Pour l’Obtention Du Diplôme D’Ingénieur D’Etat








titrePour l’Obtention Du Diplôme D’Ingénieur D’Etat
page6/17
date de publication09.09.2018
taille0.5 Mb.
typeDocumentos
ar.21-bal.com > documents > Documentos
1   2   3   4   5   6   7   8   9   ...   17

Les firewalls applicatifs (Web Application Firewall)


 «Aujourd'hui, filtrer le contenu est devenu tout aussi important, sinon plus, que de filtrer le contenant, c'est à dire les paquets IP eux-mêmes. On constate donc un véritable intérêt pour les pare-feu applicatifs chez nos clients», explique Frédéric Renaud, chef de projet sécurité réseau chez Thales Secure Solutions.

  1. Couche réseau : la troisième couche construit une voie de communication de bout à bout à partir de voies de communication avec ses voisins directs

  2. L’état de connexion si elle est active ou non

Les applications Web continuent d’être l’un des principaux vecteurs d’attaque pour les criminels et la tendance ne montre aucun signe de fléchissement. En effet, de plus en plus, les pirates évitent les attaques réseau au profit d’attaques par cross-site scripting (XSS)

d’injections SQL et de nombreuses autres techniques d’infiltration destinées à frapper plus haut dans le modèle OSI, au niveau de la couche applicative en général, et du Web en particulier[5].
    1. Qu’est-ce qu’un firewall applicatif



Un WAF  (Web application Firewall) est un logiciel ou un équipement matériel  placé entre le firewall et les serveurs WEB,  il permet principalement de protéger les applications Web des attaques applicatives (SQL injections, Cross Site Scripting, injection de code …)

  • J’ai déjà un Firewall réseau. Quelles sont les différences entre un Firewall réseau et un Firewall applicatif Web ?


Le premier offre une protection périmétrique, il a en charge d’autoriser des paquets à le traverser en fonction de leur source et de leur destination. Le firewall applicatif Web est lui en charge du contenu de ces paquets. On peut comparer ces deux fonctionnalités à un contrôle douanier. Dans un premier temps, une vérification sur le passeport est effectuée (ceci peut être assimilé au firewall réseau), puis une fouille est réalisée (ici assimilée à la vérification effectuée par le firewall applicatif WEB). Ces deux actions sont tout à fait complémentaires et indispensables.

  • Pourquoi un WAF est maintenant un élément indispensable dans mon infrastructure ?


Selon une étude du Gartner, 75% des attaques ciblent les systèmes d’information à travers les applications WEB.  Selon cette même étude, 2/3 des applications Web sont vulnérables. Elles ont donc une sensibilité « naturelle » aux attaques et offrent un large champ d’action aux hackers. Les attaques Web sont très simples à mettre en œuvre (dans bien des cas, un simple navigateur suffit). De plus, le retour sur investissement pour les hackers est élevé. Voilà principalement pourquoi les applications Web sont de plus en plus la cible d’attaques [6].
    1. Les solutions Open-source existantes


L’open source

L'expression Open Source, qui signifie littéralement "source ouverte" en français, s'applique à certains logiciels dont la licence respecte les critères définis par l'association Open Source Initiative (OSI).
L’Open Source Initiative défend en particulier la liberté d'accéder aux sources des programmes.
Ainsi les logiciels approuvés par l’OSI offrent la possibilité de libre redistribution, d'accès au code source et de Travaux dérivés [3].

Quels sont les avantages par rapport aux solutions classiques ?

  • exécuter le programme librement, pour tous les usages et sans conditions

  • étudier le fonctionnement du programme et l'adapter à ses besoins spécifiques en accédant à son code source

  • redistribuer le logiciel sous forme de copies, avec ou sans modifications, gratuitement ou non

  • améliorer le programme et publier ses améliorations afin d'en faire profiter les autres utilisateurs.


