Le bon sens et l expérience

Transcription

1

2 Séminaire sécurité Les Web Services et leur sécurité Stephan Nardone CTO Security Architect tel

3 Que sont les Web Services? 1 Que sont les Web Services? 2 Comment sécuriser les Web Services? 3 Rappels sur Bee-Ware V5 4 i-suite XML Firewall module 5 Démonstration de manipulation des flux XML 6 Démonstration d attaque sur un Web Service

4 Web Services Définition

5 Définition - SOA SOA (Services Oriented Architecture) Une SOA se fonde sur la décomposition des processus métiers en Services exposés sous la forme de modules fonctionnels.

6 Définition Web Services Les Web Services sont un type de SOA Les Web Services résultent de l évolution et de la convergence: de l informatique distribuée (CORBA, RMI, DCOM,...etc.) de l'intégration d'applications d'entreprise ou EAI (EDIFACT, ANSI/X12, ASN1, etc.) Utilisent XML comme (meta)langage de communication Permettent la discussion d ordinateur à ordinateur Utilisent des protocoles standardisés, souvent contrôlés par W3C, OASIS et WS-I Conçus pour être platform and transport-independent

7 Définition Web Services Définition : Composants logiciels qui peuvent être publiés, localisés et exécutés au travers d Internet et ce en utilisant le language XML (extensible Markup Language) Le but des Web Services est de solutionner les points suivants : Interopérabilité Traversée des firewalls Complexité Données en temps réel

8 Exemple d architecture Exemple :

9 Web Services Web Services Registry 1 - Publish 2 - Find Web Service Provider Web Services Client 3 - Bind / Invoke

10 Web Services Menu Waiter Chef Yellow Pages Toutes les communications sont établies ici en français

11 Web Services Web Services UDDI WSDL Web Service Listener Database Toutes les communications sont établies ici en XML

12 Composants Les différents composants des Web Services sont : XML Extensible Markup Language A uniform data representation and exchange mechanism. UDDI Universal Description, Discovery, and Integration A mechanism to register and locate WS based application. WSDL Web Services Description Language A standard meta language to described the services offered. SOAP Simple Object Access Protocol A standard way for communication. SAML XML-based open standard for exchanging authentication and authorization data between security domains

13 XML XML signifie EXtensible Markup Language. XML est donc un markup language tout comme HTML. XML a été créé pour décrire des données de manière structurée. Les tags XML ne sont pas prédéfinis. Il est nécessaire de les définir soit même. XML est donc le choix parfait pour l échange de données interplateforme tels que les Web Services.

14 XML vs HTML <html> <body> <h2>john Doe</h2 <p>2 Backroads Lane<br> New York<br> <br> </p> </body> </html> John Doe 2 Backroads Lane New York John.doe@gmail.com - HTML définit comment le document doit être affichée mais pas ce qu il contient. - Difficile à un ordinateur d extraire les données. - Lisible pour un être humain.

15 XML vs HTML <?xml version=1.0?> <contact> <name>john Doe</name> <address>2 Backroads Lane</address> <country>new York</country> <phone> </phone> </contact> - XML définit ce que contient le document mais pas son affichage. - Facile à un ordinateur d extraire les données. - Lisible pour un être humain.

16 WSDL

17 Web Service Description Language WSDL : Permet la description d un service Equivalent au menu d un restaurant Utilise XML pour décrire ce que le Web Service peut accomplir : Interface information (available functions) Function data types Function location information (URL address) Choice of application transfer protocol

18 Web Service Description Language Exemple de syntaxe WSDL : <message name="getstockpricerequest"> <part name="stock" type="xs:string"/> </message> <message name="getstockpriceresponse"> <part name="value" type="xs:string"/> </message> <porttype name= StocksRates"> <operation name= GetStockPrice"> <input message= GetStockPriceRequest"/> <output message= GetStockPriceResponse"/> </operation> </porttype>

19 SOAP

20 Simple Object Access Protocol SOAP : Permet de poser des questions et recevoir les réponses Une Remote Procedure Call (RPC) qui consiste en de l XML envoyé par HTTP Equivalent à la discussion avec un serveur dans un restaurant Structure similaire à une lettre : Le message est rédigé en XML Ce message est mis dans une enveloppe XML

21 Simple Object Access Protocol Exemple de requête SOAP : <?xml version="1.0" encoding="utf-8"?> <soap:envelope xmlns:soap= " <soap:body> <GetAirportInformation> <AirportIdentifier>N99</AirportIdentifier> </GetAirportInformation> </soap:body> </soap:envelope>

