La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

La sécurité des serveur Web

Publié parCleménce Duval Modifié depuis plus de 10 années

Présentations similaires

Présentation au sujet: "La sécurité des serveur Web"— Transcription de la présentation:

1 La sécurité des serveur Web

2 Problématique NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u90 90%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9 090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u0 0=a L’URL plus haut trouvé dans les logs d’un serveur web correspond à une requête envoyée par le ver CodeRed Ce type d’attaque sur les serveurs Web devient de plus en plus fréquent et demande une attention particulière car il peut infecter un serveur Web IIS

3 Le proxy-inverse Un proxy inverse (appelé encore accélérateur web) accepte les requêtes des clients et les transmet au serveur web. Il peut donc effectuer au passage des tests pour vérifier leur conformité et éliminer les requêtes dangereuses Il permet d’autre part d’améliorer les perfor- mances du serveur Le serveur proxy Squid fonctionne parfaitement bien en proxy-inverse Squid peut protéger n’importe quel serveur Web : Apache ou IIS

4 Le proxy-inverse – Suite
Il est également possible d’utiliser Apache et son module mod_proxy pour effectuer du proxy inverse Le client continue d’utiliser la même adresse, c’est le serveur web qui utilise une autre adresse ou un autre port

5 Configuration 1 On peut utiliser :
Squid et le serveur Web sur la même machine http_port 80 # Port du proxy httpd_accel_host localhost # serveur web httpd_accel_port 81 # Port du serveur web httpd_accel_single_host on # envoi à un serveur web unique httpd_accel_with_proxy on # httpd_accel_uses_host_header off

6 Configuration – 2 Squid et le serveur Web sur 2 machines différentes
http_port 80 # Port du proxy httpd_accel_host # adresse du serveur web httpd_accel_port 80 # Port du serveur web httpd_accel_single_host on # envoi à un serveur web unique httpd_accel_with_proxy on # httpd_accel_uses_host_header off

7 Configuration suite Blocage de requêtes
acl bad_requests urlpath_regex -i cmd.exe \/bin\/sh default\.ida?XXX # ajouter ici les chaines à interdire. http_access deny bad_requests

8 Le redirecteur La démarche précédente est efficace mais limitée en efficacité Le redirecteur est un programme qui lit les arguments sur l’entrée standard, les modifie et imprime l’url sur la sortie standard. Les arguments en entrée sont les suivants : URL Adresse IP ou fqdn identité methode On dispose alors de la puissance d’un langage de programmation ce qui permet d’effectuer un traitement beaucoup plus sophistiqué Insérer la clause suivante dans squid.conf : redirect_program=/chemin/redirecteur

9 Le programme redirecteur
Exemple basique réalisé en perl : #!/usr/bin/perl $|=1; # vidage tampons E/S. # Lecture entrée standard, une requête par ligne envoyée par squid. while (<>) { # boucle perpétuelle.. $url=(split)[0]; # Lecture URL # Modifie l’URL (recherche et remplacement), $url =~ s/^ print $url; #Affiche l’URL modifiée sur stdout . }

10 Une autre solution : Apache mod_security
0TABLE%20users-- La ligne plus haut est caractéristique d’une attaque par injection SQL : elle va permettre de supprimer une table !!! Il est possible de mettre en œuvre un proxy inverse pour lutter contre ce type d’attaque mais ce n’est pas toujours possible. Si l’on ne dispose que d’une seule machine, il est possible de mettre en oeuvre mod_security

11 Présentation Le module effectue les actions suivantes :
Analyse de la requête Remise en forme de la requête Vérification Test des règles d’entrée Exécution des règles de sortie Ecriture dans les journaux de log

12 Configuration - Exemple
<IfModule mod_security.c> SecFilterEngine On # Turn the filtering engine On or Off SecFilterCheckURLEncoding On # Make sure that URL encoding is valid SecFilterCheckUnicodeEncoding Off # Unicode encoding check SecFilterForceByteRange # Only allow bytes from this range SecAuditEngine RelevantOnly # Only log suspicious requests SecAuditLog logs/audit_log # The name of the audit log file # Debug level set to a minimum SecFilterDebugLog logs/modsec_debug_log SecFilterDebugLevel 0 SecFilterScanPOST On # Should mod_security inspect POST payloads # By default log and deny suspicious requests with HTTP status 500 SecFilterDefaultAction "deny,log,status:500" </IfModule>

