Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE



Documents pareils
CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

DenyAll Protect. Sécurité & accélération. Parefeux pour applications et services Web. de vos applications.

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

KASPERSKY SECURITY FOR BUSINESS

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

Le rôle Serveur NPS et Protection d accès réseau

Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

La haute disponibilité de la CHAINE DE

Pourquoi choisir ESET Business Solutions?

Module SpireAPI : fonctions communes aux application Spirea / Module Open-Source

Urbanisation des SI Conduite du changement IT 20/03/09. Patrick CHAMBET

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Vulnérabilités et sécurisation des applications Web

FICHE PRODUIT COREYE CACHE Architecture technique En bref Plateforme Clients Web Coreye Cache applicative Références Principe de fonctionnement

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

Sage 100 CRM Les compatibilités Version Mise à jour : 2015 version 8

CONDITIONS PARTICULIÈRES SERVICE CDN WEBSITE Version en date du 10/10/2013

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

AccessMaster PortalXpert

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall

PROTECTION DES PÉRIPHÉRIQUES MOBILES ET GESTION DE FLOTTE MOBILE (Kaspersky MDM licence Advanced)

CHARTE DE GESTION DES COOKIES

CS REMOTE CARE - WEBDAV

Guide d'administration

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons Jérémie Jourdin

Hébergement WeboCube. Un système performant et sécurisé. Hébergement géré par une équipe de techniciens


TUNIS LE : 20, 21, 22 JUIN 2006

À propos du Guide de l'utilisateur final de VMware Workspace Portal

Sécurité des bases de données Nicolas Jombart Alain Thivillon

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

WINDOWS Remote Desktop & Application publishing facile!

[ Sécurisation des canaux de communication

Recommandations techniques

Date de découverte 16 Octobre 2014 Révision du bulletin 1.0

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

IPS-Firewalls NETASQ SPNEGO

Fiche technique. NCP Secure Enterprise Management, SEM. Technologie d'accès à distance au réseau nouvelle génération

VoIP ( H323,SIP) et sécurits. curité. Kamel HJAIEJ SUP COM

État Réalisé En cours Planifié

Document de présentation technique. Blocage du comportement

cprotect PROTÉGEZ L IRREMPLAÇABLE! POUR SMARTPHONES ET TABLETTES ANDROID MANUEL D UTILISATION

Sage CRM. 7.2 Guide de Portail Client

Sécurité et protection contre les vulnérabilités dans Google Apps : une étude détaillée. Livre blanc Google - Février 2007

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Présentation de la solution Open Source «Vulture» Version 2.0

Spécifications de l'offre Surveillance d'infrastructure à distance

Newsletter DenyAll 2014

Authentification avec CAS sous PRONOTE.net Version du lundi 19 septembre 2011

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

I. Descriptif de l offre. L offre Sage 100 Entreprise Edition Entreprise

v7.1 SP2 Guide des Nouveautés

Fiche produit. Important: Disponible en mode SaaS et en mode dédié

Rapport de certification ANSSI-CSPN-2010/05. ModSecurity v2.5.12

Réseau - Sécurité - Métrologie - Data Center. Le leader du marché allemand des UTM débarque en France avec des arguments forts!

Notions de sécurités en informatique

Note Technique Sécurité. Système d'authentification. Authentification hors APN LuxGSM Authentification 3G/APN. Système de notification

Service de certificat

Groupe Eyrolles, 2006, ISBN : X

Appliance FAST360 Technical Overview. Sécurité de la VoIP. Copyright 2008 ARKOON Network Security

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Eliminer les zones d ombre et fournir une identité utilisateur sur le pare-feu dans un environnement client léger

CONDITIONS GENERALES D UTILISATION DE L APPLICATION L@GOON Version Mai 2015

CONDITIONS GENERALES D'UTILISATION DU LOGICIEL SYNCHRONISATION ET PARTAGEUBIKUBE / B CLOUD

Manuel d'installation et de déploiement. Sécurité complète pour portables d entreprise

molis result portal Description fonctionnelle La structure système Configuration système requise Architecture du système

