BLUE ACACIA                                                      BLUE ACACIA            LA SECURITE SUR LE WEBBest Practic...
Sommaire                                                                                                                  ...
Introduction                                                                                                              ...
BLUE ACACIA                                                                                                    SCREENSHOT ...
BLUE ACACIA         BLUE ACACIA  LECON NUMERO 1 :Sensibiliser ses équipes
LECON NUMERO 1 / Sensibiliser ses équipes                                                                                 ...
BLUE ACACIA      BLUE ACACIALECON NUMERO 2 :  Sécuriser les URL
LECON NUMERO 2 / Sécuriser les URL                                                                                        ...
BLUE ACACIA                          BLUE ACACIA                   LECON NUMERO 3 :Protéger les formulaires génériques des...
LECON NUMERO 3 / Démo d’attaque par injection JavaScript                                                                  ...
LECON NUMERO 3 / Mesures de protection à mettre en place                                                                  ...
LECON NUMERO 3 / Exemples de scripts                                                                                      ...
LECON NUMERO 3 / Exemples de scripts                                                                                      ...
LECON NUMERO 3 / Démo une fois les protections mises en place                                                             ...
BLUE ACACIA                  BLUE ACACIA           LECON NUMERO 4 :Verrouiller les formulaires d’identification
LECON NUMERO 4 / Casser une identification par injection SQL                                                              ...
LECON NUMERO 4 / Verrouiller les formulaires d’identification                                                             ...
LECON NUMERO 4 / Verrouiller les formulaires d’identification                                                             ...
LECON NUMERO 4 / Exemples de scripts                                                                                      ...
BLUE ACACIA      BLUE ACACIALECON NUMERO 5 :Contrôler son CMS
LECON NUMERO 5 / Failles des CMS                                                                                          ...
LECON NUMERO 5 / Contrôler son CMS                                                                                        ...
BLUE ACACIA           BLUE ACACIA     LECON NUMERO 6 :Protéger ses bases de données
LECON NUMERO 6 / Protéger ses bases de données                                                                            ...
BLUE ACACIA         BLUE ACACIA  LECON NUMERO 7 :Sécuriser ses passerelles
LECON NUMERO 7 / Démo d’attaque sur un site Flash et Php                                                                  ...
LECON NUMERO 7 / Récupération d’un contenu protégé                                                                        ...
LECON NUMERO 7 / Mesures de protection à mettre en place                                                                  ...
BLUE ACACIA              BLUE ACACIA        LECON NUMERO 8 :Protéger ses serveurs d’hébergement
LECON NUMERO 8 / Protéger ses serveurs d’hébergement                                                                      ...
LECON NUMERO 8 / Protéger ses serveurs d’hébergement                                                                      ...
BLUE ACACIA      BLUE ACACIALECON NUMERO 9 : Protéger son Lan
LECON NUMERO 9 / Protéger son LAN                                                                                         ...
LECON NUMERO 9 / Protéger son LAN                                                                                         ...
LECON NUMERO 9 / Protéger son LAN                                                                                         ...
BLUE ACACIA                                                                     BLUE ACACIAMerci                          ...
