Pour l’Obtention Du Diplôme D’Ingénieur D’Etat








titrePour l’Obtention Du Diplôme D’Ingénieur D’Etat
page5/17
date de publication09.09.2018
taille0.5 Mb.
typeDocumentos
ar.21-bal.com > documents > Documentos
1   2   3   4   5   6   7   8   9   ...   17

LES FIREWALLS APPLICATIFS 



Le mot « firewall applicatif » ou la nomination anglo-saxonne « Web Application Firewall » regroupe deux termes : premièrement le terme firewall ensuite le terme application, pour assimiler le secret qui se trouve derrière ce mot-clé, il faudrait décortiquer chaque entité qui fait partie du mot, comprendre sa mission, digérer la relation entre les deux , puis saisir ce que veut dire l’ensemble .
  1. Préliminaires




    1. Qu’est une application Web ?



Aussi appelé site web dynamique ou webapp, une application web est un logiciel applicatif qui s’utilise sur un poste client d’un réseau tel qu’internet ou intranet [1].

Une application Web peut être vue comme un site Internet dynamique réalisant une tâche spécifique (webmail, e-commerce, télébanking, etc...). Elle est généralement basée sur une architecture client-serveur 3-tiers, qui comprend un serveur Web, un serveur d’application (parfois confondus), et serveur de bases de données.



Figure I Application Web à architecture 3 tiers

Une application Web est une application qui n’a besoin que du protocole HTTP ou HTTPS pour être pilotée par un utilisateur. Celui-ci n’a besoin que d’un simple navigateur Web ou d’une application propriétaire utilisant le protocole HTTP/HTTPS [2].

Cela nous emmènera à poser la question c’est quoi le protocole http , quel est son rôle et comment il travaille ?

Quels sont les différents mécanismes qui interviennent lors d’une requête/réponse http.

La réponse est dans le paragraphe suivant .
    1. Le protocole http/https



Le protocole http

HTTP est un protocole de la couche application1. Il peut fonctionner sur n'importe quelle connexion fiable, dans les faits on utilise le protocole TCP comme couche de transport2. Un serveur HTTP utilise alors par défaut le port 80 (443 pour HTTPS).

La communication entre le navigateur et le serveur se fait en deux temps :



Figure I La communication entre le client et le serveur

  • Le navigateur effectue une requête HTTP

  • Le serveur traite la requête puis envoie une réponse http


Une requête http

Une requête HTTP est un ensemble de lignes envoyé au serveur par le navigateur. Elle comprend :

Une ligne de requête: c'est une ligne précisant le type de document demandé, la méthode qui doit être appliquée, et la version du protocole utilisée. La ligne comprend trois éléments devant être séparés par un espace :

  • La méthode

  • L'URL3

  • La version du protocole utilisé par le client (généralement HTTP/1.0)


Les champs d'en-tête de la requête: il s'agit d'un ensemble de lignes facultatives permettant de donner des informations supplémentaires sur la requête et/ou le client (Navigateur, système d'exploitation, ...). Chacune de ces lignes est composée d'un nom qualifiant le type d'entête, suivi de deux points (:) et de la valeur de l'entête

  1. Couche application : La couche Application est la dernière couche du modèle OSI (Niveau 7). Elle regroupe les services qui traitent des aspects sémantiques de l'Application dans un système réparti.

  2. Couche de transport : Le rôle de la couche transport est d'assurer un transfert fiable des données entre deux applications en s'appuyant sur la couche réseau. La couche transport doit assurer: la détection des erreurs de transmission, la correction des erreurs de transmission, la récupération des paquets perdus, la gestion de la duplication de paquets, le contrôle de flux dynamique.