Date : NOM Prénom : TP n /5 ET ADMINISTRATION D'UN

Business et contrôle d'accès Web

Prise en main du BusinessObjects XI R2 Service Pack 2/ Productivity Pack

Les rootkits navigateurs

1 / Introduction. 2 / Gestion des comptes cpanel. Guide débuter avec WHM. 2.1Créer un package. 2.2Créer un compte cpanel

NOUVEAUTES de Microsoft Dynamics CRM 2011 REF FR 80342A

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

sécurisation des systèmes d information BE READY FOR WHAT S NEXT. Kaspersky Open Space Security

Manuel Utilisateur de l'installation du connecteur Pronote à l'ent

Accès à la messagerie électronique HES

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec

SQUID P r o x y L i b r e p o u r U n i x e t L i n u x

OZSSI NORD 4 JUIN LILLE. Conférence thématique: Sécurité des applications

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

WebSSO, synchronisation et contrôle des accès via LDAP

Conditions générales d utilisation du portail web de FranceAgriMer et de ses e-services (téléservices)

PREAVIS DE LA MUNICIPALITE AU CONSEIL COMMUNAL

SECURITE DES DONNEES 1/1. Copyright Nokia Corporation All rights reserved. Ver. 1.0

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

A. Sécuriser les informations sensibles contre la disparition

ACCORD-CADRE DE TECHNIQUES DE L'INFORMATION ET DE LA COMMUNICATION. PROCEDURE ADAPTEE En application des articles 28 et 76 du Code des Marchés Publics

AGENT LÉGER OU SANS AGENT. Guide des fonctionnalités Kaspersky Security for Virtualization

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

Google Drive, le cloud de Google

Transcription:

Référence : BNX_Cible-de-sécurité_CSPN Version : 1.3 Etat : A valider Date : Affaire/projet : Client : BEE WARE Classification : Diffusion projet Bee Ware i-suite Cible de Sécurité CSPN Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE Signature : Signature : Signature : Production du document 17/05/2013 Nom du fichier : Beeware_BNX_Cible-de-sécurité-CSPN-V1 3.docx Page : 1 / 13

Prénom NOM Fonction Trigramme Sébastien Barré Consultant SSI SBE Historique des versions Version Date Changements par rapport à la version précédente Rédact. par (trigram.) Vérif. par (trigram.) Appr. par (trigram.) 01 17/05/2013 Version initiale SBE BLD BLD 1.1 06/09/2013 Ajout Protection contre attaque via encodage OAR 1.2 03/02/2014 Modification liste des fonctions OAR 1.3 Suppression du contrôle d intégrité RBI Documents associés Identifiant Titre Référence Page : 2 / 13

TABLE DES MATIERES 1 IDENTIFICATION DE LA CIBLE D ÉVALUATION... 4 2 ARGUMENTAIRE... 5 2.1 Description générale... 5 2.1.1 Description générale du produit... 5 2.1.2 Description de l environnement prévu d utilisation du produit... 5 2.1.3 Description des utilisateurs typiques concernés et de leur rôle dans l utilisation du produit.. 5 2.1.4 Description de la manière d utiliser le produit... 6 2.1.5 Description des dépendances par rapport à des matériels, des logiciels et/ou des microprogrammes du système qui ne sont pas fournis avec le produit... 6 2.2 Description des hypothèses sur l environnement... 6 2.2.1 Hypothèses sur l environnement physique du produit... 6 2.2.2 Hypothèses sur les utilisateurs du produit... 6 2.2.3 Hypothèses sur l environnement technique du produit... 6 2.2.4 Définition du périmètre de l évaluation... 7 3 DESCRIPTION DE L ENVIRONNEMENT TECHNIQUE DE FONCTIONNEMENT... 8 4 DESCRIPTION DES BIENS SENSIBLES... 9 5 DESCRIPTION DES MENACES... 10 6 DESCRIPTION DES FONCTIONS DE SECURITE DU PRODUIT... 12 Page : 3 / 13

