Aide à la Détection de Faiblesses d un site Web Mandataire inverse, Modsecurity



Documents pareils
ADF Reverse Proxy. Thierry DOSTES

Aide à la Détection de Faiblesse d'un site web

Sécuriser les applications web de l entreprise

Fonctionnement et mise en place d un reverse proxy sécurisé avec Apache. Dimitri ségard 8 mai 2011

Sécuriser les applications web

Apache en tant que reverse proxy

WEB APPLICATION FIREWALL AVEC APACHE ET MOD_SECURITY

Titre: Version: Dernière modification: Auteur: Statut: Licence:

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Un reverse proxy, pour quoi faire?

UE5A Administration Réseaux LP SIRI

GUIDE D INSTALLATION DE L APPLICATION GECOL SUR

Le serveur web Apache

TP N 2. Mise en œuvre d un Reverse Proxy Apache. Installation et configuration de ModSecurity 2.1

Linux sécurité des réseaux

Les serveurs WEBUne introduction

Comment avoir le logiciel? Le serveur web APACHE peut être téléchargé gratuitement du site web de APACHE:

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Le filtrage de niveau IP

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

1 La visualisation des logs au CNES

GENERALITES. COURS TCP/IP Niveau 1

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons Jérémie Jourdin

25/08/2013. Vue Nagios. Vue Nagios. Le réseau du lycée

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Réseau - Sécurité - Métrologie - Data Center. Le leader du marché allemand des UTM débarque en France avec des arguments forts!

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

Mise en place d un serveur Proxy sous Ubuntu / Debian

Mandataires, caches et filtres

Apache 2.4 Installation et configuration

But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P

Sécurité des réseaux Firewalls

Sécurité des réseaux Les attaques

07/03/2014 SECURISATION DMZ

TAGREROUT Seyf Allah TMRIM

Installation d un hébergement Web à domicile

les techniques d'extraction, les formulaires et intégration dans un site WEB

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Rapport de certification ANSSI-CSPN-2010/05. ModSecurity v2.5.12

Figure 1a. Réseau intranet avec pare feu et NAT.

Oléane VPN : Les nouvelles fonctions de gestion de réseaux. Orange Business Services

1 LE L S S ERV R EURS Si 5

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Les utilités d'un coupe-feu applicatif Web

Dans l'épisode précédent

Les risques HERVE SCHAUER HSC

ECOLE POLYTECHNIQUE DSI. Utilisation des serveurs mandataires («proxy») avec les protocoles d usage courant

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria

«clustering» et «load balancing» avec Zope et ZEO

Comment surfer tranquille au bureau

Proxy SQUID sous Debian

Création d un «Web Worm»

SQUID P r o x y L i b r e p o u r U n i x e t L i n u x

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

«Cachez-moi cette page!»

Les formations. Administrateur Systèmes et Réseaux. ENI Ecole Informatique

Spécialiste Systèmes et Réseaux

Les systèmes pare-feu (firewall)

MANUEL D INSTALLATION D UN PROXY

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Présentation de la solution Open Source «Vulture» Version 2.0

Sécurisation du réseau

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

REPARTITION DE CHARGE LINUX

FILTRAGE de PAQUETS NetFilter

Architecture et infrastructure Web

Gestion centralisée d un réseau de sites discrets. Nicolas JEAN

SQUID Configuration et administration d un proxy

Sécuriser une infrastructure de postes virtuels avec Citrix NetScaler.

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

CAS, la théorie. R. Ferrere, S. Layrisse

Hébergement de site web Damien Nouvel

Administration des ressources informatiques

Configurer Squid comme serveur proxy

Impression de sécurité?

Détection d'intrusions et analyse forensique

Filtrage IP MacOS X, Windows NT/2000/XP et Unix

Projet Sécurité des SI

Vulnérabilités et sécurisation des applications Web

Etude de l ENT de l Université de Paris 5. Recommandations des experts suite à la journée du 29 octobre 2009

Dans le cadre de SECURIDAY Et sous le thème de Computer Forensics Investigation SECURINETS. Analyse des fichiers LOG. Tarek LABIDI (RT3)

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

Tendances de la sécurité informatique à l IN2P3. Actions pour renforcer la sécurité. Sécurité Cargèse 2001 Bernard Boutherin 1

Groupe Eyrolles, 2004, ISBN :

Les cahiers pratiques de Anonymat.org. SocksCap32. Edition du 20 Octobre 2000

SIP. Plan. Introduction Architecture SIP Messages SIP Exemples d établissement de session Enregistrement

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

«Clustering» et «Load balancing» avec Zope et ZEO

Mettre en place un accès sécurisé à travers Internet

akersia Présentation de compétences et technologies Janvier 2008 Frédéric Laplagne: Jordi Segués:

APPLICATIONS WEB ET SECURITE

Référencement & Positionnement sur le WEB

Zemma Mery BTS SIO SISR. Session Projets Personnels Encadrés

Aperçu technique Projet «Internet à l école» (SAI)

Transcription:

Aide à la Détection de Faiblesses d un site Web, S. Aicardi Journées Mathrice, Angers, 17-19 Mars 2009

Serveur mandataire (Proxy) C est un serveur utilisé comme intermédiaire entre des clients et des serveurs. Au lieu d adresser sa requète directement au serveur final, le client la transmet au mandataire qui effectue la requète au serveur final, filtre ou reformatte éventuellement la réponse avant de la transmettre au client.