22 Simple Object Access Protocol Exemple de réponse SOAP : <?xml version="1.0" encoding="utf-8"?> <soap:envelope xmlns:soap= " <soap:body> <GetAirportInformationResponse> <GetAirportInformationResult> <Name>Brandywine Airport</Name> <Location>West Chester, PA</Location> <Length unit="feet">3347</length> </GetAirportInformationResult> </GetAirportInformationResponse> </soap:body> </soap:envelope>

23 SAML

24 Security Assertion Markup Language (SAML) HTTP Header HTTP Body SOAP Header SOAP Body SAML Request or Response

25 SAML

26 Comment sécuriser les Web Services? 1 QuesontlesWebServices? 2 Comment sécuriser les Web Services? 3 Rappels sur Bee-Ware V5 4 i-suite XML Firewall module 5 Démonstration de manipulation des flux XML 6 Démonstration d attaque sur un Web Service

27 Pourquoi sécuriser ces flux?

28 Les risques Interconnexion entre entreprises Connexion directe aux applications métier Données sensibles en transit Solutions «jeunes» La sécurité n est pas toujours impliquée dans les architectures de Web Services Solution logicielle parfois complexe (terminologie, flux, )

29 Atteinte à la réputation Comment? SQL Injection Remote command injection Privilege escalation Conséquences Atteinte à la réputation de l entreprise Atteinte à la marque

30 Fuite d information Comment? Automatisation des requêtes SQL Injection XPATH Injection Xquery Injection Conséquences Récupération de données sensibles Récupération des informations internes

31 Deni de service Comment? Attaques sur les parseurs Récursivité Entités internes et externes Nombre d éléments et d attributs Conséquences Interruption de service Indisponibilité

32 Non respect des SLAs Comment? Client mal développé Abus de fonctionnalité Détournement du fonctionnement initial Conséquences Rupture de contrat Indisponibilité du service Pénalités

33 Fail!!

34 Principales attaques

35 Les types d attaque XML-Based Utilise les faiblesses du langage XML (ex: entity expansion) Bugs in backend systems Code Injection Denial of Service Man in the Middle Beaucoup de technologies utilisées impliquent un risque de bug élevé. Les attaques XML injection sont simples à entreprendre. Ce sont les attaques les plus répandues. Flux important de messages, envoi de centaines d éléments encryptés peuvent mettre à mal un système complet et affecter les SLAs. Les messages peuvent être interceptés. Ceci pose des soucis de routage des messages et également d intégrité.

36 Attaque XML : Entity Expansion Document XML <!DOCTYPE foo [ <!ENTITY a " " > <!ENTITY b "&a;&a;&a;&a;&a;&a;&a;&a;" > <!ENTITY c "&b;&b;&b;&b;&b;&b;&b;&b;" > <!ENTITY d "&c;&c;&c;&c;&c;&c;&c;&c;" > <!ENTITY e "&d;&d;&d;&d;&d;&d;&d;&d;" > <!ENTITY f "&e;&e;&e;&e;&e;&e;&e;&e;" > <!ENTITY g "&f;&f;&f;&f;&f;&f;&f;&f;" > <!ENTITY h "&g;&g;&g;&g;&g;&g;&g;&g;" > <!ENTITY i "&h;&h;&h;&h;&h;&h;&h;&h;" > <!ENTITY j "&i;&i;&i;&i;&i;&i;&i;&i;" > <!ENTITY k "&j;&j;&j;&j;&j;&j;&j;&j;" > <!ENTITY l "&k;&k;&k;&k;&k;&k;&k;&k;" > <!ENTITY m "&l;&l;&l;&l;&l;&l;&l;&l;" > ]> <foo>&m;</foo> - L invoquation de &m semble sans risque - Mais &m se réfère 8 fois à &l qui se réfère 8 fois à &k!!! - L appel va donc se finir avec 8 12 &a qui se compose de 10 caractères - Donc du simple appel à &m vont résulter 10x8 12 soit 687,194,767,360 caractères!!

