Sécuriser les applications web
|
|
- Thibaut Desroches
- il y a 8 ans
- Total affichages :
Transcription
1 SÉCURITÉ RÉSEAUX TONY FACHAUX Degré de difficulté Sécuriser les applications web L'article présente d'une manière générale les moyens techniques à mettre en œuvre pour sécuriser les applications web d'une entreprise. Cette sécurisation passe par la mise en place d'un WAF (Web Application Firewall). Dans cet article, nous utiliserons le mod_security d'apache pour expliquer la mise en œuvre de ce type de protection. Aujourd'hui, les attaques sont de moins en moins réalisées sur les serveurs ou sur les réseaux car ils sont de mieux en mieux protégés. La majeure partie des vulnérabilités se trouvent dans les applications et les applications Web sont aujourd hui extrêmement répandues. C est pour cela que des équipements, appelés WAF (Web Application Firewall ou Firewall applicatif en français), font leur apparition et sont maintenant un maillon indispensable dans la sécurité d une architecture. Pour répondre à ce besoin, il existe une multitude d appliances sur le marché telles Flux HTTP/HTTPS CET ARTICLE EXPLIQUE... Ce qu'est un WAF (Web Application Firewall). Comment filtrer les attaques Web. CE QU'IL FAUT SAVOIR... Quelques notions sur le protocole HTTP. DMZ Web Flux HTTP Serveur Web Figure 1. Architecture Web sécurisée par un WAF DMZ Publique WAF (Web AQpplication Firewall) 68 HAKIN9 3/2010
2 SÉCURISER LES APPLICATIONS WEB Deny All, F5 ou encore Barracuda. Mais nous parlerons ici de mod_security2 qui est un module de filtrage applicatif pouvant être couplé avec un Apache configuré en reverse proxy. Tout ceci est plus communément appelé un reverse proxy filtrant. Qu'est ce qu'un reverse proxy Il convient ici de définir ce qu est un reverse proxy. Comme son nom l indique, un reverse proxy est le contraire d un proxy! Le reverse proxy se place en frontal derrière le firewall. Derrière lui, se cache un ou plusieurs serveur web. Le reverse proxy peut faire de la répartition de charge et/ou du filtrage ce que nous allons voir ici en pratique. Le filtrage se réalise de deux manières : soit par liste blanche, soit par liste noire. La liste blanche est la plus sûre mais la plus difficile à configurer. Son but consiste à tout bloquer et à n autoriser que le trafic sûr (typiquement le fonctionnement d un pare-feu réseau). Une tâche difficile pour des applications qui génèrent beaucoup de données aléatoires. La quasi-impossibilité de connaître tout le bon trafic est un autre élément de difficulté. Une liste blanche mal générée risque d'altérer le fonctionnement de l application. Dans certains cas, nous sommes donc obligés d'opter pour la liste noire qui consiste à bloquer tout le mauvais trafic. Mais qui peut prétendre connaître tout le mauvais trafic de l Internet? Personne! C est donc pour cette raison que la liste blanche est plus sûre bien que pas toujours évidente à implémenter. L'architecture La figure 1 représente un schéma basique d'une architecture web protégée par un WAF. Les clients sur Internet interrogent le reverse proxy en HTTP ou en HTTPS selon l'application. Le reverse proxy filtrant analyse les requêtes web, les autorise ou non et redirige les requêtes en HTTP au serveur web correspondant. Le reverse proxy est généralement placé dans une DMZ publique car elle est joignable depuis l'extérieur et les serveurs web sont, quant La configuration du reverse proxy La configuration du reverse proxy est contenue dans le fichier httpd.conf de notre Apache situé en frontal derrière le firewall. Il faut d abord vérifier que les modules sont correctement chargés : LoadModule proxy_module modules/mod_proxy.so LoadModule proxy_http_module modules/mod_proxy_http.so LoadModule proxy_connect_module modules/mod_proxy_connect.so Ensuite, il faut réaliser la configuration du reverse proxy : ProxyRequests Off ServerName IP_de_la_web_application ProxyPass / ProxyPassReverse / Nous avons réalisé une configuration basique du reverse proxy. Il est aussi évident ici que dans un cas réel, nous configurerions une authentification mais ce n est pas le but de cet article. La documentation officielle de mod_proxy est très bien faite à ce sujet. Figure 2. Trace générée par mod_security2 Figure 3. Fichier de configuration de mod_security2 Figure 4. News déposée sur Joomla 3/2010 HAKIN9 69
3 SÉCURITÉ RÉSEAUX à eux, placés dans une DMZ spécifique. L application web que nous utiliserons en appui du présent article sera un Joomla STABLE. Cette application n est volontairement pas la dernière version afin de tester aisément l exploitation de failles dans l application. Expliquons rapidement le principe de fonctionnement. Un utilisateur sur Internet désirant se connecter sur Joomla entre dans son navigateur Internet l adresse du reverse proxy (rappelez-vous qu il est placé en frontal). Son navigateur affichera alors Joomla. L utilisateur se connecte en Listing 1. Un exemple d'attaque CSRF Je vais gagner <script type="text/javascript"> window.onload = function() { var url = " var gid = 25; var user = 'mechant'; var pass = 'mechant'; var = 'mechant@toto.com'; var param = { name: user, username: user, , password: pass, password2: pass, gid: gid, block: 0, option: 'com_users', task: 'save', send 1 }; var form = document.createelement('form'); form.action = url; form.method = 'post'; form.target = 'hidden'; form.style.display = 'none'; HTTP ou en HTTPS, le reverse proxy se chargera ensuite de relayer les requêtes vers Joomla en HTTP. Configuration de l'architecture L'architecture se compose des éléments suivants : Un serveur web hébergeant l'application web Joomla Un reverse proxy filtrant Nous ne détaillerons pas complètement l'installation de ces serveurs mais for (var i in param) { try { // ie var input = document.createelement('<input name="'+i+'">'); } catch(e) { // other browsers partons du principe qu'il dispose de la configuration suivante : un OS FreeBSD avec Apache 2.2, PHP5 et MySQL. Le reverse proxy dispose du mod_proxy d'apache pour fonctionner en reverse proxy et le serveur web hébergera l'application Joomla. Le mod_security Mod_security est un module d Apache permettant