  3. URL : Le sigle URL (de l'anglais Uniform Resource Locator, littéralement « localisateur uniforme de ressource »), auquel se substitue informellement le terme adresse web, désigne une chaîne de caractères utilisée pour adresser les ressources du World Wide Web


Les champs d'en-tête de la requête: il s'agit d'un ensemble de lignes facultatives permettant de donner des informations supplémentaires sur la requête et/ou le client (Navigateur, système d'exploitation, ...). Chacune de ces lignes est composée d'un nom qualifiant le type d'entête, suivi de deux points (:) et de la valeur de l'entête

Le corps de la requête: c'est un ensemble de lignes optionnelles qui sont séparées des lignes précédentes par une ligne vide et permettant par exemple un envoi de données par une commande POST lors de l'envoi de données au serveur par un formulaire.

Une requête HTTP a donc la syntaxe suivante ( signifie retour chariot ou saut de ligne) [3] :

METHODE URL VERSION

EN-TETE : Valeur

.

.

.

EN-TETE : Valeur

Ligne vide

CORPS DE LA REQUETE
Le protocole https

Quand vous naviguez sur internet, vous surfez sur des pages dont le titre commence toujours par « http ». Or ce protocole de communication n’est pas sécurisé et votre connexion comporte de nombreuses données personnelles. C’est pourquoi, vous observerez que certaines pages sont hébergées sous le protocole « https ». Nous découvrirons en quelques lignes les critères de sécurité des sites sur lesquels vous laissez vos données.

Le protocole « http » n’est soumis à aucun chiffrement. C’est pourquoi le protocole « https » pour « http » ‘secured’ a été inventé. Quand vous surfez sur un site ou certaines pages de sites, notamment les pages de transaction des sites marchands ou sur les sites bancaires, vous observerez que la racine de la page commence par « https »[4].

Les modes de chiffrement Https

Le protocole « https » signifie que la communication entre vous et le serveur web du site est chiffrée. Le flux de cette communication peut être plus ou moins fortement chiffré ou encrypté. Il existe plusieurs modes de chiffrement : SSLv2, SSLv3 & TLS.

le protocole SSL peut quant à lui être symétrique ou asymétrique

le protocole TLS est un mode de chiffrement asymétrique

Pour plus de sécurité, les protocoles asymétriques sont préférés car ils rendent moins facile la possibilité d’accéder aux données véhiculées par les flux d’un utilisateur, c'est-à-dire vos mots de passe ou autres informations personnelles voire confidentielles [4].

Mais lorsque vous saisissez l’adresse http://www.intelcom.ma ou https://www.intelcom.ma comment le navigateur sache l’emplacement de votre destinataire ? C’est ce que nous allons essayer de répondre dans la section suivante.
    1. Le protocole DNS



Quand vous voulez téléphoner à quelqu'un, vous devez connaître son numéro de téléphone. Comme il est difficile de les retenir par cœur, on a inventé l'annuaire (qui permet de retrouver un numéro à partir d'un nom).

Nom ---> numéro de téléphone

C'est la même chose sur Internet: pour qu'un ordinateur puisse contacter un autre ordinateur, il doit connaître son adresse IP (exemple: 205.37.192.5). Pas facile à mémoriser non plus.

Alors on a inventé une sorte d'annuaire : les DNS

Nom ordinateur ---> Adresse IP

Par exemple, sur votre ordinateur, tapez ping www.intelcom.ma (en ligne de commande, dans une fenêtre MS-DOS): vous verrez l'adresse IP de ce site.

Ça veut dire quoi, DNS ?

D.N.S. signifie plusieurs choses:

  • Domain Name System : l'ensemble des organismes qui gèrent les noms de domaine.

  • Domain Name Service : le protocole qui permet d'échanger des informations à propos des domaines.

  • Domain Name Server : un ordinateur sur lequel fonctionne un logiciel serveur qui comprend le protocole DNS et qui peut répondre à des questions concernant un domaine.



    1. Bilan de la première partie


Il se passe quoi quand je tape http://intelcom.ma ?

  1. Le serveur DHCP de votre fournisseur d'accès (qui vous attribué votre adresse IP) vous a aussi attribué des adresses de DNS.

