SlideShare une entreprise Scribd logo

Sécurisez-vous avec des solutions Open Source

Télécharger en tant que ODP, PDF
C
Certilience

Sécurisez-vous avec des solutions Open Source. Présentation à solution linux 2014

Technologie
1  sur  16
Sécurisez-vous avec des solutions O pen Source 1 .0 - Solutions Linux (05-201 4) Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014 Julien C AYSSO L - C ertilience www.certilience.fr
1 Sommaire ● Présentation de l'architecture type d'une entreprise ● Recherche de vulnérabilités sur le périmètre : Pirate / Pentest ● Sécurisez-vous avec des solutions OpenSource Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Architecture Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Architecture ● Notre entreprise Avant: – Accès internet de l'entreprise un Linux – Un site vitrine sous Wordpress, accès SSH ouvert sur internet – Échange de documents avec Owncloud – Un Webmail : Roundcube Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
L'entreprise estrassurée car... ● Elle utilise du SSL !!! ● Elle a des sauvegardes !!! ● Elle n'a rien à cacher Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
C omment rentrer? Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
C ommentrentrer ● Inciterl'utilisateurà allersurun site malveillantou à ouvrirune pièce jointe : Exécution de code surle poste de l'utilisateur. ● Brute-force surl'accès d'administration (SSH) du site vitrine : effacementdu site ● Motde passe simple surl'admin Wordpresse : Exécution de code. ● Pas de suivi surles mises à jourde O wncloud : fuite d'information, exécution de code ● Injection SQ L surun module Wordpress : dump de base, exécution de code. Injection SQ L ? Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Injection SQ L ● Exemple de code d'une formulaire d'authentification : – SELECT * from users where user='$username' and password='$password' – => si username = admin et password = admin ● select * from users where user= 'admin' and password = 'admin' – =>si username = admin et password = test' or1='1 ● select * from users where user= 'admin' and password = 'test' or 1='1' ● Démonstration avec un outilcomme sqlmap Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Après l'attaque, les conséquences ● Les utilisateurs ont des Virus ● Atteinte à l'image de la société surle site vitrine : tête de pirate surle site de l'entreprise ? ● Perte de données clients ● Indisponibilité du SI Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
C omment Sécuriser? Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Architecture Sécurisée : C ontrôle périmétrique Un Firewall ● Filtrage entre les zones ● Accès VPN pourles Utilisateurs ou les Administrateurs. ● VPN site à site ● Solutions : – Pfsense – Ipcop – Linux avec Netfilter ● Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Architecture Sécurisée : Accès internet ● Accès internetdes utilisateurs ● Filtrage + Natsurle firewall ● Proxypourles FluxHTTP: – Utilisation du proxy SQUID – HAVP pour l'antivirus – SquidGuard pour le filtrage d'url. – Sarg pour l'analyse des traces – Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Architecture Sécurisée : Site vitrine ● Durcissementsurle serveur: – Durcissement système : fail2ban sur ssh, iptables, limitation des services, personnalisation pam, outils d'audit de configuration – Durcissement des services : SSH,apache,Mysql – Ajout de composants sur la couche applicative :suPhp, Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Architecture Sécurisée : Sites Internet • Pointcentralpourpublierles applications • Reverse Proxy: • Mod Security pour la vérification • Mod evasive • Fail2ban pour l'action • Filtrage des URL • Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Architecture Sécurisée : Les conseils • Ne pas négligerle suivi des mises à jour(veille à réaliser) • Désactiverun maximum de services etd'options ( exemple : owncloud) • Maîtrisez les produits installés = Formez-vous, plusieurs formations sécuritéchez AlterWay/Certilience • Sur les solutions : Pfsense, squid, Web cache, ... • Sur l'aspect offensif : Techniques de Hacking (Réseau/Applicatif/Web) et sur les outils de hacking • Sur le développement : Php sécurisé, présentation OWASP • Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
Vos Q uestions ? Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014 Plus d'informations sur : ● Www.certilience.fr

Recommandé

Hacking, Open Source et sécurité Par Certilience, solutions linux, Mai 2013
Hacking, Open Source et sécurité Par Certilience, solutions linux, Mai 2013Hacking, Open Source et sécurité Par Certilience, solutions linux, Mai 2013
Hacking, Open Source et sécurité Par Certilience, solutions linux, Mai 2013Certilience
 
Hacking Open source et Sécurité, préconisations
Hacking Open source et Sécurité, préconisationsHacking Open source et Sécurité, préconisations
Hacking Open source et Sécurité, préconisationsCertilience
 
Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013Alain Ganuchaud
 
BC Breaks - Incompatibilites PHP7
BC Breaks - Incompatibilites PHP7BC Breaks - Incompatibilites PHP7
BC Breaks - Incompatibilites PHP7Darkmira
 
Unofficial Centreon Repositories for Debian - Paris Monitoring meetup #2
Unofficial Centreon Repositories for Debian - Paris Monitoring meetup #2Unofficial Centreon Repositories for Debian - Paris Monitoring meetup #2
Unofficial Centreon Repositories for Debian - Paris Monitoring meetup #2Paris Monitoring
 
