 Chapitre2 : Sécurité des Applications WEB Protection contre les injections 51

52 Chapitre2 : Sécurité des Applications WEB Protection contre le vol de session 52

53 Chapitre2 : Sécurité des Applications WEB Protection contre le vol de session 53

54 Chapitre2 : Sécurité des Applications WEB Protection contre le vol de session 54

55 Chapitre2 : Sécurité des Applications WEB Bonnes pratiques pour l administration des sites web 55

56 Chapitre2 : Sécurité des Applications WEB Côté «application» 56

57 Chapitre2 : Sécurité des Applications WEB Côté «application» 1)Sécurisation de la plateforme d hébergement: Mise à jour et hardening du serveur. Détection d intrusion réseau. Détection d intrusion au niveau de l hôte (HIDS). Détection antivirale Filtrage applicatif 57

58 Chapitre2 : Sécurité des Applications WEB Côté «application» 2)Suivi et audit des logs enregistrés au niveau de la plateforme de connexion : log d administration, log d accès public, 58

59 Chapitre2 : Sécurité des Applications WEB Côté «application» 3.Sauvegarde des données sensible : Applicatif, base de données, 59

60 Chapitre2 : Sécurité des Applications WEB Côté «application» 4)Validation de l application: Après insertion ou ajout de nouveaux services, par une tierce entité. Audit de l application avant sa mise en ligne : au niveau de cette phase toute la documentation relative à l application doit être demandé (Conception, Structure, architecture) 60

61 Chapitre2 : Sécurité des Applications WEB 5)Audit régulier de la sécurité : de l application, du serveur web, 61

62 Chapitre2 : Sécurité des Applications WEB 7) Mettre en place un plan de continuité de service: via la virtualisation. Ou autre solution. 62

63 Chapitre2 : Sécurité des Applications WEB SECURISATION DU SYSTEME D EXPLOITATION DU SERVEUR WEB Patch et mise à niveau du système d'exploitation: Créer, documenter et mettre en place une procédure de patch Tester les patchs sur un serveur de test avant de les appliquer sur le serveur en exploitation Identifier et installer tous les correctifs et mises à niveau du système d'exploitation Identifier et installer tous les correctifs et mises à niveau des applications et des services inclus avec le système d'exploitation Installer les correctifs et les mises à jour à partir du site web officiel de l OS utilisé Si des correctifs ne sont pas encore disponibles, désactiver les services qui sont en relation avec la vulnérabilité identifiée si cela est possible 63

64 Chapitre2 : Sécurité des Applications WEB SECURISATION DU SYSTEME D EXPLOITATION DU SERVEUR WEB Supprimer ou désactiver les services et applications inutiles Désactiver ou supprimer tous les services et applications inutiles Configurer l'authentification des utilisateurs du système d'exploitation Supprimer ou désactiver les comptes et les groupes par défaut ou inutiles Vérifier le choix des mots de passe (Longueur, Complexité, Réutilisation, ) Prévenir le devine de mot de passe (par exemple, refuser la connexion après un nombre défini de tentatives non réussis) Installer et configurer d'autres mécanismes de sécurité pour renforcer l'authentification 64

65 Chapitre2 : Sécurité des Applications WEB SECURISATION DU SERVEUR WEB 65

66 Chapitre2 : Sécurité des Applications WEB SECURISATION DU SERVEUR WEB Installation sécurisée du serveur web Installer le logiciel serveur web sur un serveur dédié Appliquer les correctifs et les mises à jour pour neutraliser les vulnérabilités connues Créer un disque physique dédié ou une partition logique (séparé de l'os et du serveur web) pour le contenu Web Supprimer ou désactiver tous les services inutiles installés avec le serveur web (par exemple, Gopher, FTP, administration à distance) Supprimer ou désactiver tous les comptes de connexion par défaut ou inutiles créées lors de l'installation du serveur web Enlever toute la documentation du fabricant du serveur web Supprimer tous les fichiers et répertoires inutiles à partir du serveur (les fichiers de test, les scripts, codes exécutables, etc.) Appliquer un modèle de sécurité approprié ou suivre un guide de hardening du serveur Reconfigurer la bannière http afin de ne pas signaler le type du serveur web et la version de l OS 66

