Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Transcription

1 Expérience d un hébergeur public dans la sécurisation des sites Web, CCK Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

2 Plan Introduction Sécurisation des sites Web hébergés a Conclusion

3 Introduction Présentation Hinda Feriani Ghariani Présentation du C.C.K. Réseau R.N.U. Projet Hébergement des sites WEB

4 Présentation CCK Centre de Calcul Khawarizmi crée en octobre 76 (gestion informatisée des concours nationaux, l orientation et les œuvres universitaires, centre de calcul pour les chercheurs) Fournisseur de Services Internet FSI depuis Juillet 97 au profit des établissements de l'enseignement Supérieur dans le cadre du projet RNU

5 Présentation et Objectifs RNU Interconnexion des institutions de l enseignement supérieur entre elles Démarrage 1997 avec l introduction de l Internet au niveau des institutions Joue aujourd hui un rôle important dans la promotion de l enseignement et de la recherche en Tunisie permettre aux enseignants/chercheurs de communiquer entre eux et avec l étranger partager tout type d information tels que les résultats de recherche, les cours, les publications,.

6 Description du RNU Accès au réseau Internet 2. Adresses IP 3. Login et Mot de passe d accès Utilisation des principaux services a. Messagerie Electronique ( ) b. Navigation sur le Web (WWW) c. Transfert de fichiers (FTP, SFTP) d. Accès à des serveurs distants (TELNET, SSH) e. Hébergement de sites Web

7 Projet Hébergement des sites WEB Un des services offerts par le Projet RNU Applications tierces Hébergées Services en ligne Quelques sites Sécurisation des sites Web hébergés Systèmes Applications Base de données Réseau

8 Applications tierces Hébergées Application d inscription à distance, (e-dinar, certificat électronique, communication crypté SSL, base de données), Applications Web statiques et dynamiques ( ASP, PHP, HTML, ASP.NET) relatives aux institutions universitaires Application Virtua du projet BIRUNI «Bibliothèques Informatisées pour la Rénovation UNIversitaire»

9 Services en ligne Résultats en ligne pour les étudiants de certaines facultés/écoles Inscription à distance (usage de certificats Web, kit marchand de la poste) Orientation universitaire Bource, Prêt, Hébergement des étudiants Bourse et prêts des étudiants à l étranger Bibliothèques en ligne (projet BIRUNI)

10 Quelques sites

11 Sécurisation des sites Web hébergés Risques Vulnérabilités Protection Serveurs Applications Données Base de données Réseau Zone DMZ, FW, Sondes

12 Quels risques? Prise de contrôle des machines Attaques des sites Vol, destruction de données Dénis de services

13 Vulnérabilités L usager Programmes source non certifiés Mauvaise connaissance du système Erreurs Défaillance des systèmes Défaut de conception de services Défaut d implémentation de programmes Défaillance réseau Architecture du réseau Limitations matérielles des équipements

14 Attaques : Failles/Vulnérabilités Top 10 des vulnérabilités Windows Top Vulnerabilities to Windows Systems W1 Serveurs Web & Services W2 Service station de travail W3 Services d accès à distance windows d a d accès W4 Microsoft SQL Server (MSSQL) W5 Windows Authentication W6 Navigateurs Web W7 Applications de Partage de fichiers Systèmes affectés, Déterminer si vous êtes vulnérables, comment se protéger contre la vulnérabilité décrite (selon le SANS Institut 08/10/04

15 Attaques : Failles/Vulnérabilités Top 10 des vulnérabilités Unix Top Vulnerabilities to UNIX Systems U2 Web Server U3 Authentication U4 Version Control Systems U5 Mail Transport Service U7 Open Secure Sockets Layer (SSL) U9 Databases U10 Kernel (selon le SANS Institut 08/10/04

16 Comment se protéger? Agir sur les systèmes d exploitations, les serveurs Agir sur les équipements réseaux Sécuriser les données Contenu des sites + bases de données Sécuriser les communications Web Administration de la sécurité Web Actions au niveau de l utilisateur final

