SlideShare une entreprise Scribd logo
Sécurisez-vous avec des solutions O pen Source
1 .0 - Solutions Linux (05-201 4)
Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Julien C AYSSO L - C ertilience
www.certilience.fr
1
Sommaire
● Présentation de l'architecture type d'une entreprise
● Recherche de vulnérabilités sur le périmètre : Pirate / Pentest
● Sécurisez-vous avec des solutions OpenSource
Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Architecture
Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Architecture
● Notre entreprise Avant:
– Accès internet de l'entreprise un Linux
– Un site vitrine sous Wordpress, accès SSH ouvert sur internet
– Échange de documents avec Owncloud
– Un Webmail : Roundcube
Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
L'entreprise estrassurée car...
● Elle utilise du SSL !!!
● Elle a des sauvegardes !!!
● Elle n'a rien à cacher
Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
C omment
rentrer?
Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
C ommentrentrer
● Inciterl'utilisateurà allersurun site malveillantou à ouvrirune pièce jointe :
Exécution de code surle poste de l'utilisateur.
● Brute-force surl'accès d'administration (SSH) du site vitrine : effacementdu
site
● Motde passe simple surl'admin Wordpresse : Exécution de code.
● Pas de suivi surles mises à jourde O wncloud : fuite d'information, exécution
de code
● Injection SQ L surun module Wordpress : dump de base, exécution de code.
Injection SQ L ?
Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Injection SQ L
● Exemple de code d'une formulaire d'authentification :
– SELECT * from users where user='$username' and password='$password'
– => si username = admin et password = admin
● select * from users where user= 'admin' and password = 'admin'
– =>si username = admin et password = test' or1='1
● select * from users where user= 'admin' and password = 'test' or 1='1'
● Démonstration avec un outilcomme sqlmap
Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Après l'attaque, les conséquences
● Les utilisateurs ont des Virus
● Atteinte à l'image de la société surle site vitrine : tête de pirate surle site de
l'entreprise ?
● Perte de données clients
● Indisponibilité du SI
Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
C omment
Sécuriser?
Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Architecture Sécurisée : C ontrôle périmétrique
Un Firewall
● Filtrage entre les zones
● Accès VPN pourles Utilisateurs ou les Administrateurs.
● VPN site à site
● Solutions :
– Pfsense
– Ipcop
– Linux avec Netfilter
●
Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Architecture Sécurisée : Accès internet
● Accès internetdes utilisateurs
● Filtrage + Natsurle firewall
● Proxypourles FluxHTTP:
– Utilisation du proxy SQUID
– HAVP pour l'antivirus
– SquidGuard pour le filtrage d'url.
– Sarg pour l'analyse des traces
–
Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Architecture Sécurisée : Site vitrine
● Durcissementsurle serveur:
– Durcissement système : fail2ban sur ssh, iptables, limitation des services, personnalisation
pam, outils d'audit de configuration
– Durcissement des services : SSH,apache,Mysql
– Ajout de composants sur la couche applicative :suPhp,
Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Architecture Sécurisée : Sites Internet
• Pointcentralpourpublierles applications
• Reverse Proxy:
• Mod Security pour la vérification
• Mod evasive
• Fail2ban pour l'action
• Filtrage des URL
•
Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Architecture Sécurisée : Les conseils
• Ne pas négligerle suivi des mises à jour(veille à réaliser)
• Désactiverun maximum de services etd'options ( exemple : owncloud)
• Maîtrisez les produits installés = Formez-vous, plusieurs formations sécuritéchez
AlterWay/Certilience
• Sur les solutions : Pfsense, squid, Web cache, ...
• Sur l'aspect offensif : Techniques de Hacking (Réseau/Applicatif/Web) et sur les outils de
hacking
• Sur le développement : Php sécurisé, présentation OWASP
•
Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Vos Q uestions ?
Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Plus d'informations sur :
● Www.certilience.fr

Contenu connexe

Tendances

Maltacademy: securing your k8s cluster with CNCF falco
Maltacademy: securing your k8s cluster with CNCF falcoMaltacademy: securing your k8s cluster with CNCF falco
Maltacademy: securing your k8s cluster with CNCF falco
Frederic Leger
 