de transformer un Apache configuré en reverse proxy en firewall applicatif. Il faut savoir que mod_security dispose d une communauté très active et commence à être de plus en répandu. La grande force de mod_security est de pouvoir filtrer à 5 niveaux : En-têtes de requêtes Corps des requêtes En-têtes de réponses Corps des réponses Journalisation Cela fait de mod_security un outil de filtrage très puissant pour les applications web. Installation L'installation de mod_security sous FreeBSD se fait simplement: cd /usr/ports/www/mod_security2 && make install clean Passons maintenant à la préparation de la configuration Comme pour le reverse proxy, nous devons vérifier que les modules sont correctement chargés dans Apache. Le module mod_unique permet à mod_security d identifier de manière unique chaque requête reçue : } } var input = document.createelement('input'); input.name = i; input.setattribute('value', param[i]); form.appendchild(input); LoadModule unique_id_module libexec/ apache22/mod_ unique_id.so Chargement du module mod_security2 : document.body.appendchild(form); form.submit(); } </script> <iframe name="hidden" style="display: none"></iframe> LoadModule security2_module libexec/ apache22/mod_ security2.so Configuration de mod_security2 : 70 HAKIN9 3/2010
4 SÉCURISER LES APPLICATIONS WEB Include etc/apache22/includes/*.conf Tous les fichiers de configuration de mod_security se trouvent dans /usr/ local/etc/apache22/includes/mod _ security2 (cf. Figure 2). Le fichier de configuration principal est modsecurity_crs_10_config.conf. Les autres fichiers représentent les règles ModSecurity Core Rules qui fonctionnent en liste noire et qui représentent une protection de base intéressante contre une quantité d attaques connues. Paramétrage de mod_ security2 Voici le détail du paramétrage du fichier de configuration principal de mod_security : SecRuleEngine On : Activation du module mod_security. Ce module intercepte les requêtes et les bloque ou laisse passer selon la configuration. Cette option peut être bloquée ou simplement active sans blocage (active à des fins de logs). SecRequestBodyAccess On : les règles qui inspectent le corps des requêtes sont actives. SecResponseBodyAccess On : les règles qui inspectent le corps des réponses sont actives. SecDefaultAction : Détermine l action par défaut lorsqu aucune règle ne s applique. Plusieurs options peuvent y être spécifiées comme log pour loguer, deny pour arrêter l application, etc. Une grande particularité de mod_security est qu il log beaucoup plus d informations qu Apache. Pour cela, il faut configurer les paramètres suivants : SecAuditEngine RelevantOnly : seuls les échanges ayant été détectés sont enregistrés SecAuditLog : spécifie le chemin vers le journal Voici un exemple de traces que génère mod_security dans notre situation (cf. Figure 3). A ce stade, nous avons un mod_ security2 fonctionnel avec les ModSecurity Core rules. Notre application web est donc correctement protégée en liste noire à condition, bien sûr, de mettre à jour régulièrement les Core rules. Le but étant de faire de la liste blanche, nous verrons par la suite comment orienter la configuration vers ce mode de fonctionnement. Paramétrage personnalisé Avant tout, il convient d expliquer comment personnaliser la configuration de mod_ security manuellement. Pour cela, il faut ajouter un fichier.conf au répertoire de mod_security. Ce fichier.conf sera pris en compte puisque nous lui avons indiqué : Include etc/apache22/include/*.conf Afin d éditer des règles, il faut utiliser la directive SecRule avec cette syntaxe : SecRule Variables Opérateur [Actions] Pour avoir la documentation complète des paramètres utilisables, rendez-vous Figure 5. Editeur de règles REMO sur le site officiel de mod_security. Une multitude de règles peuvent être écrites. Vous trouverez plus loin dans cet article les règles que nous avons éditées pour bloquer notre attaque. En voici quelques-unes : Bloquer l accès au répertoire joomla dans une url : SecFilter /joomla/ Interdire la méthode TRACE : SecFilterSelective REQUEST_METHOD «TRACE» Vous trouverez plusieurs exemples de règles dans l article d HSC qui se trouve 3/2010 HAKIN9 71
5 SÉCURITÉ RÉSEAUX dans la partie références de cet article. Vous y trouverez des règles permettant de bloquer des SQL injection ainsi que des failles XSS. Pour mettre en place du filtrage par liste noire, ces règles sont intéressantes. Sur Internet Un tutorial pour débuter avec REMO. Le site officiel de mod_security. Le site de ouadjet. Un article d'hsc traitant de mod_ security. Un article d'hsc traitant d'apache en relais inverse. La documentation officielle de mod_proxy. Listing 2. Règles mod_security # Location au niveau du site joomla <LocationMatch "^/joomla/administrator/index2.php(.*)$"> # Traitement de la balise "Referer" SecRule REQUEST_HEADERS:Referer "!^( "t:none,deny,id:3,status:501,severity:3,msg:'header Referer failed # Aucune vérification sur le "Cookie" SecRule REQUEST_HEADERS:Cookie "!^(.*)$" "t:none,deny,id:3,status:501,severity:3,msg:'header Cookie failed validity check. Value domain: Custom.'" # All checks passed for this path. Request is allowed. SecAction "allow,id:4,t:none,msg:'request passed all checks, it is thus allowed.'" </LocationMatch> <LocationMatch "^/joomla/administrator/(.*)$"> # traitement de la balise "Referer" en prenant en compte cette fois la possibilité de venir du fichier index.php SecRule REQUEST_HEADERS:Referer "!^(( ( oomla/index.php(.*)))$" "t:none,deny,id:3,status:501,severity:3,msg:'header Referer failed validity check. Value domain: Custom.'" # Aucune vérification sur le "Cookie" SecRule REQUEST_HEADERS:Cookie "!^(.*)$" "t:none,deny,id:3,status:501,severity:3,msg:'header Cookie failed validity check. Value domain: Custom.'" </LocationMatch> <LocationMatch "^/joomla/(.*)$"> # aucun traitement de la balise "Referer" SecRule REQUEST_HEADERS:Referer "!^(.*)$" "t:none,deny,id:1,status:501,severity:3,msg:'header Referer failed validity check. Value domain: Custom.'" # Vérifie que le "Cookie" n'existe pas SecRule REQUEST_HEADERS:Cookie "( d38c9c e2b9c0a260e=)(.