Cible de Sécurité rweb4. Certification Sécurité de Premier Niveau

Documents pareils
Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE

DenyAll Protect. Sécurité & accélération. Parefeux pour applications et services Web. de vos applications.

Rapport de certification ANSSI-CSPN-2010/05. ModSecurity v2.5.12

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Présentation de la solution Open Source «Vulture» Version 2.0

Vulnérabilités et sécurisation des applications Web

Réseau - Sécurité - Métrologie - Data Center. Le leader du marché allemand des UTM débarque en France avec des arguments forts!

NEXT GENERATION APPLICATION SECURITY

NEXT GENERATION APPLICATION SECURITY

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

Vulnérabilités et solutions de sécurisation des applications Web

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

Fonctionnement et mise en place d un reverse proxy sécurisé avec Apache. Dimitri ségard 8 mai 2011

Le rôle Serveur NPS et Protection d accès réseau

Fiche Technique. Cisco Security Agent

Création d un «Web Worm»

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

ADF Reverse Proxy. Thierry DOSTES

Fiche technique: Sécurité des terminaux Symantec Endpoint Protection La nouvelle technologie antivirus de Symantec

Technologies du Web. Créer et héberger un site Web. Pierre Senellart. Page 1 / 26 Licence de droits d usage

Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria

Les risques HERVE SCHAUER HSC

FORMATION CN01a CITRIX NETSCALER

Newsletter DenyAll 2014

Linux sécurité des réseaux

RSA ADAPTIVE AUTHENTICATION

La sécurité périmètrique multi-niveaux. Un white paper de Daniel Fages CTO ARKOON Network Security

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ

Web Application Firewalls (WAF)

Hébergement WeboCube. Un système performant et sécurisé. Hébergement géré par une équipe de techniciens

Groupe Eyrolles, 2004, ISBN :

Avantages. Protection des réseaux corporatifs de gestion centralisée

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

KASPERSKY SECURITY FOR BUSINESS

SQUID P r o x y L i b r e p o u r U n i x e t L i n u x

10 façons d optimiser votre réseau en toute sécurité

Urbanisation des SI Conduite du changement IT 20/03/09. Patrick CHAMBET

INTERNET est un RESEAU D ORDINATEURS RELIES ENTRE EUX A L ECHELLE PLANETAIRE. Internet : interconnexion de réseaux (anglais : net = réseau)

Sécuriser une infrastructure de postes virtuels avec Citrix NetScaler.

Hébergement de site web Damien Nouvel

Annexe 5. Kaspersky Security For SharePoint Servers. Consulting Team

Les formations. Administrateur Systèmes et Réseaux. ENI Ecole Informatique

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

Mail-SeCure sur une plateforme VMware

Hébergement de sites Web

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

OFFRE MDB Service & Architecture Technique. MyDataBall Saas (Software as a Service) MyDataBall On Premise

Aperçu technique Projet «Internet à l école» (SAI)

Spécialiste Systèmes et Réseaux

Pourquoi choisir ESET Business Solutions?

Document de présentation technique. Blocage du comportement

Remote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4)

FICHE PRODUIT COREYE CACHE Architecture technique En bref Plateforme Clients Web Coreye Cache applicative Références Principe de fonctionnement

z Fiche d identité produit

Authentification avec CAS sous PRONOTE.net Version du lundi 19 septembre 2011

Dr.Web Les Fonctionnalités

MANUEL D INSTALLATION D UN PROXY

Sécurisation du réseau

Les nouveautés d AppliDis Fusion 4 Service Pack 3

1 LE L S S ERV R EURS Si 5

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Symantec Endpoint Protection Fiche technique

Rapport de certification

4. SERVICES WEB REST 46

Aide à la Détection de Faiblesses d un site Web Mandataire inverse, Modsecurity

Protéger les données critiques de nos clients

La Sécurité des Données en Environnement DataCenter

Formation en Logiciels Libres. Fiche d inscription

LES FONCTIONS DE SURVEILLANCE DES FICHIERS

BUSINESS INTELLIGENCE

CAHIER DES CLAUSES TECHNIQUES

Formations. «Produits & Applications»

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Sécuriser les applications web

Date de découverte 16 Octobre 2014 Révision du bulletin 1.0

L art d ordonnancer. avec JobScheduler. François BAYART

Guide pratique spécifique pour la mise en place d un accès Wifi

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

DenyAll Detect. Documentation technique 27/07/2015

WebSSO, synchronisation et contrôle des accès via LDAP

Symantec Endpoint Protection

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

E-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

CAHIER DES CHARGES D IMPLANTATION

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

arcopole Studio Annexe 7 Architectures Site du programme arcopole :

Transcription:

Cible de Sécurité rweb4 Certification Sécurité de Premier Niveau Version 1.3 26 Février 2013

Table des Matières 1. Identification... 3 1.1 Identification de la cible de sécurité... 3 1.2 Identification du produit... 3 2. Description du produit... 4 2.1 Description générale du produit... 4 2.2 Description des composants inclus dans le produit... 4 2.3 Description de l utilisation du produit... 5 2.4 Description de l environnement d utilisation prévu... 6 2.5 Description des hypothèses sur l environnement... 6 2.6 Description des dépendances... 7 2.7 Description des utilisateurs typiques... 7 2.8 Définition du périmètre de l évaluation... 7 3. L environnement technique de fonctionnement... 8 3.1 Matériel compatible ou dédié... 8 3.2 Environnement système retenu... 8 4. Les biens sensibles que le produit doit protéger... 9 5. Description des menaces... 10 6. Description des fonctions de sécurité du produit... 11 7. Améliorations et nouvelles fonctions du produit... 12 Deny All 2013 02 / 13

1. Identification 1.1 Identification de la cible de sécurité La cible de sécurité CSPN du logiciel rweb4 a été rédigée par Deny All dans le cadre d une démarche de certification auprès de l ANSSI. Cette cible de sécurité a été élaborée en vue d une évaluation Certification Sécurité de Premier Niveau (CSPN). 1.2 Identification du produit Catégorie Organisation éditrice Lien vers l organisation Nom commercial du produit Numéro de la version évaluée Catégorie de produit Identification Deny All http://www.denyall.com rweb 4.1 FP1 Pare-feu applicatif Web Deny All 2013 03 / 13

2. Description du produit 2.1 Description générale du produit rweb est un serveur HTTP/HTTPS qui fournit des fonctionnalités de sécurité, d authentification et d accélération aux applications Web et Web Services. Complémentaire des contrôles de sécurité réseau traditionnels, rweb est une solution intégrée qui protège les applications Web et XML et, par extension, toute l infrastructure applicative d une organisation : Simple à installer, éprouvé depuis de nombreuses années sur les infrastructures les plus critiques, rweb est capable de sécuriser et d accélérer des dizaines d applications avec un niveau de sécurité et de performance sans équivalent. rweb est basé sur une technologie de reverse proxy optimisé et filtre la totalité des flux applicatifs HTTP/HTTPS, SOAP et XML. rweb est disponible en version logicielle, installable sous Linux, mais aussi sous la forme d une image VMware ou encore en «bundle» avec une appliance standard HP. Les facteurs de forme appliance (virtuelle et physique) inclus un système d exploitation Linux sécurisé, appelé DAOS. 2.2 Description des composants inclus dans le produit rweb est composé des cinq composants suivants : DAOS : ce système d exploitation est basé sur Linux, ses performances ont été optimisées, sa sécurité renforcée. Il prend en charge toutes les fonctionnalités système. Il prend également en charge les mécanismes de haute disponibilité au travers de VRRP et la partie partage de charge entre les reverse-proxies. La GUI : fournit l interface de management graphique ; Deny All 2013 04 / 13

L API SOAP : est une interface standardisée pour tous les accès au core manager qui proviennent de la CLI, de la GUI, de la console de management, ou de tout autre logiciel personnalisé ; Le Core Manager : gère les différentes configurations et fournit la plupart des interfaces de communication ; La couche «Services» : prend en charge les requêtes clientes et réalise diverses opérations à travers ses modules pour fournir la sécurité, l accélération et l authentification. Les principaux composants de la couche service sont : - Apache : basé sur le reverse proxy Apache 2.2, mais a subi des modifications pour améliorer la sécurité et les performances (par exemple, protection contre l attaque Slowloris) ; - Modules Apaches : toutes les fonctionnalités de sécurité sont fournies à travers des modules propriétaire. Des modules supplémentaires assurent les fonctions de reporting et de statistiques ; - HAProxy : c est le composant qui assure le partage de charge pour les serveurs Web ; 2.3 Description de l utilisation du produit rweb est un reverse-proxy (relai inverse), c est-à-dire qu il est la destination de l ensemble des flux initiés par les postes clients. Les requêtes sont alors analysées et seules celles ne présentant pas de menace pour le serveur protégé sont transférées. Ainsi les adresses des serveurs protégés ne sont plus publiées et rweb devient le seul point d accès à l ensemble des applications Web. Dans ce contexte, rweb est utilisé pour la sécurisation de l intégralité des flux HTTP et HTTPS à destination des serveurs et est par conséquent en coupure au niveau de la couche réseau. Il effectue une rupture protocolaire. rweb (VMWare) Poste Client Serveur Web Deny All 2013 05 / 13