#MSDEVMTL Introduction à #SonarQube
#MSDEVMTL Introduction à #SonarQube#MSDEVMTL Introduction à #SonarQube
#MSDEVMTL Introduction à #SonarQube
Vincent Biret
 
FAN, Fully Automated Nagios, Paris Capitale du Libre 2008
FAN, Fully Automated Nagios, Paris Capitale du Libre 2008FAN, Fully Automated Nagios, Paris Capitale du Libre 2008
FAN, Fully Automated Nagios, Paris Capitale du Libre 2008
FAN Fully Automated Nagios
 
Fully Automated Nagios, Solutions Linux 2009
Fully Automated Nagios, Solutions Linux 2009Fully Automated Nagios, Solutions Linux 2009
Fully Automated Nagios, Solutions Linux 2009
FAN Fully Automated Nagios
 
Chiffrer et sécuriser MariaDB
Chiffrer et sécuriser MariaDBChiffrer et sécuriser MariaDB
Chiffrer et sécuriser MariaDB
Christophe Villeneuve
 
Moussasambe projet de securite zabbix
Moussasambe projet de securite zabbixMoussasambe projet de securite zabbix
Moussasambe projet de securite zabbix
moussa sambe
 
alphorm.com - Formation Configuration Exchange 2010 (70-662)
alphorm.com - Formation Configuration Exchange 2010 (70-662)alphorm.com - Formation Configuration Exchange 2010 (70-662)
alphorm.com - Formation Configuration Exchange 2010 (70-662)
Alphorm
 
Meetup vault - ScaaS Secrets as a Service
Meetup vault - ScaaS Secrets as a ServiceMeetup vault - ScaaS Secrets as a Service
Meetup vault - ScaaS Secrets as a Service
Frederic Leger
 
Alphorm.com Support de la Formation PHP MySQL
Alphorm.com Support de la Formation PHP MySQLAlphorm.com Support de la Formation PHP MySQL
Alphorm.com Support de la Formation PHP MySQL
Alphorm
 
MIC QRS "JWT, la superstar pour sécuriser vos WebAPI"
MIC QRS "JWT, la superstar pour sécuriser vos WebAPI"MIC QRS "JWT, la superstar pour sécuriser vos WebAPI"
MIC QRS "JWT, la superstar pour sécuriser vos WebAPI"
Denis Voituron
 
Azure camp 26 septembre tips and tools
Azure camp 26 septembre tips and toolsAzure camp 26 septembre tips and tools
Azure camp 26 septembre tips and toolsAymeric Weinbach
 
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?
Sylvie CECI
 
PSES - La securite pour les développeurs
PSES - La securite pour les développeursPSES - La securite pour les développeurs
PSES - La securite pour les développeurs
Christophe Villeneuve
 
Alphorm.com Formation PostgreSQL, la Haute Disponibilité
Alphorm.com Formation PostgreSQL, la Haute DisponibilitéAlphorm.com Formation PostgreSQL, la Haute Disponibilité
Alphorm.com Formation PostgreSQL, la Haute Disponibilité
Alphorm
 
Tutoriel slideshare3
Tutoriel slideshare3Tutoriel slideshare3
Tutoriel slideshare3Rabolliot
 
L'open source dans les nouvelles architectures web
L'open source dans les nouvelles architectures webL'open source dans les nouvelles architectures web
L'open source dans les nouvelles architectures web
Christophe Villeneuve
 
Alphorm.com Support de la Formation Oracle VM Administration
Alphorm.com Support de la Formation Oracle VM AdministrationAlphorm.com Support de la Formation Oracle VM Administration
Alphorm.com Support de la Formation Oracle VM Administration
Alphorm
 
Wilfried woivré intégration continue
Wilfried woivré   intégration continueWilfried woivré   intégration continue
Wilfried woivré intégration continueAymeric Weinbach
 

Tendances (20)

Maltacademy: securing your k8s cluster with CNCF falco
Maltacademy: securing your k8s cluster with CNCF falcoMaltacademy: securing your k8s cluster with CNCF falco
Maltacademy: securing your k8s cluster with CNCF falco
 
#MSDEVMTL Introduction à #SonarQube
#MSDEVMTL Introduction à #SonarQube#MSDEVMTL Introduction à #SonarQube
#MSDEVMTL Introduction à #SonarQube
 
