Version Mars 2017

Documents pareils
Présentation de la solution Open Source «Vulture» Version 2.0

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons Jérémie Jourdin

La Sécurité des Données en Environnement DataCenter

DenyAll Protect. Sécurité & accélération. Parefeux pour applications et services Web. de vos applications.

Catalogue «Intégration de solutions»

Réseau - Sécurité - Métrologie - Data Center. Le leader du marché allemand des UTM débarque en France avec des arguments forts!

OZSSI NORD 4 JUIN LILLE. Conférence thématique: Sécurité des applications

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

UCOPIA SOLUTION EXPRESS

Contrôle d accès Centralisé Multi-sites

Dynamic Computing Services solution de backup. White Paper Stefan Ruckstuhl

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

PORTAIL DE GESTION DES SERVICES INFORMATIQUES

Une approche positive du filtrage applicatif Web. Didier «grk» Conchaudron Sébastien «blotus» Blot

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

Introduction. aux architectures web. de Single Sign-On

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

Les utilités d'un coupe-feu applicatif Web

1. Formation F5 - Local Traffic Manager Configuring (LTM)

Créée en 2002, la société PineApp est pionnière sur le. Le siège de la société se trouve aux États-Unis, avec des

Sécurité des Web Services (SOAP vs REST)

I. Description de la solution cible

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

«clustering» et «load balancing» avec Zope et ZEO

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

La sécurité des processus métiers et des transactions. Stéphane Marcassin Bull Services Sécurité

DenyAll Detect. Documentation technique 27/07/2015

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria

LemonLDAP::NG. LemonLDAP::NG 1.2. Clément OUDOT RMLL 9 juillet 2012

L infrastructure Sécurité de Microsoft. Active Directory RMS. Microsoft IAG

Haka : un langage orienté réseaux et sécurité

LAB : Schéma. Compagnie C / /24 NETASQ

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE

Introduction à Sign&go Guide d architecture

La Gestion des Applications la plus efficace du marché

UCOPIA EXPRESS SOLUTION

F5 : SECURITE ET NOUVEAUX USAGES

Gestion des Identités : 5 règles d'or. Patrice Kiotsekian Directeur Evidian France

Les Content Delivery Network (CDN)

Vulnérabilités et sécurisation des applications Web

La suite logicielle Lin ID. Paris Capitale du Libre 25 septembre 2008

Newsletter DenyAll 2014

vsphere 5 TP2 La virtualisation avec VMware CNFETP F. GANGNEUX technologie GANGNEUX F. 17/12/2012

Formations. «Règles de l Art» Certilience formation N SIRET APE 6202A - N TVA Intracommunautaire FR

Single Sign-On open source avec CAS (Central Authentication Service)

Présentation SafeNet Authentication Service (SAS) Octobre 2013

Tour d horizon des différents SSO disponibles


Cloud Computing Maîtrisez la plate-forme AWS - Amazon Web Services

PortWise Access Management Suite

Trend Micro Deep Security

ADF Reverse Proxy. Thierry DOSTES

Tests de montée en charge & Haute disponibilité

White Paper - Livre Blanc

Mise à jour de sécurité

CAS, un SSO web open source. 14h35-15h25 - La Seine A

SECURIDAY 2012 Pro Edition

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

Rapport de certification ANSSI-CSPN-2010/05. ModSecurity v2.5.12

Big Data Pour l amélioration de la qualité d expérience client web

Fiche Produit Global Directory pour Jabber

LES FONCTIONS DE SURVEILLANCE DES FICHIERS

Architecture et infrastructure Web

ENVOLE 1.5. Calendrier Envole

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

escan Entreprise Edititon Specialist Computer Distribution

Mise en place Active Directory / DHCP / DNS

Découvrir les vulnérabilités au sein des applications Web

«Clustering» et «Load balancing» avec Zope et ZEO

Appliances et logiciels Security

Présentation d Epicard

Programme formation pfsense Mars 2011 Cript Bretagne

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Dr.Web Les Fonctionnalités

Serveur de partage de documents. Étude et proposition d'une solution afin de mettre en place un serveur de partage de documents.

ASP.NET MVC 4 Développement d'applications Web en C# - Concepts et bonnes pratiques

FORMATION CN01a CITRIX NETSCALER

Administration de Citrix NetScaler 10.5 CNS-205-1I

Vers un nouveau modèle de sécurité

Solutions d accès sécurisées pour opérer une Market Place Saas multitenante

Graphes de trafic et Statistiques utilisant MRTG

La haute disponibilité de la CHAINE DE

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

Section I: Le Contexte du DATA CENTER Pourquoi l AGILITE est Nécessaire dans le DataCenter

CAS, la théorie. R. Ferrere, S. Layrisse

Les technologies du Big Data

Authentification hybride SALAH KHMIRI (RT3) AMAMOU NESRINE (RT3) JOUA RIADH (GL4) BOUTARAA AMIRA (RT3) SAMALI HADHEMI (RT3)

Fiche Produit MediaSense Extensions

SQL MAP. Etude d un logiciel SQL Injection

Joomla! Création et administration d'un site web - Version numérique

Informatique en nuage Cloud Computing. G. Urvoy-Keller

Architectures en couches pour applications web Rappel : Architecture en couches

Pourquoi choisir ESET Business Solutions?