Les WAF open source

Modsecurity (Trustwave labs)
ModSecurity est l'un des plus vieux des pare-feu et les plus largement utilisés c’est une solution open source qui permet de détecter les menaces au niveau des applications sur internet, et offre une sécurité contre les attaques Web les plus courantes. Il peut être intégré aux programmes d'Apache. Récemment, ModSecurity a publié les versions 2.6.0 qui offrent des fonctionnalités pour l'intégration d'API de navigation en toute sécurité, le suivi des données sensibles et des fonctions de modification de données.




Figure I Site officiel de Modsecurity


AQTRONIX WEBKNIGHT

AQTRONIX WebKnight est un pare-feu d'applications open source conçu spécifiquement pour les serveurs Web et IIS, et il est autorisé par la GNU - General Public License. Il fournit les fonctionnalités de débordement de tampon, de parcours de répertoire, l'encodage et l'injection SQL pour identifier / limiter les attaques.




Figure I Site officiel de Webknight

ESAPI WAF

ESAPI WAF est une solution développée par Aspect Security il est conçu pour fournir une protection à la couche application, au lieu de la couche réseau. Il s'agit d'une application Java basée sur WAF qui fournit une sécurité complète contre les attaques en ligne. Quelques-unes des caractéristiques uniques de la solution comprennent les fonctions de filtrage qui réduisent les fuites d'informations. Il permet une installation facile en ajoutant simplement les détails de configuration dans le fichier texte.



Figure I Site officiel de ESAPIWAF

WebCastellum

WebCastellum est une application web basée sur Java qui permet de protéger les applications contre les cross-site scripting, les injections SQL, les injections de commandes, la manipulation des paramètres, et il peut être intégré facilement au niveau d’une application Java. Il est basé sur une technologie nouvelle et il peut utiliser un code existant pour fournir une meilleure protection.



Figure I Site officiel de WebCastellum

Guardian@JUMPERZ.NET

Guardian@JUMPERZ.NET est un pare-feu open source conçu pour la couche applicative il évalue le trafic HTTP / HTTPS pour protéger l'application web contre les attaques externes. Guardian@JUMPERZ.NET déconnecte la connexion TCP immédiatement lorsque l'application est en contact avec une demande malveillante ou non autorisée.



Figure I Site officiel de Guardian@JUMPERZ.NET

Qualys Ironbee

La société Qualys a créé un nuage basé sur un pare-feu d'applications open source web Ironbee qui examine le protocole HTTP au lieu des paquets IP traditionnelles pour évaluer un ensemble de données. Il peut même suivre les attaques sur le site le code cross scripting. Ironbee est publié par le biais de la licence Apache version 2 et il ne fournit aucune session du droit d'auteur. Il a une structure modulaire et est très facile à utiliser.



Figure I Site officiel de Qualys Ironbee

NAXSI

Au contraire des WAF déjà connus, NAXSI ne se base pas sur des signatures, mais plutôt sur la détection d’attaques connues en interceptant des caractères et autres chaînes suspectes dans les requêtes HTTP. Tel un système anti‐pourriel, NAXSI affecte un score à la requête et, lorsque ce dernier est trop élevé, le client est redirigé sur une page de type 503.

NAXSI reste un projet jeune, et en tant que tel, nécessite plus de tests.



Figure I Site officiel de Naxsi

Le tableau ci-dessous présente un comparatif détaillé sur les points traités par chaque solution, les points forts ainsi que ses points faibles pour trancher à la fin sur une solution optimale qui peut répondre au cahier de charges suite à une réflexion et un choix minutieux.

Les critères de comparaison seront les suivants :

  • Fonctionnement White-list : Elle peut être utilisée lorsque l’accès à certaines fonctions d’un système doivent être masquées à la plupart de ses utilisateurs ou logiciels (données classifiées, actions pouvant influer sur le système lui-même...), toute entité ne figurant pas sur la liste blanche se verra alors refuser certains accès ou certaines possibilités.