Parinux 2009
Parinux 2009Parinux 2009
Parinux 2009FAN Fully Automated Nagios
 
Journées du Logiciel Libre 2008
Journées du Logiciel Libre 2008Journées du Logiciel Libre 2008
Journées du Logiciel Libre 2008FAN Fully Automated Nagios
 
Ocs
OcsOcs
Ocssamovich
 

Recommandé

Hacking, Open Source et sécurité Par Certilience, solutions linux, Mai 2013
Hacking, Open Source et sécurité Par Certilience, solutions linux, Mai 2013Hacking, Open Source et sécurité Par Certilience, solutions linux, Mai 2013
Hacking, Open Source et sécurité Par Certilience, solutions linux, Mai 2013Certilience
 
Hacking Open source et Sécurité, préconisations
Hacking Open source et Sécurité, préconisationsHacking Open source et Sécurité, préconisations
Hacking Open source et Sécurité, préconisationsCertilience
 
Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013Alain Ganuchaud
 
BC Breaks - Incompatibilites PHP7
BC Breaks - Incompatibilites PHP7BC Breaks - Incompatibilites PHP7
BC Breaks - Incompatibilites PHP7Darkmira
 
Unofficial Centreon Repositories for Debian - Paris Monitoring meetup #2
Unofficial Centreon Repositories for Debian - Paris Monitoring meetup #2Unofficial Centreon Repositories for Debian - Paris Monitoring meetup #2
Unofficial Centreon Repositories for Debian - Paris Monitoring meetup #2Paris Monitoring
 
Parinux 2009
Parinux 2009Parinux 2009
Parinux 2009FAN Fully Automated Nagios
 
Journées du Logiciel Libre 2008
Journées du Logiciel Libre 2008Journées du Logiciel Libre 2008
Journées du Logiciel Libre 2008FAN Fully Automated Nagios
 
Ocs
OcsOcs
Ocssamovich
 
Maltacademy: securing your k8s cluster with CNCF falco
Maltacademy: securing your k8s cluster with CNCF falcoMaltacademy: securing your k8s cluster with CNCF falco
Maltacademy: securing your k8s cluster with CNCF falcoFrederic Leger
 
#MSDEVMTL Introduction à #SonarQube
#MSDEVMTL Introduction à #SonarQube#MSDEVMTL Introduction à #SonarQube
#MSDEVMTL Introduction à #SonarQubeVincent Biret
 
FAN, Fully Automated Nagios, Paris Capitale du Libre 2008
FAN, Fully Automated Nagios, Paris Capitale du Libre 2008FAN, Fully Automated Nagios, Paris Capitale du Libre 2008
FAN, Fully Automated Nagios, Paris Capitale du Libre 2008FAN Fully Automated Nagios
 
Fully Automated Nagios, Solutions Linux 2009
Fully Automated Nagios, Solutions Linux 2009Fully Automated Nagios, Solutions Linux 2009
Fully Automated Nagios, Solutions Linux 2009FAN Fully Automated Nagios
 
Fully Automated Nagios Jm2L 2009
Fully Automated Nagios Jm2L 2009Fully Automated Nagios Jm2L 2009
Fully Automated Nagios Jm2L 2009FAN Fully Automated Nagios
 
Chiffrer et sécuriser MariaDB
Chiffrer et sécuriser MariaDBChiffrer et sécuriser MariaDB
Chiffrer et sécuriser MariaDBChristophe Villeneuve
 
Moussasambe projet de securite zabbix
Moussasambe projet de securite zabbixMoussasambe projet de securite zabbix
Moussasambe projet de securite zabbixmoussa sambe
 
alphorm.com - Formation Configuration Exchange 2010 (70-662)
alphorm.com - Formation Configuration Exchange 2010 (70-662)alphorm.com - Formation Configuration Exchange 2010 (70-662)
alphorm.com - Formation Configuration Exchange 2010 (70-662)Alphorm
 
Meetup vault - ScaaS Secrets as a Service
Meetup vault - ScaaS Secrets as a ServiceMeetup vault - ScaaS Secrets as a Service
Meetup vault - ScaaS Secrets as a ServiceFrederic Leger
 
Alphorm.com Support de la Formation PHP MySQL
Alphorm.com Support de la Formation PHP MySQLAlphorm.com Support de la Formation PHP MySQL
Alphorm.com Support de la Formation PHP MySQLAlphorm
 
Zabbix
ZabbixZabbix
Zabbixkamiloo2009
 
MIC QRS "JWT, la superstar pour sécuriser vos WebAPI"
MIC QRS "JWT, la superstar pour sécuriser vos WebAPI"MIC QRS "JWT, la superstar pour sécuriser vos WebAPI"
MIC QRS "JWT, la superstar pour sécuriser vos WebAPI"Denis Voituron
 