*)$" "t:none,deny,id:1,status:501,severity:3,msg:'header Cookie failed validity check. </LocationMatch> # Bloque tout <LocationMatch "^/.*$"> SecAction "deny,status:501,severity:3,msg:'unknown request. Access denied by fallback rule.'" </LocationMatch> Démonstration d'une attaque sur Joomla Nous avons réalisé une attaque sur notre installation de Joomla pour ensuite tester son blocage avec mod_security2. Explication de l'attaque : 1/ Création d'un utilisateur classique dans Joomla. 2/ Cet utilisateur dépose ensuite une news dans Joomla avec un lien contenant cette attaque (Figure 4). Le lien cliquez ici contient du code malveillant que voici (cf Listing 1). Et lorsqu un administrateur ira sur cette news et cliquera sur le lien, un nouveau compte root mechant/mechant se créera dans la base de données utilisateurs de joomla. Le filtrage par liste blanche L objectif de la liste blanche est d interdire ce qui n est pas explicitement autorisé. Cela peut être assez facile pour une application dont les processus sont entièrement maitrisés. Cela devient beaucoup plus compliqué pour une application non maîtrisée et relativement lourde en fonctionnalités. Au vu de la tâche que cela implique, dans le cadre de notre étude, nous ne tenterons pas de protéger l ensemble de l application mais seulement quelques parties du système et, notamment, le protéger contre l attaque proposée dans la partie précédente. Nous allons dans un premier temps ne mettre aucune règle de filtrage et mettre le reverse proxy en mode apprentissage afin de loguer au maximum ce qui se passe et déterminer ensuite les règles de filtrage à mettre en place. Cette opération terminée, une analyse assez grossière nous permet d identifier les grandes règles de filtrage permettant à l application de s exécuter au maximum. En effet, cette première opération est assez importante puisque tout ce qui n est pas explicitement autorisé est interdit. Il convient ainsi d autoriser un maximum d éléments nécessaires au bon fonctionnement de l application. 72 HAKIN9 3/2010
6 Comment filtrer l'attaque Le problème de cette attaque réside dans la légitimité de l opération réalisée. Le seul élément qui n est pas normal est le lieu de réalisation du script. En effet, l opération de création de compte utilisateur ne peut être réalisée que depuis l URL «index2.php» Nous avons donc décidé de filtrer sur l en-tête HTTP, la variable «Referer» qui stipule l url de la page demandant à exécuter le script et d y mettre comme règle : «/joomla/ administrator/(.*)». Nous pouvons alors constater, qu effectivement, l attaque dans ces conditions n est plus possible. Dans cette règle, nous ne stipulons pas que la balise Referer est obligatoire, ce qui peut être considéré comme une vulnérabilité. Si cette balise est rendue obligatoire, l authentification à l application n est plus possible car dans certains cas, ce champ ne figure pas dans l en-tête HTTP. Néanmoins, nous partons du principe que l administrateur n a aucun intérêt à intercepter la communication pour changer cette balise. Toujours dans notre paranoïa permanente, nous nous sommes dit que la page permettant l attaque pouvait se trouver derrière un proxy qui modifierait cet en-tête à la volée afin de la rendre conforme à la règle de filtrage précédemment mise en place. C est pourquoi nous avons décidé d ajouter une règle plus contraignante pour l administrateur mais qui permettra de réduire au maximum ce risque. Un moyen complémentaire de filtrage La deuxième règle consiste à limiter l accès de l administrateur à son espace d administration et de lui interdire l accès aux pages du site. Cette règle consiste donc à interdire explicitement le cookie de session « d38c9c e2b9c0a260e» correspondant au profil d administration aux autres espaces (Location) du site. Le problème est que pour accéder au reste de l application, l administrateur n aura pas seulement besoin de se déloguer, il lui faudra aussi fermer son navigateur. En effet, au moment du logout de l application, le cookie est dévalidé dans la base de données mais ne l est pas au niveau du navigateur. Editeur de règles Le premier outil recommandé (Ouadjet) ne fonctionne que pour la branche 1 d Apache. Nous l avons essayé sur la branche 2 de mod_security mais sans succès. Nous avons donc cherché un outil pour la branche 2 de mod_security. Deux outils ont été trouvés. Le premier nous a paru assez austère dans son approche. Le second, REMO, nous a paru beaucoup plus intéressant dans son approche, car il aide l utilisateur à créer un maximum de règles de la manière la plus précise possible, permettant également une compréhension simplifiée de l en-tête HTTP. Pour être efficace dans la création de règles, il convient de bien comprendre le fonctionnement du protocole HTTP. La compréhension des en-têtes est un élément primordial. Voici en image les règles que nous avons générées avec REMO (cf. Figure 5). Et voici ce que cela donne en version mod_security (cf. Listing 2). Conclusion Nous avons vu que la liste blanche est un mécanisme très complexe à mettre en œuvre. La solution consisterait à créer des règles de filtrage par liste blanche pour chaque application web (soit par l éditeur, soit par une société qui ne s occuperait que de cela). Sans cela, la mise en place d une liste blanche est extrêmement difficile sauf à connaître parfaitement l application. La liste noire a donc encore de beaux jours devant elle tant que des listes blanches ne seront pas éditées pour chaque application. A moins qu un autre outil vraiment performant voit le jour. Ouadjet pour la branche 2 de mod_security est en développement. Ivan Ristic, le développeur de mod_security, est aussi en train de travailler sur un projet qui consisterait à générer des listes blanches automatiquement mais cela va prendre du temps. Patientons À propos de l'auteur L'auteur travaille en tant qu'ingénieur sécurité chez Dimension Data Luxembourg. Son métier consiste en la conception, la mise en œuvre et le support d'architectures de sécurité pour des clients grands comptes. Diplômé d'un Master ès Sécurité Informatique à l'epita à Paris, il se passionne pour les technologies de sécurité de l'information.
