SlideShare une entreprise Scribd logo

Présentation de nos MVP - F5 devCentral - Event 09-10-18

e-Xpert Solutions SA
e-Xpert Solutions SA

Les différents types de contenu de la présentation : - Articles by the Jedi Masters - A monsterstash of API documentation - Q&A for everything - Downloads galore - Videos by geeks and for geeks - Upcoming events

Technologie
1  sur  28
Télécharger pour lire hors ligne
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E 23.10.2018 1
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E 23.10.2018 2
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E 23.10.2018 3 Les différents types de contenu: - Articles by the Jedi Masters - A monster stash of API documentation - Q&A for everything - Downloads galore - Videos by geeks and for geeks - Upcoming events
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E 23.10.2018 4 - Obtain Certificates from a Reliable CA - Use Strong Certificate Signature Algorithms (Sha2) - Use Secure Protocols:TLS v1.1 and v1.2 are both without known security issues, but only v1.2 provides modern cryptographic algorithms. - Use Secure Cipher Suites: 3DES is slow and weak / RC4 is insecure / NULL cipher suites provide no encryption / ADH suites do not provide authentication - Performance: With proper configuration, TLS can be quite fast. With modern protocols - Priviled OCSP Stapling (CRLDP / OCSP) - Deploy HTTP Strict Transport Security - Use Fast Cryptographic Primitives: Whenever possible, use CPUs that support hardware-accelerated AES - Content Security Policy: Content Security Policy (CSP) is a security mechanism that web sites can use to restrict browser operation. - Secure Cookies - Public Key Pinning SSL andTLS Deployment Best Practices
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E 23.10.2018 5 SAMLVS Oauth - SAML c’est quoi ?
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E 23.10.2018 6 SAMLVS Oauth API REST c’est quoi ?
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E 23.10.2018 7 SAMLVS Oauth API REST c’est quoi ?
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E 23.10.2018 8 SAMLVS OAuth il s'agit d'un protocole permettant de protéger une ressource (typiquement, une fonction d'une API) en offrant aux applications clientes de l'API un accès à la ressource limité dans le temps et l'usage après autorisation par le propriétaire de la ressource (l'utilisateur propriétaire des données).
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E 23.10.2018 9 Evolution: Sécurité périmétrique
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E 23.10.2018 10 Per APPVPN
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E Problématique - Devcentral Contexte Une application critique doit être reverse proxifiée par les F5s afin de garantir sa haute disponibilité et la répartition de charge vers les serveurs applicatifs. Besoin identifié par l’équipe sécurité ✓ Authentification périmétrique au niveau des F5s ✓ SSO après authentification
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E Après étude de l’application… Contraintes liées à l’application ➢ Base d’utilisateurs locale ➢ Authentification de type formulaire “Form Based” ➢ Authentification “stateful” ou “contextuelle”
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E Schématisation Application Server + User DB Client F5 3 21 4 5 6 Virtual Server LTM | APM | iRule (1) L’utilisateur saisie son “User / MDP” sur une page d’authentification envoyée par le VS (2) Le VS initie une session vers le serveur applicative (3) Le serveur renvoie un cookie JSESSIONID (4) Le VS récupère le cookie JSESSIONID ET POST le “User / MDP” saisie par le client (5) Le serveur applicatif valide/ou pas l’authentification de l’utilisateur (6) En cas de succès, l’accès à l’application est donné à l’utilisateur. En cas d’échec, l’utilisateur est interdit d’accéder à l’application.
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E iRule
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E Application Server + User DB Client F5 3 21 4 5 6 Virtual Server LTM | APM | iRule
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E Question type sur Devcentral ▪ Comment protéger une application web accessible depuis Internet avec le module ASM ? Qu’est-ce que le module ASM ? ✓ ASM = Application Security Manager ✓ L’ ASM est un Web Application Firewall (WAF)
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E Qu’est-ce que l’ASM ? « Un Web Application Firewall est un type de pare-feu qui protège le serveur d'applications Web contre diverses attaques. » « Le WAF garantit que la sécurité du serveur Web n'est pas compromise en examinant les paquets de requête HTTP / HTTPS... » Source Wikipédia
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E Que fait l’ASM ? https://www.google.ch/admin/search.php?user=1C1CHBD6&q=la+poti nière+genève 1. Vérification du protocol
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E Que fait l’ASM ? https://www.google.ch/admin/search.php?user=1C1CHBD6&q=la+poti nière+genève 1. Vérification du protocol 2. Vérification du FQDN
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E Que fait l’ASM ? https://www.google.ch/admin/search.php?user=1C1CHBD6&q=la+poti nière+genève 1. Vérification du protocol 2. Vérification du FQDN 3. Vérification du PATH (chemin d’accès à la ressource)
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E Que fait l’ASM ? https://www.google.ch/admin/search.php?user=1C1CHBD6&q=la+poti nière+genève 1. Vérification du protocol 2. Vérification du FQDN 3. Vérification du PATH (chemin d’accès à la ressource) 4. Vérification du File Type (.exe / .php / .txt)
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E Que fait l’ASM ? https://www.google.ch/admin/search.php?user=1C1CHBD6&q=la+poti nière+genève 1. Vérification du protocol 2. Vérification du FQDN 3. Vérification du PATH (chemin d’accès à la ressource) 4. Vérification du File Type (.exe / .php / .txt) 5. Vérification des paramètres de la requête
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E ZOOM IN sur les verifications https://www.google.ch/admin/search.php?user=1C1CHBD6&q=la+poti nière+genève 1. Vérification du protocol ✓ Requête HTTP ou HTTPS ✓ Conformité avec la RFC (taille des entêtes, version du protocol) ✓ Méthodes utilisées (POST, GET, HEAD, DELETE, etc.)
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E ZOOM IN sur les verifications https://www.google.ch/admin/search.php?user=1C1CHBD6&q=la+poti nière+genève 1. Vérification du protocol 2. Vérification du FQDN ✓ Est-ce que le nom de domaine est autorisé ? ✓ Est-ce que l’application est autorisée à récupérer du contenu d’autres domaines ? ✓ Whitelisting des sous-domaines autorisés
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E ZOOM IN sur les verifications https://www.google.ch/admin/search.php?user=1C1CHBD6&q=la+poti nière+genève 1. Vérification du protocol 2. Vérification du FQDN 3. Vérification du PATH ✓ Est-ce que le chemin est autorisé ? Whitelisting / Blacklisting des URLs ✓ Est-ce que la taille de l’URL est conforme avec la politique de sécurité ? ✓ Est-ce que les charactères sont autorisés (charactères spéciaux) ?
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E ZOOM IN sur les verifications https://www.google.ch/admin/search.php?user=1C1CHBD6&q=la+poti nière+genève 1. Vérification du protocol 2. Vérification du FQDN 3. Vérification du PATH 4. Vérification du File Type ✓ Est-ce que le fichier demandé est autorisé ? ✓ Whitelisting / Blacklisting des extensions de fichier ✓ Est-ce que la taille du fichier demandé n’excède pas le seuil défini
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E ZOOM IN sur les verifications https://www.google.ch/admin/search.php?user=1C1CHBD6&q=la+poti nière+genève 1. Vérification du protocol 2. Vérification du FQDN 3. Vérification du PATH 4. Vérification du File Type 5. Vérification des paramètres de la requête ✓ Validation des noms des paramètres ✓ Validation des valeurs des paramètres ✓ Est-ce que les noms et/ou valeurs de ces paramètres contiennent-ils des attack signatures connues ? Example : 'or 1 = 1'
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E Autres vérifications de l’ASM Au niveau de la REQUÊTE 1. Bruteforcing sur login page 2. Inspection des headers du protocol HTTP ✓ Cookie (Whitelisting, Blacklisting, Attack Signatures) ✓ Content-Type (JSON / XML) 3. Protection contre le DOS Au niveau de la REPONSE 1. Status Code (200 OK, 401, 403 Not Authorized, etc.) 2. Data Protection qui permet de masquer le contenu sensible (CB, etc.)