Upcoming SlideShare
Loading in...5
×

La sécurité sur le web

2,629

Published on

Published in: Business
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
2,629
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
106
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

La sécurité sur le web

  1. 1. BLUE ACACIA BLUE ACACIA LA SECURITE SUR LE WEBBest Practice en matière de sécurité de sites web AUTEURS : ALEXANDRE NEY, EMILIEN TREHET ET FRANCOIS SUTTER 25 RUE DE MAUBEUGE 75009 PARIS T. 01 56 43 32 00 T. 01 56 43 32 00 WWW.BLUEACACIA.COM
  2. 2. Sommaire BLUE ACACIA1 Introduction Slide 042 Leçon numéro 1 : Sensibiliser ses équipes Slide 063 Leçon numéro 2 : Sécuriser les URL Slide 084 Leçon numéro 3 : Protéger les formulaires génériques des attaques JavaScript Slide 105 Leçon numéro 4 : Verrouiller les formulaires d’identification Slide 166 Leçon numéro 5 : Contrôler son CMS Slide 217 Leçon numéro 6 : Protéger ses bases de données Slide 248 Leçon numéro 7 : Sécuriser ses passerelles Slide 269 Leçon numéro 8 : Protéger ses serveurs d’hébergement Slide 3010 Leçon numéro 9 : Protéger son réseau local Slide 3311 Fin Slide 37 BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 3
  3. 3. Introduction BLUE ACACIAQui peut aborder ce sujet en toute sérénité ? MAIS …Après 10 ans d’expérience dans le web, plusieurs centaines de projets développés, plus de 400 clients, presque une centaine de sites marchands,Blue acacia a une certaine légitimité a répondre à cette vaste problématique. Par contre, c’est un thème risqué car il implique : une absence delangue De façon générale, iI devient de plus en plus difficile de hacker. manipulations évoquées. 1) de bois et surtout des cas concrets. J’attire votre attention sur le caractère illicite de certaines 2) De façon plus particulière, nous capitalisons sur une meilleure expérience chaque année.Blue acacia est concernée car notre structure est exposée … 3) ALes systèmes proposés par les banques assurent une bonne sécuritéowa, vpn, …) la fois développeur et hébergeur / Répartition sur 2 sites distants / Profil technophiles (wifi, oma, pour la vente en ligne. Croissance organique (de 33 personnes en 2008 à 54 personnes actuellement), Un parc serveur important (40 machines dédiées) / Plus de 2.000 urls hébergées, 4) La loi protège nos clients et nous sommes couverts par une RC (non obligatoire). Plusieurs millions d’internautes chaque mois / 20 millions d’e-mails routés en 2008, 5) Les technologies sont de plus en plus performantes :… et parce que WAF nos clients et les données sont sensibles : Langages (.Net) Honda (Division Moto / Division Equipement / Intranet des 220 concessions), Virtualisation Presque 100 sites marchands, BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 4
  4. 4. BLUE ACACIA SCREENSHOT DE TENTATIVES DE HACKING SERIEUSES SUR UN DE NOS SITES INTERCEPTEES PAR LE WAF ET L’IDS 1) Injection SQL 2) Attaque cross scripting 3) Brut force 4) …BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 5
  5. 5. BLUE ACACIA BLUE ACACIA LECON NUMERO 1 :Sensibiliser ses équipes
  6. 6. LECON NUMERO 1 / Sensibiliser ses équipes BLUE ACACIACréer une hiérarchie dans les développeurs : Directeur technique Responsables de Pôles (.Net, Php, Flah,…)Mettre en place des fiches de procédures : Chez Blue acacia nous avons une « Blue school » pour éduquer nos développeurs (Chaines de connexion ou d’identifications par exemple)Imposer un socle commun : Framework (3.5 sur le .Net, Zend en Php,…) Méthode de développement (MVC) Logiciels et pratiques de développement (VSS pour le .Net et SVN pour le reste) BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 7
  7. 7. BLUE ACACIA BLUE ACACIALECON NUMERO 2 : Sécuriser les URL
