Com-Sec

2014

2013-

Assurance de la
Scurit de
l'Information

Salma
Messaoudi

17

Assurance de la Scurit de l'Information

TP-1 : Evaluation de la vulnrabilit

et la scurit d'un service Web
Objectif
1.

valuer les vulnrabilits lies un service Web en cours

d'excution.

2.

appliquer un ensemble de rgles de scurit pour amliorer le

niveau de scurit d'un service web apache
Mots cls :

serveur apache.

wireshark : analyseur de trafic pour tester la vulnrabilit des

services.

Vim : diteur de texte sous fedora.

1

Identification des vulnrabilits at application des contre-mesures

Faire une copie du fichier de configuration du serveur apache
# cp /etc/httpd/conf/httpd.conf httpd_backup.conf

Vrifier ltat du service web

Connecter au serveur web partir du lURL http:// 127.0.0.1 ou bien

http://localhost

netstat : pour network statistics , est une commande qui affiche les
informations sur les connexions rseau.
#netstat taunp | grep 80

ComSec 2013-2014

17

Assurance de la Scurit de l'Information

utiliser la commande
pour visualiser ltat du
httpd
# service
status

service
service
httpd

le service httpd est ltat stop , il faut lactiver pour pouvoir

lanalyser.

Activer le service httpd

#service httpd start

Vrifier la syntaxe du fichier de configuration /etc/httpd/conf/httpd.conf, la

commande httpd t assure cette fonction et indique lemplacement
de lerreur dans le fichier.
# httpd - t

Pas deurreur :

Aprs avoir introduire une erreur au dbut du fichier :

ComSec 2013-2014

17

Assurance de la Scurit de l'Information

# httpd t

La premire tape faire pour un attaquant est de collecter le

maximum dinformation sur son victime, cest ce quon va essayer
de vrifier, si notre serveur est vulnrable ou non.

Plusieurs mthodes utilises pour collecter des informations, par

exemple

Envoi des fausses requtes vers le serveur partir du navigateur

utilis.

Ouvrir une session telnet :

# telnet 127.0.0.1 80

ComSec 2013-2014

17

Assurance de la Scurit de l'Information

Ces mthodes permettent au pirate de connaitre le systme

dexploitation du serveur, sa version et son numro du port (80).
En fait, la version d'un serveur web ou d'une autre application
serveur est une information trs utile aux pirates car en fonction de
la version utilise, ils peuvent tester diverses attaques et failles
connues sur ces versions. La meilleure protection face cela tant
bien entendu de cacher la version de son serveur web afin de
rendre la tche des attaquants plus longue et donc plus difficile.

Pour empcher la collecte des informations d'Apache2, il faut

changer quelques options dans sa configuration qui se situe par
dfaut dans /etc/httpd/conf/httpd.conf. on va modifier le
champ ServerTokens OS puis mettre la valeur Prod la
place d'OS.
On peut galement modifier le champ ServerSignature en le
mettant Off.

ComSec 2013-2014

17

Assurance de la Scurit de l'Information

# service httpd restart

Vrification partir le web

Aucune information nest affiche.

Pour empcher un pirate dintroduire des scripts dans notre

serveur, on doit dsactiver le module gci.

Crer un rpertoire (contenant des fichiers), sous /var/www/html

# mkdir secret /var/www/html

10

Accs au fichier secret partir du web

ComSec 2013-2014

17

Assurance de la Scurit de l'Information

Le fichier secret nest pas scuris !!

Pour liminer cette vulnrabilit on doit modifier le fichier de

configuration au niveau : <Directory "/var/www/html">

Laccs au fichier secret est interdit.

11

Maintenant, on veut que laccs au dossier secret soit limit pour

les utilisateurs autoriss, une dmarche suivre :

Crer le fichier .htaccess dans secret

# touch .htaccess

Le fichier .htaccess doit contenir les lignes suivantes

ComSec 2013-2014

17

Assurance de la Scurit de l'Information

Ajouter les utilisateurs autoriss :

cd /etc/httpd/

htpasswd -c users admin

vrifier la cration du fichier users et son contenu

# cd /etc/httpd/
# ls l
# vim users

le contenu du fichier users

vrifier si laccs au dossier secret est permis ou non.

ComSec 2013-2014

17

Assurance de la Scurit de l'Information

Mme rsultat !!
5

modifier le fichier de configuration pour faire fonctionner la

restriction daccs.
# vim /etc/httpd/conf/httpd.conf

http://127.0.0.1/secret

ComSec 2013-2014

17

Assurance de la Scurit de l'Information

Laccs est maintenant limit aux utilisateurs autoriss.

Lanalyseur de trafic wireshark nous permet dvaluer le

niveau de scurit des donnes changes avec le serveur.

Le paquet GET contient les informations confidentielles

dauthentification.

Loutil follow TCP stream ne permet pas de connaitre le login et

le password dun utilisateur lgitime car ces donnes sont

ComSec 2013-2014

17

Assurance de la Scurit de l'Information

encapsules dans le paquet TCP, donc impossible de les dtecter

directement.

12 Pour liminer ce danger, on peut utiliser une mthode scurise pour

lchange des informations, par exemple SSL, assure le cryptage des
informations confidentielles.
2

Scuriser le service web en utilisant SSL

Gnrer la cl
# openssl genrsa - des3 out server.key 1024

Gnrer le certificat en utilisant la cl

# openssl req -new -x509 -days 365 -key server.key -out

server.crt

Question1 :

openssl genrsa: crer la paire de cls RSA

-des3: indique que la paire cl sera chiffre avec l'algorithme de DES3.
ComSec 2013-2014

17

Assurance de la Scurit de l'Information

-out server.key: spcifie le nom du fichier de la paire de cls (dans ce

cas server.key).
1024 : est la longueur de la paire de cls en bits (1024 bits).
Question2 :
# openssl req -new -x509 -days 365-cl server.crt server.key-out
gnrer et signer un certificat X.509 auto-sign appel "server.crt" en
utilisant la paire de cls RSA gnre prcdemment "server.key".
-Days 365: la priode de validit du certificat en jours.
4

Modifier le fichier de configuration /etc/httpd/conf/httpd.conf

Ractiver le service web :

# service httpd restart

Tester la scurit du serveur

ComSec 2013-2014

17

Assurance de la Scurit de l'Information

A cette tape,
cliquer sur obtenir
le certificat pour
accder la page
daccueil du
serveur apache

ComSec 2013-2014

Le serveur est
scuris, pour
pouvoir y
accder, on peut
ajouter une
exception
comme indiquer
ici

17

Assurance de la Scurit de l'Information

On veut accder au dossier secret , une demande

dauthentification apparait, on va vrifier le niveau de scurit
assurer par SSL.

On va faire recours loutil wireshark.

A laide de SSL, toutes les informations changes sont cryptes comme le

montre le follow TCP stream dun paquet captur.
7

ComSec 2013-2014

17

Assurance de la Scurit de l'Information

Dans ce cas, on doit dfinir une ISSP (Issue Specific Security Policy) qui
traite toutes les vulnrabilits du serveur Web Apache.

8
Pour rsumer, ce laboratoire nous a permis de connatre certaines des
vulnrabilits du serveur Web Apache. Par consquent, d'liminer ces
faiblesses en ajoutant des nouvelles rgles nos politiques de scurit.
2

Toujours vrifier la syntaxe dans les fichiers de configuration.

Cacher les serveurs, OS, et les versions du noyau du systme

d'exploitation et d'information.

L'accs doit tre contrl par un mcanisme d'authentification.

Lchange de renseignements doit tre protg pour assurer la

confidentialit.

ComSec 2013-2014