FAN, Fully Automated Nagios, Paris Capitale du Libre 2008
FAN, Fully Automated Nagios, Paris Capitale du Libre 2008FAN, Fully Automated Nagios, Paris Capitale du Libre 2008
FAN, Fully Automated Nagios, Paris Capitale du Libre 2008
 
Fully Automated Nagios, Solutions Linux 2009
Fully Automated Nagios, Solutions Linux 2009Fully Automated Nagios, Solutions Linux 2009
Fully Automated Nagios, Solutions Linux 2009
 
Fully Automated Nagios Jm2L 2009
Fully Automated Nagios Jm2L 2009Fully Automated Nagios Jm2L 2009
Fully Automated Nagios Jm2L 2009
 
Chiffrer et sécuriser MariaDB
Chiffrer et sécuriser MariaDBChiffrer et sécuriser MariaDB
Chiffrer et sécuriser MariaDB
 
Moussasambe projet de securite zabbix
Moussasambe projet de securite zabbixMoussasambe projet de securite zabbix
Moussasambe projet de securite zabbix
 
alphorm.com - Formation Configuration Exchange 2010 (70-662)
alphorm.com - Formation Configuration Exchange 2010 (70-662)alphorm.com - Formation Configuration Exchange 2010 (70-662)
alphorm.com - Formation Configuration Exchange 2010 (70-662)
 
Meetup vault - ScaaS Secrets as a Service
Meetup vault - ScaaS Secrets as a ServiceMeetup vault - ScaaS Secrets as a Service
Meetup vault - ScaaS Secrets as a Service
 
Alphorm.com Support de la Formation PHP MySQL
Alphorm.com Support de la Formation PHP MySQLAlphorm.com Support de la Formation PHP MySQL
Alphorm.com Support de la Formation PHP MySQL
 
Zabbix
ZabbixZabbix
Zabbix
 
MIC QRS "JWT, la superstar pour sécuriser vos WebAPI"
MIC QRS "JWT, la superstar pour sécuriser vos WebAPI"MIC QRS "JWT, la superstar pour sécuriser vos WebAPI"
MIC QRS "JWT, la superstar pour sécuriser vos WebAPI"
 
Azure camp 26 septembre tips and tools
Azure camp 26 septembre tips and toolsAzure camp 26 septembre tips and tools
Azure camp 26 septembre tips and tools
 
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?
 
PSES - La securite pour les développeurs
PSES - La securite pour les développeursPSES - La securite pour les développeurs
PSES - La securite pour les développeurs
 
Alphorm.com Formation PostgreSQL, la Haute Disponibilité
Alphorm.com Formation PostgreSQL, la Haute DisponibilitéAlphorm.com Formation PostgreSQL, la Haute Disponibilité
Alphorm.com Formation PostgreSQL, la Haute Disponibilité
 
Tutoriel slideshare3
Tutoriel slideshare3Tutoriel slideshare3
Tutoriel slideshare3
 
L'open source dans les nouvelles architectures web
L'open source dans les nouvelles architectures webL'open source dans les nouvelles architectures web
L'open source dans les nouvelles architectures web
 
Alphorm.com Support de la Formation Oracle VM Administration
Alphorm.com Support de la Formation Oracle VM AdministrationAlphorm.com Support de la Formation Oracle VM Administration
Alphorm.com Support de la Formation Oracle VM Administration
 
Wilfried woivré intégration continue
Wilfried woivré   intégration continueWilfried woivré   intégration continue
Wilfried woivré intégration continue
 

En vedette

Code d'Armor : Open Source, mode d'emploi
Code d'Armor : Open Source, mode d'emploiCode d'Armor : Open Source, mode d'emploi
Code d'Armor : Open Source, mode d'emploi
bbailleux
 
Présentation Gouvernance Open Source
Présentation Gouvernance Open SourcePrésentation Gouvernance Open Source
Présentation Gouvernance Open Source
Michel-Marie Maudet
 
Open Source Software Presentation
Open Source Software PresentationOpen Source Software Presentation
Open Source Software Presentation
Henry Briggs
 
Open source technology
Open source technologyOpen source technology
Open source technology
aparnaz1
 
