Expérience d`un hébergeur public dans la

Expérience d’un hébergeur public
dans la sécurisation des sites Web,
CCK
Hinda Feriani Ghariani
Samedi 2 avril 2005 Hammamet
Plan
 Introduction
 Sécurisation des sites Web hébergés a
 Conclusion
Introduction
Présentation
Hinda Feriani Ghariani
 Présentation du C.C.K.
Réseau R.N.U.
 Projet Hébergement des sites
WEB
Présentation CCK
 Centre de Calcul Khawarizmi crée en
octobre 76 (gestion informatisée des concours
nationaux, l’orientation et les œuvres
universitaires, centre de calcul pour les
chercheurs)
 Fournisseur de Services Internet
FSI depuis Juillet 97 au profit des
établissements de l'Enseignement Supérieur dans
le cadre du projet RNU
Présentation et Objectifs RNU
 Interconnexion des institutions de l’enseignement
supérieur entre elles
 Démarrage 1997 avec l’introduction de
l’Internet au niveau des institutions
Joue aujourd’hui un rôle important dans la promotion de
l’enseignement et de la recherche en Tunisie
permettre aux enseignants/chercheurs de
communiquer entre eux et avec l’étranger
partager tout type d’information tels que les
résultats de recherche, les cours, les publications,….
Description du RNU
Accès au réseau Internet
2.
3.
Adresses IP
Login et Mot de passe d’accès
Utilisation des principaux services
a.
b.
c.
d.
e.
Messagerie Electronique (e-mail)
Navigation sur le Web (WWW)
Transfert de fichiers (FTP, SFTP)
Accès à des serveurs distants (TELNET, SSH)
Hébergement de sites Web
Projet Hébergement des sites
WEB
Un des services offerts par le Projet RNU
 Applications tierces Hébergées
 Services en ligne
 Quelques sites
 Sécurisation des sites Web hébergés
Systèmes
 Applications
 Base de données
 Réseau

Applications tierces Hébergées
Application d’inscription à distance,
(e-dinar, certificat électronique, communication
crypté SSL, base de données),
Applications Web statiques et dynamiques
( ASP, PHP, HTML, ASP.NET) relatives aux
institutions universitaires
Application Virtua du projet BIRUNI
« Bibliothèques Informatisées pour la
Rénovation UNIversitaire »
Services en ligne
 Résultats
en ligne pour les étudiants de
certaines facultés/écoles
 Inscription à distance (usage de certificats
Web, kit marchand de la poste)
 Orientation universitaire
 Bource, Prêt, Hébergement des étudiants
 Bourse et prêts des étudiants à l’étranger
 Bibliothèques en ligne (projet BIRUNI)
Quelques sites
www.cck.rnu.tn
 www.rnu.tn
 www.orientation.tn
 www.inscription.tn
 www.oouc.rnu.tn
 www.afaq.rnu.tn

Sécurisation des sites Web
hébergés
• Risques
• Vulnérabilités
• Protection
 Serveurs
 Applications
 Données Base de données
 Réseau – Zone DMZ, FW, Sondes
Quels risques ?
•
•
•
•
Prise de contrôle des machines
Attaques des sites
Vol, destruction de données
Dénis de services
Vulnérabilités
L’usager
•
Programmes source non certifiés
•
Mauvaise connaissance du système
•
Erreurs
Défaillance des systèmes
•
Défaut de conception de services
•
Défaut d’implémentation de programmes
Défaillance réseau
•
Architecture du réseau
•
Limitations matérielles des équipements
Attaques : Failles/Vulnérabilités
Top 10 des vulnérabilités Windows
Top Vulnerabilities to Windows Systems
•
•
•
•
•
•
•
W1 Serveurs Web & Services
W2 Service station de travail
W3 Services d’accès à distance windows d’a d’accès
W4 Microsoft SQL Server (MSSQL)
W5 Windows Authentication
W6 Navigateurs Web
W7 Applications de Partage de fichiers
Systèmes affectés, Déterminer si vous êtes vulnérables, comment se
protéger contre la vulnérabilité décrite…
(selon le SANS Institut 08/10/04 http://www.sans.org/top20/)
Attaques : Failles/Vulnérabilités
Top 10 des vulnérabilités Unix
Top Vulnerabilities to UNIX Systems
•
•
•
•
•
•
U2 Web Server
U3 Authentication
U4 Version Control Systems
U5 Mail Transport Service
U7 Open Secure Sockets Layer (SSL)
U9 Databases
•
U10 Kernel
(selon le SANS Institut 08/10/04 http://www.sans.org/top20/)
Comment se protéger ?
Agir sur les systèmes d’exploitations, les serveurs
Agir sur les équipements réseaux
Sécuriser les données
Contenu des sites + bases de données
Sécuriser les communications Web
Administration de la sécurité Web
Actions au niveau de l’utilisateur final
Sécurité des systèmes
d’exploitations
 Restreindre l’accès physique
Salle machine/ bureau/ PC/ périphériques/ port
 Identifier les services actifs
Services réseaux, services locaux
 Filtrage et paramétrage réseau
Utilisateurs/Services/source
 Le système de fichiers
NTFS plutôt que FAT
Doits en écriture et lecture
 Identifier les comptes de travail
Administrateurs/utilisateurs/d’applications--ACL
Sécurité des systèmes
d’exploitations (conclusion)
Désactivez !! Filtrez!! Contrôlez
État de service minimal
Configuration appropriée et proportionnée à l’utilisation de
l’ordinateur
Gestion et suivi réguliers, audits réguliers
Cas des systèmes Windows