Apache en tant que reverse proxy
Apache en tant que reverse proxy Fiche technique Radosław Pieczonka Degré de difficulté L'ajout d'un reverse proxy permet de bénéficier d'un cloisonement des flux réseaux et d'un pare-feu applicatif filtrant
Plus en détailAide à la Détection de Faiblesses d un site Web Mandataire inverse, Modsecurity
Aide à la Détection de Faiblesses d un site Web, S. Aicardi Journées Mathrice, Angers, 17-19 Mars 2009 Serveur mandataire (Proxy) C est un serveur utilisé comme intermédiaire entre des clients et des serveurs.
Plus en détailWEB APPLICATION FIREWALL AVEC APACHE ET MOD_SECURITY
WEB APPLICATION FIREWALL AVEC APACHE ET MOD_SECURITY version 1.00 Objectifs Cette fiche pratique permet d atteindre deux objectifs distincts et potentiellement complémentaires. Configuration d Apache en
Plus en détailFonctionnement et mise en place d un reverse proxy sécurisé avec Apache. Dimitri ségard 8 mai 2011
Fonctionnement et mise en place d un reverse proxy sécurisé avec Apache. Dimitri ségard 8 mai 2011 Sommaire 1 Un peu de théorie 3 1.1 Qu est-ce qu un reverse proxy?................. 3 1.1.1 Généralités........................
Plus en détailADF 2009. Reverse Proxy. Thierry DOSTES tdostes@ifr88.cnrs-mrs.fr
ADF 2009 Reverse Proxy Thierry DOSTES tdostes@ifr88.cnrs-mrs.fr 1 Définition d un serveur mandataire Un proxy (ou serveur mandataire) : agit comme une passerelle et un filtre pour accéder à l Internet.
Plus en détailSécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin
Sécurité des sites Web Pas un cours un recueil du net INF340 Jean-François Berdjugin Vulnérabilité Définition (wikipédia) : Dans le domaine de la sécurité informatique, une vulnérabilité est une faiblesse
Plus en détailLa Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet
REALSENTRY TM Gestion, Performance et Sécurité des infrastructures Web La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet L authentification
Plus en détailPrésentation de la solution Open Source «Vulture» Version 2.0
Présentation de la solution Open Source «Vulture» Version 2.0 Advens IST Day 15 septembre 2011 http://www.vultureproject.org 1 s/apache/mod_perl/ LE PROJET VULTURE Advens IST Day 15 septembre 2011 http://www.vultureproject.org
Plus en détailRapport de certification ANSSI-CSPN-2010/05. ModSecurity v2.5.12
PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2010/05 ModSecurity v2.5.12
Plus en détailSécuriser les applications web de l entreprise
LABORATOIRE SECURITE Sécuriser les applications web de l entreprise Mise en place de ModSecurity pour Apache Julien SIMON - 61131 Sommaire Présentation de la situation actuelle...3 Qu est ce qu un WAF?...5
Plus en détailTous les autres noms de produits ou appellations sont des marques déposées ou des noms commerciaux appartenant à leurs propriétaires respectifs.
Apache, Mod_proxy et 4D Par Timothy PENNER, Technical Services Team Member, 4D Inc. Note technique 4D-201003-05-FR Version 1 - Date 1 mars 2010 Résumé Cette note technique porte sur l utilisation du serveur
Plus en détailRéseau - Sécurité - Métrologie - Data Center. Le leader du marché allemand des UTM débarque en France avec des arguments forts!
Réseau - Sécurité - Métrologie - Data Center Energy News Le coin des technos : Sophos UTM 1er trimestre 2013 Le leader du marché allemand des UTM débarque en France avec des arguments forts! Vous trouverez
Plus en détailVulnérabilités et solutions de sécurisation des applications Web
Vulnérabilités et solutions de sécurisation des applications Web Patrick CHAMBET EdelWeb ON-X Consulting patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Eric Larcher RSSI Accor
Plus en détailLes utilités d'un coupe-feu applicatif Web
Les utilités d'un coupe-feu applicatif Web Jonathan Marcil OWASP Montréal Canada #ASFWS Application Security Forum - 2012 Western Switzerland 7-8 novembre 2012 - Y-Parc / Yverdon-les-Bains https://www.appsec-forum.ch
Plus en détailLinux sécurité des réseaux
Linux sécurité des réseaux serveurs mandataires (proxy) fbongat@ipsl.jussieu.fr 2007-2008 Qu'est-ce qu'un proxy? = mandataire (traduction) Un proxy est un service mandataire pour une application donnée.