OPEN SOURCE SEMINAR PRESENTATION
OPEN SOURCE SEMINAR PRESENTATIONOPEN SOURCE SEMINAR PRESENTATION
OPEN SOURCE SEMINAR PRESENTATION
Ritwick Halder
 
Rapport finiale
Rapport finialeRapport finiale
Rapport finiale
marwenbencheikhali
 
Open Source Technology
Open Source TechnologyOpen Source Technology
Open Source Technology
priyadharshini murugan
 
Pfsense 121202023417-phpapp02
Pfsense 121202023417-phpapp02Pfsense 121202023417-phpapp02
Pfsense 121202023417-phpapp02Mohamed Houssem
 
What Makes Great Infographics
What Makes Great InfographicsWhat Makes Great Infographics
What Makes Great Infographics
SlideShare
 
Masters of SlideShare
Masters of SlideShareMasters of SlideShare
Masters of SlideShare
Kapost
 
STOP! VIEW THIS! 10-Step Checklist When Uploading to Slideshare
STOP! VIEW THIS! 10-Step Checklist When Uploading to SlideshareSTOP! VIEW THIS! 10-Step Checklist When Uploading to Slideshare
STOP! VIEW THIS! 10-Step Checklist When Uploading to Slideshare
Empowered Presentations
 
You Suck At PowerPoint!
You Suck At PowerPoint!You Suck At PowerPoint!
You Suck At PowerPoint!
Jesse Desjardins - @jessedee
 
10 Ways to Win at SlideShare SEO & Presentation Optimization
10 Ways to Win at SlideShare SEO & Presentation Optimization10 Ways to Win at SlideShare SEO & Presentation Optimization
10 Ways to Win at SlideShare SEO & Presentation Optimization
Oneupweb
 
How To Get More From SlideShare - Super-Simple Tips For Content Marketing
How To Get More From SlideShare - Super-Simple Tips For Content MarketingHow To Get More From SlideShare - Super-Simple Tips For Content Marketing
How To Get More From SlideShare - Super-Simple Tips For Content Marketing
Content Marketing Institute
 
How to Make Awesome SlideShares: Tips & Tricks
How to Make Awesome SlideShares: Tips & TricksHow to Make Awesome SlideShares: Tips & Tricks
How to Make Awesome SlideShares: Tips & Tricks
SlideShare
 

En vedette (15)

Code d'Armor : Open Source, mode d'emploi
Code d'Armor : Open Source, mode d'emploiCode d'Armor : Open Source, mode d'emploi
Code d'Armor : Open Source, mode d'emploi
 
Présentation Gouvernance Open Source
Présentation Gouvernance Open SourcePrésentation Gouvernance Open Source
Présentation Gouvernance Open Source
 
Open Source Software Presentation
Open Source Software PresentationOpen Source Software Presentation
Open Source Software Presentation
 
Open source technology
Open source technologyOpen source technology
Open source technology
 
OPEN SOURCE SEMINAR PRESENTATION
OPEN SOURCE SEMINAR PRESENTATIONOPEN SOURCE SEMINAR PRESENTATION
OPEN SOURCE SEMINAR PRESENTATION
 
Rapport finiale
Rapport finialeRapport finiale
Rapport finiale
 
Open Source Technology
Open Source TechnologyOpen Source Technology
Open Source Technology
 
Pfsense 121202023417-phpapp02
Pfsense 121202023417-phpapp02Pfsense 121202023417-phpapp02
Pfsense 121202023417-phpapp02
 
What Makes Great Infographics
What Makes Great InfographicsWhat Makes Great Infographics
What Makes Great Infographics
 
Masters of SlideShare
Masters of SlideShareMasters of SlideShare
Masters of SlideShare
 
STOP! VIEW THIS! 10-Step Checklist When Uploading to Slideshare
STOP! VIEW THIS! 10-Step Checklist When Uploading to SlideshareSTOP! VIEW THIS! 10-Step Checklist When Uploading to Slideshare
STOP! VIEW THIS! 10-Step Checklist When Uploading to Slideshare
 
You Suck At PowerPoint!
You Suck At PowerPoint!You Suck At PowerPoint!
You Suck At PowerPoint!
 
