Partie II – ASM Application Security Manager

1 778 vues

Publié le

Optimisez et sécurisez vos infrastructures Cloud, VDI & Mobilité avec F5 Networks | Partie II – ASM Application Security Manager

Publié dans : Technologie
0 commentaire
2 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 778
Sur SlideShare
0
Issues des intégrations
0
Intégrations
42
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
2
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Partie II – ASM Application Security Manager

  1. 1. Séminaire du 27 mars 2012Partie II – ASM Application Security Manager 1
  2. 2. Philippe LogeanSecurity Engineertel. +41 22 727 05 55philippe.logean@e-xpertsolutions.comwww.e-xpertsolutions.com 2
  3. 3. Le Challenge“70 % des 10 millionsdincidents de sécurité sontsurvenus sur le port 80" DATAInformation Week 3
  4. 4. La problématique XML, Soap, Json P2P, IM, http Tunneling http / https Java, ActiveX, VBScript, etc. Html, Dhtml 4
  5. 5. Protéger vos applications Web F5 Big-IP Application Security Manager► Protection contre les dernières menaces► Protège contre les attaques visant les failles des applications et des bases de données► Analyse, évalue le trafic utilisateur sur vos applications Web pour contenir les attaques inconnues► Améliore les performances de vos applications/sites Webs► Adopte un modèle de sécurité► PCI Compliance► Reporting 5
  6. 6. Plusieurs niveaux de sécuritéValidation RFC ► Requêtes http, cookies,…Validation HTTP ► Headers, méthodes, cookies,…Profilage du trafic ► Type de fichier autorisé , taille, URI, paramètre,…Evaluation de chaque paramètre pour ► Valeur prédéfinie, longueur, jeux de caractères, patterns d’attaques,… 6
  7. 7. Protection contre les attaques connues…► Cross-site request forgery► Layer 7 DDoS► Cross-site scripting► SQL injection► Forceful Browsing► Brute Force► Parameter and HPP tampering► Session highjacking► Cookie manipulation► XML bombs http://www.owasp.org/index.php/Category:Attack 7
  8. 8. Mais aussi► Filtrage basé sur des signatures d’attaques (+1700)► Templates de politique de sécurité pour plusieurs applications► DataGuard et cloaking (dissimulation)► Protection contre le Web scraping (extraction du contenu)► Support ICAP pour l’analyse de fichiers dans HTTP SOAP et SMTP► Filtrage basé sur la géolocalisation► Firewall XML► Sécurisation et reporting basé sur la session (ASM + APM)► Evaluation des vulnérabilités► Rapport de conformité PCI 8
  9. 9. Politiques prédéfinies 9
  10. 10. DataGuard and cloaking 10
  11. 11. Filtrage géolocalisé 11
  12. 12. Sécurité XML► Validation du format XML► Validation du Schéma/WSDL► Sélection des méthodes SOAP► Signatures d’attaques pour les plateformes XML► Protection du parseur de l’application► Protection Json/Ajax► Log complet des requêtes 12
  13. 13. Validation du schéma WSDLActivation ou non des méthodes décrites dans le schéma WSDL 13
  14. 14. Validation du format XML Xml Message NameSpace (NS) element attribute attribute’s value childrendocument depth name 14
  15. 15. Construction de la politique de sécuritéGénération automatique de la politique de sécurité ► Wizard de configuration permettant la définition initiale de la politique de sécurité ► Policy Builder permet d’affiner la politique de sécurité en utilisant l’analyse heuristique et statistique pour les requêtes/réponses HTTP ► Détection automatique des changements dans les applications Web et mise à jour «ASM Security Policy updates»Resserrement de politique de sécurité ► Plus les composants applicatif et l’interaction des utilisateurs seront appris, plus la politique de sécurité ASM sera spécifique ► Resserrent graduel de la politique de sécurité limitant le risque de faux positifs 15
  16. 16. Log de requête / réponseLog de larequête HTTPcomplète Réponse du serveur web 16
  17. 17. Log d’attaques 17
  18. 18. Rapport de géolocalisation 18
  19. 19. Conformité PCI 19
  20. 20. DÉMO ASM 20
  21. 21. Topologie de démo <html> <html> <XML> <XML> Client Serveur Web Serveur applicatif Internet DMZ intranet 21
  22. 22. Cible > Serveur Web <html> <html> <XML> <XML>Attaquant Serveur Web Serveur applicatif Internet DMZ intranet 22
  23. 23. Attaque > Injections SQLDécouverte du nom de la base de donnée et de la colonne user_id ► HAVING 1=1--Obtenir le nom de toute les colonnes de la table ► UNION SELECT * FROM FSB_USERS WHERE USER_ID = JV GROUP BY USER_ID HAVING 1 = 1;--Connaitre le format des colonnes ► UNION SELECT SUM(<column>) FROM FSB_USERS HAVING 1=1 --INJECT USER ► ; INSERT INTO FSB_USERS (USER_NAME, LOGIN_ID, PASSWORD, CREATION_DATE) VALUES(Mr Devil, devil, abc123, GETDATE());--Vol dargent ► Manipulation du paramètre _ctl3:txtAmt 23
  24. 24. Protection du serveur web http://172.20.1.171:8080 http://172.20.1.170:80 <html> <html> <XML> <XML> Client Serveur Web Serveur applicatif Internet DMZ intranet 24
  25. 25. Protection du serveur webhttps://bank.demo.lan http://172.20.1.171:8080 http://172.20.1.170:80 F5 ASM <html> <html> <XML> <XML> Client Serveur Web Serveur applicatif Internet DMZ intranet 25
  26. 26. Cible > Serveur applicatif <html> <html> <XML> <XML>Attaquant Serveur Web Serveur applicatif Internet DMZ intranet 26
  27. 27. Protection du serveur applicatifhttps://bank.demo.lan http://172.20.1.171:8080 http://172.20.1.170:80 F5 ASM F5 ASM <html> <html> <XML> <XML> Client Serveur Web Serveur applicatif Internet DMZ intranet 27
  28. 28. Protection complète! F5 ASM F5 ASM <html> <html> <XML> <XML> Client Serveur Web Serveur applicatif Internet DMZ intranet 28
  29. 29. Questions ? e-Xpert Solutions S.A. est une société Suisse de services spécialisée en sécurité de l’information dont les fondateurs ont fait de leur passion leur métier : la sécurité des systèmes dinformation 29

×