hinda feriani ghariani samedi 2 avril 2005 hammamet · dans la sécurisation des sites web, cck...
TRANSCRIPT
Expérience d’un hébergeur public dans la sécurisation des sites Web,
CCK
Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet
Plan
Introduction Sécurisation des sites Web hébergés au CCK Conclusion
Introduction
PrésentationHinda Feriani Ghariani
Présentation du C.C.K. Réseau R.N.U.
Projet Hébergement des sites WEB
Présentation CCK
Centre de Calcul Khawarizmi crée en octobre 76 (gestion informatisée des concours nationaux, l’orientation et les œuvres universitaires, centre de calcul pour les chercheurs) Fournisseur de Services InternetFSI depuis Juillet 97 au profit des établissements de l'Enseignement Supérieur dans le cadre du projet RNU
Présentation et Objectifs RNU
permettre aux enseignants/chercheurs de communiquer entre eux et avec l’étranger partager tout type d’information tels que les résultats de recherche, les cours, les publications,….
Joue aujourd’hui un rôle important dans la promotion de l’enseignement et de la recherche en Tunisie
Interconnexion des institutions de l’enseignement supérieur entre elles Démarrage 1997 avec l’introduction de l’Internet au niveau des institutions
Description du RNU
Accès au réseau Internet 2. Adresses IP3. Login et Mot de passe d’accèsUtilisation des principaux services
a. Messagerie Electronique (e-mail)b. Navigation sur le Web (WWW)c. Transfert de fichiers (FTP, SFTP)d. Accès à des serveurs distants (TELNET, SSH)e. Hébergement de sites Web
Projet Hébergement des sites WEB
Applications tierces Hébergées Services en ligne Quelques sites Sécurisation des sites Web hébergés
Systèmes Applications Base de données Réseau
Un des services offerts par le Projet RNU
Applications tierces Hébergées
Application d’inscription à distance, (e-dinar, certificat électronique, communication
crypté SSL, base de données), Applications Web statiques et dynamiques ( ASP, PHP, HTML, ASP.NET) relatives aux
institutions universitairesApplication Virtua du projet BIRUNI « Bibliothèques Informatisées pour la
Rénovation UNIversitaire »
Services en ligne
Résultats en ligne pour les étudiants de certaines facultés/écoles Inscription à distance (usage de certificats Web, kit marchand de la poste) Orientation universitaire Bource, Prêt, Hébergement des étudiants Bourse et prêts des étudiants à l’étranger Bibliothèques en ligne (projet BIRUNI)
Quelques sites
www.cck.rnu.tn www.rnu.tn www.orientation.tn www.inscription.tn www.oouc.rnu.tn www.afaq.rnu.tn
Sécurisation des sites Web hébergés
• Risques• Vulnérabilités• Protection
Serveurs Applications Données Base de données Réseau – Zone DMZ, FW, Sondes
Quels risques ?
• Prise de contrôle des machines• Attaques des sites• Vol, destruction de données• Dénis de services
Vulnérabilités
L’usager• Programmes source non certifiés• Mauvaise connaissance du système• ErreursDéfaillance des systèmes• Défaut de conception de services• Défaut d’implémentation de programmesDéfaillance réseau• Architecture du réseau• Limitations matérielles des équipements
Attaques : Failles/VulnérabilitésTop 10 des vulnérabilités Windows
Top Vulnerabilities to Windows Systems
• W1 Serveurs Web & Services • W2 Service station de travail • W3 Services d’accès à distance windows d’a d’accès • W4 Microsoft SQL Server (MSSQL) • W5 Windows Authentication • W6 Navigateurs Web • W7 Applications de Partage de fichiers Systèmes affectés, Déterminer si vous êtes vulnérables, comment se
protéger contre la vulnérabilité décrite…(selon le SANS Institut 08/10/04 http://www.sans.org/top20/)
Attaques : Failles/VulnérabilitésTop 10 des vulnérabilités Unix
Top Vulnerabilities to UNIX Systems
• U2 Web Server • U3 Authentication • U4 Version Control Systems • U5 Mail Transport Service • U7 Open Secure Sockets Layer (SSL) • U9 Databases • U10 Kernel
(selon le SANS Institut 08/10/04 http://www.sans.org/top20/)
Comment se protéger ?