10 Ways to Win at SlideShare SEO & Presentation Optimization
10 Ways to Win at SlideShare SEO & Presentation Optimization10 Ways to Win at SlideShare SEO & Presentation Optimization
10 Ways to Win at SlideShare SEO & Presentation Optimization
 
How To Get More From SlideShare - Super-Simple Tips For Content Marketing
How To Get More From SlideShare - Super-Simple Tips For Content MarketingHow To Get More From SlideShare - Super-Simple Tips For Content Marketing
How To Get More From SlideShare - Super-Simple Tips For Content Marketing
 
How to Make Awesome SlideShares: Tips & Tricks
How to Make Awesome SlideShares: Tips & TricksHow to Make Awesome SlideShares: Tips & Tricks
How to Make Awesome SlideShares: Tips & Tricks
 

Similaire à Sécurisez-vous avec des solutions Open Source

Les tests de securite devops
Les tests de securite devopsLes tests de securite devops
Les tests de securite devops
Christophe Villeneuve
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
Antonio Fontes
 
La sécurité applicative par le design
La sécurité applicative par le designLa sécurité applicative par le design
La sécurité applicative par le design
Christophe Villeneuve
 
#OSSPARIS19 - La sécurité applicative par le design - CHRISTOPHE VILLENEUVE, ...
#OSSPARIS19 - La sécurité applicative par le design - CHRISTOPHE VILLENEUVE, ...#OSSPARIS19 - La sécurité applicative par le design - CHRISTOPHE VILLENEUVE, ...
#OSSPARIS19 - La sécurité applicative par le design - CHRISTOPHE VILLENEUVE, ...
Paris Open Source Summit
 
Integrons en mode continu
Integrons en mode continuIntegrons en mode continu
Integrons en mode continu
neuros
 
Tv network systemmmanagementoss-24oct07
Tv network systemmmanagementoss-24oct07Tv network systemmmanagementoss-24oct07
Tv network systemmmanagementoss-24oct07Pascal Flamand
 
La sécurité applicative par le design
La sécurité applicative par le designLa sécurité applicative par le design
La sécurité applicative par le design
Christophe Villeneuve
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la Sécurité
Sébastien GIORIA
 
Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...
Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...
Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...
SmartnSkilled
 
Les particularités de Drupal en gestion de projet: une histoire d’amour et de...
Les particularités de Drupal en gestion de projet: une histoire d’amour et de...Les particularités de Drupal en gestion de projet: une histoire d’amour et de...
Les particularités de Drupal en gestion de projet: une histoire d’amour et de...
Symetris
 
MS Project Virtuel: EPM Cloud 360
MS Project Virtuel: EPM Cloud 360MS Project Virtuel: EPM Cloud 360
MS Project Virtuel: EPM Cloud 360
Groupe SIRIUS
 
Déploiement PHP : de l'âge de pierre à nos jours.
Déploiement PHP : de l'âge de pierre à nos jours.Déploiement PHP : de l'âge de pierre à nos jours.
Déploiement PHP : de l'âge de pierre à nos jours.
Amélie DUVERNET
 
Node, Grunt et leurs copains qui font de l’accessibilité tout seuls !
Node, Grunt et leurs copains qui font de l’accessibilité tout seuls !Node, Grunt et leurs copains qui font de l’accessibilité tout seuls !
Node, Grunt et leurs copains qui font de l’accessibilité tout seuls !
vincent aniort
 
Presentation de nagios mohamed bouhamed
Presentation de nagios mohamed bouhamedPresentation de nagios mohamed bouhamed
Presentation de nagios mohamed bouhamed
TECOS
 
[Scrum Day 2011] Outillage Agile dans un environnement Microsoft
[Scrum Day 2011] Outillage Agile dans un environnement Microsoft[Scrum Day 2011] Outillage Agile dans un environnement Microsoft
[Scrum Day 2011] Outillage Agile dans un environnement MicrosoftChristophe HERAL
 
Nuabee : solution de Plan de Reprise d'Activité Cloud dans le Cloud public d'...
Nuabee : solution de Plan de Reprise d'Activité Cloud dans le Cloud public d'...Nuabee : solution de Plan de Reprise d'Activité Cloud dans le Cloud public d'...
Nuabee : solution de Plan de Reprise d'Activité Cloud dans le Cloud public d'...
NUABEE
 