Plus en détailVulnérabilités et sécurisation des applications Web
OSSIR 09/09/2002 Vulnérabilités, attaques et sécurisation des applications Web Pourquoi les firewalls sont impuissants patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Page 1 Planning
Plus en détailPrincipales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement
Guillaume HARRY l Contenu sous licence Creative Commons CC-BY-NC-ND Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement P. 2 1. Introduction 2.
Plus en détailOWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI
OWASP Open Web Application Security Project Jean-Marc Robert Génie logiciel et des TI A1: Injection Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est
Plus en détailMANUEL D INSTALLATION D UN PROXY
MANUEL D INSTALLATION D UN PROXY Squid, SquidGuard, Dansguardian Dans ce guide on va détailler l installation et la configuration d une solution proxy antivirale en utilisant les outils ; squid, dansguardian,
Plus en détail2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.
2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement
Plus en détailProxy et reverse proxy. Serveurs mandataires et relais inverses
Serveurs mandataires et relais inverses Qu'est-ce qu'un proxy? Proxy = mandataire (traduction) Un proxy est un service mandataire pour une application donnée. C'est à dire qu'il sert d'intermédiaire dans
Plus en détailUE5A Administration Réseaux LP SIRI
UE5A Administration Réseaux LP SIRI José Dordoigne Architecte infrastructure v1.0 2012-2013 Objectif de la formation -Fournir les éléments clés pour : -Comprendre les principaux services réseaux déployés
Plus en détailAide à la Détection de Faiblesse d'un site web
Aide à la Détection de Faiblesse d'un site web Journée RAISIN 15/10/2009 Restitution de la formation ADF dispensée par l'urec Fabrice.Mendes@dr15.cnrs.fr Développeur d'application web 1 ADF : plan Introduction
Plus en détailBTS SIO 2012-2014. Dossier BTS. PURCHLA Romain
BTS SIO 2012-2014 Dossier BTS PURCHLA Romain 2012-2014 Lors d une création de serveur web plusieurs solution nous son proposé en voici quelques une. - LAMP (Linux, Apache, MySql, Php) La mise en place
Plus en détail1. La plate-forme LAMP
Servi ces pour intranet et Internet Ubuntu Linux - Création et gestion d un réseau local d entreprise 1. La plate-forme LAMP Services pour intranet et Internet La fourniture d'un site pour le réseau ou
Plus en détailFirewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1
Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité
Plus en détailPrésentation du relais HTTP Open Source Vulture. Arnaud Desmons <ads@intrinsec.com> Jérémie Jourdin <jjn@intrinsec.com>
Arnaud Desmons Jérémie Jourdin Présentation Motivations Historique Démonstration Présentation fonctionnelle Présentation technique L'interface d'administration Roadmap
Plus en détailarcopole Studio Annexe 7 Architectures Site du programme arcopole : www.arcopole.fr
4 arcopole Studio Annexe 7 Architectures Site du programme arcopole : www.arcopole.fr Auteur du document : Esri France Version de la documentation : 1.2 Date de dernière mise à jour : 26/02/2015 Sommaire
Plus en détailRapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN 5.2.4 build 8069
PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2011/14 Fonctionnalités
Plus en détailSécurisation du réseau
Sécurisation du réseau La sécurisation du réseau d entreprise est également une étape primordiale à la sécurisation générale de votre infrastructure. Cette partie a pour but de présenter les fonctionnalités
Plus en détailDenyAll Protect. Sécurité & accélération. Parefeux pour applications et services Web. de vos applications. www.denyall.com.
DenyAll Protect DenyAll Protect Parefeux pour applications et services Web Sécurité & accélération de vos applications Sites institutionnels ou marchands, messageries, outils collaboratifs, portails d
Plus en détailUne approche positive du filtrage applicatif Web. Didier «grk» Conchaudron Sébastien «blotus» Blot
Une approche positive du filtrage applicatif Web Didier «grk» Conchaudron Sébastien «blotus» Blot 1 Un peu de background 2 Une hécatombe Juste en 2011: Sony, RSA, Orange, MySQL.com, HBgary & 600+ autres
Plus en détailBee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE
Référence : BNX_Cible-de-sécurité_CSPN Version : 1.3 Etat : A valider Date : Affaire/projet : Client : BEE WARE Classification : Diffusion projet Bee Ware i-suite Cible de Sécurité CSPN Validation Fonctionnelle
Plus en détailArchitecture et infrastructure Web
Architecture et infrastructure Web par Patrice Caron http://www.patricecaron.com pcaron@patricecaron.com Ordre du jour Entreprises / Gouvernements Introduction: Architecture orientée services? Quelques
Plus en détailcedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007
A t t a q u e s c o n t r e l e s a p p l i s w e b cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007 D e l ' u t i l i t é d e l ' a t t a
Plus en détailTech-Evenings Sécurité des applications Web Sébastien LEBRETON
Tech-Evenings Sécurité des applications Web Sébastien LEBRETON Pourquoi revoir la sécurité des applications Web Des technologies omniprésentes Facilité de mise en œuvre et de déploiement. Commerce en ligne,
Plus en détailRTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall
RTE Technologies RTE Geoloc Configuration avec Proxy ou Firewall 2 Septembre 2010 Table des matières Introduction... 3 Présentation de RTE Geoloc... 3 Configuration des paramètres de sécurité... 3 Configuration
Plus en détailMandataires, caches et filtres
Mandataires, caches et filtres Pascal AUBRY IFSIC - Université de Rennes 1 Pascal.Aubry@univ-rennes1.fr Plan : mandataires caches filtrage serveur de proxy exemple de mise en œuvre Mandataire (proxy) Mandataire
Plus en détailLive box et Nas Synology
Live box et Nas Synology Création : OpenOffice.org Version 2.3 Auteur : PHI Création : 18/01/2008: Version : 32 Modification : 24/03/2008 Fichier : E:\Mes documents\tuto NAS LB\tuto ftp.odt Imprimer moi
Plus en détailNotions de sécurités en informatique
Notions de sécurités en informatique Bonjour à tous, voici un article, vous proposant les bases de la sécurité informatique. La sécurité informatique : Vaste sujet, car en matière de sécurité informatique
Plus en détailSQUID P r o x y L i b r e p o u r U n i x e t L i n u x
SQUID P r o x y L i b r e p o u r U n i x e t L i n u x 1. P r é s e n t a t i o n : SQUID est un proxy (serveur mandataire en français) cache sous linux. De ce fait il permet de partager un accès Internet
Plus en détailComment surfer tranquille au bureau
Comment surfer tranquille au bureau Version 1.3 1 Contexte...1 2 Attention...2 3 Description de la méthode utilisée: SSH...2 3.1 Explication réseau...2 3.2 Explication logicielle d'un tunnel SSH...3 3.3
Plus en détailTitre: Version: Dernière modification: Auteur: Statut: Licence:
Titre: Mise en œuvre de mod_webobjects Version: 2.0 Dernière modification: 2010/09/06 20:00 Auteur: Aurélien Minet Statut: version finale Licence: Creative Commons
Plus en détailComment avoir le logiciel? Le serveur web APACHE peut être téléchargé gratuitement du site web de APACHE: http://www.apache.org/.
