Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet · dans la sécurisation des sites Web, CCK...

Expérience d’un hébergeur public dans la sécurisation des sites Web,

CCK

Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Plan

Introduction Sécurisation des sites Web hébergés au CCK Conclusion

Introduction

PrésentationHinda Feriani Ghariani

Présentation du C.C.K. Réseau R.N.U.

Projet Hébergement des sites WEB

Présentation CCK

Centre de Calcul Khawarizmi crée en octobre 76 (gestion informatisée des concours nationaux, l’orientation et les œuvres universitaires, centre de calcul pour les chercheurs) Fournisseur de Services InternetFSI depuis Juillet 97 au profit des établissements de l'Enseignement Supérieur dans le cadre du projet RNU

Présentation et Objectifs RNU

permettre aux enseignants/chercheurs de communiquer entre eux et avec l’étranger partager tout type d’information tels que les résultats de recherche, les cours, les publications,….

Joue aujourd’hui un rôle important dans la promotion de l’enseignement et de la recherche en Tunisie

Interconnexion des institutions de l’enseignement supérieur entre elles Démarrage 1997 avec l’introduction de l’Internet au niveau des institutions

Description du RNU

Accès au réseau Internet 2. Adresses IP3. Login et Mot de passe d’accèsUtilisation des principaux services

a. Messagerie Electronique (e-mail)b. Navigation sur le Web (WWW)c. Transfert de fichiers (FTP, SFTP)d. Accès à des serveurs distants (TELNET, SSH)e. Hébergement de sites Web

Projet Hébergement des sites WEB

Applications tierces Hébergées Services en ligne Quelques sites Sécurisation des sites Web hébergés

Systèmes Applications Base de données Réseau

Un des services offerts par le Projet RNU

Applications tierces Hébergées

Application d’inscription à distance, (e-dinar, certificat électronique, communication

crypté SSL, base de données), Applications Web statiques et dynamiques ( ASP, PHP, HTML, ASP.NET) relatives aux

institutions universitairesApplication Virtua du projet BIRUNI « Bibliothèques Informatisées pour la

Rénovation UNIversitaire »

Services en ligne

Résultats en ligne pour les étudiants de certaines facultés/écoles Inscription à distance (usage de certificats Web, kit marchand de la poste) Orientation universitaire Bource, Prêt, Hébergement des étudiants Bourse et prêts des étudiants à l’étranger Bibliothèques en ligne (projet BIRUNI)

Quelques sites

www.cck.rnu.tn www.rnu.tn www.orientation.tn www.inscription.tn www.oouc.rnu.tn www.afaq.rnu.tn

Sécurisation des sites Web hébergés

• Risques• Vulnérabilités• Protection

Serveurs Applications Données Base de données Réseau – Zone DMZ, FW, Sondes

Quels risques ?

• Prise de contrôle des machines• Attaques des sites• Vol, destruction de données• Dénis de services

Vulnérabilités

L’usager• Programmes source non certifiés• Mauvaise connaissance du système• ErreursDéfaillance des systèmes• Défaut de conception de services• Défaut d’implémentation de programmesDéfaillance réseau• Architecture du réseau• Limitations matérielles des équipements

Attaques : Failles/VulnérabilitésTop 10 des vulnérabilités Windows

Top Vulnerabilities to Windows Systems

• W1 Serveurs Web & Services • W2 Service station de travail • W3 Services d’accès à distance windows d’a d’accès • W4 Microsoft SQL Server (MSSQL) • W5 Windows Authentication • W6 Navigateurs Web • W7 Applications de Partage de fichiers Systèmes affectés, Déterminer si vous êtes vulnérables, comment se

protéger contre la vulnérabilité décrite…(selon le SANS Institut 08/10/04 http://www.sans.org/top20/)

Attaques : Failles/VulnérabilitésTop 10 des vulnérabilités Unix

Top Vulnerabilities to UNIX Systems

• U2 Web Server • U3 Authentication • U4 Version Control Systems • U5 Mail Transport Service • U7 Open Secure Sockets Layer (SSL) • U9 Databases • U10 Kernel

(selon le SANS Institut 08/10/04 http://www.sans.org/top20/)

Comment se protéger ?