Infrastructure as code drupal
Infrastructure as code drupalInfrastructure as code drupal
Infrastructure as code drupal
Christophe Villeneuve
 
Alphorm.com support de la formation windows 10 administration des services av...
Alphorm.com support de la formation windows 10 administration des services av...Alphorm.com support de la formation windows 10 administration des services av...
Alphorm.com support de la formation windows 10 administration des services av...
Alphorm
 
Formation Usine Logicielle gratuite par Ippon 2014
Formation Usine Logicielle gratuite par Ippon 2014Formation Usine Logicielle gratuite par Ippon 2014
Formation Usine Logicielle gratuite par Ippon 2014
Ippon
 

Similaire à Sécurisez-vous avec des solutions Open Source (20)

Les tests de securite devops
Les tests de securite devopsLes tests de securite devops
Les tests de securite devops
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 
La sécurité applicative par le design
La sécurité applicative par le designLa sécurité applicative par le design
La sécurité applicative par le design
 
#OSSPARIS19 - La sécurité applicative par le design - CHRISTOPHE VILLENEUVE, ...
#OSSPARIS19 - La sécurité applicative par le design - CHRISTOPHE VILLENEUVE, ...#OSSPARIS19 - La sécurité applicative par le design - CHRISTOPHE VILLENEUVE, ...
#OSSPARIS19 - La sécurité applicative par le design - CHRISTOPHE VILLENEUVE, ...
 
Integrons en mode continu
Integrons en mode continuIntegrons en mode continu
Integrons en mode continu
 
Tv network systemmmanagementoss-24oct07
Tv network systemmmanagementoss-24oct07Tv network systemmmanagementoss-24oct07
Tv network systemmmanagementoss-24oct07
 
La sécurité applicative par le design
La sécurité applicative par le designLa sécurité applicative par le design
La sécurité applicative par le design
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la Sécurité
 
Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...
Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...
Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...
 
Les particularités de Drupal en gestion de projet: une histoire d’amour et de...
Les particularités de Drupal en gestion de projet: une histoire d’amour et de...Les particularités de Drupal en gestion de projet: une histoire d’amour et de...
Les particularités de Drupal en gestion de projet: une histoire d’amour et de...
 
MS Project Virtuel: EPM Cloud 360
MS Project Virtuel: EPM Cloud 360MS Project Virtuel: EPM Cloud 360
MS Project Virtuel: EPM Cloud 360
 
Déploiement PHP : de l'âge de pierre à nos jours.
Déploiement PHP : de l'âge de pierre à nos jours.Déploiement PHP : de l'âge de pierre à nos jours.
Déploiement PHP : de l'âge de pierre à nos jours.
 
Node, Grunt et leurs copains qui font de l’accessibilité tout seuls !
Node, Grunt et leurs copains qui font de l’accessibilité tout seuls !Node, Grunt et leurs copains qui font de l’accessibilité tout seuls !
Node, Grunt et leurs copains qui font de l’accessibilité tout seuls !
 
Presentation de nagios mohamed bouhamed
Presentation de nagios mohamed bouhamedPresentation de nagios mohamed bouhamed
Presentation de nagios mohamed bouhamed
 
[Scrum Day 2011] Outillage Agile dans un environnement Microsoft
[Scrum Day 2011] Outillage Agile dans un environnement Microsoft[Scrum Day 2011] Outillage Agile dans un environnement Microsoft
[Scrum Day 2011] Outillage Agile dans un environnement Microsoft
 
Nuabee : solution de Plan de Reprise d'Activité Cloud dans le Cloud public d'...
Nuabee : solution de Plan de Reprise d'Activité Cloud dans le Cloud public d'...Nuabee : solution de Plan de Reprise d'Activité Cloud dans le Cloud public d'...
Nuabee : solution de Plan de Reprise d'Activité Cloud dans le Cloud public d'...
 
Infrastructure as code drupal
Infrastructure as code drupalInfrastructure as code drupal
Infrastructure as code drupal
 
Alphorm.com support de la formation windows 10 administration des services av...
Alphorm.com support de la formation windows 10 administration des services av...Alphorm.com support de la formation windows 10 administration des services av...
Alphorm.com support de la formation windows 10 administration des services av...
 