13 Detection d’attaques classiques
# Command execution attacks SecFilter /etc/password SecFilter /bin/ls # Directory traversal attacks SecFilter "\.\./" # XSS attacks SecFilter "<(.|\n)+>" SecFilter "<[[:space:]]*script" # SQL injection attacks SecFilter "delete[[:space:]]+from" SecFilter "insert[[:space:]]+into" SecFilter "select.+from" # MS SQL specific SQL injection attacks SecFilter xp_enumdsn SecFilter xp_filelist SecFilter xp_availablemedia SecFilter xp_cmdshell SecFilter xp_regread SecFilter xp_regwrite SecFilter xp_regdeletekey

Télécharger ppt "La sécurité des serveur Web"

Présentations similaires

TD (issu de l’Exonet 23 – Site du CERTA)

TD (issu de l’Exonet 23 – Site du CERTA)
Comment Protéger les bases SQL avec System Center Data Protection Manager 2007.

Comment Protéger les bases SQL avec System Center Data Protection Manager 2007.
M2: Les parefeux Université Paris II & LRI Michel de Rougemont 1.Quest ce quun parefeu ? 2.Architecture des parefeux.

M2: Les parefeux Université Paris II & LRI Michel de Rougemont 1.Quest ce quun parefeu ? 2.Architecture des parefeux.
- ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs.

- ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs.
Firewall sous Linux Netfilter / iptables.

Firewall sous Linux Netfilter / iptables.
APACHE HTTP SERVER Formation TRANSFER ALGER 11-15 Mai 2002.

APACHE HTTP SERVER Formation TRANSFER ALGER Mai 2002.
TRANSFER Alger – Serveur Web Nicolas Larrousse Septembre 2002 1 Petit historique du Worl Wide Web Notion dHypertexte Extension à internet par Tim Berners.

TRANSFER Alger – Serveur Web Nicolas Larrousse Septembre Petit historique du Worl Wide Web Notion dHypertexte Extension à internet par Tim Berners.
Xavier Tannier Yann Jacob Sécurite Web.

Xavier Tannier Yann Jacob Sécurite Web.
Cours d'administration Web - juin 2001 - Copyright© Pascal AUBRY - IFSIC - Université de Rennes 1 Mandataires, caches et filtres Pascal AUBRY IFSIC - Université

Cours d'administration Web - juin Copyright© Pascal AUBRY - IFSIC - Université de Rennes 1 Mandataires, caches et filtres Pascal AUBRY IFSIC - Université
Le mécanisme de Single Sign-On CAS (Central Authentication Service)

Le mécanisme de Single Sign-On CAS (Central Authentication Service)
FLSI602 Génie Informatique et Réseaux

FLSI602 Génie Informatique et Réseaux
La configuration Apache 2.2 Lhébergement virtuel.

La configuration Apache 2.2 Lhébergement virtuel.
Un peu de sécurité Modal Web Modal Baptiste DESPREZ

Un peu de sécurité Modal Web Modal Baptiste DESPREZ
Sécurité Informatique

Sécurité Informatique
MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Avant dentrer dans le vif du sujet JavaScript Langage de script (comme PHP) Exécuté par votre navigateur.

MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Avant dentrer dans le vif du sujet JavaScript Langage de script (comme PHP) Exécuté par votre navigateur.
SECURITE DU SYSTEME D’INFORMATION (SSI)

SECURITE DU SYSTEME D’INFORMATION (SSI)
L’utilisation des bases de données

L’utilisation des bases de données
Développement dapplications web Initiation à la sécurité 1.

Développement dapplications web Initiation à la sécurité 1.
Scanning.

Scanning.
420-B63 Programmation Web Avancée Auteur : Frédéric Thériault 1.

420-B63 Programmation Web Avancée Auteur : Frédéric Thériault 1.

Présentations similaires

Annonces Google