2.4 Description de l environnement d utilisation prévu rweb peut être installé dans les environnements suivants : Sur une appliance, livrée par DenyAll ; Dans un environnement VMWare ; Sur un système Linux CentOS ou RedHat. Quel que soit l environnement d utilisation, le spectre fonctionnel reste identique. Dans le cadre de la certification l environnement d utilisation sera l environnement VMWare. rweb sera donc installé dans une machine virtuelle. Cette machine virtuelle disposera d une adresse IP, destination du trafic initié par les postes clients. Une fois le trafic analysé, les requêtes saines sont transmises au serveur protégé. L environnement d utilisation est schématisé ci-dessous. 2.5 Description des hypothèses sur l environnement Environnement Logique: rweb doit être installé sur un système sain, correctement mis à jour, en particulier au niveau des correctifs liés à la sécurité. Il convient également de sécuriser le système, par désactivation des services et partages inutiles, ou d y installer DAOS, le système d exploitation sécurisé fournit par Deny All. Le serveur rweb est correctement configuré et administré. L'administrateur dispose des moyens de contrôler la configuration de rweb par rapport à un état de référence, ou de la régénérer dans un état sûr. Environnement physique : Les équipements contenant le serveur rweb doivent se trouver dans des locaux sécurisés dont l'accès est contrôlé et restreint aux administrateurs. Mesures organisationnelles : Les administrateurs sont des personnes considérées comme non hostiles. Ils sont formés pour exécuter les opérations dont ils ont la responsabilité et suivent les manuels et procédures d'administration. Les administrateurs sont sensibilisés à l analyse régulière des événements d audit générés par rweb. Les procédures de gestion et traitement des alarmes sont formalisées, documentées et connues par les administrateurs de sécurité de rweb. Deny All 2013 06 / 13

2.6 Description des dépendances C est la version VMware de rweb qui sera utilisée pour la certification. La seule dépendance est donc l utilisation d un hyperviseur (au choix du testeur) avec au minimum 4Go de RAM. 2.7 Description des utilisateurs typiques L'utilisation de rweb est transparente pour l'utilisateur final. Le contexte d utilisation de rweb fait intervenir l administrateur qui réalise les activités suivantes : L installation du serveur ; La configuration des règles de sécurité ; La récupération et l exploitation des journaux (alertes, actions) générés par rweb. 2.8 Définition du périmètre de l évaluation L évaluation porte sur la capacité du logiciel rweb à protéger des applications Web et leurs données avec le jeu de règles standards sur l environnement cible décrit dans la section 2.3. Les règles seront adaptées afin que l application protégée puisse s exécuter normalement. Deny All ne fournit pas d application de tests au CESTI. La politique de sécurité évaluée est la politique «Maximum Security Policy» livrée avec rweb 4.1. Cette politique applique l ensemble des mécanismes de sécurité avancés avec une configuration générique, c est-à-dire applicable sans configuration spécifique à l application protégée. Deny All 2013 07 / 13

3. L environnement technique de fonctionnement 3.1 Matériel compatible ou dédié Les matériels utilisables sont ceux adaptés pour les systèmes d exploitation retenus. 3.2 Environnement système retenu Dans le cadre de cette évaluation CSPN, l environnement d utilisation prévu est : rweb 4.1 FP1 DAOS10 Deny All 2013 08 / 13

4. Les biens sensibles que le produit doit protéger Le produit contribue à protéger des biens utilisateurs de type informations et services de l application Web, protégés par le filtrage des flux, susceptibles d'être accédés ou modifiés. Protection : Confidentialité, Intégrité et Disponibilité; Nota : Les biens sensibles du logiciel rweb (règles, journaux) doivent être protégés par le système d exploitation et l environnement d exploitation sous lequel s exécute l application (hors périmètre). Protection : Confidentialité, Intégrité et disponibilité. Deny All 2013 09 / 13

