La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

La sécurité des serveur Web. Problématique /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN.

Présentations similaires


Présentation au sujet: "La sécurité des serveur Web. Problématique /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN."— Transcription de la présentation:

1 La sécurité des serveur Web

2 Problématique /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u90 90%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9 090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u0 0=a LURL plus haut trouvé dans les logs dun serveur web correspond à une requête envoyée par le ver CodeRed Ce type dattaque sur les serveurs Web devient de plus en plus fréquent et demande une attention particulière car il peut infecter un serveur Web IIS

3 Le proxy-inverse Un proxy inverse (appelé encore accélérateur web) accepte les requêtes des clients et les transmet au serveur web. Il peut donc effectuer au passage des tests pour vérifier leur conformité et éliminer les requêtes dangereuses Il permet dautre part daméliorer les perfor- mances du serveur Le serveur proxy Squid fonctionne parfaitement bien en proxy-inverse Squid peut protéger nimporte quel serveur Web : Apache ou IIS

4 Le proxy-inverse – Suite Il est également possible dutiliser Apache et son module mod_proxy pour effectuer du proxy inverse Le client continue dutiliser la même adresse, cest le serveur web qui utilise une autre adresse ou un autre port

5 Configuration 1 On peut utiliser : Squid et le serveur Web sur la même machine http_port 80 # Port du proxy httpd_accel_host localhost # serveur web httpd_accel_port 81 # Port du serveur web httpd_accel_single_host on # envoi à un serveur web unique httpd_accel_with_proxy on # httpd_accel_uses_host_header off

6 Configuration – 2 Squid et le serveur Web sur 2 machines différentes http_port 80 # Port du proxy httpd_accel_host # adresse du serveur web httpd_accel_port 80 # Port du serveur web httpd_accel_single_host on # envoi à un serveur web unique httpd_accel_with_proxy on # httpd_accel_uses_host_header off

7 Configuration suite Blocage de requêtes acl bad_requests urlpath_regex -i cmd.exe \/bin\/sh default\.ida?XXX # ajouter ici les chaines à interdire. http_access deny bad_requests

8 Le redirecteur La démarche précédente est efficace mais limitée en efficacité Le redirecteur est un programme qui lit les arguments sur lentrée standard, les modifie et imprime lurl sur la sortie standard. Les arguments en entrée sont les suivants : –URL –Adresse IP ou fqdn –identité –methode On dispose alors de la puissance dun langage de programmation ce qui permet deffectuer un traitement beaucoup plus sophistiqué Insérer la clause suivante dans squid.conf : redirect_program=/chemin/redirecteur

9 Le programme redirecteur Exemple basique réalisé en perl : #!/usr/bin/perl $|=1; # vidage tampons E/S. # Lecture entrée standard, une requête par ligne envoyée par squid. while (<>) { # boucle perpétuelle.. $url=(split)[0]; # Lecture URL # Modifie lURL (recherche et remplacement), $url =~ s/^http:\/\/www.monserver.net/http:\/\/www.vraiserveur.net:8080/ print $url; #Affiche lURL modifiée sur stdout. }

10 Une autre solution : Apache mod_security 20TABLE%20users-- La ligne plus haut est caractéristique dune attaque par injection SQL : elle va permettre de supprimer une table !!! Il est possible de mettre en œuvre un proxy inverse pour lutter contre ce type dattaque mais ce nest pas toujours possible. Si lon ne dispose que dune seule machine, il est possible de mettre en oeuvre mod_security

11 Présentation Le module effectue les actions suivantes : –Analyse de la requête –Remise en forme de la requête –Vérification –Test des règles dentrée –Exécution des règles de sortie –Ecriture dans les journaux de log

12 Configuration - Exemple SecFilterEngine On # Turn the filtering engine On or Off SecFilterCheckURLEncoding On # Make sure that URL encoding is valid SecFilterCheckUnicodeEncoding Off # Unicode encoding check SecFilterForceByteRange # Only allow bytes from this range SecAuditEngine RelevantOnly # Only log suspicious requests SecAuditLog logs/audit_log # The name of the audit log file # Debug level set to a minimum SecFilterDebugLog logs/modsec_debug_log SecFilterDebugLevel 0 SecFilterScanPOST On # Should mod_security inspect POST payloads # By default log and deny suspicious requests with HTTP status 500 SecFilterDefaultAction "deny,log,status:500"

13 Detection dattaques classiques # Command execution attacks SecFilter /etc/password SecFilter /bin/ls # Directory traversal attacks SecFilter "\.\./" # XSS attacks SecFilter " " SecFilter "<[[:space:]]*script" # SQL injection attacks SecFilter "delete[[:space:]]+from" SecFilter "insert[[:space:]]+into" SecFilter "select.+from" # MS SQL specific SQL injection attacks SecFilter xp_enumdsn SecFilter xp_filelist SecFilter xp_availablemedia SecFilter xp_cmdshell SecFilter xp_regread SecFilter xp_regwrite SecFilter xp_regdeletekey


Télécharger ppt "La sécurité des serveur Web. Problématique /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN."

Présentations similaires


Annonces Google