Livrable de la semaine 03/03/2012

Mise en place dune solution WAF base de produits open source

Rdig par :Nasredine Boujmil Encadr par : Mr Najib Bazza

Lensemble des livrables raliss chaque semaine reprsente un bilan de taches ralises ainsi que les difficults que jai retrouves au cours de la ralisation et les petites remarques que jai prises .

Livrable 03/03/2012

I)

Le cahier de charges

Le sujet du stage consiste la mise en place dune solution WAF base de produits OpenSource. Le WAF devrait permettre : II) La protection des applications Web (http, https et XML) publies La protection contre les attaques rseau La gestion de lauthentification (avec possibilit de faire du SSO) et des autorisations Le Macroplaning du PFE

Le macroplaning de mon projet de fin dtudes se divise en trois phases principales : La premire phase : est une tape introductive serait une occasion pour dterminer lensemble des attaques WEB qui peuvent menacer un SI et particulirement se concentrer sur les diffrentes espces de vulnrabilits qui peuvent altrer une application WEB , avoir un premier contact avec la notion du WAF ,dterminer son rle et enfin ses diffrentes applications . La deuxime phase : est la phase maquette, je serais justement en charge de raliser une matrice comparative entre les diffrentes solutions open source disponibles, dterminer les caractristiques de chacune, sarrter devant les points forts ainsi devant les points faibles , et enfin choisir la ou les solutions convenables et qui seront objet de test pendant la prochaine tape .Cette dernire tape serait une

Page 1

Livrable 03/03/2012
opportunit pour une mise en place de la solution choisie premirement sur une plateforme virtuelle ( VirtualBox par exemple ) pour tester les fonctionnalits du WAF concern et deuximent sur une plateforme relle pour toucher laspect pratique du Projet . La troisime tape : cest ltape finale et aurait comme objet le test pratique de notre produit open source travers la gnration dune srie dattaques intentionnelles travers une distribution linux spcifique ( Backtrack ou Samurai ) , le but est de valoriser le travail et tracer un bilan objectif sur lefficacit de notre produit ainsi sur les diffrentes amliorations qui peuvent tre accompagnes au cours du test .

Bilan de la semaine

Cette semaine a t une occasion pour faire un rappel sur les diffrentes attaques WEB , de comprendre leurs fonctionnements pour bien situer le rle apport par le WAF . Attaques des applications WEB La majorit des applications WEB sont automatiques en dautres termes lorsquun site WEB est attaqu, il reoit en moyenne 25000 attaques en 1 heure, soit 7 attaques la seconde. C'est pourquoi il est indispensable de considrer une scurit approprie lorsque vous publiez une application sur la toile. Cette section vous prsentera les diffrentes attaques et outils dont usent les attaquants potentiels pour voler des informations sur les applications Web, ou encore modifier, voire dtruire ces portails et les donnes qu'ils contiennent. Ensuite, 4 types d'attaques dominent : les injections SQL, les directory traversal , les attaques XSS ou RFI .

Il existe cependant des vulnrabilits classiques que lon retrouve quelle que soit la plateforme employe par lapplication. LOWASP (Open Web Application Security Project) tient jour un classement des 10 vulnrabilits les plus rencontres dans les applications Web, et qui est donn dans le tableau ci-aprs.

Page 2

Livrable 03/03/2012

TOP 10 des vulnrabilits dans les applications WEB Rang 1 vulnrabilit Paramtres non valids Description Les informations transmises avec la requte ne sont pas valides avant dtre utilises par lapplication Web. Les restrictions sur ce que les utilisateurs authentifis ont le droit de faire ne sont assez solides. Un attaquant peut utiliser ces failles pour accder aux comptes dautres utilisateurs, voir de fichiers sensibles ou utiliser des fonctions non-autorises.