Agir sur les systèmes d’exploitations, les serveursAgir sur les équipements réseauxSécuriser les données
Contenu des sites + bases de donnéesSécuriser les communications WebAdministration de la sécurité WebActions au niveau de l’utilisateur final
Sécurité des systèmes d’exploitations
Restreindre l’accès physique Salle machine/ bureau/ PC/ périphériques/ port
Identifier les services actifsServices réseaux, services locaux
Filtrage et paramétrage réseauUtilisateurs/Services/source
Le système de fichiersNTFS plutôt que FATDoits en écriture et lecture
Identifier les comptes de travailAdministrateurs/utilisateurs/d’applications--ACL
Sécurité des systèmes d’exploitations (conclusion)
Désactivez !! Filtrez!! Contrôlez
État de service minimal Configuration appropriée et proportionnée à l’utilisation de
l’ordinateurGestion et suivi réguliers, audits réguliers
Cas des systèmes Windows
Installation adéquate RAID 0,1 5 Désactivation du NetBIOS Désactivation des fonctions de partage Windows Identification des services actifs Désactivation /Arrêt des services inutiles
( Netstat , TCPView) Stratégies locales de sécurité
( Audit, droits utilisateurs, Options de sécurité)
Cas des systèmes Windows (suite)
Stratégie de gestion de comptes( l’invité Internet , gestion des mots de passe, verrouillage des
comptes) Système de fichiers NTFS, Vérification des permissions, ACL Paramètres IP et filtrage réseau• cartes réseaux:interne et externe• SSH• antivirus et mise à jour
Sécurité du serveur Web
Authentification de base : IIS/ Apache (accès anonyme)
Contrôle d’accès site/répertoire : hôte, DNS (non demandé)
Serveur FTP: accès ftp et sftpmettre les droits d’accès + Quota user sur disque
(ne pas donner le droit d’exécuter !!) Installation des sondes serveurs
Sécurité des réseaux
Architecture segmentée (DMZ, NAT) Emplacement des serveurs web dans la zone démilitarisée
DMZ
Restriction d’accès, isolement, filtrage réseau N’ouvrir au niveau des passerelles de sécurité réseau que
les services utiles: http, https, ftp, sftp, ssh Sonde réseau
Sécurité d’applications web
CGI/ API : exécution de programmes sous cgi-bin,
shells, interpréteurs, moteurs de script=danger
Règles de code des CGI/API :
Programmation soignée simple cohérente validée,contrôle des valeurs utilisateurs, des arguments transmis aux Sys. d’Exploi. des valeurs de retours, définition de chemins complets ou du répertoire courant, limitation d’usage des ressources (CPU, disque) …
Sécurité des données des sites Web
Copies de secours/ sauvegardes Permission de répertoires du site web
Service user/Utilisateurs/administrateurs web /auteurs web
Authentification de base : IIS/ Apache (accès privilégié sur des zones du site)
Serveur FTP: accès ftp et sftpdroits d’accès + authentification user + adresse source
Sécurité des bases de données
Les comptes par défaut: sa, root, … Comptes ODBC Droits /permissions Sauvegarde /Restauration Application des patchs de mise à jour des
bases Les bases de données dans un brin protégé (au
futur)
Sécurité des communications Web
Les certificats numériques du serveur SSL
Administration de la sécurité Web
Maintenance de la sécurité• Mise à jour des systèmes d’exploitations, services pack, antivirus,
applications• Suivi des fichiers journaux• Sauvegardes et archivages
Suivi des performances des serveurs web ( mémoire, disque, CPU) Suivi des sondes Révision des config du FW/serveur (nouveaux
besoins /menaces) Surveillance en temps réel
Suivi, gestion quotidienne, formation adaptée !!!
Actions utilisateur
Téléchargement de programmes exécutablesApplet java ou contrôle Active X non certifiés
Bugs dans les navigateursPrincipale risque à ce jour
Solutions :Contrôle anti-virusÉlimination des applets Java Veille technologique « active » sur les bugs connus des navigateurs (Installation des patchs de sécurité) Authentification de l’utilisateur par certificat SSL !?http://www.w3.org/Security/Faq
Conclusion
L’hébergement, sauvegarde, sécurité au CCK Améliorer la qualité de services, les performances, la sécurité (proxies de serveurs, cache, applications proxy)