Présentation de la solution Open Source «Vulture» Version 2.0 Advens IST Day 15 septembre 2011 http://www.vultureproject.org 1
s/apache/mod_perl/ LE PROJET VULTURE Advens IST Day 15 septembre 2011 http://www.vultureproject.org 2
Le projet «Vulture» Vulture est un projet Open Source Distribué sous Licence GPL Proxy inverse reposant sur Apache Authentification et contrôle d accès Web SSO Firewall applicatif Advens IST Day 15 septembre 2011 http://www.vultureproject.org 3
Le projet «Vulture» Advens IST Day 15 septembre 2011 http://www.vultureproject.org 4
Le projet «Vulture» Vulture n est pas Une solution de gestion des identités Un annuaire d authentification centralisé Vulture est Flexible et performant Non intrusif (sans agent SSO) Simple et pragmatique Advens IST Day 15 septembre 2011 http://www.vultureproject.org 5
Historique du projet 2011 - Vulture 2.0 2003 Apache Reverse proxy Authentification 2005 mod_perl Gestion du SSO SSO forward Firewall Applicatif 2008 Vulture-PKI Radius / OTP Intégration PKI Réécritures avancées Scénarios d authentification Advens IST Day 15 septembre 2011 http://www.vultureproject.org 6
Une communauté historique http://groups.google.com/group/vulture/ 61 membres En moyenne, 48 messages postés chaque mois Des réponses généralement apportées sous 24h http://www.vultureproject.org Documentation Liens vers les sources et les packages Advens IST Day 15 septembre 2011 http://www.vultureproject.org 7
Vulture WebSSO Firewall Applicatif PRÉSENTATION FONCTIONNELLE Advens IST Day 15 septembre 2011 http://www.vultureproject.org 8
Authentification Authentification des utilisateurs Locale, SQL, LDAP, NTLM, Kerberos, Radius, X509 Tous protocoles (plugins) Contrôle d accès Nominatif Par groupe Par attributs de certificats numériques Par attributs dans un annuaire LDAP Advens IST Day 15 septembre 2011 http://www.vultureproject.org 9
Authentification Retour d expérience: 2 services d une administration publiques fusionnent Les collaborateurs sont regroupés sur un même site géographique Les systèmes d information ne fusionnent pas totalement 2 annuaires LDAP distincts, pas de synchronisation Les collaborateurs s authentifient sur leurs annuaires «historiques» Souhait de mettre un accès centralisé vers des applications métiers Utilisation de Vulture pour authentification «intelligente» Vulture sélectionne l annuaire LDAP en fonction du login Si login = user@domaina Vulture Si login = user@domainb Advens IST Day 15 septembre 2011 http://www.vultureproject.org 10
WebSSO Propagation de l authentification, sans agent Si authentification principale = authentification secondaire: Autologon Si authentification principale authentification secondaire: Gestion de profils Un mode d apprentissage (Vulture demande à l utilisateur les informations de connexion secondaires) Un mode automatique (Récupération d informations dans un annuaire LDAP ou une base SQL) Advens IST Day 15 septembre 2011 http://www.vultureproject.org 11
WebSSO Plusieurs méthodes pour propager l authentification basic / digest GET / POST Cookie Vulture Entête Séquence (scripts) Applications Web Advens IST Day 15 septembre 2011 http://www.vultureproject.org 12
WebSSO Les profils applicatifs des utilisateurs sont centralisés dans Vulture Dans une base SQL ou un annuaire LDAP Les informations sensibles sont chiffrées Advens IST Day 15 septembre 2011 http://www.vultureproject.org 13
Présentation des fonctionnalités WebSSO DÉMONSTRATION DU WEBSSO Advens IST Day 15 septembre 2011 http://www.vultureproject.org 14
Autres caractéristiques Réécritures d URL et de contenu Expressions régulières PERL Journalisation avancée Accès, erreurs, sécurité Gestion de la QOS Fonctionnement en environnement virtuel Compatible avec tous les navigateurs Web supportant les cookies Advens IST Day 15 septembre 2011 http://www.vultureproject.org 15
Performance / dimensionnement Aucune limite dans le nombre de serveurs Vulture Répartiteurs de charge (facultatifs) Vulture Mécanismes de haute disponibilité Protocole VRRP Actif / Passif Actif / Actif Partage des sessions applicatives entre les membres du cluster Backend MemCached Serveurs WEB Vulture possède les capacités intrinsèques d Apache pour la répartition de charge (mod_proxy_balancer) Advens IST Day 15 septembre 2011 http://www.vultureproject.org 16
ModSecurity 2.6.1 VULTURE - FIREWALL APPLICATIF Advens IST Day 15 septembre 2011 http://www.vultureproject.org 17