Openerp
OpenerpOpenerp
Openerp
 
Formation Usine Logicielle gratuite par Ippon 2014
Formation Usine Logicielle gratuite par Ippon 2014Formation Usine Logicielle gratuite par Ippon 2014
Formation Usine Logicielle gratuite par Ippon 2014
 

Sécurisez-vous avec des solutions Open Source

  • 1. Sécurisez-vous avec des solutions O pen Source 1 .0 - Solutions Linux (05-201 4) Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014 Julien C AYSSO L - C ertilience www.certilience.fr
  • 2. 1 Sommaire ● Présentation de l'architecture type d'une entreprise ● Recherche de vulnérabilités sur le périmètre : Pirate / Pentest ● Sécurisez-vous avec des solutions OpenSource Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
  • 3. Architecture Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
  • 4. Architecture ● Notre entreprise Avant: – Accès internet de l'entreprise un Linux – Un site vitrine sous Wordpress, accès SSH ouvert sur internet – Échange de documents avec Owncloud – Un Webmail : Roundcube Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
  • 5. L'entreprise estrassurée car... ● Elle utilise du SSL !!! ● Elle a des sauvegardes !!! ● Elle n'a rien à cacher Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
  • 6. C omment rentrer? Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
  • 7. C ommentrentrer ● Inciterl'utilisateurà allersurun site malveillantou à ouvrirune pièce jointe : Exécution de code surle poste de l'utilisateur. ● Brute-force surl'accès d'administration (SSH) du site vitrine : effacementdu site ● Motde passe simple surl'admin Wordpresse : Exécution de code. ● Pas de suivi surles mises à jourde O wncloud : fuite d'information, exécution de code ● Injection SQ L surun module Wordpress : dump de base, exécution de code. Injection SQ L ? Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
  • 8. Injection SQ L ● Exemple de code d'une formulaire d'authentification : – SELECT * from users where user='$username' and password='$password' – => si username = admin et password = admin ● select * from users where user= 'admin' and password = 'admin' – =>si username = admin et password = test' or1='1 ● select * from users where user= 'admin' and password = 'test' or 1='1' ● Démonstration avec un outilcomme sqlmap Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
  • 9. Après l'attaque, les conséquences ● Les utilisateurs ont des Virus ● Atteinte à l'image de la société surle site vitrine : tête de pirate surle site de l'entreprise ? ● Perte de données clients ● Indisponibilité du SI Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
  • 10. C omment Sécuriser? Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
  • 11. Architecture Sécurisée : C ontrôle périmétrique Un Firewall ● Filtrage entre les zones ● Accès VPN pourles Utilisateurs ou les Administrateurs. ● VPN site à site ● Solutions : – Pfsense – Ipcop – Linux avec Netfilter ● Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
  • 12. Architecture Sécurisée : Accès internet ● Accès internetdes utilisateurs ● Filtrage + Natsurle firewall ● Proxypourles FluxHTTP: – Utilisation du proxy SQUID – HAVP pour l'antivirus – SquidGuard pour le filtrage d'url. – Sarg pour l'analyse des traces – Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
  • 13. Architecture Sécurisée : Site vitrine ● Durcissementsurle serveur: – Durcissement système : fail2ban sur ssh, iptables, limitation des services, personnalisation pam, outils d'audit de configuration – Durcissement des services : SSH,apache,Mysql – Ajout de composants sur la couche applicative :suPhp, Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
  • 14. Architecture Sécurisée : Sites Internet • Pointcentralpourpublierles applications • Reverse Proxy: • Mod Security pour la vérification • Mod evasive • Fail2ban pour l'action • Filtrage des URL • Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
  • 15. Architecture Sécurisée : Les conseils • Ne pas négligerle suivi des mises à jour(veille à réaliser) • Désactiverun maximum de services etd'options ( exemple : owncloud) • Maîtrisez les produits installés = Formez-vous, plusieurs formations sécuritéchez AlterWay/Certilience • Sur les solutions : Pfsense, squid, Web cache, ... • Sur l'aspect offensif : Techniques de Hacking (Réseau/Applicatif/Web) et sur les outils de hacking • Sur le développement : Php sécurisé, présentation OWASP • Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
  • 16. Vos Q uestions ? Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014 Plus d'informations sur : ● Www.certilience.fr