67 Chapitre2 : Sécurité des Applications WEB SECURISATION DU SERVEUR WEB Configuration des contrôles d'accès: Configurer le processus du serveur web à exécuter en tant qu'un simple utilisateur avec une limite des privilèges Configurer le serveur web en lecture seule sur les répertoires de l application web Configurer le serveur web afin que seuls les processus autorisés pour l administration de serveurs web puissent écrire des fichiers Configurer le système d'exploitation pour que le serveur web puisse écrire des fichiers journaux mais pas les lire Si l écriture est autorisée sur le serveur web, limiter la taille des fichiers à uploader sur l espace disque qui est dédié à cet effet. Les fichiers ajoutés doivent être placés sur une partition séparée 67

68 Chapitre2 : Sécurité des Applications WEB SECURISATION DU SERVEUR WEB S'assurer que les fichiers journaux sont stockés dans un emplacement qui est dimensionné de façon appropriée; les fichiers journaux doivent être placés sur une partition séparée Configurer le nombre maximal de processus de serveur Web et / ou des connexions réseau que le serveur Web doit permettre S assurer que les utilisateurs et les administrateurs sont en mesure de changer leurs mots de passe périodiquement Désactiver les utilisateurs après une certaine période d'inactivité 68

69 Chapitre2 : Sécurité des Applications WEB SECURISATION DU BD Mettre à jour le SGBD avec les derniers correctifs stables Utiliser des algorithmes de hachage/cryptage pour stocker les données critiques Sécuriser le serveur de base de données derrière un firewall et utiliser un IDS pour détecter toute tentative d intrusion Le processus serveur base de données devrait fonctionner comme étant un utilisateur avec des privilèges minimum et jamais en tant qu'administrateur Mettre en place une politique stricte de contrôle d'accès physique et logique Activer les logs sur les tables jugés critiques Certains serveurs de base de données comprennent des serveurs d applications par défaut. Il est recommandé qu'ils soient supprimés s ils sont inutiles Le serveur de base de données ne devrait pas avoir une adresse IP accessible au public L'accès à la base de données ne devrait être autorisé qu'à partir du serveur web sur un port bien particulier 69

70 Chapitre2 : Sécurité des Applications WEB SECURISATION DU communication configurer l'authentification basée sur l adresse IP comme une seconde ligne de défense Pour les ressources web qui nécessitent une protection minimale, mais pour lesquelles il n'existe pas de définition claire du public, configurer une authentification basique ou digest (meilleure) Pour les ressources web qui nécessitent une protection contre les robots collecteurs ou les robots de bombardement, configurer l'authentification de base ou digest (mieux) ou appliquer d autres techniques (tels que captcha, nofollow, etc.) Pour les ressources web qui nécessitent une protection maximale, configurer SSL/TLS 70

71 Chapitre2 : Sécurité des Applications WEB Configurer SSL/TLS SECURISATION DU communication S assurer que le SSL / TLS mis en oeuvre est entièrement mis à jour. Utiliser un certificat émis par une tierce partie pour l'authentification du serveur Pour les configurations qui nécessitent un niveau moyen d authentification du client, configurer le serveur pour exiger un nom d'utilisateur et un mot de passe via SSL / TLS Pour les configurations qui nécessitent un niveau élevé d'authentification de clients, configurer le serveur à exiger des certificats client via SSL / TLS S'assurer que les algorithmes de chiffrement faibles sont désactivés Configurer un contrôleur d'intégrité pour surveiller le certificat de serveur web Si seulement SSL / TLS doit être utilisé dans le serveur web, s'assurer que l'accès via n'importe quel port TCP autre que le 443 est désactivé 71

72 Chapitre2 : Sécurité des Applications WEB SECURISATION DU communication Protéger contre les attaques de brute force Utiliser l'authentification forte, si possible (one time password, certificat numérique, etc.) Verrouiller un compte après un nombre déterminé de tentatives de connexion a échoué Appliquer une politique de mot de passe Mettre une liste noire des adresses IP connus de tenter des attaques en brute force Utiliser un logiciel de contrôle du journal (log) pour détecter les attaques en brute force 72