Serveur mandataire (Proxy) Buts : Cache : le mandataire peut stocker les réponses pour le retransmettre directement à la prochaine requète identique. Filtrage applicatif : le mandataire peut supprimer un contenu non autorisé ou hostile dans sa réponse au client Anonymat/sécurisation du réseau Journalisation des requètes (LCEN)

Serveur mandataire (Proxy) Implémentations : Squid est le serveur mandataire libre le plus utilisé pour les protocoles HTTP, HTTPS et FTP. Apache peut servir de mandataire SOCKS5 est un protocole de mandataire générique multiprotocole (TCP, UDP). Dante Socks Server est un serveur libre implémentant SOCKS5. OpenSSH ou putty permettent également de créer un serveur SOCKS5.

Serveur mandataire et réseau

Il s agit d un mandataire monté «à l envers», le client étant quelque part dans l Internet et le serveur étant dans l Intranet.

Buts: Point d entrée unique (un seul port 80 à ouvrir vers Internet) = journalisation plus efficace ; Accélération de requètes aux sites dynamiques (Zope...) ; Répartition de charge entre plusieurs serveurs web ; Cloisonnement des services web (wiki, cms, agenda, etc.) ; Filtrage et réécritures des requètes (= protection en amont contre les failles) ; Occultation de la topologie interne et enfouissement des serveurs web et des bases de données.

Inconvénients : Point d entrée unique = s il tombe, tous les sites tombent ; Complexification du réseau ; Rupture des communications HTTPS qui ne peuvent plus se faire de bout en bout (par ailleurs pb https et virtual hosts) : Gestion des redirections fastidieuse et source d erreurs.

Implémentations : Squid peut être utilisé en mandataire inverse ; Varnish est un nouveau projet de mandataire inverse ; Pound est spécialisé dans la répartition de charge ; Apache peut être configuré en mandataire inverse.

Utilisation d apache en mandataire inverse Apache est sans doute déjà en place comme serveur web = cela facilite la transition. Voici le minimum vital pour que www.monlabo.fr présente les sites wiki.monlabo.interne et cms.monlabo.interne : LoadModule proxy_module modules/mod_proxy.so LoadModule proxy_http_module modules/mod_proxy_http.so ProxyRequests Off <Proxy *> Order deny,allow Allow from all </Proxy> ProxyPass /wiki http://wiki.monlabo.interne ProxyPassReverse /wiki http://wiki.monlabo.interne ProxyPass /cms http://cms.monlabo.interne ProxyPassReverse /cms http://cms.monlabo.interne

Utilisation d apache en mandataire inverse Pour les configurations plus complexes, on peut utiliser mod_rewrite : LoadModule proxy_module modules/mod_proxy.so LoadModule proxy_http_module modules/mod_proxy_http.so LoadModule rewrite_module modules/mod_rewrite.so RewriteEngine On RewriteRule ^/wiki/(.*)$ http://wiki.monlabo.interne/$1 [P] ProxyPassReverse /wiki http://wiki.monlabo.interne RewriteRule ^/cms/(.*)$ http://cms.monlabo.interne/$1 [P] ProxyPassReverse /cms http://cms.monlabo.interne

est un module de pare-feu applicatif pour Apache. Il protège les sites webs d une collection d attaques classiques (injections PHP ou SQL, exposition de fichiers sensibles, etc.)

: principe de fonctionnement

: configuration d Apache Après installation de, il faut insérer les lignes suivantes dans la configuration d Apache : LoadFile /usr/lib/libxml2.so.2 LoadModule security2_module modules/mod_security2.so Include PATH_vers_les_regles/*.conf Les fichiers de règles contiennent des listes du type suivant : SecRule REQUEST_FILENAME ARGS ARGS_NAMES (?:\b(?:\.(?:ht(?:access passwd group) www_?acl) global\.asa httpd\.conf boot\.ini)\b \/etc\/) \ phase:2,capture,t:none,t:htmlentitydecode,t:lowercase,ctl:auditlogparts=+e, deny,log,auditlog,status:501,msg: Remote File Access Attempt,id: 950005, tag: WEB_ATTACK/FILE_INJECTION,logdata: %{TX.0},severity: 2

: test Côté client : Côté serveur : Message: Access denied with code 501 (phase 2). Pattern match (?:\b(?:\.(?:ht(?:access passwd group) www_?acl) global\.asa httpd\.conf boot\.ini)\b \/etc\/) at ARGS:page. [file /etc/apac he2/mod-security-rules/modsecurity_crs_40_generic_attacks.conf ] [line 114 ] [id 950005 ] [msg Remote File Access Attempt ] [data /etc/ ] [severity CRITICAL ] [tag WEB_ATTACK /FILE_INJECTION ] Action: Intercepted (phase 2)

et mandataire inverse peut d installer sur un serveur Apache hébergeant du contenu dynamique, mais le module prend tout son sens sur un mandataire inverse. On protège alors tous les services webs d un seul coup.

Quelques liens amusants : des serveurs qui publient leurs logs! http://www.google.com/search?q=inurl%3alogs%2faccess.log http://search.yahoo.com/search?p=inurl%3alogs%2faccess.log des serveurs SPIP qui publient leurs données internes http://www.google.com/search?q=inurl%3ameta_cache.txt des listes de mots de passe http://www.google.com/search?q=intitle%3a"index+of"+".htpasswd"+htpasswd.bak des configurations PHP http://www.google.com/search?q=intitle%3aphpinfo+"php+version" des configurations de proxy http://www.google.com/search?q=inurl%3aproxy+ext%3apac+findproxyforurl

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back