17 Sécurité des systèmes d exploitations Restreindre l accès physique Salle machine/ bureau/ PC/ périphériques/ port Identifier les services actifs Services réseaux, services locaux Filtrage et paramétrage réseau Utilisateurs/Services/source Le système de fichiers NTFS plutôt que FAT Doits en écriture et lecture Identifier les comptes de travail Administrateurs/utilisateurs/d applications--acl

18 Sécurité des systèmes d exploitations (conclusion) Désactivez!! Filtrez!! Contrôlez État de service minimal Configuration appropriée et proportionnée à l utilisation de l ordinateur Gestion et suivi réguliers, audits réguliers

19 Cas des systèmes Windows Installation adéquate RAID 0,1 5 Désactivation du NetBIOS Désactivation des fonctions de partage Windows Identification des services actifs Désactivation /Arrêt des services inutiles ( Netstat, TCPView) Stratégies locales de sécurité ( Audit, droits utilisateurs, Options de sécurité)

20 Cas des systèmes Windows (suite) Stratégie de gestion de comptes ( l invité Internet, gestion des mots de passe, verrouillage des comptes) Système de fichiers NTFS, Vérification des permissions, ACL Paramètres IP et filtrage réseau cartes réseaux:interne et externe SSH antivirus et mise à jour

21 Sécurité du serveur Web Authentification de base : IIS/ Apache (accès anonyme) Contrôle d accès site/répertoire : hôte, DNS (non demandé) Serveur FTP: accès ftp et sftp mettre les droits d accès + Quota user sur disque (ne pas donner le droit d exécuter!!) Installation des sondes serveurs

22 Sécurité des réseaux Architecture segmentée (DMZ, NAT) Emplacement des serveurs web dans la zone démilitarisée DMZ Restriction d accès, isolement, filtrage réseau N ouvrir au niveau des passerelles de sécurité réseau que les services utiles: http, https, ftp, sftp, ssh Sonde réseau

23 Sécurité d applications web CGI/ API : exécution de programmes sous cgibin, shells, interpréteurs, moteurs de script=danger Règles de code des CGI/API : Programmation soignée simple cohérente validée,contrôle des valeurs utilisateurs, des arguments transmis aux Sys. d Exploi. des valeurs de retours, définition de chemins complets ou du répertoire courant, limitation d usage des ressources (CPU, disque)

24 Sécurité des données des sites Web Copies de secours/ sauvegardes Permission de répertoires du site web Service user/utilisateurs/administrateurs web /auteurs web Authentification de base : IIS/ Apache (accès privilégié sur des zones du site) Serveur FTP: accès ftp et sftp droits d accès + authentification user + adresse source

25 Sécurité des bases de données Les comptes par défaut: sa, root, Comptes ODBC Droits /permissions Sauvegarde /Restauration Application des patchs de mise à jour des bases Les bases de données dans un brin protégé (au futur)

26 Sécurité des communications Web Les certificats numériques du serveur SSL

27 Administration de la sécurité Web Maintenance de la sécurité Mise à jour des systèmes d exploitations, services pack, antivirus, applications Suivi des fichiers journaux Sauvegardes et archivages Suivi des performances des serveurs web ( mémoire, disque, CPU) Suivi des sondes Révision des config du FW/serveur (nouveaux besoins /menaces) Surveillance en temps réel Suivi, gestion quotidienne, formation adaptée!!!

28 Actions utilisateur Téléchargement de programmes exécutables Applet java ou contrôle Active X non certifiés Bugs dans les navigateurs Principale risque à ce jour Solutions : Contrôle anti-virus Élimination des applets Java Veille technologique «active» sur les bugs connus des navigateurs (Installation des patchs de sécurité) Authentification de l utilisateur par certificat SSL!?

29 Conclusion L hébergement, sauvegarde, sécurité au CCK Améliorer la qualité de services, les performances, la sécurité (proxies de serveurs, cache, applications proxy)