73 Chapitre2 : Sécurité des Applications WEB INFRASTRUCTURE RÉSEAU SÉCURISÉE Identifier l'emplacement dans le réseau: Serveur web est situé dans une DMZ Évaluer la configuration du firewall: Serveur web est protégé par un pare-feu de couche d'application Firewall contrôle tout le trafic entre l'internet et le serveur web Pare-feu bloque tout le trafic entrant vers le serveur web, sauf les ports TCP 80 (HTTP) et / ou 443 (HTTPS) Pare-feu bloque les adresses IP que l IDS/IPS reporte en tant que des adresses d attaque Pare-feu réseau notifie l'administrateur du serveur web des activités suspectes par un moyen approprié Pare-feu offre le filtrage de contenu (pare-feu de couche d'application) Pare-feu est configuré pour se protéger contre les attaques DoS Firewall détecte les requêtes mal formés ou les URL d attaque connus Firewall journalise (logue) les événements critiques Le firewall est mis à jour avec les derniers correctifs stables 73

74 Chapitre2 : Sécurité des Applications WEB INFRASTRUCTURE RÉSEAU SÉCURISÉE Évaluer les systèmes de détection et de prévention d'intrusion IDS/IPS est configuré pour surveiller le trafic réseau depuis et vers le serveur web IDS/IPS est configuré pour surveiller les changements apportés aux fichiers importants sur le serveur web (IDS/IPS hôte ou contrôleur d'intégrité de fichiers) IDS/IPS bloque (en conjonction avec le firewall) les adresses IP ou les sousréseaux qui attaquent le réseau de l entreprise IDS/IPS avise l administrateur du serveur web des attaques soupçonnées par des moyens appropriés IDS/IPS est configuré de manière à maximiser la détection avec un niveau acceptable de faux positifs IDS/IPS est configuré pour enregistrer les événements du journal IDS/IPS est mis à jour fréquemment avec de nouvelles signatures d'attaque (par exemple, sur une base quotidienne) IDS/IPS hôte est configuré pour surveiller les ressources système disponibles au niveau du serveur web 74

75 Chapitre2 : Sécurité des Applications WEB INFRASTRUCTURE RÉSEAU SÉCURISÉE Évaluer les commutateurs réseau Les commutateurs sont utilisés pour protéger contre les écoutes réseau Les commutateurs sont configurés en mode haute sécurité afin de vaincre les attaques ARP poisoning Les commutateurs sont configurés pour envoyer tout le trafic sur le segment de réseau vers l IDS/IPS réseau. Évaluer les répartiteurs de charge (Load balancers) Les répartiteurs de charge sont utilisés pour augmenter la disponibilité du serveur web Les équilibreurs de charge sont complétés par les caches web Evaluer le reverse proxy Le reverse proxy est utilisé comme une passerelle de sécurité pour accroître la disponibilité du serveur web Le reverse proxy est complété par une accélération de chiffrement, une authentification des utilisateurs et des fonctionnalités de filtrage de contenu 75

76 Chapitre2 : Sécurité des Applications WEB INFRASTRUCTURE RÉSEAU SÉCURISÉE 76

77 Chapitre2 : Sécurité des Applications WEB INFRASTRUCTURE RÉSEAU SÉCURISÉE Hardning du système d exploitation.(voir le guide dans la site officielle) Hardning du serveur web(exemple voir guide hardening apache). Hardning du serveur base des données(exemple voir guide hardening mysql). 77

78 Chapitre2 : Sécurité des Applications WEB INFRASTRUCTURE RÉSEAU SÉCURISÉE Un web firewall applicatif (exemple voir guide de mod security). Database firewall (exemple green sql). urlscan:est un outil de sécurité Microsoft qui limite les types de requêtes HTTP traitées par Internet Information Services (IIS). IIS lockdown :est un outil qui permet d assurer un plus haut niveau de sécurité en désactivant les options inutilisées d IIS (Internet Information Services). Et contient l outil urlscan lien : 78

79 Chapitre3 : Infrastructure d'un réseau GSM, GPRS Infrastructure d'un réseau GSM 79

80 Chapitre3 : Infrastructure d'un réseau GSM, GPRS Présentation de l'infrastructure d'un réseau Le réseau GSM a pour premier rôle de permettre des communications entre abonnes mobiles (GSM) et abonnes du réseau téléphonique commute (RTC réseau fixe). Le réseau GSM s'interface avec le réseau RTC et comprend des commutateurs. Le réseau GSM se distingue par un accès spécifique : la liaison radio. Le réseau GSM est compose de trois sous ensembles : Le sous système radio BSS Base Station Sub-system assure et gère les transmissions radios Le sous système d'acheminement NSS Network Sub System (on parle aussi de SMSS Switching and Management Sub-System pour parler du sous système d'acheminement). Le NSS comprend l'ensemble des fonctions nécessaires pour appels et gestion de la mobilité. Le sous-système d'exploitation et de maintenance OSS Operation Sub- System) qui permet a l'opérateur d'exploiter son réseau. 80