  • Fonctionnement Black-list : les adresses IP ou toute entité qui figure dans la

black-list ne peut pas accéder aux différentes ressources su serveur WEB.

  • Blocage selon la méthode GET : bloquer les requêtes malveillantes transmises par la méthode GET

  • Blocage selon la méthode POST : bloquer les requêtes malveillantes transmises par la méthode POST.

  • Blocage selon les entêtes http : Lecture des entêtes http, Décrit comment définir le nombre maximal d'octets pour un en-tête, une charge utile, une URL ou une requête, et comment bloquer des demandes vers des URL qui contiennent des caractères spécifiques :

  • URL Rewriting : URL Rewriting (réécriture d'URL en bon français) est une technique utilisée pour optimiser le référencement des sites dynamiques (utilisant des pages dynamiques). Les pages dynamiques sont caractérisées par des URL complexes, comportant en général un point d'interrogation, éventuellement le caractère & ainsi que des noms de variables et des valeurs.

  • FAQ,Assistance,Mailinglist : chaque produit est accompagné par une assistance technique , un forum ou un mailinglist qui traite l’ensemble des problèmes rencontrés par les utilisateurs .

P Produit

Licence

Fonctionnement

White list

Fonctionnement

Black list


Bloquage

Selon

GET


Bloquage

Selon

POST


Bloquage

Selon

les entêtes

http


URL

Rewriting


FAQ

Assistance+

Mailing list


Serveur

WEB

MOD

SECURITY


Open

Source

X

x

X

X

x

X

Mise à jour

Complète

avec un développement

assisté et qui

suit les

dernières informations sur

les attaques les

plus récentes


Apache

AQTRONIX

WEB

KNIGHT


Open

Source

X

x

X

X

x

X

-

IIS


ESAPIWAF

Open

source

-

-

X

X

x

X

-

Version

pour apache et pour IIS

WEB

CASTELLUM


Open

source

X

x

X

X

x

A l’aide

d’un

programme externe

La langue

allemande

+une mise à jour

n’est périodique comme Modsecurity





Guardian

@

JUMPERZ

.NET

Open

source

-

-

X

X

X

-

Une mise à

jour

n’est pas

périodique

elle s’est arrétée en 2009

Apache

+

IIS

Qualys

Iron bee

Open

source

X

X

X

X

X

X

Une mise à

jour

basée sur

modsecurity .l’architecte Ivan Rystic a conçu ce deuxième WAF

suite au succés

qu’a connu le Modsecurity




Naxsi

Open

source

X

X

X

X

-

-

Naxsi est basé

sur la solution

Nginx Open

Source qui

permet le loadbalancing

Apache

Tableau I Matrice comparative entre les solutions Opensource WAF.

Grace à ce tableau comparatif nous avons pu présenter les différentes solutions Open Source disponibles au niveau du marché, nous avons évoqué justement plusieurs critères pour trancher sur une solution finale qui peut se présenter comme un produit optimal pour les tests à venir .La solution Modsecurity parait répondre à la totalité de ces critères en plus d’un point fort qu’on ne peut pas le nier c’est l’aptitude de ce produit d’avoir une mise à jour complète et assistée par des grands développeurs . Le CRS ou (le Core Rule Set) ne sont que les fruits d’une mise à jour d’une assistance technique présentée sous forme de plusieurs règles mises à jours et bloquant la totalité des attaques web courantes dans le WEB.
    1. Fiche technique sur Modsecurity


ModSecurity est un projet issu du monde open source qui a débuté en 2002. Aujourd’hui disponible en version 2.6.x, il a acquis des performances honorables, tant en termes de stabilité et de traitements. Ce projet est accessible gratuitement et il est soutenu par Breach Security qui développe des solutions dédiés aux entreprises clef en main avec ses machines dédiés à la tâche. La philosophie de ModSecurity est aussi très transparente. Ainsi rien n’est effectué implicitement puisque tout est accessible dans la configuration. Bref les utilisateurs contrôlent point par point le système et sans surprises. Ces fonctionnalités sont :