Faille dans le contrle daccs

Vol de session

Le mcanisme de maintien de la session nest pas assez sr : lattaquant qui peut compromettre une cl de session ou un cookie peut accder aux privilges dun autre utilisateur Lapplication Web peut tre utilise comme intermdiaire pour attaquer lun de ses utilisateurs et excuter du code son insu dans le contexte de lapplication Web , par exemple, voler sa cl de session. Lapplication ne contrle pas la dimension des paramtres reus avant de les crire en mmoire. Cette faille peut tre utilise pour aller y crire du code excutable et modifier le comportement de lapplication. Lapplication utilise lors de laccs des commandes externes ou au systme dexploitation des paramtres non-valids qui peuvent tre utiliss par lattaquant pour excuter des commandes malicieuses. La gestion des erreurs nest pas ralise correctement. Lattaquant peut dclencher des erreurs qui ne sont pas gres par lapplication Web et ainsi obtenir des informations dtailles sur le systme, ou compromettre le serveur. Les applications Web font frquemment appel des fonctions de cryptographie pour assurer lintgrit et la confidentialit des donnes. Certains de ses algorithmes ou leurs implmentations peuvent comporter des failles de scurit. Beaucoup dapplications Web comportent un systme dadministration distance, qui sil nest pas correctement protg, peut permettre un attaquant de gagner les privilges de ladministrateur. La scurit de lapplication Web repose sur celle du serveur Web, du serveur dapplication et du systme dexploitation. Ceux-ci ne sont gnralement pas scuriss avec la configuration par dfaut.

Cross-Site-Scripting (XSS)

Buffer Overflow (BOF)

Injection de commandes

Mauvaise gestion des erreurs

Mauvaise utilisation de la cryptographie

Faille dans ladministration distante

10

Mauvaise configuration du serveur Web ou dapplication

Page 3

Livrable 03/03/2012

Dans le but de proposer une plateforme dapprentissage et de test des vulnrabilits classiques dans les applications Web, lOWASP a mis au point le logiciel WebGoat. WebGoat se prsente sous la forme dune application serveur Java (WAR) permettant de naviguer au travers dun certain nombre de leons. Chaque leon illustre une vulnrabilit et propose une sorte de dfi ltudiant qui doit trouver le moyen de tirer parti de la vulnrabilit pour contourner un systme dauthentification, par exemple.

Le WAF : dfinition rle et applications Dfinition Un WAF (Web application Firewall) est un logiciel ou un quipement matriel plac entre le firewall et les serveurs WEB, il permet principalement de protger les applications Web des attaques applicatives (SQL injections, Cross Site Scripting, injection de code ) Pourquoi un WAF ? Selon une tude du Gartner, 75% des attaques ciblent les systmes dinformation travers les applications WEB. Selon cette mme tude, 2/3 des applications Web sont vulnrables. Elles ont donc une sensibilit naturelle aux attaques et offrent un large champ daction aux hackers. Les attaques Web sont trs simples mettre en uvre (dans bien des cas, un simple navigateur suffit). De plus, le retour sur investissement pour les hackers est lev. Voil principalement pourquoi les applications Web sont de plus en plus la cible dattaques.

Quels sont les autres aspects de scurit qui peuvent tre pris en charge par le firewall applicatif Web ? Le firewall applicatif est en amont des applications Web quil protge. Il devient donc naturel de lui demander de raliser de lauthentification. Ce point est particulirement utile lorsque

Page 4

Livrable 03/03/2012

lon souhaite rendre accessible sur internet et de faon scurise des applications Web internes.

Le firewall applicatif Web permet galement de virtualiser linfrastructure applicative (il donne la possibilit dutiliser des noms de serveurs Web diffrents de ceux utiliss en interne). De plus, un firewall applicatif Web facilite la mise disposition sur internet dapplications Web internes (il nest plus ncessaire de dplacer le serveur Web vers une zone spcifique du rseau). Enfin le FireWall applicatif peut galement tre utilis pour fournir des preuves de tentatives dintrusion. En effet, la totalit des requtes est journalise (les serveurs Web ne journalisent pas lintgralit des lments). Pour que les mthodes qui visent apporter de la scurit tout au long du cycle de vie de lapplication puissent tre efficaces, il faut avoir un contrle total sur les phases de dveloppement. Les aspects de scurit devront tre pris en compte ds la conception, tout au long du dveloppement et durant lexploitation. Il arrive frquemment que lon nait pas le niveau de contrle suffisant ces diffrents stades pour obtenir un niveau de scurit suffisant. Ces mthodes doivent donc imprativement tre compltes par la mise en uvre dun firewall applicatif Web pour diminuer le primtre de vulnrabilit. De plus, le firewall applicatif Web permet de lutter contre les attaques qui visent le serveur Web par lui-mme (Vulnrabilits IIS, apache comme directory traversal, dni de services tel que Slow loris injections de code , injections SQL). Firewall applicatif Web et mthodes visant prendre en considration la scurit applicative durant les phases de dveloppement sont donc complmentaires.

Ressources Scurit des applications Web (Auteur Sylvain Tissot ) . Le site personnel de Johanne Illuoa http://johanne.ulloa.org/ Le site de lOWASP https://www.owasp.org/

Page 5