Sécurisation des annuaires

Documents pareils
Accès à la messagerie électronique HES

DIASER Pôle Assistance Rectorat

Configuration d'un annuaire LDAP

Fonctionnement du courrier électronique

Configuration sous Microsoft Outlook

Utiliser un client de messagerie

LA PLATE-FORME D'ALTERN C

Comment utiliser mon compte alumni?

ACCEDER A SA MESSAGERIE A DISTANCE

Ce guide décrit la procédure à suivre afin de profiter pleinement du Service de Transfert de Fichiers EGIS. Il décrit

ACCÉDER A SA MESSAGERIE A DISTANCE

Zimbra. S I A T. T é l : ( ) F a x : ( )

SOGo Université de Strasbourg Direction Informatique

LDAP : pour quels besoins?

Démonstration Google Apps. Christophe Thuillier Avril 2010 Arrowsoft

Configuration des téléphones VoIP via le web

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

TUNIS LE : 20, 21, 22 JUIN 2006

2013 Microsoft Exchange 2007 OLIVIER D.

Samson BISARO Christian MAILLARD

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

Présentation d'un Réseau Eole +

Groupe Eyrolles, 2004 ISBN :

Mise à jour de sécurité

Portails d'entreprise sous GNU/Linux

SOMMAIRE. 3. Comment Faire? Description détaillée des étapes de configuration en fonction du logiciel de messagerie... 3

SpamWars 1.0. Version Wraptor Laboratories

Administration du Client Web

Catalogue des formations 2015

Installation et configuration de Vulture Lundi 2 février 2009

SOMMAIRE GUIDE D UTILISATION DU WEBMAIL. vous guide

CAHIER DES CHARGES D IMPLANTATION

Soutenance de projet

Phase 1 : Introduction 1 jour : 31/10/13

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Présentation de Active Directory

Microsoft Hosted Exchange 2010 DOCUMENT D EXPLOITATION

Espace Numérique Régional de Santé Formation sur la messagerie sécurisée. Version Auteur : Nathalie MEDA

Installation sur site Cloud Privé Client. Procédure de connexion à YaZiba.net avec Thunderbird et Lightning. Système Hébergé Cloud Public Yaziba.

AccessMaster PortalXpert

Administration Centrale : Opérations

Service de Messagerie Evoluée

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

Annuaire LDAP, SSO-CAS, ESUP Portail...

GER helpdesk permet de traiter et d optimiser la gestion de vos interventions au sein de chaque bureaux.

LINUX Préparation à la certification LPIC-3 (examen LPI 300) - 2ième édition

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

LAB : Schéma. Compagnie C / /24 NETASQ

Notre offre Collaborative

Restriction sur matériels d impression

Les Fiches thématiques courriel. L outil informatique indispensable des professionnels

Windows Server Chapitre 3 : Le service d annuaire Active Directory: Concepts de base

Imaginez un Intranet

ARTICA PROJECT Vous souhaitez mettre en place simplement un serveur sécurisé: De messagerie.

1 LE L S S ERV R EURS Si 5

Vous y trouverez notamment les dernières versions Windows, MAC OS X et Linux de Thunderbird.

Lotus Notes et Domino 8.5 Administration de serveurs Domino

Cours sur Active Directory

Catalogue de services Inserm.fr

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET

SESSION 2014 ÉPREUVE À OPTION. (durée : 4 heures coefficient : 6 note éliminatoire 4 sur 20)

Qu est ce qu un ?

Vous pouvez à présent à reconfigurer votre messagerie en cliquant ici.

Manuel de configuration des fonctions de numérisation

Premiers Pas avec le serveur LCS

OwnCloud. Définition 1 / 10. Date d'édition 03/09/2013 Public concerné Étudiants, Personnels Version du logiciel

Le service d'accès à distance aux bases de données du SCD de Paris 10 Nanterre

Annuaires LDAP et méta-annuaires

Comment configurer. le web.

Guide administrateur AMSP

La gestion des boîtes aux lettres partagées

Annexe C Corrections des QCM

Configuration des logiciels de messagerie

Préparer la synchronisation d'annuaires

Tutoriel : Comment installer une compte (une adresse ) sur un logiciel de messagerie (ou client messagerie)?

CATALOGUE DE FORMATION INTERNET BUREAUTIQUE INFORMATIQUE..::NET-INOV.COM::..

