Les différents types de contenu de la présentation :
- Articles by the Jedi Masters
- A monsterstash of API documentation
- Q&A for everything
- Downloads galore
- Videos by geeks and for geeks
- Upcoming events
Séminaire Evolution des technologies d’authentification
Présentation de nos MVP - F5 devCentral - Event 09-10-18
1. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
23.10.2018 1
2. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
23.10.2018 2
3. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
23.10.2018 3
Les différents types de contenu:
- Articles by the Jedi Masters
- A monster stash of API documentation
- Q&A for everything
- Downloads galore
- Videos by geeks and for geeks
- Upcoming events
4. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
23.10.2018 4
- Obtain Certificates from a Reliable CA
- Use Strong Certificate Signature Algorithms (Sha2)
- Use Secure Protocols:TLS v1.1 and v1.2 are both without known security issues, but only v1.2 provides modern
cryptographic algorithms.
- Use Secure Cipher Suites: 3DES is slow and weak / RC4 is insecure / NULL cipher suites provide no encryption /
ADH suites do not provide authentication
- Performance: With proper configuration, TLS can be quite fast. With modern protocols
- Priviled OCSP Stapling (CRLDP / OCSP)
- Deploy HTTP Strict Transport Security
- Use Fast Cryptographic Primitives: Whenever possible, use CPUs that support hardware-accelerated AES
- Content Security Policy: Content Security Policy (CSP) is a security mechanism that web sites can use to restrict browser
operation.
- Secure Cookies
- Public Key Pinning
SSL andTLS Deployment Best Practices
5. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
23.10.2018 5
SAMLVS Oauth
- SAML c’est quoi ?
6. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
23.10.2018 6
SAMLVS Oauth API REST c’est quoi ?
7. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
23.10.2018 7
SAMLVS Oauth API REST c’est quoi ?
8. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
23.10.2018 8
SAMLVS OAuth
il s'agit d'un protocole
permettant de protéger
une ressource
(typiquement, une
fonction d'une API) en
offrant aux applications
clientes de l'API un accès
à la ressource limité dans
le temps et l'usage après
autorisation par le
propriétaire de la
ressource (l'utilisateur
propriétaire des données).
9. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
23.10.2018 9
Evolution: Sécurité périmétrique
10. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
23.10.2018 10
Per APPVPN
11. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
Problématique - Devcentral
Contexte
Une application critique doit être reverse proxifiée par les F5s afin de
garantir sa haute disponibilité et la répartition de charge vers les
serveurs applicatifs.
Besoin identifié par l’équipe sécurité
✓ Authentification périmétrique au niveau des F5s
✓ SSO après authentification
12. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
Après étude de l’application…
Contraintes liées à l’application
➢ Base d’utilisateurs locale
➢ Authentification de type formulaire “Form Based”
➢ Authentification “stateful” ou “contextuelle”
13. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
Schématisation
Application
Server
+
User DB
Client F5
3
21
4
5
6
Virtual Server
LTM | APM | iRule
(1) L’utilisateur saisie son “User / MDP” sur une page d’authentification envoyée par le VS
(2) Le VS initie une session vers le serveur applicative
(3) Le serveur renvoie un cookie JSESSIONID
(4) Le VS récupère le cookie JSESSIONID ET POST le “User / MDP” saisie par le client
(5) Le serveur applicatif valide/ou pas l’authentification de l’utilisateur
(6) En cas de succès, l’accès à l’application est donné à l’utilisateur.
En cas d’échec, l’utilisateur est interdit d’accéder à l’application.
14. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
iRule
15. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
Application
Server
+
User DB
Client F5
3
21
4
5
6
Virtual Server
LTM | APM | iRule
16. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
Question type sur Devcentral
▪ Comment protéger une application web accessible depuis Internet
avec le module ASM ?
Qu’est-ce que le module ASM ?
✓ ASM = Application Security Manager
✓ L’ ASM est un Web Application Firewall (WAF)
17. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
Qu’est-ce que l’ASM ?
