Sécurisez-vous avec des solutions Open Source
-
Upload
certilience -
Category
Technology
-
view
872 -
download
2
Transcript of Sécurisez-vous avec des solutions Open Source
Scurisez-vous avec des solutions Open Source
1.0 - Solutions Linux (05-2014)
Scurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Julien CAYSSOL - Certilience
www.certilience.fr
Sommaire
Prsentation de l'architecture type d'une entreprise
Recherche de vulnrabilits sur le primtre: Pirate / Pentest
Scurisez-vous avec des solutions OpenSource
Scurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Architecture
Scurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Architecture
Notre entrepriseAvant :Accs internet de l'entreprise un Linux
Un site vitrine sous Wordpress, accs SSH ouvert sur internet
change de documents avec Owncloud
Un Webmail: Roundcube
Scurisez-vous avec des solutions Open Source / 1.0 / 05-2014
L'entreprise est rassure car ...
Elle utilise du SSL!!!
Elle a des sauvegardes!!!
Elle n'a rien cacher
Scurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Comment rentrer?
Scurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Comment rentrer
Inciter l'utilisateur aller sur un site malveillant ou ouvrir une pice jointe: Excution de code sur le poste de l'utilisateur.
Brute-force sur l'accs d'administration (SSH) du site vitrine: effacement du site
Mot de passe simple sur l'admin Wordpresse: Excution de code.
Pas de suivi sur les mises jour de Owncloud: fuite d'information, excution de code
Injection SQL sur un module Wordpress: dump de base, excution de code. Injection SQL?
Scurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Injection SQL
Exemple de code d'une formulaire d'authentification: SELECT * from users where user='$username' and password='$password'
=> si username = admin et password = adminselect * from users where user='admin' and password = 'admin'
=>si username = admin et password = test' or 1='1select * from users where user='admin' and password = 'test' or 1='1'
Dmonstration avec un outil comme sqlmap
Scurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Aprs l'attaque, les consquences
Les utilisateurs ont des Virus
Atteinte l'image de la socit sur le site vitrine: tte de pirate sur le site de l'entreprise?
Perte de donnes clients
Indisponibilit du SI
Scurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Comment Scuriser?
Scurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Architecture Scurise: Contrle primtrique
Un FirewallFiltrage entre les zones
Accs VPN pour les Utilisateurs ou les Administrateurs.
VPN site site
Solutions: Pfsense
Ipcop
Linux avec Netfilter
Scurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Architecture Scurise: Accs internet
Accs internet des utilisateurs
Filtrage + Nat sur le firewall
Proxy pour les Flux HTTP:Utilisation du proxy SQUID
HAVP pour l'antivirus
SquidGuard pour le filtrage d'url.
Sarg pour l'analyse des traces
Scurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Architecture Scurise: Site vitrine
Durcissement sur le serveur: Durcissement systme: fail2ban sur ssh, iptables, limitation des services, personnalisation pam, outils d'audit de configuration
Durcissement des services: SSH,apache,Mysql
Ajout de composants sur la couche applicative:suPhp,
Scurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Architecture Scurise: Sites Internet
Point central pour publier les applications
Reverse Proxy:Mod Security pour la vrification
Mod evasive
Fail2ban pour l'action
Filtrage des URL
Scurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Architecture Scurise: Les conseils
Ne pas ngliger le suivi des mises jour (veille raliser)
Dsactiver un maximum de services et d'options ( exemple: owncloud)
Matrisez les produits installs = Formez-vous, plusieurs formations scurit chez AlterWay/CertilienceSur les solutions: Pfsense, squid, Web cache, ...
Sur l'aspect offensif: Techniques de Hacking (Rseau/Applicatif/Web) et sur les outils de hacking
Sur le dveloppement: Php scuris, prsentation OWASP
Scurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Vos Questions?
Scurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Plus d'informations sur:
Www.certilience.fr
Cliquez pour diter le format du plan de text
Cliquez pour diter le format du plan de texteSecond niveau de planTroisime niveau de planQuatrime niveau de planCinquime niveau de planSixime niveau de planSeptime niveau de plan