Installation adéquate
RAID 0,1 5
Désactivation du NetBIOS
Désactivation des fonctions de partage Windows
Identification des services actifs
Désactivation /Arrêt des services inutiles
( Netstat , TCPView)
Stratégies locales de sécurité
( Audit, droits utilisateurs, Options de sécurité)
Cas des systèmes Windows
(suite)
 Stratégie de gestion de comptes
( l’invité Internet , gestion des mots de passe, verrouillage des
comptes)
 Système de fichiers
NTFS, Vérification des permissions, ACL
 Paramètres IP et filtrage réseau
•
•
•
cartes réseaux:interne et externe
SSH
antivirus et mise à jour
Sécurité du serveur Web
 Authentification de base : IIS/ Apache (accès
anonyme)
 Contrôle d’accès site/répertoire : hôte, DNS (non
demandé)
 Serveur FTP: accès ftp et sftp
mettre les droits d’accès + Quota user sur disque
(ne pas donner le droit d’exécuter !!)
 Installation des sondes serveurs
Sécurité des réseaux
Architecture segmentée (DMZ, NAT)

Emplacement des serveurs web dans la zone démilitarisée
DMZ
Restriction d’accès, isolement, filtrage réseau


N’ouvrir au niveau des passerelles de sécurité réseau que
les services utiles: http, https, ftp, sftp, ssh
Sonde réseau
Sécurité d’applications web
 CGI/ API : exécution de programmes sous cgibin,
shells, interpréteurs, moteurs de script=danger
 Règles de code des CGI/API :
Programmation soignée simple cohérente
validée,contrôle des valeurs utilisateurs, des
arguments transmis aux Sys. d’Exploi. des valeurs
de retours, définition de chemins complets ou du
répertoire courant, limitation d’usage des
ressources (CPU, disque) …
Sécurité des données des sites
Web
 Copies de secours/ sauvegardes
 Permission
de répertoires du site web
Service user/Utilisateurs/administrateurs web /auteurs web
 Authentification de base : IIS/ Apache (accès
privilégié sur des zones du site)
 Serveur FTP: accès ftp et sftp
droits d’accès + authentification user + adresse source
Sécurité des bases de données





Les comptes par défaut: sa, root, …
Comptes ODBC
Droits /permissions
Sauvegarde /Restauration
Application des patchs de mise à jour des
bases

Les bases de données dans un brin protégé (au
futur)
Sécurité des communications Web
 Les certificats numériques du serveur
 SSL
Administration de la sécurité Web

Maintenance de la sécurité
•
•
•
Mise à jour des systèmes d’exploitations, services pack, antivirus,
applications
Suivi des fichiers journaux
Sauvegardes et archivages

Suivi des performances des serveurs web
( mémoire, disque, CPU)



Suivi des sondes
Révision des config du FW/serveur (nouveaux
besoins /menaces)
Surveillance en temps réel
Suivi, gestion quotidienne, formation adaptée !!!
Actions utilisateur
 Téléchargement de programmes exécutables
Applet java ou contrôle Active X non certifiés
 Bugs dans les navigateurs
Principale risque à ce jour
Solutions :
Contrôle anti-virus
Élimination des applets Java
Veille technologique « active » sur les bugs connus des
navigateurs (Installation des patchs de sécurité)
Authentification de l’utilisateur par certificat SSL !?
http://www.w3.org/Security/Faq
Conclusion
 L’hébergement, sauvegarde,
sécurité au CCK
 Améliorer la qualité de services,
les performances, la sécurité
(proxies de serveurs, cache,
applications proxy)