« Un Web Application Firewall est un type de pare-feu qui protège le
serveur d'applications Web contre diverses attaques. »
« Le WAF garantit que la sécurité du serveur Web n'est pas compromise
en examinant les paquets de requête HTTP / HTTPS... »
Source Wikipédia
18. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
Que fait l’ASM ?
https://www.google.ch/admin/search.php?user=1C1CHBD6&q=la+poti
nière+genève
1. Vérification du protocol
19. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
Que fait l’ASM ?
https://www.google.ch/admin/search.php?user=1C1CHBD6&q=la+poti
nière+genève
1. Vérification du protocol
2. Vérification du FQDN
20. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
Que fait l’ASM ?
https://www.google.ch/admin/search.php?user=1C1CHBD6&q=la+poti
nière+genève
1. Vérification du protocol
2. Vérification du FQDN
3. Vérification du PATH (chemin d’accès à la ressource)
21. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
Que fait l’ASM ?
https://www.google.ch/admin/search.php?user=1C1CHBD6&q=la+poti
nière+genève
1. Vérification du protocol
2. Vérification du FQDN
3. Vérification du PATH (chemin d’accès à la ressource)
4. Vérification du File Type (.exe / .php / .txt)
22. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
Que fait l’ASM ?
https://www.google.ch/admin/search.php?user=1C1CHBD6&q=la+poti
nière+genève
1. Vérification du protocol
2. Vérification du FQDN
3. Vérification du PATH (chemin d’accès à la ressource)
4. Vérification du File Type (.exe / .php / .txt)
5. Vérification des paramètres de la requête
23. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
ZOOM IN sur les verifications
https://www.google.ch/admin/search.php?user=1C1CHBD6&q=la+poti
nière+genève
1. Vérification du protocol
✓ Requête HTTP ou HTTPS
✓ Conformité avec la RFC (taille des entêtes, version du protocol)
✓ Méthodes utilisées (POST, GET, HEAD, DELETE, etc.)
24. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
ZOOM IN sur les verifications
https://www.google.ch/admin/search.php?user=1C1CHBD6&q=la+poti
nière+genève
1. Vérification du protocol
2. Vérification du FQDN
✓ Est-ce que le nom de domaine est autorisé ?
✓ Est-ce que l’application est autorisée à récupérer du contenu d’autres
domaines ?
✓ Whitelisting des sous-domaines autorisés
25. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
ZOOM IN sur les verifications
https://www.google.ch/admin/search.php?user=1C1CHBD6&q=la+poti
nière+genève
1. Vérification du protocol
2. Vérification du FQDN
3. Vérification du PATH
✓ Est-ce que le chemin est autorisé ? Whitelisting / Blacklisting des URLs
✓ Est-ce que la taille de l’URL est conforme avec la politique de sécurité ?
✓ Est-ce que les charactères sont autorisés (charactères spéciaux) ?
26. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
ZOOM IN sur les verifications
https://www.google.ch/admin/search.php?user=1C1CHBD6&q=la+poti
nière+genève
1. Vérification du protocol
2. Vérification du FQDN
3. Vérification du PATH
4. Vérification du File Type
✓ Est-ce que le fichier demandé est autorisé ?
✓ Whitelisting / Blacklisting des extensions de fichier
✓ Est-ce que la taille du fichier demandé n’excède pas le seuil défini
27. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
ZOOM IN sur les verifications
https://www.google.ch/admin/search.php?user=1C1CHBD6&q=la+poti
nière+genève
1. Vérification du protocol
2. Vérification du FQDN
3. Vérification du PATH
4. Vérification du File Type
5. Vérification des paramètres de la requête
✓ Validation des noms des paramètres
✓ Validation des valeurs des paramètres
✓ Est-ce que les noms et/ou valeurs de ces paramètres contiennent-ils des attack signatures
connues ? Example : 'or 1 = 1'
28. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
Autres vérifications de l’ASM
Au niveau de la REQUÊTE
1. Bruteforcing sur login page
2. Inspection des headers du protocol HTTP
✓ Cookie (Whitelisting, Blacklisting, Attack Signatures)
✓ Content-Type (JSON / XML)
3. Protection contre le DOS
Au niveau de la REPONSE
1. Status Code (200 OK, 401, 403 Not Authorized, etc.)
2. Data Protection qui permet de masquer le contenu sensible (CB, etc.)