37 Attaque XML : XML Attribute Blowup Document XML <?xml version="1.0"?> <foo a1="" a2=""... a10000="" /> - Un parser XML standard devrait effectuer opérations ( ) - Si chaque opération prend 100 nanoseconds, le traitement prenda 5 secondes - Avec entrées, cela fait d opérations soit 500 secondes

38 Deni de Service Injection du DoS SOAP Directement sur le Service HTML Via le Portail Frontal Web <soapenv:envelope xmlns:soapenv=" xmlns:tem=" <soapenv:header/> <soapenv:body> <tem:login> <tem:loginid> John Doe<a1>.</a1> </tem:loginid> <tem:password> muahahah </tem:password> </tem:login> </soapenv:body> </soapenv:envelope> WS de gestion des comptes Login: John Doe <a1> </a1> Password: ********

39 Attaque XML : XML Injection Document XML <?xml version="1.0" encoding="iso "?> <users> <user> <uname>joepublic</uname> <pwd>r3g</pwd> <uid>10<uid/> <mail>joepublic@example1.com</mail> </user> <user> <uname>janedoe</uname> <pwd>an0n</pwd> <uid>500<uid/> <mail>janedoe@example2.com</mail> </user> </users> Username: alice Password: iluvbob alice@example3.com</mail></user><user>< </mail></user><user><uname uname>hacker</ >Hacker</uname uname> <pwd pwd>l33tist</ >l33tist</pwd pwd>< ><uid uid>0</ >0</uid uid><mail>hacker@exmaple_evil.net</mail>

40 Attaque XML : XML Injection Document XML <?xml version="1.0" encoding="iso "?> <users> <user> <uname>joepublic</uname> <pwd>r3g</pwd> <uid>10<uid/> <mail>joepublic@example1.com</mail> </user> <user> <uname>alice</uname> <pwd>iluvbob</pwd> <uid>501<uid/> <mail>alice@example3.com</mail> </user><user><uname uname>hacker</ >Hacker</uname uname>< ><pwd pwd>l33tist</ >l33tist</pwd pwd>< ><uid uid>0</ >0</uid uid> <mail>hacker@example_evil.net</mail> </user> </users>

41 Injection Xpath L équivalent de SQL Injection de données pour corrompre une expression xpath Nouvelle difficulté : pas de commentaires inline Exemple Authentification basée sur l expression: Injection //user[name='$login' and pass='$pass']/account/text() $login = whatever' or '1'='1' or 'a'='b $pass = whatever Exploitation de la précédence de l opérateur AND L expression devient //user[name='whatever' or '1'='1' or 'a'='b' and pass= whatever']/account/text() = TRUE TRUE OR FALSE

42 Web Services Comment sécuriser ces flux?

43 Les questions à se poser Qui accède à ce système? Ses requêtes sont elles légitimes? Puis je faire vérifier son identité avec un annuaire local? Comment s est-il authentifié? Quand? Quels sont ses droits? Comment garantir confidentialité et respect de la vie privée? Mes données sont-elles sensibles? Dois-je respecter des SLAs?

44 Comment se protéger? Message integrity (signature) Ensure message integrity. Support for XML Signature. Message confidentiality (encryption) Ensure end-to-end data privacy. Support for both SSL and XML. Encryption are essential. Authentication (SAML) Verifying the identity of the requestor. Access Control (SAML) Ensuring that the requestor has appropriate access to the resource. Schema Validation (WSDL) Ensuring intergrity of the structure and content of the message. Security Standards (WS-Security) Supporting standards based security functions such as WS-Security. Malicious attack protection (Black List) Supporting protection against the lastest Web Services and XML-Based attacks.

45 WS-Security En appliquant le WS-Security : Trust relationships WS-Trust XKMS WS-Federation SAML LibertyAlliance SOAP WS-Security WS-Reliability XACML WS-Policy SAML Access XML XML Encryption XML Signature Implémentations les plus courantes HTTP TCP HTTP Auth SSL / TLS Sécurité habituelle des applications Web IP IPSec

46 WS-Security <?xml version="1.0" encoding="utf-8"?> <soap:envelope xmlns:soap=" xmlns:ds=" <soap:header> <wsse:security xmlns:wsse=" <ds:signature> <ds:signaturevalue>djbchm5gk...</ds:signaturevalue>... </ds:signature> </wsse:security> </soap:header> <soap:body id="msgbody">... </soap:body> </soap:envelope>

47 Web Services Une solution : le parefeu applicatif

48 Firewall applicatif vs Firewall XML PARE-FEU APPLICATIF Détection d attaques propres aux applications PARE-FEU XML Détection d attaques communes : SQL injection, XSS, etc. Détection d attaques propres aux services web (WSDL, ) Les fonctions de détection sont complémentaires