1 IDENTIFICATION DE LA CIBLE D ÉVALUATION Nom commercial du produit : i-suite Numéro de version évaluée : 5.5 Éditeur du produit : BEEWARE Catégorie de produit : Pare-feu applicatif web Page : 4 / 13

2 ARGUMENTAIRE 2.1 Description générale 2.1.1 Description générale du produit L'appliance i-suite est un pare-feu applicatif web, également appelé WAF pour Web Application Firewall. i- Suite permet de protéger les services web des menaces que représentent les utilisateurs internes et externes. La protection des services web est assurée par des règles de filtrage appliquées aux requêtes HTTP reçues. Ces règles de filtrage peuvent portées sur des adresses IP, des URL ou des données transmises dans les requêtes HTTP, en-têtes incluses. Les actions et les éléments inspectés sont définis par les administrateurs. Les éléments inspectés peuvent être confrontés à des motifs choisis par les administrateurs ou définis par l'éditeur de logiciel. Seule la "politique par défaut (strict)" sera évaluée avec le workflow de protection encodage. Les règles peuvent être traitées par le moteur applicatif de manière séquentielle ou évènementielle selon les modes choisies par les administrateurs. Afin de vérifier l'innocuité des requêtes web l'appliance i-suite doit être placée entre l'utilisateur et les services web. De la sorte toutes les communications transitent par l'appliance qui peut alors inspecter les flux selon les règles définies pour le service protégé. L'appliance permet également la gestion des tunnels SSL avec l'utilisateur et la mise en place de mire d'authentification avant l'accès à l'application web. La mise en place d'une mire d'authentification remplaçant celle de l'application permet de gérer en un point unique les accès avec un système de SSO. 2.1.2 Description de l environnement prévu d utilisation du produit Le logiciel i-suite est une appliance qui doit être localisé en amont des serveurs et services web à protéger vis à vis des zones à risque. L'appliance ainsi positionnée sera en mesure d'intercepter les données transitant entre la zone à risque et les services web de façon à filtrer les données et requêtes indésirables. Les administrateurs sont connectés à l'équipement via une interface réseau dédiée qui leur permet l'accès aux fonctions d'administrations. 2.1.3 Description des utilisateurs typiques concernés et de leur rôle dans l utilisation du produit L'application i-suite est utilisée par deux profils d'utilisateurs : L'utilisateur en transit sur l'appliance de façon à joindre un service web. L'administrateur ayant un accès privilégié à l'appliance lui permettant de la configurer. Page : 5 / 13

L'utilisateur n'a pas conscience qu'il utilise l'appliance i-suite car elle agit comme un intermédiaire entre le client et l'application web. Ce fonctionnement est typique des "reverse-proxy". L'administrateur utilise l'appliance afin de diffuser les applications web et de gérer les règles de filtrage vers ces applications. 2.1.4 Description de la manière d utiliser le produit L'appliance i-suite s'utilise en coupure ou comme un pont réseau entre les utilisateurs et les services web. Elle permet ainsi d'analyser les requêtes HTTP et de gérer les tunnels SSL. Aucun pré-requis n'est demandé côté utilisateur concernant le périphérique et le navigateur web utilisé pour accéder aux services web. L'évaluation porte sur la "politique par défaut (strict)" de l'appliance avec le workflow de protection encodage. 2.1.5 Description des dépendances par rapport à des matériels, des logiciels et/ou des microprogrammes du système qui ne sont pas fournis avec le produit Le produit évalué est une appliance autonome. Elle ne nécessite aucune application supplémentaire à son bon fonctionnement. 2.2 Description des hypothèses sur l environnement 2.2.1 Hypothèses sur l environnement physique du produit L'appliance est positionnée dans un local dont l'accès est restreint à des personnes de confiance. 2.2.2 Hypothèses sur les utilisateurs du produit Il est considéré pour l évaluation que les administrateurs d'i-suite sont formés et de confiance. 2.2.3 Hypothèses sur l environnement technique du produit Il est considéré pour l évaluation d'i-suite que les recommandations de l'éditeur en terme d'architecture réseau sont respectées. Notamment la séparation des zones selon la confiance qui leur sont accordées ainsi que le positionnement d'un équipement de filtrage réseau en amont de l'appliance i-suite. Les appliances sont livrées avec 4 (ou plus) interfaces réseaux. Une interface est dédiée pour les flux d'administration. (Canal qui reçoit les actions et les instructions de configuration à réaliser, seuls les administrateurs y ont accès). Une interface est dédiée pour les flux d'entrée. (Canal qui reçoit les requêtes des clients provenant de l extérieur) Une interface est dédiée pour les flux de sortie. (Canal qui permet de communiquer avec les serveur applicatifs protégés) Il est également établi que les administrateurs de l'appliance, dont un des rôles est la définition et la mise en place des règles, ont les formations nécessaires à l'utilisation du produit. Entre autres, nous estimons que les règles définies n'introduisent pas de problèmes de sécurité pour l'appliance ou les services web. Ainsi les scénarios de règles récursives non terminales, de motifs ou d'encodage mal définis pour garantir la sécurisation des sites, les "evil regex" et toutes autres cas similaires de règles dangereuses sont écartés. Page : 6 / 13