Le firewall applicatif Modèles de sécurité Négative (listes noires) Positive (listes blanches) Règles de détection et base de signatures Approche traditionnelle Si une règle matche : Action (log, deny, pass ) Approche par scoring Si la règle_1 matche : risque_global += score_règle_1 Si la règle_n matche : risque_global += score_règle_n Si risque_global > seuil : Action (log, deny, pass ) Advens IST Day 15 septembre 2011 http://www.vultureproject.org 18
OWASP ModSecurity Core Rule Set (CRS) Détection des violations de protocole HTTP Protection contre les attaques Par injection (SQL/XSS), Par usurpation de requêtes(csrf) Normalisation des flux XML Recherche temps réel sur blacklists Détection de malwares Web Ralentissement des attaques DoS Advens IST Day 15 septembre 2011 http://www.vultureproject.org 19
OWASP ModSecurity Core Rule Set (CRS) Protection contre les bots, crawlers, scanners et autres activités malicieuses Intégration avec antivirus (upload) Surveillance sur la fuite de données sensibles Protection contre les chevaux de Troie Alerte sur les problèmes de configuration Amélioration de l opacité des applications Advens IST Day 15 septembre 2011 http://www.vultureproject.org 20
Exemple: Scan Acunetix sans Vulture Advens IST Day 15 septembre 2011 http://www.vultureproject.org 21
Site protégé par Vulture, module firewall désactivé Impact faible sur les performances* * Tests réalisés sur Vulture, installé sur un serveur virtuel, sur un ordinateur portable fonctionnant sous XP Advens IST Day 15 septembre 2011 http://www.vultureproject.org 22
Site protégé par Vulture, module firewall activé Temps de scan réduit: Vulture bloque les requêtes Identification du serveur Web plus difficile Aucune vulnérabilité identifiée Advens IST Day 15 septembre 2011 http://www.vultureproject.org 23
Vulture WebSSO Firewall Applicatif NOUVEAUTÉS DE LA VERSION 2.0 Advens IST Day 15 septembre 2011 http://www.vultureproject.org 24
Nouveautés de la version 2.0 Refonte totale du code source IHM Python (Django) Découpage du code selon l API Apache Augmentation de la rapidité de développement Advens IST Day 15 septembre 2011 http://www.vultureproject.org 25
Nouveautés de la version 2.0 Nouvelles méthodes d authentification Amélioration de l expérience utilisateur Les utilisateurs peuvent désormais gérer leurs profils applicatifs Intégration de workflow dans l authentification Ex: Réinitialisation du mot de passe principal par mail Advens IST Day 15 septembre 2011 http://www.vultureproject.org 26
Nouveautés de la version 2.0 Des sociétés spécialisées dans la sécurité ou l IAM ont intégré Vulture dans leur catalogue Des contacts ont été établis et des offres de services mises au point Ces sociétés apportent aujourd hui leur contribution Dans la roadmap technique et dans le développement Dans la roadmap fonctionnelle (IAM, SSO, Cloud, retours utilisateurs ) Vulture va se «professionnaliser» Effort important sur le packaging (fin 2011) Effort important sur l interface Web (fin 2011) Gestion des politiques de filtrage applicatif Gestion de la haute disponibilité et des clusters depuis l interface Indicateurs de fonctionnement / statistiques Fonctions intégrées de recherche dans les logs Advens IST Day 15 septembre 2011 http://www.vultureproject.org 27
Nouveautés de la version 2.0 La sécurité n est pas dans le produit, mais dans le service L open Source permet de réduire les coûts d acquisition / possession A budget équivalent (vs WAF éditeurs), le service rendu est meilleur La version 2.0 s accompagne de services, proposés par Advens Conseil en sécurité applicative (en amont de tout projet) Accompagnement à la mise en œuvre de Vulture Développement de fonctionnalités spécifiques Services managés autour des plateformes Vulture Scan de vulnérabilités applicatives et patching virtuel des vulnérabilités Web Contrôle d intégrité et de disponibilité des applications Web Analyse des évènements applicatifs (y compris logs métiers) Services d assurance sur la sécurité des applications Web Advens IST Day 15 septembre 2011 http://www.vultureproject.org 28
Roadmap (extraits) Whitelisting semi-automatisé Intégration de crawler Web dans Vulture Virtual Patching semi-automatisé Intégration de scanner de vulnérabilités dans Vulture Support SAML et SPML Intégration plus aisée avec les solutions IAM Amélioration des possibilités de provisionning Nouvelles Méthodes d authentification Ex: Oauth v2 Mise à disposition d API pour «déport d authentification» Reporting et statistiques Logs Informations de fonctionnement Advens IST Day 15 septembre 2011 http://www.vultureproject.org 29
Des questions? arnaud.desmons@free.fr jeremie.jourdin@gmail.com Advens IST Day 15 septembre 2011 http://www.vultureproject.org 30