  2. Votre ordinateur se connecte à ces serveurs DNS pour obtenir l'adresse IP de la machine www.intelcom.ma.

  3. La requête qu’on a envoyé est transférée par le biais du protocole http ou https.

  4. Si le serveur DNS de votre fournisseur d'accès n'a pas la réponse, il va questionner d'autres serveurs DNS.

(Ce scénario n'est pas toujours vrai: Votre système d'exploitation garde un petit cache DNS.)

Et maintenant que nous avons fait connaissance avec la notion de l’application Web et comment s’effectuent les requêtes et les réponses à travers le protocole http ou https, passons à notre deuxième partie « le FIREWALL »
    1. Qu’est-ce qu’un firewall ?



Un pare-feu, ou firewall (de l'anglais), est un logiciel et/ou un matériel, permettant de faire respecter la politique de sécurité du réseau, celle-ci définissant quels sont les types de communication autorisés sur ce réseau informatique. Il mesure la prévention des applications et des paquets [3].

Un firewall classique conventionnel permet de filtrer au niveau de la couche réseau (IP)1 et de la couche transport (TCP, UDP). Les règles sont définies en fonction de l’adresse IP source, l’adresse IP de destination, le numéro de port source, le numéro de port de destination, l’état de la connexion 2(flags), l’interface d’entrée et de sortie du firewall, etc...

Comme le suggère la figure 3-3 un firewall IP n’offre absolument aucune protection contre les attaques visant les applications Web, dans la mesure où celles-ci ont lieu au niveau applicatif : elles utilisent le protocole HTTP sur le port 80, au même titre que le trafic Web ordinaire. Un grand nombre de menaces peuvent être véhiculées par ce canal apparemment inoffensif et qui est laissé ouvert sur la plupart des firewalls d’entreprise [4].



Figure I les attaques au niveau applicatif ne sont pas bloquées par un firewall conventionnel

On conclut que Contrôler les ports et les paquets IP ne suffit plus pour se protéger des attaques. Désormais, les intrus s'en prennent aux applications, accessibles à travers des ports toujours ouverts. C'est à ce moment que le pare-feu applicatif entre en action.
1   2   3   4   5   6   7   8   9   ...   17

similaire:

Pour l’Obtention Du Diplôme D’Ingénieur D’Etat iconTHÈse pour l’obtention du diplôme de

Pour l’Obtention Du Diplôme D’Ingénieur D’Etat iconExperience professionnelle apres obtention du diplôME

Pour l’Obtention Du Diplôme D’Ingénieur D’Etat iconTHÈse pour le diplôme d’État

Pour l’Obtention Du Diplôme D’Ingénieur D’Etat iconRecherche présenté en vue de l’obtention du Diplôme d’Etudes Appliquées

Pour l’Obtention Du Diplôme D’Ingénieur D’Etat iconMoulo Didier coffi architecte Diplômé d’Etat concepteur/projeteur/dessinateur

Pour l’Obtention Du Diplôme D’Ingénieur D’Etat iconThèse présentée pour l’obtention du grade de Docteur

Pour l’Obtention Du Diplôme D’Ingénieur D’Etat iconListe des contacts pour l’obtention de la carte professionnelle de guide-conférencier

Pour l’Obtention Du Diplôme D’Ingénieur D’Etat iconLa réforme de l'administration
«gérer l’Etat comme une entreprise», qui veut donc appliquer à l’Etat une opération de réduction des coûts, et pour lequel une réforme...

Pour l’Obtention Du Diplôme D’Ingénieur D’Etat iconComment vos démarches se sont-elles déroulées pour l’obtention de votre visa ?

Pour l’Obtention Du Diplôme D’Ingénieur D’Etat iconThèse Pour le diplôme d’archiviste paléographe








Tous droits réservés. Copyright © 2016
contacts
ar.21-bal.com