2.2.4 Définition du périmètre de l évaluation La cible d évaluation est l'appliance i-suite en version 5.5 Page : 7 / 13

3 DESCRIPTION DE L ENVIRONNEMENT TECHNIQUE DE FONCTIONNEMENT Pour l évaluation, les utilisateurs utiliseront différentes technologies de navigateur web sur différents support. L'utilisateur peut se servir d'un micro-ordinateur, d'un smartphone ou d'une tablette et ainsi utiliser les différents navigateurs web associés: Internet Explorer, Firefox, Chrome, Safari, Webkit sur les systèmes Windows, Linux, ios, Android, etc... L'application i-suite est interconnectée à la fois à la patte "externe" qui peut être un intranet, un extranet ou internet et à une patte "interne" sur laquelle se trouve au moins une application web. L'administration de l'équipement se fait sur une interface dédiée. Dans le cadre de l'évaluation différentes applications web seront positionnées sur la patte "interne" de façon à représenter le plus exhaustivement possible les technologies qui peuvent être présente sur les réseaux internet et d'entreprises. Nous nous attacherons également à évaluer le filtrage applicatif d'i-suite avec les webservices. Page : 8 / 13

4 DESCRIPTION DES BIENS SENSIBLES Les biens sensibles du moteur applicatif sont : L'intégrité des sites web protégés par l'appliance ; La disponibilité des sites web protégés par l'appliance ; La confidentialité des données, matérialisé par des zones d'accès restreints au sein de l'appliance. Il s'agit de protéger l'accès à des données confidentielles stockées sur les serveurs web protégés par l'appliance.. Les postes des utilisateurs des services web. Page : 9 / 13