Installation de base du logiciel APACHE sous Windows Ce chapitre traite l installation du logiciel APACHE à utiliser avec ABCD sous l environment Windows. Au moins Windows NT, Windows 2000 ou les versions
Plus en détailCIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)
CIBLE DE SECURITE CSPN DU PRODUIT PASS (Product for Advanced SSO) Préparé pour : ANSSI Préparé par: Thales Communications & Security S.A. 4 Avenue des Louvresses 92622 GENNEVILLIERS CEDEX France This document
Plus en détailPréparation d un serveur Apache pour Zend Framework
Préparation d un serveur Apache pour Zend Framework Jacques THOORENS 30 novembre 2010 Résumé Cette petite introduction explique comment paramétrer son serveur Apache personnel pour en faire une machine
Plus en détailAssistance à distance sous Windows
Bureau à distance Assistance à distance sous Windows Le bureau à distance est la meilleure solution pour prendre le contrôle à distance de son PC à la maison depuis son PC au bureau, ou inversement. Mais
Plus en détailMettre en place un accès sécurisé à travers Internet
Mettre en place un accès sécurisé à travers Internet Dans cette partie vous verrez comment configurer votre serveur en tant que serveur d accès distant. Dans un premier temps, les méthodes pour configurer
Plus en détailLINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation
Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance
Plus en détailExtension SSO Java. Cette note technique décrit la configuration et la mise en œuvre du filtre de custom SSO Java.
Note technique W4 Engine Extension SSO Java Cette note technique décrit la configuration et la mise en œuvre du filtre de custom SSO Java. 1 Présentation 3 2 Custom SSO Java 4 3 Bilan 10 Sommaire Référence
Plus en détailPASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.
PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PASS v2.0 : solution d authentification unique basée sur
Plus en détailTHEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques
THEGREENBOW FIREWALL DISTRIBUE TGB::! Pro Spécifications techniques SISTECH SA THEGREENBOW 28 rue de Caumartin 75009 Paris Tel.: 01.43.12.39.37 Fax.:01.43.12.55.44 E-mail: info@thegreenbow.fr Web: www.thegreenbow.fr
Plus en détailLes rootkits navigateurs
Sogeti/ESEC Les rootkits navigateurs 1/52 Les rootkits navigateurs Christophe Devaux - christophe.devaux@sogeti.com Julien Lenoir - julien.lenoir@sogeti.com Sogeti ESEC Sogeti/ESEC Les rootkits navigateurs
Plus en détailL installation du module Webmail nécessite également quelques prérequis, à savoir :
INTRODUCTION : Ce document décrit l installation de la solution de messagerie Open Source hmailserver. En terme d accès client, hmailserver fournit de base le support des protocoles SMTP, POP3 et IMPA4.
Plus en détailRemote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4)
Remote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4) Sommaire : Contenu I. Introduction:... 2 II. Présentation de l atelier :... 2 1) Attaque persistante :... 3 2) Attaque non persistante :...
Plus en détailWeb Application Firewalls (WAF)
Web Application Firewalls (WAF) Forum CERT-IST Paris le 9 Juin 2009 Sébastien GIORIA (sebastien.gioria@owasp.org) French Chapter Leader Copyright 2009 - The OWASP Foundation Permission is granted to copy,
Plus en détailMise en place d un serveur Proxy sous Ubuntu / Debian
BTS INFORMATIQUE DE GESTION Option Administrateur Réseaux Benoît VERRON Activité n 1 Mise en place d un serveur Proxy sous Ubuntu / Debian Présentation d un Proxy Un proxy (serveur mandataire) est un serveur
Plus en détailSupplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de
Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de la PCI (PCI DSS) Version : 1.2 Date : Octobre 2008
Plus en détailApplication des Spécifications détaillées pour la Retraite, architecture portail à portail
Pour Application des Spécifications détaillées pour la Retraite, architecture portail à portail Version 1.0 ON-X S.A. est une société du Groupe ON-X 15, quai Dion Bouton 92816 PUTEAUX cedex. Tél : 01 40
Plus en détail07/03/2014 SECURISATION DMZ
07/03/2014 SECURISATION DMZ Anthony MANDRON SDIS 21 Table des matières Introduction :... 2 Contexte :... 2 Les solutions possibles :... 2 Le proxy inverse :... 2 Démonstration de la nouvelle solution :...