Agir sur les systèmes d’exploitations, les serveursAgir sur les équipements réseauxSécuriser les données

Contenu des sites + bases de donnéesSécuriser les communications WebAdministration de la sécurité WebActions au niveau de l’utilisateur final

Sécurité des systèmes d’exploitations

Restreindre l’accès physique Salle machine/ bureau/ PC/ périphériques/ port

Identifier les services actifsServices réseaux, services locaux

Filtrage et paramétrage réseauUtilisateurs/Services/source

Le système de fichiersNTFS plutôt que FATDoits en écriture et lecture

Identifier les comptes de travailAdministrateurs/utilisateurs/d’applications--ACL

Sécurité des systèmes d’exploitations (conclusion)

Désactivez !! Filtrez!! Contrôlez

État de service minimal Configuration appropriée et proportionnée à l’utilisation de

l’ordinateurGestion et suivi réguliers, audits réguliers

Cas des systèmes Windows

Installation adéquate RAID 0,1 5 Désactivation du NetBIOS Désactivation des fonctions de partage Windows Identification des services actifs Désactivation /Arrêt des services inutiles

( Netstat , TCPView) Stratégies locales de sécurité

( Audit, droits utilisateurs, Options de sécurité)

Cas des systèmes Windows (suite)

Stratégie de gestion de comptes( l’invité Internet , gestion des mots de passe, verrouillage des

comptes) Système de fichiers NTFS, Vérification des permissions, ACL Paramètres IP et filtrage réseau• cartes réseaux:interne et externe• SSH• antivirus et mise à jour

Sécurité du serveur Web

Authentification de base : IIS/ Apache (accès anonyme)

Contrôle d’accès site/répertoire : hôte, DNS (non demandé)

Serveur FTP: accès ftp et sftpmettre les droits d’accès + Quota user sur disque

(ne pas donner le droit d’exécuter !!) Installation des sondes serveurs

Sécurité des réseaux

Architecture segmentée (DMZ, NAT) Emplacement des serveurs web dans la zone démilitarisée

DMZ

Restriction d’accès, isolement, filtrage réseau N’ouvrir au niveau des passerelles de sécurité réseau que

les services utiles: http, https, ftp, sftp, ssh Sonde réseau

Sécurité d’applications web

CGI/ API : exécution de programmes sous cgi-bin,

shells, interpréteurs, moteurs de script=danger

Règles de code des CGI/API :

Programmation soignée simple cohérente validée,contrôle des valeurs utilisateurs, des arguments transmis aux Sys. d’Exploi. des valeurs de retours, définition de chemins complets ou du répertoire courant, limitation d’usage des ressources (CPU, disque) …

Sécurité des données des sites Web

Copies de secours/ sauvegardes Permission de répertoires du site web

Service user/Utilisateurs/administrateurs web /auteurs web

Authentification de base : IIS/ Apache (accès privilégié sur des zones du site)

Serveur FTP: accès ftp et sftpdroits d’accès + authentification user + adresse source

Sécurité des bases de données

Les comptes par défaut: sa, root, … Comptes ODBC Droits /permissions Sauvegarde /Restauration Application des patchs de mise à jour des

bases Les bases de données dans un brin protégé (au

futur)

Sécurité des communications Web

Les certificats numériques du serveur SSL

Administration de la sécurité Web

Maintenance de la sécurité• Mise à jour des systèmes d’exploitations, services pack, antivirus,

applications• Suivi des fichiers journaux• Sauvegardes et archivages

Suivi des performances des serveurs web ( mémoire, disque, CPU) Suivi des sondes Révision des config du FW/serveur (nouveaux

besoins /menaces) Surveillance en temps réel

Suivi, gestion quotidienne, formation adaptée !!!

Actions utilisateur

Téléchargement de programmes exécutablesApplet java ou contrôle Active X non certifiés

Bugs dans les navigateursPrincipale risque à ce jour

Solutions :Contrôle anti-virusÉlimination des applets Java Veille technologique « active » sur les bugs connus des navigateurs (Installation des patchs de sécurité) Authentification de l’utilisateur par certificat SSL !?http://www.w3.org/Security/Faq

Conclusion

L’hébergement, sauvegarde, sécurité au CCK Améliorer la qualité de services, les performances, la sécurité (proxies de serveurs, cache, applications proxy)