Recommandé

PHP et PHP Framework
PHP et PHP FrameworkPHP et PHP Framework
PHP et PHP FrameworkJérémie Campari
 
SplunkLive! Paris 2018: Getting Data In
SplunkLive! Paris 2018: Getting Data InSplunkLive! Paris 2018: Getting Data In
SplunkLive! Paris 2018: Getting Data InSplunk
 
Sur la route vers le HTTPS partout WebCampDay Angers
Sur la route vers le HTTPS partout WebCampDay AngersSur la route vers le HTTPS partout WebCampDay Angers
Sur la route vers le HTTPS partout WebCampDay AngersAysun Akarsu
 
2018 06 nouvelles APIs checkpoint e-Xpert solutions
2018 06 nouvelles APIs checkpoint e-Xpert solutions2018 06 nouvelles APIs checkpoint e-Xpert solutions
2018 06 nouvelles APIs checkpoint e-Xpert solutionse-Xpert Solutions SA
 
ReST API Security
ReST API SecurityReST API Security
ReST API SecurityYounes Jaaidi
 
ReST API Security
ReST API SecurityReST API Security
ReST API SecurityYounes Jaaidi
 
AFUP Aix/Marseille - 16 mai 2017 - Open API
AFUP Aix/Marseille - 16 mai 2017 - Open APIAFUP Aix/Marseille - 16 mai 2017 - Open API
AFUP Aix/Marseille - 16 mai 2017 - Open APIRomain Cambien
 
Cerberus Testing
Cerberus TestingCerberus Testing
Cerberus TestingCIVEL Benoit
 

Recommandé

PHP et PHP Framework
PHP et PHP FrameworkPHP et PHP Framework
PHP et PHP FrameworkJérémie Campari
 
SplunkLive! Paris 2018: Getting Data In
SplunkLive! Paris 2018: Getting Data InSplunkLive! Paris 2018: Getting Data In
SplunkLive! Paris 2018: Getting Data InSplunk
 