  8. 8. LECON NUMERO 2 / Sécuriser les URL BLUE ACACIADéfinir une liste de caractères interdits dans une url : <SCRIPT> / SELECT / FROM / …Choisir du SSL pour les sites marchands : Démo vidéo sur le déploiement d’un SSL sur du .NetInterdire la navigation anonyme Blocage du mode « Parcourir » sur les serveurs web.Contrôle de provenance : Pour éviter le pishing ou le cross scripting, toutes les pages ayant une action directe vers la base de données embarquent dans leurs entêtes unscript anti hameçonnage « anti pishing ». Contrôle de l’url de provenance via une commande« request.ServerVariables("HTTP_REFERRER_X") » pour vérifier quel’internaute ne tente pas de lancer une page de traitement depuis une iplocale et/ou différente de celle du serveur du site.Prévoir un système de surveillance : Déclencher des alertes pour l’utilisateur et pour l’administrateur. Exemple : http://www.aeroclub-st-tropez.com/aeroclub_st_tropez.asp?langue=fr&rubrique=1&id=8 and true BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 9
  9. 9. BLUE ACACIA BLUE ACACIA LECON NUMERO 3 :Protéger les formulaires génériques des attaques JavaScript
  10. 10. LECON NUMERO 3 / Démo d’attaque par injection JavaScript BLUE ACACIASaisie dans un formulaire d’un script malveillant pour rendre indisponible une interface d’administration : <SCRIPT LANGUAGE="Javascript">for(i=0;i<3;i++){;alert("Admin indisponible");}</SCRIPT> <SCRIPT LANGUAGE="Java&#115 ;cript">for(i=0;i<3;i ){;alert("Admin ind&#1 05;sponible");}</SCRIPT&#62 Url de démo : [URL DE FRONT OFFICE SUPPRIMEE : pour des raisons de confidentialité] [URL DE MIDDLE OFFICE SUPPRIMEE : pour des raisons de confidentialité]Accès direct aux pages ayant des traitements avec la base de données : [URL SUPPRIMEE : pour des raisons de confidentialité] <SCRIPT>window.open("http://<% response.write(request.servervariables("SERVER_NAME")&request.servervariables("PATH_INFO")&"?"&request.servervariables("QUERY_STRI NG")) %>")</SCRIPT> BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 11
  11. 11. LECON NUMERO 3 / Mesures de protection à mettre en place BLUE ACACIADéfinir une taille maximum sur les champs input : Mettre une propriété de type « Maxlength » sur les champs des formulaires. Le contrôle de la taille des champs « input » permet d’éviter la saisie de code.Mettre en place des scripts pour contrôler le format des saisies faites par l’internaute : Contrôle de saisie pour éviter le stockage de données erronées (exemple du contrôle du format des e-mails).Mettre en place des règles de gestion pour contrôler la syntaxe des contenus envoyés aux bases de données : Tous les formulaires devraient embarquer un script permettant de contrôler le type de données envoyées dans la base de données. Contrôle de caractères interdits via une liste d’expressions surveillées (%, script, drop table, …) pour éviter l’injection SQL. Formatage des données via un script « server.htmlencode » pour désactiver dans la base d’éventuels scripts malveillants.Mettre en place un moteur de surveillance : Stockage de l’adresse IP de la personne effectuant la manœuvre non autorisée, Envoi d’une alerte e-mail à l’administrateur du site et au responsable sécurité de Blue acacia, Affichage d’un avertissement sur le navigateur de l’internaute. BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 12
  12. 12. LECON NUMERO 3 / Exemples de scripts BLUE ACACIA CONTRÔLE DES VARIABLES CONTRÔLE DU DOMAINE ET DU REFERRER DE VOYAGEANT DANS LES URLS L’INTERNAUTE CONTRÔLE SUR LA PROVENANCE DES PAGES APPELLEES POUR EVITER LE CROSS SCRIPTING BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 13