5 DESCRIPTION DES MENACES Les agents menaçants qui seront considérés dans le cadre de l évaluation sont : les personnes malveillantes ayant accès aux applications web protégées par l'appliance i-suite. Les principales menaces pour le moteur applicatif sont : Le contournement d'une règle de filtrage L utilisateur des services web parvient à faire transiter des requêtes nuisibles qui ne sont pas détectées par le moteur applicatif de l'appliance i-suite. Il pourra alors porter atteinte à l'intégrité et à la disponibilité des services web. En contournant les règles de filtrage l'utilisateur malveillant pourra également porter atteinte à la confidentialité des données hébergées sur les services web. Déni de service sur le moteur applicatif L'utilisateur des services web parvient à rendre indisponible ou inactif le moteur applicatif. Cas 1: L'appliance i-suite permet aux requêtes transmises par l'attaquant d'atteindre les services web sans action de filtrage. L'attaquant pourra alors porter atteinte à l'intégrité des services web et à la confidentialité des données. Cas 2: L'appliance i-suite ne permet pas aux requêtes transmises par l'attaquant d'atteindre les services web. Dans ce cas l'attaquant aura rendu indisponible les services web protégés par l'appliance. Cas 3: L'appliance i-suite est dans un état instable dans lequel les requêtes de l'attaquant peuvent ou non atteindre les services web. Dans ce cas soit les services web sont indisponibles, soit ils le sont et les risques du cas 1 sont alors applicables. Exécution de code sur l'appliance i-suite L'utilisateur des services web identifie des motifs ou des URL qui lui permettent d'exécuter des commandes arbitraires par le biais d'une attaque de type buffer-overflow ou via un mauvais paramétrage de l'application. Selon les droits attribués lors de l'exécution de commandes et les commandes disponibles l'attaquant pourra altérer l'intégrité, la disponibilité et la confidentialité de l'appliance i-suite Exécution de code sur le navigateur web des clients. Un attaquant qui parvient à injecter des données malveillantes sur un service web pourra porter atteinte aux navigateurs web des clients des services web. Les menaces qui pèsent sur les navigateurs web et indirectement sur la totalité du périphérique utilisé pour accéder aux services web sont la perte Page : 10 / 13

d'intégrité, de confidentialité, de disponibilité. La compromission totale des navigateurs et des périphériques est envisageable. Page : / 13

6 DESCRIPTION DES FONCTIONS DE SECURITE DU PRODUIT Contrôle des données échangées Le moteur applicatif permet à travers des motifs choisis par les administrateurs ou un moteur heuristique de détecter les données ou requêtes nuisibles à destination des services web protégés. Il est ainsi possible selon les règles positionnées sur le moteur applicatif de se prémunir des attaques sur la disponibilité, l'altération et le vol de données des services web. Liste des fonctionnalités de sécurité: - Protection contre les attaques de type "Parser Evasion" - Protection contre les attaques de type "Buffer Overflow" - Protection contre les attaques de type "Path Traversal" - Protection contre les attaques de type "Command Injection" - Protection contre les attaques de type "Cross site scripting" - Protection contre les attaques de type "SQL Injection" - Protection contre les attaques de type "LDAP Injection" - Protection contre les attaques de type "XPATH Injection" - Protection contre les attaques de type "Remote file include" - Protection contre les attaques par encodage : Utilisation d un workflow spécifique. Sécurité des cookies: - Cookie ciphering: chiffrement des cookies (pour éviter leur altération) - Cookie tracking (détection des altérations frauduleuses des cookies) - Cookie virtualization: remplacement des cookies applicatifs de manière transparente (empêche toute altération des cookies Sécurisation des web services HTTP: - Validation du format XML d'entrée (protection des parseurs XML du serveur) - Protection contre l'inclusion d'entités XML (protège contre l'injection de données externe, protection contre le téléchargement de ressources non sollicitées) - Protection contre la récursivité XML (récursivité des d'entités XML, profondeur du XML, pour protéger les parseurs XML du serveur) - Validation par WSDL ou par XSD - Signature/Encryption XML Sécurisation du trafic HTTP: - Terminaison SSL entrante - Validation des certificats clients (SSL PKI) (seuls les clients qui ont un certificat valide et trusté peuvent accéder au site) - Request limiter: limitation du nombre de requêtes (protection conte les attaques de type brute force ou DOS/DDOS, limitation du trafic pour les serveurs ne supportant pas les pics de charge) Page : 12 / 13

- Sécurisation du trafic par provenance géographique (géo-location par IP de provenance de la requête) - Protection contre les attaques de POST de fichiers (limitation sur taille, nombre de fichiers) Contrôle du volume des échanges Le moteur applicatif est en mesure de contrôler la volumétrie des requêtes et des données qui transitent afin de détecter des tentatives de déni de service. Cette fonction de sécurité permet de se prémunir des attaques sur la disponibilité des services web. Page : 13 / 13

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back