81 Chapitre3 : Infrastructure d'un réseau GSM, GPRS La mise en place d'un réseau GSM (en mode circuit) va permettre à un opérateur de proposer des services de type «Voix» à ses clients en donnant accès à la mobilité tout en conservant un interfaçage avec le réseau fixe RTC existant. 81

82 Chapitre3 : Infrastructure d'un réseau GSM, GPRS 82

83 Chapitre3 : Infrastructure d'un réseau GSM, GPRS Infrastructure d'un réseau GSM 83

84 Chapitre3 : Infrastructure d'un réseau GSM, GPRS Les équipements d'un réseau GSM - BTS : Base Transceiver Station (Station de base) assure la réception les appels entrant et sortant des équipements mobiles. - BSC : Base Station Controller (Contrôleur station de base) assure le contrôle des stations de bases. - MSC : Mobile Switching Centre (Centre de commutation de mobile) assure la commutation dans le réseau - HLR : Home Location Register (Enregistrement de localisation normale). Base de données assurant le stockage des informations sur l'identité et la localisation des abonnées. - AUC : Authentification Center (centre d authentification). Assure l authentification des terminaux du réseau - VLR Visitor Location Register (Enregistrement de localisation pour visiteur). Base de données assurant le stockage des informations sur l'identité et la localisation des visiteurs du réseau. 84

85 Chapitre3 : Infrastructure d'un réseau GSM, GPRS Les équipements d'un réseau GSM 85

86 Chapitre3 : Infrastructure d'un réseau GSM, GPRS Architecture matérielle du sous système radio BSS Le BSS comprend les BTS qui sont des émetteurs-récepteurs ayant un minimum d'intelligence et les BSC qui contrôlent un ensemble de BTS et permettent une première concentration des circuits. 86

87 Chapitre3 : Infrastructure d'un réseau GSM, GPRS Fonctions de la BTS La BTS est un ensemble d'émetteurs-récepteurs appelés TRX. Elle a pour fonction la gestion : - des transmissions radios (modulation, démodulation, égalisation, codage et correcteur d'erreurs). - de la couche physique des réseaux. -de la couche liaison de données pour l'échange de signalisation entre les mobiles et l'infrastructure réseau de l'opérateur. - de la liaison de données avec le BSC L'exploitation des données recueillies par la BTS est réalisée par le BSC. 87

88 Chapitre3 : Infrastructure d'un réseau GSM, GPRS Architecture matérielle du sous-système fixe NSS Le NSS comprend des bases de données et des commutateurs Fonctions du HLR Le HLR est une base de données de localisation et de caractéristiques des abonnes. Un réseau peut posséder plusieurs HLR selon des critères de capacité de machines, de fiabilité et d'exploitation. Le HLR est I 'enregistreur de localisation nominale par opposition au VLR qui est I 'enregistreur de localisation des visiteurs. 88

89 Chapitre3 : Infrastructure d'un réseau GSM, GPRS le HLR Une base de données qui conserve des données statiques sur l'abonne et qui administre des données d y n a m i q u e s s u r l e comportement de l'abonné. Les informations sont ensuite exploitées par l'omc. L'AUC est une base de données associée au HLR. 89

90 Chapitre3 : Infrastructure d'un réseau GSM, GPRS La carte SIM qui transmet deux informations importantes. L'IMSI (International Mobile Subscriber Identity) qui est gère par le HLR (l'imsi donne des informations sur le réseau d'origine et le pays entre autre) et le KI (clé de cryptage) qui est géré par la base de données AUC Prenons un exemple. IMSI + KI : Identification de l'abonné x MSISDN : Numéro de téléphone de x (Mobile Station ISDN Number) Le HLR vérifie que le couple IMSI + KI = MSISDN Le AUC vérifie que le couple IMSI + KI est valide Les informations dynamiques relatives à l'état et à la localisation d'un abonné sont actualisées en permanence. Ces informations sont particulièrement utiles lorsque le réseau achemine un appel vers l'abonné. 90