  • La génération de fichiers journaux du trafic http

  • L’analyse et la détection en temps réel des attaques

  • Un moteur de règles totalement personnalisables

  • La prévention des attaques et la mise en jour juste à temps

ModSecurity propose en plus de son WAF, une console de gestion des incidents qui permet d’envoyer des rapports par mél pour permettre de minimiser les temps d’intervention à la détection d’une attaque ou d’une nouvelle vulnérabilité dans l’application web.

Fonctionnement global de ModSecurity

ModSecurity dispose de cinq phases de traitement qui correspondent chacune à une étape clé. Pour chaque transaction, les phases sont exécutées séquentiellement de la phase 1 à la phase 5. Une transaction correspond à une requête d’un client et la réponse renvoyée par le serveur.

  • Phase 1 : Traitement des en-têtes de la requête

Cette phase permet notamment d’inspecter les arguments passés dans l’URL dans le cas d’une requête en GET ainsi que de vérifier les cookies ou le UserAgent.

  • Phase 2 : Traitement du corps de la requête

L’analyse de corps de la requête permet d’inspecter les arguments dans le cas d’une requête en POST

  • Phase 3 : Traitement des en-têtes de la réponse

Les en-têtes de la réponse du serveur Web, sont observés par ModSecurity afin de décider s’il est nécessaire ou non d’inspecter le corps de la réponse.

  • Phase 4 : Traitement du corps de la réponse

Cette phase est identique à la phase 2 sauf qu’elle traite la réponse fournie par le serveur. Elle permet notamment de prévenir la fuite d’informations via des messages d’erreur.

  • Phase 5 : La journalisation


Cette phase permet la journalisation des requêtes, elle permet de définir comment la transaction doit être journalisée. Cette phase intervenant en dernier lieu, le traitement de la transaction est déjà effectué. On ne peut donc pas bloquer une transaction lors de cette phase.

Nous détaillerons la configuration et l’installation de ModSecurity dans le chapitre Mise en place de la maquette de test.

1   2   3   4   5   6   7   8   9   ...   17

similaire:

Pour l’Obtention Du Diplôme D’Ingénieur D’Etat iconTHÈse pour l’obtention du diplôme de

Pour l’Obtention Du Diplôme D’Ingénieur D’Etat iconExperience professionnelle apres obtention du diplôME

Pour l’Obtention Du Diplôme D’Ingénieur D’Etat iconTHÈse pour le diplôme d’État

Pour l’Obtention Du Diplôme D’Ingénieur D’Etat iconRecherche présenté en vue de l’obtention du Diplôme d’Etudes Appliquées

Pour l’Obtention Du Diplôme D’Ingénieur D’Etat iconMoulo Didier coffi architecte Diplômé d’Etat concepteur/projeteur/dessinateur

Pour l’Obtention Du Diplôme D’Ingénieur D’Etat iconThèse présentée pour l’obtention du grade de Docteur

Pour l’Obtention Du Diplôme D’Ingénieur D’Etat iconListe des contacts pour l’obtention de la carte professionnelle de guide-conférencier

Pour l’Obtention Du Diplôme D’Ingénieur D’Etat iconLa réforme de l'administration
«gérer l’Etat comme une entreprise», qui veut donc appliquer à l’Etat une opération de réduction des coûts, et pour lequel une réforme...

Pour l’Obtention Du Diplôme D’Ingénieur D’Etat iconComment vos démarches se sont-elles déroulées pour l’obtention de votre visa ?

Pour l’Obtention Du Diplôme D’Ingénieur D’Etat iconThèse Pour le diplôme d’archiviste paléographe








Tous droits réservés. Copyright © 2016
contacts
ar.21-bal.com