Sur la route vers le HTTPS partout WebCampDay Angers
Sur la route vers le HTTPS partout WebCampDay AngersSur la route vers le HTTPS partout WebCampDay Angers
Sur la route vers le HTTPS partout WebCampDay AngersAysun Akarsu
 
2018 06 nouvelles APIs checkpoint e-Xpert solutions
2018 06 nouvelles APIs checkpoint e-Xpert solutions2018 06 nouvelles APIs checkpoint e-Xpert solutions
2018 06 nouvelles APIs checkpoint e-Xpert solutionse-Xpert Solutions SA
 
ReST API Security
ReST API SecurityReST API Security
ReST API SecurityYounes Jaaidi
 
ReST API Security
ReST API SecurityReST API Security
ReST API SecurityYounes Jaaidi
 
AFUP Aix/Marseille - 16 mai 2017 - Open API
AFUP Aix/Marseille - 16 mai 2017 - Open APIAFUP Aix/Marseille - 16 mai 2017 - Open API
AFUP Aix/Marseille - 16 mai 2017 - Open APIRomain Cambien
 
Cerberus Testing
Cerberus TestingCerberus Testing
Cerberus TestingCIVEL Benoit
 
Démo Gatling au Performance User Group de Casablanca - 25 sept 2014
Démo Gatling au Performance User Group de Casablanca - 25 sept 2014Démo Gatling au Performance User Group de Casablanca - 25 sept 2014
Démo Gatling au Performance User Group de Casablanca - 25 sept 2014Benoît de CHATEAUVIEUX
 
Déploiement PHP : de l'âge de pierre à nos jours.
Déploiement PHP : de l'âge de pierre à nos jours.Déploiement PHP : de l'âge de pierre à nos jours.
Déploiement PHP : de l'âge de pierre à nos jours.Amélie DUVERNET
 
Power shell saturday Paris 2017 Omiossec
Power shell saturday Paris 2017 OmiossecPower shell saturday Paris 2017 Omiossec
Power shell saturday Paris 2017 OmiossecOlivier Miossec
 
Retour AFUP du forumphp 2017
Retour AFUP du forumphp 2017Retour AFUP du forumphp 2017
Retour AFUP du forumphp 2017AFUP_Limoges
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01Sébastien GIORIA
 
Logs serveurs : du terme barbare à la simplicité de la réalité
Logs serveurs : du terme barbare à la simplicité de la réalitéLogs serveurs : du terme barbare à la simplicité de la réalité
Logs serveurs : du terme barbare à la simplicité de la réalitéKarles Nine
 
XebiCon'17 : Migration d’une application web vers un Paas Openshift - Akram B...
XebiCon'17 : Migration d’une application web vers un Paas Openshift - Akram B...XebiCon'17 : Migration d’une application web vers un Paas Openshift - Akram B...
XebiCon'17 : Migration d’une application web vers un Paas Openshift - Akram B...Publicis Sapient Engineering
 
SEO: Faut il migrer vos sites en https ?
SEO: Faut il migrer vos sites en https ?SEO: Faut il migrer vos sites en https ?
SEO: Faut il migrer vos sites en https ?Camille Thomas
 
La mise en cache et ses secrets
La mise en cache et ses secretsLa mise en cache et ses secrets
La mise en cache et ses secretsAymeric Bouillat
 
Les bases de la securité informatique
Les bases de la securité informatiqueLes bases de la securité informatique
Les bases de la securité informatiqueMozes Pierre
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
Dossier de competences MA
Dossier de competences MADossier de competences MA
Dossier de competences MAClementine D.
 
Cours 8 squid.pdf
Cours 8 squid.pdfCours 8 squid.pdf
Cours 8 squid.pdfFayalBougherbal
 
Guide de securite php
Guide de securite phpGuide de securite php
Guide de securite phpbelfkih
 
Reconnaissance
ReconnaissanceReconnaissance
ReconnaissanceAbdul Baacit Coulibaly
 
2018 06 Demo Checkpoint et Splunk e-Xpert solutions
2018 06 Demo Checkpoint et Splunk e-Xpert solutions2018 06 Demo Checkpoint et Splunk e-Xpert solutions
2018 06 Demo Checkpoint et Splunk e-Xpert solutionse-Xpert Solutions SA
 
Epitech securite-2012.key
Epitech securite-2012.keyEpitech securite-2012.key
Epitech securite-2012.keyDamien Seguy
 
Webinar - Maintenance d'un site WordPress en agence.pdf
Webinar - Maintenance d'un site WordPress en agence.pdfWebinar - Maintenance d'un site WordPress en agence.pdf
Webinar - Maintenance d'un site WordPress en agence.pdfJulien Dereumaux
 
Jenkins - Les jeudis de la découverte
Jenkins - Les jeudis de la découverteJenkins - Les jeudis de la découverte
Jenkins - Les jeudis de la découverteStephane Couzinier
 