91 Chapitre3 : Infrastructure d'un réseau GSM, GPRS Fonction du MSC: Le MSC assure une interconnexion entre le réseau mobile et le réseau fixe public. Le MSC gère l'établissement des communications entre un mobile et un autre MSC. Fonctions du VLR L'enregistreur de localisation des visiteurs est une base de données associée à un commutateur MSC. Le VLR a pour mission d'enregistrer des informations dynamiques relatives aux abonnes de passage dans le réseau, ainsi l'opérateur peut savoir à tout instant dans quelle cellule se trouve chacun de ses abonnés. 91

92 Chapitre3 : Infrastructure d'un réseau GSM, GPRS Fonctions de l'eir (Equipement Identity register) L'EIR est une base de données annexe contenant les identités des terminaux. Un terminal est identifie par un numéro de série dénommé IMEI (IMEI = numéro d'homologation (série). Numéro d'identifiant. Numéro du terminal). La base EIR est consulté lors des demandes de services d'un abonné pour vérifier si le terminal utilise est autorisé à fonctionner sur le réseau. 92

93 Chapitre3 : Infrastructure d'un réseau GPRS Infrastructure d'un réseau GPRS 93

94 Chapitre3 : Infrastructure d'un réseau GPRS Présentation de l'infrastructure d'un réseau GPRS Un réseau GPRS est en premier lieu un réseau IP. Le réseau est donc constitué de routeurs IP. L'introduction de la mobilité nécessite par ailleurs la précision de deux nouvelles entités : Le noeud de service le SGSN. Le noeud de passerelle le GGSN. Une troisième entité le BG joue un rôle supplémentaire de sécurité. 94

95 Chapitre3 : Infrastructure d'un réseau GPRS La mise en place d'un réseau GPRS va permettre à un opérateur de proposer de nouveaux services de type "Data" ses clients. Le GPRS est en mode paquets. 95

96 Chapitre3 : Infrastructure d'un réseau GPRS 96

97 Chapitre3 : Infrastructure d'un réseau GPRS Les équipements d'un réseau GPRS Le noeud de service SGSN (Serving GPRS Support Node) est relie au BSS du réseau GSM. Le SGSN est en connexion avec l'ensemble des éléments qui assurent et gèrent les transmissions radio : BTS, BSC, HLR... Le SGSN joue un rôle de routeur, il gère les terminaux GPRS présents dans une zone donnée. Le SGSN est le «contrôleur» des terminaux GPRS présents dans sa zone de surveillance. 97

98 Chapitre3 : Infrastructure d'un réseau GPRS Le noeud de passerelle GGSN (Gateway GPRS Support Node) est relié à un ou plusieurs réseaux de données (Internet, autre réseau GPRS...). Le GGSN est un routeur qui permet de gérer les transmissions de paquets de données : Paquets entrants d'un réseau externe, achemines vers le SGSN du destinataire. Paquets sortants vers un réseau externe, émanant d'un destinataire interne au réseau. 98

99 Chapitre3 : Infrastructure d'un réseau GPRS Le module BG pour la sécurité Les recommandations introduisent le concept de BG (Border Gateway) qui permettent de connecter les réseaux GPRS via un réseau fédérateur et qui assurent les fonctions de sécurité pour la connexion entre ces réseaux. 99

100 Chapitre3 : Infrastructure d'un réseau GPRS Le mobile GPRS L'usage attendu par le réseau GPRS est la possibilité de consulter de manière interactive des serveurs. Cela nécessite donc un débit plus important sur la voie descendante que sur la voie montante. On parle de mobile multi slot : le terminal doit être en mesure de recevoir ou de transmettre des informations sur plusieurs intervalles de temps. La carte SIM La carte SIM utilisée pour l'accès au réseau GPRS est une carte SIM similaire à celle requise pour accéder au réseau 100 GSM classique.