49 Problématique des firewalls standards Firewall standard pop3 X TCP/IP ftp X https http Application Web

50 Problématique des firewalls standards XML, Soap, WSDL http / https P2P, IM, http Tunneling Java, ActiveX, VBScript, etc. Html, Dhtml

51 Web Application Firewall Internet Legitimate Traffic Malicious Application Activity Application Floods Network Attacks & Floods Not allowed Services

52 WAF - Positionnement Trafic web potentiellement dangereux Trafic web sûr Trafic non web DMZ Présentation DMZ Traitement ESB/Passerelle XML Traitement métier Réseau Interne Clients Pare-feu XML Filtrage de contenu DMZ WAF DMZ Données

53 Principales fonctionnalités d un firewall XML Protection de Web Services, flux XML et des interactions SAML Contrôle d accès unifié et renforcé en amont des serveurs Web Garantit l'intégrité des informations échangées entre les applications Web Services Liste noire et politique de sécurité par défaut sur les attaques XML (XPATH/XQUERY injection, parser recursion, etc.) Liste blanche et apprentissage, conformité WSDL/schema, external entities etc. XML Encryption, Signature & Transformation

54 Son fonctionnement technique 1 QuesontlesWebServices? 2 Comment sécuriser les Web Services? 3 Rappels sur Bee-Ware V5 4 i-suite XML Firewall module 5 Démonstration de manipulation des flux XML 6 Démonstration d attaque sur un Web Service

55 Petit-déjeuner sécurité du jeudi 9 juin 2011 Philippe Logean Ingénieur Sécurité tel Philippe.logean@e-xpertsolutions.com

56 Bee-Ware V5 i-suite: plateforme unique pour tous les composants i-sentry Sentry: Firewall applicatif et revesre-proxy IAM: Module AAA et Web SSO i-watch: Outil d'observation et d'aide à la compréhension des flux applicatifs XML Firewall module: Filtrage et manipulation des messages XML

57 Management centralisé Console de management centralisée Interface unique de paramétrage des appliances. Interface unique de déclaration des politiques de traitement des requêtes et des politiques de sécurité. Point unique de sauvegarde des configurations (automatisable) Point unique de centralisation et dʼanalyse des logs de sécurité. Rôles: administration, supervision, décision, etc. Appliance de management dédié

58 Traitement des flux par Workflow Création d'un arbre de traitement du flux à partir d'une vue graphique. Représentation de la requête sous forme d'attributs et tables d'attributs. Utilisation d'objets de traitement comme les conditions, modifications, suppression et ajout. Possibilité d'insérer des moteurs d analyse ou des appels externes dans le traitement (exemple : invocation du moteur de sécurité ICX, sous-requête HTTP, LDAP, ICAP, etc.).

59 Firewall Applicatif Moteur ICX: Protection contre les attaques de type XSS, SQL injection, manipulation de fichiers, de chemin, buffer overflow, etc. Filtre les flux Web et XML Tableau de règles à la manière des firewalls réseaux

60 Firewall Applicatif (Suite) Sécurité négative et positive Dissimulation des informations sensibles (en-têtes superflues, pages d'erreurs, etc.) retournées au client. Possibilité de travailler sur l'ip source et destination ainsi que le port destination, l'uri, la query string, les headers, les cookies, des variables GET et POST parsées, des messages XML. Possibilité de personnalisation des messages d'erreur renvoyés à l utilisateur.

61 Principe du reverse proxy dans i-suite :443 Tunnel :80 SSL Protocol + Ciphers

62 La technologie mise à part 1 QuesontlesWebServices? 2 Comment sécuriser les Web Services? 3 Rappels sur Bee-Ware V5 4 i-suite XML Firewall module 5 Démonstration de manipulation des flux XML 6 Démonstration d attaque sur un Web Service

63 i-suite XML Firewall module Fonctionnalités XML dans les Workflows

64 i-suite XML Firewall module Règle XML dans la politique de sécurité de l ICX

65 XML Firewall module spécifications Features Message routing Encryption-Decryption Signatures Schema validation Authentication, authorisation Protection Transformation Standards supported SOAP, REST, RAW, over HTTP(S) SSL, WS-Encryption XML-DSig WSDL, Schema, WSI SAML Bee Ware Technology (ICX) XSLT, RegExp

66 Traitement & Sécurité 80% Part des fonctionnalités orientées traitement des XML Gateways* Fonctions de traitement Fonctions de sécurité (*) Sources : ibm.com, layer7.com