  13. 13. LECON NUMERO 3 / Exemples de scripts BLUE ACACIA 1) DEFINITION D’UNE LISTE DE CARACTERE INTERDITS (script, nvarchar, drop table, …) 2) CONTRÔLE SUR LEUR SYNTAXE (ascii, base 64, binaire, avec et sans espace, …) 3) ENCODAGE DES CARACTERES EN BASE DE DONNEES 4) RECUPERATION DE L’ADRESSE IP (même masquée derrière un proxy) BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 14
  14. 14. LECON NUMERO 3 / Démo une fois les protections mises en place BLUE ACACIAAttaque par manipulation de variable dans l’url : [URL SUPPRIMEE : pour des raisons de confidentialité] 1) Redirection vers l’accueilde développement que nous avons mis en place sur les dix dernières années Tout cet arsenal est entrain de disparaître grâce aux nouveaux framework (surtout le .Net) qui embarquent désormais la grande majorité des protections sur mesure que nous avions développé !Attaque par injection de Javascript dans le formulaire : [URL SUPPRIMEE : pour des raisons de confidentialité] 2) Concernant ce point Microsoft est largement en avance sur les environnements concurrents. Données non injectées en base + alerte 3) Astuce : l’attaque du smtp par détournement de fonctionnalité :Attaque par tentative d’accéder à une page qui a traitement avec une base de données : Récolter les e-mails d’une dizaine d’internautes qui se plaignent de spam [URL SUPPRIMEE à pour des raisons de confidentialité] Les inscrire : une newsletter ne nécessitant aucun confirmation. Page non accessible + alerte BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 15
  15. 15. BLUE ACACIA BLUE ACACIA LECON NUMERO 4 :Verrouiller les formulaires d’identification
  16. 16. LECON NUMERO 4 / Casser une identification par injection SQL BLUE ACACIAAttaque par détournement du couple login/mot de passe sur un extranet client : Exemple de faille sur un site e-commerce [URL SUPPRIMEE : pour des raisons de confidentialité] Exemple de faille sur un site de compagnie aérienne [URL SUPPRIMEE : pour des raisons de confidentialité]Attaque par détournement du couple login/mot de passe sur une interface d’administration : Exemple de faille sur l’admin d’un site e-commerce d’une grande marque de Luxe [URL SUPPRIMEE : pour des raisons de confidentialité] Exemple de faille sur l’admin d’un corporate d’un groupe leader dans l’Industrie [URL SUPPRIMEE : pour des raisons de confidentialité]Exemples d’injection : or = OR 1=1); // BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 17
  17. 17. LECON NUMERO 4 / Verrouiller les formulaires d’identification BLUE ACACIAComplexifier l’accès aux pages de l’interface d’administration : Ne pas créer un répertoire « /admin/ » à la racine du site. Privilégier une url complexe, un alias ou une authentification forte. Insérer une balise <META NAME="robots" content="noindex, nofollow"> dans les pages. Fichier robots.txt avec une variable de type « Disallow: /admin/ » pour bloquer l’accès aux répertoires parents/enfants.Désactiver les injections SQL : Définir un nombre de tentatives maximum. Proposer du reset de mot de passe plutôt que de l’envoi par mail. Stocker les adresse IP des personnes identifiées et prévoir un système de surveillance et d’alertes. BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 18
  18. 18. LECON NUMERO 4 / Verrouiller les formulaires d’identification BLUE ACACIAMettre en place des règles pour la génération de futurs comptes : Pwd simple : Login = mot de passe = adresse IP (triple concordance). Pwd complexe : Login = mot de passe (couple simple avec un minimum de caractères imposés).Sécuriser les mots de passe : Une des meilleurs techniques consiste à adopter une fonction de hachage cryptographique (conçue par la National Security Agency). En 1995, la norme était le « SHA 1 » (Secure Hash Algorithm), cassée en 2005. Une nouvelle norme doit voir le jour en 2012. Chez Blue acacia nous utilisons du SHA 512 (proposé par le Framework .Net) combiné avec un 2nd hash sous forme de variable additionnelle (« SALT »). Créer un premier compte dans la base de données, dont les droits seront désactivés avec une alerte en cas de connexion. BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 19