Plus en détailINSTALLATION APACHE POUR WINDOWS (XP OU 2000)
INSTALLATION DE APACHE POUR WINDOWS (XP OU 2000) Par Maisse Sébastien Document en date du 30 octobre 2005 Préambule : Bienvenue dans ce document qui a pour but de vous faire découvrir l'installation du
Plus en détailDate : NOM Prénom : TP n /5 ET ADMINISTRATION D'UN
Date : NOM Prénom : TP n /5 Lycée professionnel Pierre MENDÈS-FRANCE Veynes Sujet de Travaux Pratiques INSTALLATION ET ADMINISTRATION D'UN PARE-FEU FEU : «IPCOP» Term. SEN Champs : TR 1ère série CONSIGNES
Plus en détailLes différentes méthodes pour se connecter
Les différentes méthodes pour se connecter Il y a plusieurs méthodes pour se connecter à l environnement vsphere 4 : en connexion locale sur le serveur ESX ; avec vsphere Client pour une connexion sur
Plus en détailRéseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux
Réseaux Evolutions topologiques des réseaux locaux Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs
Plus en détailGuide d administration de Microsoft Exchange ActiveSync
Guide d administration de Microsoft Exchange ActiveSync Copyright 2005 palmone, Inc. Tous droits réservés. palmone, HotSync, Treo, VersaMail et Palm OS sont des marques commerciales ou déposées dont palmone,
Plus en détailINSTALLATION ET CONFIGURATION D'UN SERVEUR WEB SUR MAC OS X
INSTALLATION ET CONFIGURATION D'UN SERVEUR WEB SUR MAC OS X Par Sébastien Maisse MAC OS incorpore en son sein un serveur web apache, pour le lancer, il faut se rendre dans le Menu Pomme / Préférence Système...
Plus en détailVoIP - TPs Etude et implémentation
VoIP - TPs Etude et implémentation Auteurs : RUIZ Nicolas, LOR Maurice, Julien FERNANDES Relecture : Version 3.0 23 Novembre 2005 SUPINFO - Ecole Supérieure d Informatique de Paris 23. rue de Château Landon
Plus en détailBut de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P. 2013 - www.coursonline.
Proxy filtrant avec Squid et SquidGuard But de cette présentation Présenter le serveur proxy, son utilité et sa mise en œuvre Ce type de serveur est très utilisé en entreprise Il est donc important d en
Plus en détailCe document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.
PERSPECTIVES Le Single Sign-On mobile vers Microsoft Exchange avec OWA et ActiveSync Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des
Plus en détailADMINISTRATION DE ADOBE LIVECYCLE MOSAIC 9.5
ADMINISTRATION DE ADOBE LIVECYCLE MOSAIC 9.5 Informations juridiques Copyright 2010 Adobe Systems Incorporated and its licensors. All rights reserved. Administration d Adobe LiveCycle Mosaic 9.5 13 octobre
Plus en détailTAGREROUT Seyf Allah TMRIM
TAGREROUT Seyf Allah TMRIM Projet Isa server 2006 Installation et configuration d Isa d server 2006 : Installation d Isa Isa server 2006 Activation des Pings Ping NAT Redirection DNS Proxy (cache, visualisation
Plus en détailOZSSI NORD 4 JUIN 2015 - LILLE. Conférence thématique: Sécurité des applications
OZSSI NORD 4 JUIN 2015 - LILLE Conférence thématique: Sécurité des applications www.advens.fr Document confidentiel - Advens 2015 Présentation de la société Advens 2 La sécurité est source de valeur Pas
Plus en détailNetfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique
Page 1 sur 5 Article original traduit par Kmeleon, refonte de eks. Provenant de ubuntu-fr.org Netfilter & Iptables Netfilter est un module du noyau Linux (depuis la version 2.4) qui offre la possibilité
Plus en détailKAJOUT WASSIM INTERNET INFORMATION SERVICES (IIS) 01/03/2013. Compte-rendu sur ISS KAJOUT Wassim
01/03/2013 Le rôle de Serveur Web (IIS) dans Windows Server 2008 R2 vous permet de partager des informations avec des utilisateurs sur Internet, sur un intranet ou un extranet. Windows Server 2008 R2 met
Plus en détailAperçu technique Projet «Internet à l école» (SAI)
Aperçu technique Projet «Internet à l école» (SAI) Contenu 1. Objectif 2 2. Principes 3 3. Résumé de la solution 4 4. Adressage IP 4 5. Politique de sécurité 4 6. Mise en réseau Inhouse LAN 4 7. Organisation
Plus en détailHébergement de site web Damien Nouvel
Hébergement de site web Plan L'hébergeur Le serveur web Apache Sites dynamiques 2 / 27 Plan L'hébergeur Le serveur web Apache Sites dynamiques 3 / 27 L'hébergeur L'hébergeur sous-traite l'architecture
Plus en détailGENERALITES. COURS TCP/IP Niveau 1
GENERALITES TCP/IP est un protocole inventé par les créateurs d Unix. (Transfer Control Protocol / Internet Protocole). TCP/IP est basé sur le repérage de chaque ordinateur par une adresse appelée adresse
Plus en détailSERVEUR DE MESSAGERIE
CRÉEZ VOTRE SERVEUR DE MESSAGERIE avec: version 4.3-B248 Sommaire PREAMBULE et REMERCIEMENTS Page 2 INTRODUCTION Page 2 AVERTISSEMENT Page 3 INSTALLATION Page 3 CONFIGURATION Page 12 CLIENT DE MESAGERIE
Plus en détailCréation d'un site web avec identification NT
Création d'un site web avec identification NT Site intranet avec identification NT Dans de nombreuses entreprises fleurissent les intranet. Dans ces entreprises, la gestion des comptes est souvent faite
Plus en détailLes réseaux des EPLEFPA. Guide «PfSense»
Les réseaux des EPLEFPA Guide «PfSense» Chantier national DRTIC http://drtic.educagri.fr/ Mai 2010 2 Table des matières 1 Installation de la PfSense...3 Schéma de principe...3 Préalable...3 Installation...4
Plus en détailMéthode de Test. Pour WIKIROUTE. Rapport concernant les méthodes de tests à mettre en place pour assurer la fiabilité de notre projet annuel.