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Transcription:

Version 1.41 - Mars 2017 1

Introduction Les risques principaux selon l OWASP A1 : Injection de commandes A2 : Mauvaise gestion de l authentification et des sessions A3 : Cross Site Scripting A4 : Références directes non sécurisées A5 : Mauvaise configuration sécurité A6 : Exposition de données sensibles A7 : Manque de contrôle d accès au niveau fonctionnel A8 : Cross Site Request Forgery A9 : Utilisation de composants vulnérables A10 : Redirection et renvois non validés 2

Introduction Le WAF ne remplace pas le zèle du développeur mais peut réduire les risques du Top 10 OWASP Chiffrement des communications Validation des requêtes entrantes Contrôle des données sortantes Blocage des attaques connues (blacklist) Blocage des flux suspects Géolocalisation, Réputation de l IP source Blocage des anomalies comportementales et des zéro days whitelisting, Machine learning 3

Introduction Le projet Vulture Créé en 2003, 14 ans d expertise en sécurité applicative Open Source Sous licence GPLv3: Interface de management Sous licence Apache2: Moteur de filtrage et algorithmes de machine learning Des déploiements à l international Plus de 10 pays 1,500 déploiements en version 3 recensés au 1 er mars 2017 Des services professionnels opérés par advens Intégration, formation Support et services managés Services de protection Cloud 4

Fonctionnalités réseau Load-balancer Web Vulture peut répartir la charge sur plusieurs serveurs Web et maintenir les sessions applicatives Load-balancer réseau IPv4 / IPv6 Le trafic entrant est distribué sur tous les nœuds du cluster Adresses virtuelles IPv4 / IPv6 En cas de défaillance d un nœud, les autres prennent le relai Firewall réseau IPv4 / IPv6 Les IP malveillantes sont bloquées avant qu elles n atteignent les applications 5

Fonctionnalités réseau Vulture localise les IP sources et analyse leur réputation Il est possible de faire des politiques de filtrage sur ces critères Le blocage est réalisé avant de traiter la requête HTTP 6

Fonctionnalités réseau Les logs réseau sont consultables depuis l interface de gestion Interface rapide et intuitive, possibilité de sauvegarder ses filtres de recherches Logs disponibles: Firewall, WAF, accès aux applications, logs internes (API, système de diagnostique, ) Connecteurs pour envoyer les logs vers un SIEM ou des bases externes: Syslog, MongoDB et Elastic 7

Web Application Firewall Vulture utilise une version améliorée de modsecurity Cette version est plus performante et travaille en cluster sur tous les nœuds: Les décisions de filtrage d un nœud sont partagées avec les autres nœuds 8

Web Application Firewall Vulture simplifie l usage d un WAF Des règles qualifiées et prêtes à l emploi sont intégrées par défaut Protection contre les anomalies protocolaires Protection contre l interception de session Protection contre le Cross Site Request Forgery Sécurisation des Cookies Une intégration automatisée des règles OWASP CRS (Open Source) et SLR (Commercial) Import automatique et versioning des jeux de règles Interface graphique pour éditer les règles Assistant pour l écriture de règles 9

Web Application Firewall Machine learning: En complément du filtrage basé sur des règles et sur la réputation des sources, Vulture propose une approche basée sur des mathématiques pures : 1. Apprentissage et modélisation du trafic type 2. Détection des requêtes «Anormales» 10

Web Application Firewall Au final, la décision de bloquer une requête suit un processus basé sur de multiples facteurs : Si géolocalisation suspecte => Augmentation du score de risque Si réputation de l IP douteuse => Augmentation du score de risque Si User-Agent suspect => Augmentation du score de risque Si une règle WAF«matche» => Augmentation du score de risque Si le machine learning «matche» => Augmentation du score de risque Vulture prend la décision de bloquer lorsque le score de risque dépasse le seuil toléré. L administrateur décide de la sensibilité du blocage. 11

Virtual Patching Permet de ne protéger que ce qui est faillible Uploadez un rapport de scan de vulnérabilités Qualys, Acunetix ou ZAP Vulture génère les règles permettant de corriger les failles identifiées 12

Web SSO Authentifier l utilisateur avant qu il accède à l application Authentification par certificat numérique Via la PKI intégrée ou grâce aux certificats existants dans l entreprise Authentification par login / mot de passe LDAP, Active Directory, Kerberos, Radius, MongoDB, SQL Authentification transparente HTTP basic et Kerberos Authentification double facteur Envoi d un token par SMS (authy.com) ou email Système de captcha, responder OAuth2,... Portail self-service pour perte et changement de mot de passe 13

Web SSO Propager l identité aux applications protégées Support des formulaires HTML, Authentification Javascript, AJAX Support des méthodes transparentes «Basic» et Kerberos avec propagation des jetons SSO Forward Vulture «scanne» les applications protégées et détecte les informations nécessaires pour propager l authentification 14

MODES DE DISTRIBUTION PACKAGING ET SUPPORT 15

Packaging Vulture est disponible gratuitement sous forme d ISO Enregistrement nécessaire lors de l installation Support assuré par la communauté ou support professionnel advens Vulture est disponible à la vente Appliances physiques aux performances garanties Support assuré par advens Vulture est disponible «as-a-service» Cloud sécurisé par advens Protection anti-ddos optionnelle Contrat de service sur-mesure 16

Merci de votre attention Communauté Vulture - contact@vultureproject.org Professional Services - contact@advens.fr https://www.advens.fr Advens Paris : + 33 1 84 16 30 25 Advens Lille : +33 3 20 68 41 81 17

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back