Perf university
Perf universityPerf university
Perf universityHenri Tremblay
 
Event e-Xpert Solutions et Tufin - 28 mars 2019
Event e-Xpert Solutions et Tufin - 28 mars 2019Event e-Xpert Solutions et Tufin - 28 mars 2019
Event e-Xpert Solutions et Tufin - 28 mars 2019e-Xpert Solutions SA
 
Présentation d'e-Xpert Solutions et F5 Networks - Event Oct 2018
Présentation d'e-Xpert Solutions et F5 Networks - Event Oct 2018 Présentation d'e-Xpert Solutions et F5 Networks - Event Oct 2018
Présentation d'e-Xpert Solutions et F5 Networks - Event Oct 2018 e-Xpert Solutions SA
 

Contenu connexe

Similaire à Présentation de nos MVP - F5 devCentral - Event 09-10-18

Démo Gatling au Performance User Group de Casablanca - 25 sept 2014
Démo Gatling au Performance User Group de Casablanca - 25 sept 2014Démo Gatling au Performance User Group de Casablanca - 25 sept 2014
Démo Gatling au Performance User Group de Casablanca - 25 sept 2014Benoît de CHATEAUVIEUX
 
Déploiement PHP : de l'âge de pierre à nos jours.
Déploiement PHP : de l'âge de pierre à nos jours.Déploiement PHP : de l'âge de pierre à nos jours.
Déploiement PHP : de l'âge de pierre à nos jours.Amélie DUVERNET
 
Power shell saturday Paris 2017 Omiossec
Power shell saturday Paris 2017 OmiossecPower shell saturday Paris 2017 Omiossec
Power shell saturday Paris 2017 OmiossecOlivier Miossec
 
Retour AFUP du forumphp 2017
Retour AFUP du forumphp 2017Retour AFUP du forumphp 2017
Retour AFUP du forumphp 2017AFUP_Limoges
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01Sébastien GIORIA
 
Logs serveurs : du terme barbare à la simplicité de la réalité
Logs serveurs : du terme barbare à la simplicité de la réalitéLogs serveurs : du terme barbare à la simplicité de la réalité
Logs serveurs : du terme barbare à la simplicité de la réalitéKarles Nine
 
XebiCon'17 : Migration d’une application web vers un Paas Openshift - Akram B...
XebiCon'17 : Migration d’une application web vers un Paas Openshift - Akram B...XebiCon'17 : Migration d’une application web vers un Paas Openshift - Akram B...
XebiCon'17 : Migration d’une application web vers un Paas Openshift - Akram B...Publicis Sapient Engineering
 
SEO: Faut il migrer vos sites en https ?
SEO: Faut il migrer vos sites en https ?SEO: Faut il migrer vos sites en https ?
SEO: Faut il migrer vos sites en https ?Camille Thomas
 
La mise en cache et ses secrets
La mise en cache et ses secretsLa mise en cache et ses secrets
La mise en cache et ses secretsAymeric Bouillat
 
Les bases de la securité informatique
Les bases de la securité informatiqueLes bases de la securité informatique
Les bases de la securité informatiqueMozes Pierre
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
Dossier de competences MA
Dossier de competences MADossier de competences MA
Dossier de competences MAClementine D.
 
Guide de securite php
Guide de securite phpGuide de securite php
Guide de securite phpbelfkih
 
2018 06 Demo Checkpoint et Splunk e-Xpert solutions
2018 06 Demo Checkpoint et Splunk e-Xpert solutions2018 06 Demo Checkpoint et Splunk e-Xpert solutions
2018 06 Demo Checkpoint et Splunk e-Xpert solutionse-Xpert Solutions SA
 
Epitech securite-2012.key
Epitech securite-2012.keyEpitech securite-2012.key
Epitech securite-2012.keyDamien Seguy
 
Webinar - Maintenance d'un site WordPress en agence.pdf
Webinar - Maintenance d'un site WordPress en agence.pdfWebinar - Maintenance d'un site WordPress en agence.pdf
Webinar - Maintenance d'un site WordPress en agence.pdfJulien Dereumaux
 
Jenkins - Les jeudis de la découverte
Jenkins - Les jeudis de la découverteJenkins - Les jeudis de la découverte
Jenkins - Les jeudis de la découverteStephane Couzinier
 

Similaire à Présentation de nos MVP - F5 devCentral - Event 09-10-18 (20)

Démo Gatling au Performance User Group de Casablanca - 25 sept 2014
Démo Gatling au Performance User Group de Casablanca - 25 sept 2014Démo Gatling au Performance User Group de Casablanca - 25 sept 2014
Démo Gatling au Performance User Group de Casablanca - 25 sept 2014
 
Déploiement PHP : de l'âge de pierre à nos jours.
Déploiement PHP : de l'âge de pierre à nos jours.Déploiement PHP : de l'âge de pierre à nos jours.
Déploiement PHP : de l'âge de pierre à nos jours.
 