Méthode de Test Pour WIKIROUTE Rapport concernant les méthodes de tests à mettre en place pour assurer la fiabilité de notre projet annuel. [Tapez le nom de l'auteur] 10/06/2009 Sommaire I. Introduction...
Plus en détailInstaller le patch P-2746 et configurer le Firewall avancé
Installer le patch P-2746 et configurer le Firewall avancé SOMMAIRE INTRODUCTION... 2 PRE-REQUIS... 2 MIGRATION DE DONNEES ET DE CONFIGURATION... 2 INSTALLATION... 2 PRINCIPALES EVOLUTIONS FONCTIONNELLES
Plus en détailSommaire. 1 Introduction 19. 2 Présentation du logiciel de commerce électronique 23
1 Introduction 19 1.1 À qui s adresse cet ouvrage?... 21 1.2 Comment est organisé cet ouvrage?... 22 1.3 À propos de l auteur... 22 1.4 Le site Web... 22 2 Présentation du logiciel de commerce électronique
Plus en détailProxy SQUID sous Debian
Proxy SQUID sous Debian Définition : Un serveur proxy, appelé en français serveur mandataire est une architecture client-serveur qui a pour fonction de relayer des requêtes entre une fonction cliente et
Plus en détailInstallation de Joomla avec Filezilla
Installation de Joomla avec Filezilla Le but de cette manipulation est d apprendre à installer le CMS Joomla sur un hébergement classique, dans ce cas de type mutualisé. Quand vous souscrivez à un hébergement,
Plus en détailE-TRANSACTIONS. Guide du programmeur API Plug-in. Version 1.1
E-TRANSACTIONS Guide du programmeur API Plug-in Version 1.1 Avertissements : Le fichier Version.txt précise l'environnement dans lequel l API a été compilée et testée. L'installation de l API sur tout
Plus en détailTP4 : Firewall IPTABLES
Module Sécurité TP4 : Firewall IPTABLES Ala Rezmerita François Lesueur Le TP donnera lieu à la rédaction d un petit fichier texte contenant votre nom, les réponses aux questions ainsi que d éventuels résultats
Plus en détail1 La visualisation des logs au CNES
1 La visualisation des logs au CNES 1.1 Historique Depuis près de 2 ans maintenant, le CNES a mis en place une «cellule d analyse de logs». Son rôle est multiple : Cette cellule est chargée d analyser
Plus en détailSécurité des applications web. Daniel Boteanu
I F8420: Éléments de Sécurité des applications web Daniel Boteanu Architecture des applications web Client légitime Internet HTTP 浀 HTML Server Web 2 Architecture des applications web Client légitime Internet
Plus en détailGPI Gestion pédagogique intégrée
Société GRICS GPI Gestion pédagogique intégrée Guide d installation Fonctionnalités Internet GPI 2012 Version mise à jour le 29 janvier 2014 Société GRICS Page 1 de 23 Table des matières PRESENTATION DES
Plus en détailSage CRM. 7.2 Guide de Portail Client
Sage CRM 7.2 Guide de Portail Client Copyright 2013 Sage Technologies Limited, éditeur de ce produit. Tous droits réservés. Il est interdit de copier, photocopier, reproduire, traduire, copier sur microfilm,
Plus en détail<Insert Picture Here>ApExposé. Cédric MYLLE 05 Février 2008. Exposé Système et Réseaux : ApEx, Application Express d Oracle
ApExposé Cédric MYLLE 05 Février 2008 Exposé Système et Réseaux : ApEx, Application Express d Oracle Sommaire Introduction Les besoins L outil ApEx Le développement d applications
Plus en détailcedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007
F i r e w a l l s e t a u t r e s é l é m e n t s d ' a r c h i t e c t u r e d e s é c u r i t é cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL
Plus en détailEJBCA PKI Open Source
PKI Open Source http://www.auditiel.fr/docs/installation.pdf 1 SOMMAIRE 1Sommaire... 2 2Introduction... 3 2.1Pré requis...3 2.2Versions... 3 2.3Glossaire...3 3Installation...4 3.1Composants nécessaires...
Plus en détailWebSpy Analyzer Giga 2.1 Guide de démarrage
WebSpy Analyzer Giga 2.1 Guide de démarrage Ce document aide à vous familiariser avec l utilisation de WebSpy Analyzer Giga. Pour des informations plus détaillées, consultez le guide utilisateur Analyzer
Plus en détailLe filtrage de niveau IP
2ème année 2008-2009 Le filtrage de niveau IP Novembre 2008 Objectifs Filtrage : Le filtrage permet de choisir un comportement à adopter vis à vis des différents paquets émis ou reçus par une station.
Plus en détailLes risques HERVE SCHAUER HSC
HERVE SCHAUER HSC Les risques Les risques ne cessent d'augmenter: Informatisation systématique de l'ensemble de la société Ouverture des systèmes d'information sur Internet Démultiplication de ce qui est
Plus en détail«clustering» et «load balancing» avec Zope et ZEO
IN53 Printemps 2003 «clustering» et «load balancing» avec Zope et ZEO Professeur : M. Mignot Etudiants : Boureliou Sylvain et Meyer Pierre Sommaire Introduction...3 1. Présentation générale de ZEO...4
Plus en détailSauvegarde des bases SQL Express
Sauvegarde des bases SQL Express Sauvegarder les bases de données avec SQL Express Dans les différents articles concernant SQL Server 2005 Express Edition, une problématique revient régulièrement : Comment
Plus en détail