101 101

102 102

103 Infrastructure d'un réseau UMTS Chapitre3 : Infrastructure d'un réseau GSM, GPRS, UMTS Infrastructure d'un réseau UMTS 103

104 Présentation de l'infrastructure d'un réseau Chapitre3 : Infrastructure d'un réseau GSM, GPRS, UMTS Le réseau UMTS (Universal Mobile Telecommunications System) vient se combiner aux réseaux déjà existants. Les réseaux existant GSM et GPRS apportent des fonctionnalistes respectives de Voix et de Données ; le réseau UMTS apporte ensuite les fonctionnalités Multimédia. 104

105 Infrastructure d'un réseau UMTS Chapitre3 : Infrastructure d'un réseau GSM, GPRS, UMTS La mise en place d'un réseau UMTS va permettre à un opérateur de compléter son offre existante par l'apport de nouveaux services en mode paquet complétant ainsi les réseaux GSM et GPRS. 105

106 Infrastructure d'un réseau UMTS Chapitre3 : Infrastructure d'un réseau GSM, GPRS, UMTS 106

107 Infrastructure d'un réseau UMTS Chapitre3 : Infrastructure d'un réseau GSM, GPRS, UMTS 107

108 Les équipements d'un réseau Chapitre3 : Infrastructure d'un réseau GSM, GPRS, UMTS Le Node B : est une antenne. Reparties géographiquement sur l'ensemble du territoire, les Nodes B sont au réseau UMTS ce que les BTS sont au réseau GSM. Ils gèrent la couche physique de l'interface radio. Le RNC (Radio Network Controller) Le RNC est un contrôleur de Node B. Le RNC est encore ici l'équivalent du BCS dans le réseau GSM. Le RNC contrôle et gère les ressources radio en utilisant le protocole RRC (Radio Ressource Control) pour définir procédures et communication entre mobiles (par l'intermédiaire des Node B) et le réseau. 108

109 Infrastructure d'un réseau UMTS Chapitre3 : Infrastructure d'un réseau GSM, GPRS, UMTS Le RNC s'interface avec le réseau pour les transmissions en mode paquet et en mode circuit. Le RNC est directement relié à un Node B, il gère Le contrôle de charge et de congestion des différents Node B. Le contrôle d'admission et d'allocation des codes pour les nouveaux liens radio (entrée d'un mobile dans la zone de cellules gérées...). 109

110 Infrastructure d'un réseau UMTS Chapitre3 : Infrastructure d'un réseau GSM, GPRS, UMTS La carte USIM La carte USIM assure la sécurité du terminal et la confidentialité des communications. La carte USIM est l'équivalent en 3G de la carte SIM en 2G. les fabricants de cartes travaillent aujourd'hui sur une carte bi mode GSM / UMTS permettant un accès aux deux réseaux par activation / désactivation des modes 2G ou 3G. 110

111 Les différents identifiants de l UMTS Chapitre3 : Infrastructure d'un réseau GSM, GPRS, UMTS IMSI : permet d identifier l utilisateur dans le réseau MSISDN : numéro de téléphone de l utilisateur s inscrivant dans le plan TMSI : identifiant temporaire du mode circuit PTMSI : identifiant temporaire du mode paquet IMEI : identifiant du terminal (peux être obtenu avec #06#) 111

112 Les différents identifiants de l UMTS vue générale Chapitre3 : Infrastructure d'un réseau GSM, GPRS, UMTS 112

113 Architecture générale du UMTS Chapitre3 : Infrastructure d'un réseau GSM, GPRS, UMTS 113

114 Chapitre3 : Infrastructure d'un réseau GSM, GPRS, UMTS MSC : Traitement d appels Description des entités d un réseau 2G Gestion des ressources radio - Mise a jour des bases VLR/HLR - Recherche radio d un abonné - Gestion du «Handover» Fonction passerelle «Gateway»pour les appels arrivés HLR : Base de données de référence (pour une région) Stocke : Identité, Num annuaire, services souscrit +localisation grossière (VLR) VLR : Base de donnée locale(associée à 1 ou plusieurs MSC) AuC : Base de donnée de sécurité, génération des clefs et authentification GMSC : Gateway MSC gestion de l interface entre le réseau RTC et le réseau GSM SGSN : Routeur relié à un ou plusieurs BSS GGSN : Noeud passerelle GPRS sert de routeur entre le GPRS et les autres réseaux 114

115 Architecture simplifiée réseau 2G Chapitre3 : Infrastructure d'un réseau GSM, GPRS, UMTS 115

116 Architecture simplifiée réseau 2G + Chapitre3 : Infrastructure d'un réseau GSM, GPRS, UMTS 116

117 Architecture réseau 3G Chapitre3 : Infrastructure d'un réseau GSM, GPRS, UMTS 117