Power shell saturday Paris 2017 Omiossec
Power shell saturday Paris 2017 OmiossecPower shell saturday Paris 2017 Omiossec
Power shell saturday Paris 2017 Omiossec
 
Retour AFUP du forumphp 2017
Retour AFUP du forumphp 2017Retour AFUP du forumphp 2017
Retour AFUP du forumphp 2017
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
 
Logs serveurs : du terme barbare à la simplicité de la réalité
Logs serveurs : du terme barbare à la simplicité de la réalitéLogs serveurs : du terme barbare à la simplicité de la réalité
Logs serveurs : du terme barbare à la simplicité de la réalité
 
XebiCon'17 : Migration d’une application web vers un Paas Openshift - Akram B...
XebiCon'17 : Migration d’une application web vers un Paas Openshift - Akram B...XebiCon'17 : Migration d’une application web vers un Paas Openshift - Akram B...
XebiCon'17 : Migration d’une application web vers un Paas Openshift - Akram B...
 
SEO: Faut il migrer vos sites en https ?
SEO: Faut il migrer vos sites en https ?SEO: Faut il migrer vos sites en https ?
SEO: Faut il migrer vos sites en https ?
 
La mise en cache et ses secrets
La mise en cache et ses secretsLa mise en cache et ses secrets
La mise en cache et ses secrets
 
Les bases de la securité informatique
Les bases de la securité informatiqueLes bases de la securité informatique
Les bases de la securité informatique
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 
Dossier de competences MA
Dossier de competences MADossier de competences MA
Dossier de competences MA
 
Cours 8 squid.pdf
Cours 8 squid.pdfCours 8 squid.pdf
Cours 8 squid.pdf
 
Guide de securite php
Guide de securite phpGuide de securite php
Guide de securite php
 
Reconnaissance
ReconnaissanceReconnaissance
Reconnaissance
 
2018 06 Demo Checkpoint et Splunk e-Xpert solutions
2018 06 Demo Checkpoint et Splunk e-Xpert solutions2018 06 Demo Checkpoint et Splunk e-Xpert solutions
2018 06 Demo Checkpoint et Splunk e-Xpert solutions
 
Epitech securite-2012.key
Epitech securite-2012.keyEpitech securite-2012.key
Epitech securite-2012.key
 
Webinar - Maintenance d'un site WordPress en agence.pdf
Webinar - Maintenance d'un site WordPress en agence.pdfWebinar - Maintenance d'un site WordPress en agence.pdf
Webinar - Maintenance d'un site WordPress en agence.pdf
 
Jenkins - Les jeudis de la découverte
Jenkins - Les jeudis de la découverteJenkins - Les jeudis de la découverte
Jenkins - Les jeudis de la découverte
 
Perf university
Perf universityPerf university
Perf university
 

Plus de e-Xpert Solutions SA

Event e-Xpert Solutions et Tufin - 28 mars 2019
Event e-Xpert Solutions et Tufin - 28 mars 2019Event e-Xpert Solutions et Tufin - 28 mars 2019
Event e-Xpert Solutions et Tufin - 28 mars 2019e-Xpert Solutions SA
 
Présentation d'e-Xpert Solutions et F5 Networks - Event Oct 2018
Présentation d'e-Xpert Solutions et F5 Networks - Event Oct 2018 Présentation d'e-Xpert Solutions et F5 Networks - Event Oct 2018
Présentation d'e-Xpert Solutions et F5 Networks - Event Oct 2018 e-Xpert Solutions SA
 
Mise en place d'un Use Case d'Adaptive Authentication avec F5 APM et Insight ...
Mise en place d'un Use Case d'Adaptive Authentication avec F5 APM et Insight ...Mise en place d'un Use Case d'Adaptive Authentication avec F5 APM et Insight ...
Mise en place d'un Use Case d'Adaptive Authentication avec F5 APM et Insight ...e-Xpert Solutions SA
 
2018 06 Presentation Cloudguard IaaS de Checkpoint
2018 06 Presentation Cloudguard IaaS de Checkpoint2018 06 Presentation Cloudguard IaaS de Checkpoint
2018 06 Presentation Cloudguard IaaS de Checkpointe-Xpert Solutions SA
 
2018 06 Presentation Cloudguard SaaS de Checkpoint
2018 06 Presentation Cloudguard SaaS de Checkpoint 2018 06 Presentation Cloudguard SaaS de Checkpoint
2018 06 Presentation Cloudguard SaaS de Checkpoint e-Xpert Solutions SA
 
Fédération d’identité : des concepts Théoriques aux études de cas d’implément...
Fédération d’identité : des concepts Théoriques aux études de cas d’implément...Fédération d’identité : des concepts Théoriques aux études de cas d’implément...
Fédération d’identité : des concepts Théoriques aux études de cas d’implément...e-Xpert Solutions SA
 
Fédération d'identité, séminaire du 27 novembre 2014
Fédération d'identité, séminaire du 27 novembre 2014Fédération d'identité, séminaire du 27 novembre 2014
Fédération d'identité, séminaire du 27 novembre 2014e-Xpert Solutions SA
 