  19. 19. LECON NUMERO 4 / Exemples de scripts BLUE ACACIA 1) VERIFICATION DU CONTENU DES CHAMPS 2) VERIFICATION DU COMPTE DE SECURITE (1ERE LIGNE DE LA BASE DE DONNEES DESACTIVEE) 3) VERIFICATION DE LA CHAINE DE CONNEXION 4) VERIFICATION DE LA CONCORDANCE AVEC L’ADRESSE IP 5) CREATION DE LA SESSION ET AFFECTATION DES DROITS CORRESPONDANTS 6) LES SYSTEMES DE CAPTCHA NE SERVENT A RIEN SI UNE COUCHE W.A.F. EST INSTALLEE. BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 20
  20. 20. BLUE ACACIA BLUE ACACIALECON NUMERO 5 :Contrôler son CMS
  21. 21. LECON NUMERO 5 / Failles des CMS BLUE ACACIAPourquoi sur FCK : parce qu’il existe en asp, en php, en .Net, en coldfusion …. Accéder à la médiathèque *DEBUT DE L’URL SUPPRIMEE POUR RAISON DE SECURITE]/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp Naviguer dans l’arborescence serveur *DEBUT DE L’URL SUPPRIMEE POUR RAISON DE SECURITE]/editor/filemanager/browser/default/browser.html?Type=../../&Connector=connectors/asp/connector.aspHistorique de quelques petites failles sur d’autres CMS : Obtenir le code source d’une page en asp http://www.monsite.com/null.htw?CiWebHitsFile=/default.asp%20&CiRestriction=none&CiHiliteType=Full http://www.votresite.com/votrepage.asp::$DATA / http://www.votresite.com/global.asa+.htr Devenir administrateur d’un site utilisant Joomla http://www.example.com/index.php?option=com_gmaps&task=viewmap&Itemid=57&mapId=- 1/**/union/**/select/**/0,username,password,3,4,5,6,7,8/**/from/**/jos_users/* Devenir administrateur d’un site utilisant PHP 123 http://server.com/category.php?cat=-1/**/UNION/**/ALL/**/SELECT/**/1,concat(username,0x3a,password),3,4,5/**/FROM/**/admin/* http://server.com/category.php?cat=-1/**/UNION/**/ALL/**/SELECT/**/1,concat(username,0x3a,password),3,4,5/**/FROM/**/users/ BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 22
  22. 22. LECON NUMERO 5 / Contrôler son CMS BLUE ACACIA 1) AUDITER LE CODE DU CMS 2) METTRE DES SESSIONS SECURISES SUR TOUTES LES PAGES D’UN CMS 3) VERIFIER QUE LE CMS N’OUTREPASSE PAS LES DROITS SERVEURS (Navigation anonyme, arborescence libre, upload d’exécutables) BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 23
  23. 23. BLUE ACACIA BLUE ACACIA LECON NUMERO 6 :Protéger ses bases de données
  24. 24. LECON NUMERO 6 / Protéger ses bases de données BLUE ACACIAProtection des données : Crypter les données des champs importants (mot de passe, …). 1) A la différence de MySQL, SQL server ne peut pas être accédé depuis le port 80 Avant nous utilisions des tables avec une variable client différente pournavigateur. puisse avec un simple qu’un hacker ne pas utiliser une injection identique d’un site à l’autre. Nous avons abandonné cette pratique depuis que nos développeurs utilisent l’objet. 2) Il faut une couche logicielle (SQL Server Management Studio) ou un connecteur Access. Activation de l’option « TDE » (Transparent data Encryption) : encryptage des données Toute connexion laisse donc des traces. de type log (« .ldf »), dump et base de données (« .mdf ») au cas ou un utilisateur accède aux données sans passer par le logiciel de Microsoft.Protection des accès : Serveur SQL uniquement accessible sur le LAN de Blue acacia. Vérification de l’emplacement de stockage des répertoires des dump. Un hébergeur très connu stocke ses dump MySQL sur un même répertoire intitulé /code&sql/ Le répertoire est accessible en navigation anonyme et que la syntaxe du dump est identique. BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 25