67 Traitement & Sécurité Médiation de protocoles BPM UDDI Protection Validation Authentification 85% Part estimée des fournisseurs de Web Services ne nécessitant que des fonctions de sécurité

68 Le marché Acteurs principaux et challengers 1 QuesontlesWebServices? 2 Comment sécuriser les Web Services? 3 Rappels sur Bee-Ware V5 4 i-suite XML Firewall module 5 Démonstration de manipulation des flux XML 6 Démonstration d attaque sur un Web Service

69 Démo de manipulation d un flux XML Signature d un message SOAP et insertion du header Chiffrement du body du message SOAP Déchiffrement du body du message SOAP Validation de la signature du message SOAP Validation d un schéma WSDL

70 Démo de manipulation d un flux XML TCP 1080 SOAP message signature + header insertion SOAP Source Message TCP 1085 TCP 1084 TCP 1083 Tunnel définit dans le Reverse-Proxy Port d écoute TCP 1082 SOAP message signature validation SOAP body unencryption SOAP body encryption (dogooglesearchresponse)

71 Message SOAP source TCP 1080 SOAP Source Message

72 SOAP message signature + header insertion TCP 1082 TCP 1080 SOAP message signature + header insertion SOAP Source Message

73 SOAP Source Message SOAP body encryption (dogooglesearchresponse) TCP 1083 TCP 1082 TCP 1080 SOAP body encryption (dogooglesearchresponse) SOAP message signature + header insertion

74 SOAP Source Message SOAP body unencryption TCP 1084 TCP 1083 TCP 1082 TCP 1080 SOAP body unencryption SOAP body encryption (dogooglesearchresponse) SOAP message signature + header insertion

75 SOAP Source Message SOAP message signature validation TCP 1085 TCP 1084 TCP 1083 TCP 1082 TCP 1080 SOAP message signature validation SOAP body unencryption SOAP body encryption (dogooglesearchresponse) SOAP message signature + header insertion

76 Validation du schéma WSDL Envoi d une requête respectant le format du Webservice <?xml version="1.0" encoding="utf-8"?> <nomcomplet>prenom Nom</nomComplet> Envoi d une requête ne respectant pas le format du Webservice <?xml version="1.0" encoding="iso "?> <nomcomplet>prenom <b> Nom </b></nomcomplet> DEMO

77 DLP Mission impossible? 1 QuesontlesWebServices? 2 Comment sécuriser les Web Services? 3 Rappels sur Bee-Ware V5 4 i-suite XML Firewall module 5 Démonstration de manipulation des flux XML 6 Démonstration d attaque surun unweb Service

78 Petit-déjeuner sécurité du jeudi 9 juin 2011 Matthieu Estrade Responsable Innovation tel mestrade@bee-ware.net

79 Contexte Webservice Une URL pour le serveur Une page web qui agit comme client Simulation d un webservice de catalogue de pièces automobiles stockées dans une base de données

80 L infrastructure

81 Cinématique

82 Requêtes Récupération d un article du catalogue grâce à son ID Injection d un caractère non autorisé Affichage d informations sensibles Injection SQL Récupération du catalogue entier Récupération automatisé de contenu Récupération du catalogue entier

83 Démo Sécurité des Webservices DEMO

84 Conclusion Les Web Services sont de plus en plus utilisés, Ces architectures sont autant à risque que les architectures Web standard, Quelques facteurs de risque : Protocoles et infrastructures encore très méconnus, L interconnexion aux applications métiers, Les équipes de sécurité encore trop rarement impliquées, Des guidelines existent (WS-Security) Des solutions de sécurité dédiées sont maintenant disponibles sur le marché

85 Questions? e-xpert Solutions S.A. est une société Suisse de services spécialisée en sécurité informatique dont les fondateurs ont fait de leur passion leur métier : La sécurité des systèmes d'information

86

87 Petit-déjeuner sécurité du jeudi 9 juin 2011 Yann Desmarest Ingénieur Sécurité tel yann.desmarest@e-xpertsolutions.com

88 e-xpert Solutions SA 109, chemin du Pont-du-Centenaire CH 1228 Plan-les-Ouates Tél Fax Le mot de passe» Faiblesse d utilisation du mot de passe statique» Attaques et vulnérabilités liées le bon sens et l expérience

89 Les faiblesses d utilisation du mot de passe Création du mot de passe Compléxité Password Policy Longueur du mot de passe Utilisation des caractères spéciaux Augmentation des échecs Mémorisation impossible Inscription manuscrite Cycle de vie du mot de passe Fréquence d utilisation Fréquence de changement Réutilisation d anciens mot de passe Insatisfaction de l utilisateur Charge de l administrateur