Séminaire Evolution de la Mobilité - Subir ou gérer ?
Séminaire Evolution de la Mobilité - Subir ou gérer ?Séminaire Evolution de la Mobilité - Subir ou gérer ?
Séminaire Evolution de la Mobilité - Subir ou gérer ?e-Xpert Solutions SA
 
Le DLP vu sous un angle pragmatique
Le DLP vu sous un angle pragmatiqueLe DLP vu sous un angle pragmatique
Le DLP vu sous un angle pragmatiquee-Xpert Solutions SA
 
Plus de mobilité ! Moins de sécurité ?
Plus de mobilité ! Moins de sécurité ?Plus de mobilité ! Moins de sécurité ?
Plus de mobilité ! Moins de sécurité ?e-Xpert Solutions SA
 
DDoS, la nouvelle arme des hackers
DDoS, la nouvelle arme des hackersDDoS, la nouvelle arme des hackers
DDoS, la nouvelle arme des hackerse-Xpert Solutions SA
 
Sandboxing, une nouvelle défense contre les menaces intelligentes
Sandboxing, une nouvelle défense contre les menaces intelligentesSandboxing, une nouvelle défense contre les menaces intelligentes
Sandboxing, une nouvelle défense contre les menaces intelligentese-Xpert Solutions SA
 
Partie III – APM Application Policy Manager
Partie III – APM Application Policy ManagerPartie III – APM Application Policy Manager
Partie III – APM Application Policy Managere-Xpert Solutions SA
 
Partie II – ASM Application Security Manager
Partie II – ASM Application Security ManagerPartie II – ASM Application Security Manager
Partie II – ASM Application Security Managere-Xpert Solutions SA
 
Partie I – Décodage technologie ADN
Partie I – Décodage technologie ADNPartie I – Décodage technologie ADN
Partie I – Décodage technologie ADNe-Xpert Solutions SA
 
Séminaire Sécurisation de la messagerie
Séminaire Sécurisation de la messagerieSéminaire Sécurisation de la messagerie
Séminaire Sécurisation de la messageriee-Xpert Solutions SA
 
Séminaire Evolution des technologies d’authentification
Séminaire Evolution des technologies d’authentificationSéminaire Evolution des technologies d’authentification
Séminaire Evolution des technologies d’authentificatione-Xpert Solutions SA
 

Plus de e-Xpert Solutions SA (20)

Event e-Xpert Solutions et Tufin - 28 mars 2019
Event e-Xpert Solutions et Tufin - 28 mars 2019Event e-Xpert Solutions et Tufin - 28 mars 2019
Event e-Xpert Solutions et Tufin - 28 mars 2019
 
Présentation d'e-Xpert Solutions et F5 Networks - Event Oct 2018
Présentation d'e-Xpert Solutions et F5 Networks - Event Oct 2018 Présentation d'e-Xpert Solutions et F5 Networks - Event Oct 2018
Présentation d'e-Xpert Solutions et F5 Networks - Event Oct 2018
 
Mise en place d'un Use Case d'Adaptive Authentication avec F5 APM et Insight ...
Mise en place d'un Use Case d'Adaptive Authentication avec F5 APM et Insight ...Mise en place d'un Use Case d'Adaptive Authentication avec F5 APM et Insight ...
Mise en place d'un Use Case d'Adaptive Authentication avec F5 APM et Insight ...
 
2018-08_Présentation Corporate
2018-08_Présentation Corporate2018-08_Présentation Corporate
2018-08_Présentation Corporate
 
2018 06 Presentation Cloudguard IaaS de Checkpoint
2018 06 Presentation Cloudguard IaaS de Checkpoint2018 06 Presentation Cloudguard IaaS de Checkpoint
2018 06 Presentation Cloudguard IaaS de Checkpoint
 
2018 06 Presentation Cloudguard SaaS de Checkpoint
2018 06 Presentation Cloudguard SaaS de Checkpoint 2018 06 Presentation Cloudguard SaaS de Checkpoint
2018 06 Presentation Cloudguard SaaS de Checkpoint
 
Fédération d’identité : des concepts Théoriques aux études de cas d’implément...
Fédération d’identité : des concepts Théoriques aux études de cas d’implément...Fédération d’identité : des concepts Théoriques aux études de cas d’implément...
Fédération d’identité : des concepts Théoriques aux études de cas d’implément...
 
Fédération d'identité, séminaire du 27 novembre 2014
Fédération d'identité, séminaire du 27 novembre 2014Fédération d'identité, séminaire du 27 novembre 2014
Fédération d'identité, séminaire du 27 novembre 2014
 
Séminaire Evolution de la Mobilité - Subir ou gérer ?
Séminaire Evolution de la Mobilité - Subir ou gérer ?Séminaire Evolution de la Mobilité - Subir ou gérer ?
Séminaire Evolution de la Mobilité - Subir ou gérer ?
 