  25. 25. BLUE ACACIA BLUE ACACIA LECON NUMERO 7 :Sécuriser ses passerelles
  26. 26. LECON NUMERO 7 / Démo d’attaque sur un site Flash et Php BLUE ACACIAAccès aux scripts et analyse des failles d’une passerelle de type AMFPHP : Récupération du code et des classes du Flash Recherche de la passerelle amfphp dans le code extrait Accès direct à la passerelle via le navigateur Premier test (accès direct au browser de la passerelle, qui n’a manifestement pas été sécurisée par les développeurs)Accès aux scripts et analyse des failles : Récupération du code et des classes du Flash Accès aux newsletters envoyées Accès aux répertoire images Accès aux fichiers XML de chaque utilisateurs … Plus embêtant : accès à la liste des inscrits de la base (nom, login, e-mail, mot de passe, …) accès aux sessions (avec la possibilité de créer une session par exemple …) Accès au code source avec la possibilité d’ « overwrite files ». On peut par exemple, directement modifier le code source de la page PHP qui ouvre les sessions des utilisateurs inscrits et sauvegarder les modifications de la page php : ce qui ferait planter le système d’authentification. BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 27
  27. 27. LECON NUMERO 7 / Récupération d’un contenu protégé BLUE ACACIALe cas des sites portails délivrant des contenus payants : [NOM SUPPRIME POUR RAISON DE SECURITE] Taper « %temp% » dans l’invite de commandes Vider la mémoire cache Utiliser un logiciel permettant d’unlocker le cache du navigateur utilisé Lancer en ligne l’écoute d’un fichier Récupérer et copier le fichier « plugtmp.php » Renommer le fichier « plugtmp.php » en le fichier « mp3 »Le site [NOM SUPPRIME POUR RAISON DE SECURITE] en v2 Taper « %temp% » dans l’invite de commandes Vider la mémoire cache Utiliser un logiciel permettant d’unlocker le cache du navigateur utilisé Lancer en ligne l’écoute d’un fichier Récupérer et linker les 5 fichiers (Grâce au byte array, le Flash permet de lire le fichier) BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 28
  28. 28. LECON NUMERO 7 / Mesures de protection à mettre en place BLUE ACACIA 1) CELA NE SERT PLUS A RIEN D’OBFUSQUER LE CODE DU SWF (EXEMPLE DE HP SCAN) 2) IL VAUT MIEUX SE CONCENTRER SUR LA SECURITE DE LA PASSERELLE ELLE-MEME (COTE SERVEUR) 3) L’EQUIVALENT MICROSOFT (FLUORINE) EST BEAUCOUP MIEUX SECURISE 4) NOUS SOMMES ENTRAIN DE TESTER LA SECURITE DE LA TECHNOLOGIE DE SMOOTH STREAMING DE MICROSOFTExemples de techniques : Vérifier que le fichier SWF passe bien par la page qui diffuse le Flash (le client passe bien par le serveur web). Utiliser de l’authentification sécurisée (le FMS récupère l’id de la session, la transmet au serveur qui vérifie son existence et donne en retour une nouvelle clé unique au FMS qui la diffuse à son tour au client). Générer éventuellement un fichier SWF côté serveur qui expire. BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 29
  29. 29. BLUE ACACIA BLUE ACACIA LECON NUMERO 8 :Protéger ses serveurs d’hébergement
  30. 30. LECON NUMERO 8 / Protéger ses serveurs d’hébergement BLUE ACACIAFirewall redondé (Solution Pfsense) : Machine redondée Blocage des ports Hébergement normal : blocage de tous les ports sauf le port 80 (web) Hébergement SSL : blocage de tous les ports sauf les ports 80 (web) et 443 (SSL) Messagerie : blocage de tous les ports sauf le smtp Blocage des paquetsIDS (Intrusion Détection System)WAF (Web Application Firewall) Protection contre l’injection SQL Protection contre la manipulation des variables dans l’URL Protection contre le cross scripting BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 31