90 Attaques et vulnérabilités liées

91 Impacts d une attaque réussie

92 e-xpert Solutions SA 109, chemin du Pont-du-Centenaire CH 1228 Plan-les-Ouates Tél Fax L authentification forte» Définition de l authentification forte»one Time Password» Public Key Infrastructure et Biométrie le bon sens et l expérience

93 Définition de l authentification forte 2-factor authentication Strong authentication Ce que l on possède TOKEN PASSWORD BIOMETRIE Ce que l on connait Ce qui nous caractérise

94 OTP One Time Password TIME BASED EVENT BASED CHALLENGE/RESPONSE

95 Software Token Sécurité PIN non stocké sur mobile, ni transmis, ni stocké sur le serveur Sécurité PIN selectionné par l utilisateur, pas de PIN temporaire Compatibilité Supporté sur J2ME, WinCE, Brew, Blackberry, iphone, ipad, Androïd Fonctionnalités 2-factor authentication, Transaction Data Signing, Enrolement auto,

96 Tokens Hardware - NagraID Caractéristiques Dimensions: 85.5mm x 54mm x 0.8mm NagraLam lamination technology OTP Event Based Dynamic one-time password (OTP) Numerical 6-digit display (ISO/IEC, INCITS, ANSI, CQM) Personnalisation 1 to 3-year lifetime Tamper evident Custom artwork graphics Card personalization features and options

97 Tokens Hardware - Yubikey Caractéristiques Dimensions: 18 x 45 x 3 mm Poids: 2,5 grams Connecteur USB Multi-plateforme OTP Event Based

98 PKI (Public Key Infrastructure) et Biométrie Technologie MOC Match On Card Lecteur de carte Capteurs

99 e-xpert Solutions SA 109, chemin du Pont-du-Centenaire CH 1228 Plan-les-Ouates Tél Fax Tendances du marché» Corroboration» Transaction Data Signing» Risk Based Authentication le bon sens et l expérience

100 Corroboration QUI? QUAND? Username OTP Date d envoi VALID

101 TDS Transaction Data Signing DEMO #1

102 Risk Based Authentication Risk Engine Définition du risque acceptable Apprentissage Compilation/Evaluation du risque

103 Risk Based Authentication Learning Behavior

104 Risk Based Authentication Strong Multi-factor

105 e-xpert Solutions SA 109, chemin du Pont-du-Centenaire CH 1228 Plan-les-Ouates Tél Fax De nouveaux Standards» Initiative for Open authentication - OATH» OpenID / SAML le bon sens et l expérience

106 Initiative for Open Authentication - OATH

107 OpenID / SAML Security Assertion Markup Language (SAML) standard basé sur XML Echange des données d authentification et d autorisation entre domaines Service Provider / ID Provider OpenID 2.0 ( Fédération des identités Solution Web SSO à travers Internet

108 e-xpert Solutions SA 109, chemin du Pont-du-Centenaire CH 1228 Plan-les-Ouates Tél Fax Démo authentification» i-suite IAM» Authentification par Certificat» Learning» Authentification par OTP» Authentification sur ressources sensible le bon sens et l expérience

109 i-suite - IAM Module d authentification et de Web SSO Authentification périmétrique (mot de passe, Radius, LDAP, certificats numérique, Kerberos, Elcard, etc.) Authentification applicative (Web SSO) (Basic, Forms, NTLMv2, Header) Learning des crédentiaux applicatif Gestion des autorisations

110 Scénario de la démo L utilisateur peut s authentifier par certificat ou par OTP sur la même ressource Web Le mot de passe applicatif est apprit (learning) à la 1 ere connexion pour effectuer du web SSO dans l application L accès à une ressource sensible est possible directement pour l utilisateur authentifié par certificat L accès à une ressource sensible est possible après authentification par mot de passe pour l utilisateur authentifié par OTP

111 Schéma de la démo Learning for Web SSO HTTPS HTTPS Radius

112 Démo authentification Authentification par certificat et learning Authentification par certificat et Web SSO Authentification par OTP et Web SSO Accès par mot de passe à une ressource confidentielle

113 Questions? e-xpert Solutions S.A. est une société Suisse de services spécialisée en sécurité informatique dont les fondateurs ont fait de leur passion leur métier : La sécurité des systèmes d'information