Le DLP vu sous un angle pragmatique
Le DLP vu sous un angle pragmatiqueLe DLP vu sous un angle pragmatique
Le DLP vu sous un angle pragmatique
 
Plus de mobilité ! Moins de sécurité ?
Plus de mobilité ! Moins de sécurité ?Plus de mobilité ! Moins de sécurité ?
Plus de mobilité ! Moins de sécurité ?
 
DDoS, la nouvelle arme des hackers
DDoS, la nouvelle arme des hackersDDoS, la nouvelle arme des hackers
DDoS, la nouvelle arme des hackers
 
Sandboxing, une nouvelle défense contre les menaces intelligentes
Sandboxing, une nouvelle défense contre les menaces intelligentesSandboxing, une nouvelle défense contre les menaces intelligentes
Sandboxing, une nouvelle défense contre les menaces intelligentes
 
Evolution du paysage sécurité
Evolution du paysage sécuritéEvolution du paysage sécurité
Evolution du paysage sécurité
 
Partie III – APM Application Policy Manager
Partie III – APM Application Policy ManagerPartie III – APM Application Policy Manager
Partie III – APM Application Policy Manager
 
Partie II – ASM Application Security Manager
Partie II – ASM Application Security ManagerPartie II – ASM Application Security Manager
Partie II – ASM Application Security Manager
 
Partie I – Décodage technologie ADN
Partie I – Décodage technologie ADNPartie I – Décodage technologie ADN
Partie I – Décodage technologie ADN
 
Séminaire Web Services
Séminaire Web ServicesSéminaire Web Services
Séminaire Web Services
 
Séminaire Sécurisation de la messagerie
Séminaire Sécurisation de la messagerieSéminaire Sécurisation de la messagerie
Séminaire Sécurisation de la messagerie
 
Séminaire Evolution des technologies d’authentification
Séminaire Evolution des technologies d’authentificationSéminaire Evolution des technologies d’authentification
Séminaire Evolution des technologies d’authentification
 