Guide pour bien débuter avec

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

OpenLDAP, un outil d administration Réseau. Une implémentation d OpenLDAP

Description de la maquette fonctionnelle. Nombre de pages :

Présentation générale de l'application OBM

SOMMAIRE ÉTAPES OBLIGATOIRES. Récupérer le connecteur... 3

sommaire ÉTAPES OBLIGATOIRES Récupérer le connecteur... 3

MSSanté, la garantie d échanger en toute confiance. Mieux comprendre. MSSanté FAQ. Juin 2013 / V1

Joomla! Création et administration d'un site web - Version numérique

MailInBlack Manuel gestionnaire V5.3.0

GLPI (Gestion Libre. 2 ième édition. Nouvelle édition. de Parc Informatique)

PROCÉDURE D AIDE AU PARAMÉTRAGE

Sommaire 1 CONFIGURER SA MESSAGERIE 2 2 CONSULTER VOS MAILS SUR INTERNET (WEBMAIL) 7 3 PROBLEMES POSSIBLES 8

Messagerie & accès Internet

Thunderbird en version Portable

La sécurité des Réseaux Partie 7 PKI

Utilisation du nouveau webmail académique

Intranet, ENT, ENS, Systèmes d information Quelles définitions, quels usages, quelles mises en place?

Exchange Server 2013 Préparation à la certification MCSE Messaging - Examen

Instructions relatives à l'adaptation de la messagerie électronique

Installation de Premium-RH

Gestion des utilisateurs et Entreprise Etendue

Transcription:

Sécurisation des annuaires Christian.Claveleira@CRU.fr JRSSI 2010

Risques liés aux annuaires de personnes Non conformité avec la réglementation Accès injustifié à des tiers à des données à caractère personnel Récupération de données à des fins commerciales Altération non autorisé de contenu L'établissement est responsable de l'usage et de la protection de ses annuaires 21/10/2010 JRSSI 2010 2

Périmètres Annuaires internes : données professionnelles destinées aux personnels Accessibles au sein de l'établissement Dans certains cas accessibles depuis l'extérieur Accès de type intranet Annuaires publics : Sous-ensemble de l'annuaire interne Accessibles depuis l'extérieur sans contrôle d'accès Accès extranet -> les plus préoccupants 21/10/2010 JRSSI 2010 3

Type d'accès Direct LDAP Applications du SI Carnets d'adresses d'outils de messageries individuels (Thunderbird, Evolution, Entourage, Outlook, Carnet d'adresses,...) Web Consultation via un navigateur Web L'annuaire est en back-end et n'est pas forcément LDAP (SQL par exemple) 21/10/2010 JRSSI 2010 4

Contrôle d'accès LDAP (SQL) : c'est au serveur de savoir qui a accès à quoi -> contrôle réseau, authentification, ACLs (gestion délicate) Web : le contrôle est fait à priori par l'interface d'interrogation et peut être renforcé par le backend 21/10/2010 JRSSI 2010 5

Conseils d'architecture Ne pas utiliser l'annuaire maître pour les applis de type pages blanches/jaunes Affecter un serveur dédié ne contenant qu'une réplication partielle de l'annuaire en DMZ Imposer un nombre maximum de réponses raisonnable au niveau du serveur Ne pas donner d'accès superflus à l'interface d'interrogation Si accès LDAP externe utiliser LDAPs et imposer une authentification 21/10/2010 JRSSI 2010 6

Exemple d'architecture annuaire-maître LDAP loginserver Web-mail Replication partielle Annuaire messagerie Replication partielle Consultation web Intranet Annuaire téléphonique DMZ Accès LDAPs 21/10/2010 JRSSI 2010 7

Le problème des jokers (wildcards) Permettent de faire des recherches sur une partie du nom (dupon*) Très utiles mais peuvent faciliter l'aspiration de l'annuaire suivant Le nombre de caractères minimum imposé dans la recherche Le nombre de jokers permis (*pon*) Le nombre maximum de réponse imposé par l'interface de consultation 21/10/2010 JRSSI 2010 8

Le problème des jokers (suite) Certaines contraintes peuvent être illusoires : Joker compté comme un caractère Espace compté comme un caractère Failles dans l'interface automates d'interrogation rendant les limites caduques 21/10/2010 JRSSI 2010 9

Recommandations pour un interface de consultation Limiter le nombre de réponses renvoyées (estce utile d'en avoir plus de 10?) Par l'interface Par le backend (exemples : sizelimit pour OpenLDAP, sql_select_limit pour MySQLd) Imposer au moins 3 caractères significatifs (impossible au niveau du back-end?) Attention aux paramètres exposés dans les URLs, aux injections SQL, aux erreurs verbeuses,... 21/10/2010 JRSSI 2010 10

Recommandations pour un interface de consultation (suite) Limiter le nombre de requêtes par adresse IP Ne pas afficher directement les adresses mail Insérer des adresses piège et en surveiller l'utilisation Logger et surveiller l'activité de l'interface Utiliser un test de turing

Test de turing Principe : poser une question à laquelle seul un humain peut répondre Exemple connu : CAPTCHA Des variantes plus simples peuvent être envisagées (cases à cocher, opération arithmétique,...) Attention aux problèmes d'accessibilité 21/10/2010 JRSSI 2010 12

Conclusion Les interfaces de consultation d'annuaires sont parfois un peu «laxistes» Il existe divers moyens pour empêcher toute utilisation abusive La plupart sont simples à mettre en œuvre Au minimum : un serveur dédié ne contenant que les données nécessaires et une limitation stricte du nombre de réponses

Questions?

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back