  31. 31. LECON NUMERO 8 / Protéger ses serveurs d’hébergement BLUE ACACIAServeurs : Protection physique : Datacenter certifié sécurisé, Contrôle d’accès, Baie fermée par digicode. Protection disques dur (Raid) : Protection électrique, Double alimentation, Matériel auto protégé. Protection thermique. Paramétrage Bios protégé par mot de passe / Interdiction de boot sur cédérom et USB. Compte administrateur par défaut désactivé (surveillé par l’IDS). Réseau étanche Les serveurs (y compris les virtuels) sont isolés entre eux au cas où une machine soit infectée (Solution Cisco : PV Lan).Services : Pool application. BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 32
  32. 32. BLUE ACACIA BLUE ACACIALECON NUMERO 9 : Protéger son Lan
  33. 33. LECON NUMERO 9 / Protéger son LAN BLUE ACACIARéseau : Internet Firewall (Solution PFsense). Filtrage des url (Solution Microsoft : Internet Security & Acceleration Server). Antivirus (Solution Kaspersky). Wifi Avant : SSID masqué par brouilleur. Maintenant : réglage de la portée par orientation de la diffusion et de la puissance du signal. Clé WPA 2. RJ45 : Seule chose autorisée : accès au web (Si client en visite : réseau web étanche à part). VPN (Solution Microsoft) Groupe direction (3 associés et directeur technique) : accès permanent. Autres profils : gestion des droits à la volée. Par défaut aucun accès VPN n’est autorisé sauf demande exceptionnelle. BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 34
  34. 34. LECON NUMERO 9 / Protéger son LAN BLUE ACACIAUtilisateurs : Utilisateurs gérés par des groupes (Solution Microsoft : Advanced Group Policy Management). Organisation par services et métiers (direction, commercial, réseaux, …). Gestion fine (cas particuliers).Parc informatique : Déploiement centralisé et gestion des mises à jour des logiciels Microsoft (Solution Microsoft : Windows Server Update Services). Migration progressive vers Windows Seven. Actuellement 31 postes sur les 61. Migration totale avant la fin de l’année. Antivirus (Solution Kaspersky) Serveurs Usage interne (Intranet, Comptabilité, …) : Mot de passe changé tous les mois (15 caractères complexes). Usage mixte (Serveurs de développement, …) : DMZ. BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 35
  35. 35. LECON NUMERO 9 / Protéger son LAN BLUE ACACIAParc informatique : Machines clients Disques cryptés avec un mot de passe (Solution Microsoft : Windows BitLocker). Désactivation du stockage de masse USB (interdiction des périphériques USB). Politique cédérom : Si cd d’installation : pas de pb car aucun droits / Si cd de contenu : autorisé. Mots de passe : Min 7 caractères (alpha/numériques/spéciaux) / Obligation de changer tous les mois. Méthode de travail VSS pour les sites .Net (Solution Microsoft : Visual SourceSafe). SVN pour les sites Flash et Php (Solution Subversion). FTP : non accessible de l’extérieur (sauf demande du client). Données backupées (Solution Microsoft : System Center Data Protection Manager 2007 SP1) Retour arrière possible sur 2 semaines. Copies externalisées sur LTO-4. BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 36
  36. 36. BLUE ACACIA BLUE ACACIAMerci François Sutter - Directeur Associé fsutter@blueacacia.com Olivier Baillet - Directeur Associé obaillet@blueacacia.com Xavier Baillet - Directeur Associé xbaillet@blueacacia.com Valérie Herbelot- Directrice du développement vherbelot@blueacacia.com Sébastien Serra – Chargé de clientèle AUTEURS : sserra@blueacacia.com ALEXANDRE NEY, EMILIEN TREHET ET FRANCOIS SUTTER 25 RUE DE MAUBEUGE 75009 PARIS T. 01 56 43 32 00 T. 01 56 43 32 00 WWW.BLUEACACIA.COM
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×