Présentation de nos MVP - F5 devCentral - Event 09-10-18

  • 1. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E 23.10.2018 1
  • 2. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E 23.10.2018 2
  • 3. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E 23.10.2018 3 Les différents types de contenu: - Articles by the Jedi Masters - A monster stash of API documentation - Q&A for everything - Downloads galore - Videos by geeks and for geeks - Upcoming events
  • 4. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E 23.10.2018 4 - Obtain Certificates from a Reliable CA - Use Strong Certificate Signature Algorithms (Sha2) - Use Secure Protocols:TLS v1.1 and v1.2 are both without known security issues, but only v1.2 provides modern cryptographic algorithms. - Use Secure Cipher Suites: 3DES is slow and weak / RC4 is insecure / NULL cipher suites provide no encryption / ADH suites do not provide authentication - Performance: With proper configuration, TLS can be quite fast. With modern protocols - Priviled OCSP Stapling (CRLDP / OCSP) - Deploy HTTP Strict Transport Security - Use Fast Cryptographic Primitives: Whenever possible, use CPUs that support hardware-accelerated AES - Content Security Policy: Content Security Policy (CSP) is a security mechanism that web sites can use to restrict browser operation. - Secure Cookies - Public Key Pinning SSL andTLS Deployment Best Practices
  • 5. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E 23.10.2018 5 SAMLVS Oauth - SAML c’est quoi ?
  • 6. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E 23.10.2018 6 SAMLVS Oauth API REST c’est quoi ?
  • 7. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E 23.10.2018 7 SAMLVS Oauth API REST c’est quoi ?
  • 8. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E 23.10.2018 8 SAMLVS OAuth il s'agit d'un protocole permettant de protéger une ressource (typiquement, une fonction d'une API) en offrant aux applications clientes de l'API un accès à la ressource limité dans le temps et l'usage après autorisation par le propriétaire de la ressource (l'utilisateur propriétaire des données).
  • 9. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E 23.10.2018 9 Evolution: Sécurité périmétrique
  • 10. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E 23.10.2018 10 Per APPVPN
  • 11. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E Problématique - Devcentral Contexte Une application critique doit être reverse proxifiée par les F5s afin de garantir sa haute disponibilité et la répartition de charge vers les serveurs applicatifs. Besoin identifié par l’équipe sécurité ✓ Authentification périmétrique au niveau des F5s ✓ SSO après authentification
  • 12. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E Après étude de l’application… Contraintes liées à l’application ➢ Base d’utilisateurs locale ➢ Authentification de type formulaire “Form Based” ➢ Authentification “stateful” ou “contextuelle”
  • 13. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E Schématisation Application Server + User DB Client F5 3 21 4 5 6 Virtual Server LTM | APM | iRule (1) L’utilisateur saisie son “User / MDP” sur une page d’authentification envoyée par le VS (2) Le VS initie une session vers le serveur applicative (3) Le serveur renvoie un cookie JSESSIONID (4) Le VS récupère le cookie JSESSIONID ET POST le “User / MDP” saisie par le client (5) Le serveur applicatif valide/ou pas l’authentification de l’utilisateur (6) En cas de succès, l’accès à l’application est donné à l’utilisateur. En cas d’échec, l’utilisateur est interdit d’accéder à l’application.
  • 14. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E iRule
  • 15. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E Application Server + User DB Client F5 3 21 4 5 6 Virtual Server LTM | APM | iRule
  • 16. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E Question type sur Devcentral ▪ Comment protéger une application web accessible depuis Internet avec le module ASM ? Qu’est-ce que le module ASM ? ✓ ASM = Application Security Manager ✓ L’ ASM est un Web Application Firewall (WAF)
  • 17. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E Qu’est-ce que l’ASM ? « Un Web Application Firewall est un type de pare-feu qui protège le serveur d'applications Web contre diverses attaques. » « Le WAF garantit que la sécurité du serveur Web n'est pas compromise en examinant les paquets de requête HTTP / HTTPS... » Source Wikipédia
  • 18. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E Que fait l’ASM ? https://www.google.ch/admin/search.php?user=1C1CHBD6&q=la+poti nière+genève 1. Vérification du protocol
  • 19. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E Que fait l’ASM ? https://www.google.ch/admin/search.php?user=1C1CHBD6&q=la+poti nière+genève 1. Vérification du protocol 2. Vérification du FQDN
  • 20. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E Que fait l’ASM ? https://www.google.ch/admin/search.php?user=1C1CHBD6&q=la+poti nière+genève 1. Vérification du protocol 2. Vérification du FQDN 3. Vérification du PATH (chemin d’accès à la ressource)
  • 21. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E Que fait l’ASM ? https://www.google.ch/admin/search.php?user=1C1CHBD6&q=la+poti nière+genève 1. Vérification du protocol 2. Vérification du FQDN 3. Vérification du PATH (chemin d’accès à la ressource) 4. Vérification du File Type (.exe / .php / .txt)
  • 22. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E Que fait l’ASM ? https://www.google.ch/admin/search.php?user=1C1CHBD6&q=la+poti nière+genève 1. Vérification du protocol 2. Vérification du FQDN 3. Vérification du PATH (chemin d’accès à la ressource) 4. Vérification du File Type (.exe / .php / .txt) 5. Vérification des paramètres de la requête
  • 23. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E ZOOM IN sur les verifications https://www.google.ch/admin/search.php?user=1C1CHBD6&q=la+poti nière+genève 1. Vérification du protocol ✓ Requête HTTP ou HTTPS ✓ Conformité avec la RFC (taille des entêtes, version du protocol) ✓ Méthodes utilisées (POST, GET, HEAD, DELETE, etc.)
  • 24. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E ZOOM IN sur les verifications https://www.google.ch/admin/search.php?user=1C1CHBD6&q=la+poti nière+genève 1. Vérification du protocol 2. Vérification du FQDN ✓ Est-ce que le nom de domaine est autorisé ? ✓ Est-ce que l’application est autorisée à récupérer du contenu d’autres domaines ? ✓ Whitelisting des sous-domaines autorisés
  • 25. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E ZOOM IN sur les verifications https://www.google.ch/admin/search.php?user=1C1CHBD6&q=la+poti nière+genève 1. Vérification du protocol 2. Vérification du FQDN 3. Vérification du PATH ✓ Est-ce que le chemin est autorisé ? Whitelisting / Blacklisting des URLs ✓ Est-ce que la taille de l’URL est conforme avec la politique de sécurité ? ✓ Est-ce que les charactères sont autorisés (charactères spéciaux) ?
  • 26. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E ZOOM IN sur les verifications https://www.google.ch/admin/search.php?user=1C1CHBD6&q=la+poti nière+genève 1. Vérification du protocol 2. Vérification du FQDN 3. Vérification du PATH 4. Vérification du File Type ✓ Est-ce que le fichier demandé est autorisé ? ✓ Whitelisting / Blacklisting des extensions de fichier ✓ Est-ce que la taille du fichier demandé n’excède pas le seuil défini
  • 27. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E ZOOM IN sur les verifications https://www.google.ch/admin/search.php?user=1C1CHBD6&q=la+poti nière+genève 1. Vérification du protocol 2. Vérification du FQDN 3. Vérification du PATH 4. Vérification du File Type 5. Vérification des paramètres de la requête ✓ Validation des noms des paramètres ✓ Validation des valeurs des paramètres ✓ Est-ce que les noms et/ou valeurs de ces paramètres contiennent-ils des attack signatures connues ? Example : 'or 1 = 1'
  • 28. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E Autres vérifications de l’ASM Au niveau de la REQUÊTE 1. Bruteforcing sur login page 2. Inspection des headers du protocol HTTP ✓ Cookie (Whitelisting, Blacklisting, Attack Signatures) ✓ Content-Type (JSON / XML) 3. Protection contre le DOS Au niveau de la REPONSE 1. Status Code (200 OK, 401, 403 Not Authorized, etc.) 2. Data Protection qui permet de masquer le contenu sensible (CB, etc.)