5. Description des menaces Etant donné que les administrateurs ne sont pas considérés comme des attaquants potentiels, l agent de menace est une entité qui transmet un flux vers le serveur Web : Un attaquant transmet des requêtes HTTP anormales au serveur Web. Cette attaque vise à modifier les informations gérées par l application web. Un attaquant tente une attaque de type débordement de tampon ou de manipulation de paramètres. Cette attaque vise à modifier les informations gérées par l application web. Celle-ci par effet de bord peut entrainer une indisponibilité du service offert par l application web. Un programme malveillant consomme de la bande passante pour rendre le site inactif. Cette attaque vise à rendre indisponible le service offert par l application web. Un programme malveillant recueille de manière systématique des informations sur le site Web (scan de vulnérabilités, fingerprinting, etc). L objectif de cette démarche entreprise par l attaquant est de récupérer des informations sur l application web afin de pouvoir lancer ultérieurement une attaque ciblée. Un attaquant cherche à corrompre l application Web par des attaques applicatives de type : injections SQL, Cross Site Scripting (XSS), injections de commandes, injections de code ColdFusion, PHP et ASP, injections d E-mail, HTTP Response Splitting, modification du contenu XML etc.). Ces attaques visent à modifier les informations gérées par l application web ou prendre le contrôle de celle-ci. Un attaquant tente d établir des connexions avec des chevaux de Troie ou des portes dérobées. Cette possibilité est réalisable suite à une attaque, précédemment réussie, qui aurait permis d injecter un cheval de Troie ou une porte dérobées au sein de l application web. L application étant corrompu, l attaquant peut modifier le contenu de l application web avec du contenu malveillant. L objectif étant d attaquer les utilisateurs par rebond depuis l application web. L attaquant peut en parallèle récupérer des informations auxquelles il ne devrait pas avoir accès. Deny All 2013 10 / 13

6. Description des fonctions de sécurité du produit La fonctionnalité de sécurité principale de rweb est de protéger en disponibilité et en intégrité les applications et les données hébergées par un serveur Web contre les attaques. Cette protection est assurée par les règles configurées dans le logiciel. Les fonctions de sécurité de rweb4 sont donc : Mettre en œuvre les règles de sécurité telles que configurées dans l application : Détecter les événements selon le paramétrage du produit : Analyse de la conformité protocolaire : Détection des anomalies dans le protocole HTTP ; Vérification du respect des contraintes de l application (longueur des paramètres envoyés à l application, etc.). Détection d attaques : Détection d outils de collecte d information : scanneurs, robot d indexation, robots divers ; Détection des tentatives de connexions des «chevaux de Troie» ou des «portes dérobées» déjà déployés au sein du système d information ; Détection générique des attaques applicatives connues : o Injections SQL diverses ; o Cross Site Scripting (XSS) ; o Injection de commandes ; o Injection de code ColdFusion, PHP et ASP ; o Injection d E-mail ; o HTTP Response Splitting; o Réaliser des actions préventives (en vue de prévenir une attaque) : Protection du contenu XML ; Surveillance des accès aux sites Web ; Réécriture des messages d erreur renvoyés par le serveur Web ; Bloquer les attaques suite à leur détection, Journaliser les événements et les actions. Deny All 2013 11 / 13

7. Améliorations et nouvelles fonctions du produit Les améliorations apportées au produit depuis la dernière évaluation sont les suivantes : Canonisation Base64 Identification des éléments encodés en base64 (longueur multiple de 4 caractères, padding, dictionnaire base64). Décodage puis passage aux moteurs de sécurité. Applicable à : - url - paramètres - headers Directory traversal Gestion des «\» et d un nombre de «.» supérieur à 2. Comptage des niveaux de navigation pour identifier une «remontée» au-dela de la racine HPP (HTTP Parameter Pollution) Concaténation des valeurs des paramètres ayant un nom identique avec un caractère de séparation (défaut : «,»). Passage aux moteurs de sécurité. HTTP Response Splitting Principe : blockage des headers dans les données postées et les query string. Liste de headers par défaut, peut être enrichie de headers «custom», des headers de la requête. Les nouveaux modules de sécurité ajoutés au produit dans cette version sont les suivants : HTMLsec Blocage de certains tags, attributs et des event handlers HTML4 et HTML5. Repose sur une version modifiée de libxml2 pour gérer les malformations volontaires NestedSec Objectif : blocage des injections de code. Identification des délimiteurs de blocs () {} [], y compris les commentaires /* */ etc. Identification de chaines suspectes. Calcul de poids. Support de Java, JavaScript, SSI et PHP CalcSec Identification des opérations (1+5, -5, 3%2) etc. via analyse grammaticale générée par ANTLR SQLIsec Identification des requêtes SQL via analyse grammaticale générée par ANTLR Deny All 2013 12 / 13

Canonisation JSON Les données au format JSON sont canonisées dans un format http standard (parametre=valeur[<&parametre=valeur>, ]). Elles sont ensuite envoyées aux moteurs de sécurité pour une analyse similaire à celle effectuée sur des données au format http. Injections de commandes Utilise les grammaires de bash et cmd.exe. Si une injections (';', ' ',...) est détectée, que la grammaire correspond et que la commande shell est reconnue, on bloque. Possibilité de se baser sur les commandes présentes sur l'appliance (à la 'which') mode «dynamique.» Note : les nouveaux modules viennent en complément des modules existants. Par exemple SQLIsec tout seul sera très peu efficace, en revanche il permet de bloquer pas mal de requêtes SQL obfusquées Deny All 2013 13 / 13

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back