Azure camp 26 septembre tips and tools
Azure camp 26 septembre tips and toolsAzure camp 26 septembre tips and tools
Azure camp 26 septembre tips and toolsAymeric Weinbach
 
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?Sylvie CECI
 
PSES - La securite pour les développeurs
PSES - La securite pour les développeursPSES - La securite pour les développeurs
PSES - La securite pour les développeursChristophe Villeneuve
 
Alphorm.com Formation PostgreSQL, la Haute Disponibilité
Alphorm.com Formation PostgreSQL, la Haute DisponibilitéAlphorm.com Formation PostgreSQL, la Haute Disponibilité
Alphorm.com Formation PostgreSQL, la Haute DisponibilitéAlphorm
 
Tutoriel slideshare3
Tutoriel slideshare3Tutoriel slideshare3
Tutoriel slideshare3Rabolliot
 
L'open source dans les nouvelles architectures web
L'open source dans les nouvelles architectures webL'open source dans les nouvelles architectures web
L'open source dans les nouvelles architectures webChristophe Villeneuve
 
Alphorm.com Support de la Formation Oracle VM Administration
Alphorm.com Support de la Formation Oracle VM AdministrationAlphorm.com Support de la Formation Oracle VM Administration
Alphorm.com Support de la Formation Oracle VM AdministrationAlphorm
 
Wilfried woivré intégration continue
Wilfried woivré intégration continueWilfried woivré intégration continue
Wilfried woivré intégration continueAymeric Weinbach
 
Code d'Armor : Open Source, mode d'emploi
Code d'Armor : Open Source, mode d'emploiCode d'Armor : Open Source, mode d'emploi
Code d'Armor : Open Source, mode d'emploibbailleux
 
Présentation Gouvernance Open Source
Présentation Gouvernance Open SourcePrésentation Gouvernance Open Source
Présentation Gouvernance Open SourceMichel-Marie Maudet
 

Contenu connexe

Tendances

Maltacademy: securing your k8s cluster with CNCF falco
Maltacademy: securing your k8s cluster with CNCF falcoMaltacademy: securing your k8s cluster with CNCF falco
Maltacademy: securing your k8s cluster with CNCF falcoFrederic Leger
 
#MSDEVMTL Introduction à #SonarQube
#MSDEVMTL Introduction à #SonarQube#MSDEVMTL Introduction à #SonarQube
#MSDEVMTL Introduction à #SonarQubeVincent Biret
 
FAN, Fully Automated Nagios, Paris Capitale du Libre 2008
FAN, Fully Automated Nagios, Paris Capitale du Libre 2008FAN, Fully Automated Nagios, Paris Capitale du Libre 2008
FAN, Fully Automated Nagios, Paris Capitale du Libre 2008FAN Fully Automated Nagios
 
Moussasambe projet de securite zabbix
Moussasambe projet de securite zabbixMoussasambe projet de securite zabbix
Moussasambe projet de securite zabbixmoussa sambe
 
alphorm.com - Formation Configuration Exchange 2010 (70-662)
alphorm.com - Formation Configuration Exchange 2010 (70-662)alphorm.com - Formation Configuration Exchange 2010 (70-662)
alphorm.com - Formation Configuration Exchange 2010 (70-662)Alphorm
 
Meetup vault - ScaaS Secrets as a Service
Meetup vault - ScaaS Secrets as a ServiceMeetup vault - ScaaS Secrets as a Service
Meetup vault - ScaaS Secrets as a ServiceFrederic Leger
 
Alphorm.com Support de la Formation PHP MySQL
Alphorm.com Support de la Formation PHP MySQLAlphorm.com Support de la Formation PHP MySQL
Alphorm.com Support de la Formation PHP MySQLAlphorm
 
MIC QRS "JWT, la superstar pour sécuriser vos WebAPI"
MIC QRS "JWT, la superstar pour sécuriser vos WebAPI"MIC QRS "JWT, la superstar pour sécuriser vos WebAPI"
MIC QRS "JWT, la superstar pour sécuriser vos WebAPI"Denis Voituron
 
Azure camp 26 septembre tips and tools
Azure camp 26 septembre tips and toolsAzure camp 26 septembre tips and tools
Azure camp 26 septembre tips and toolsAymeric Weinbach
 
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?Sylvie CECI
 
PSES - La securite pour les développeurs
PSES - La securite pour les développeursPSES - La securite pour les développeurs
PSES - La securite pour les développeursChristophe Villeneuve
 
Alphorm.com Formation PostgreSQL, la Haute Disponibilité
Alphorm.com Formation PostgreSQL, la Haute DisponibilitéAlphorm.com Formation PostgreSQL, la Haute Disponibilité
Alphorm.com Formation PostgreSQL, la Haute DisponibilitéAlphorm
 
Tutoriel slideshare3
Tutoriel slideshare3Tutoriel slideshare3
Tutoriel slideshare3Rabolliot
 
L'open source dans les nouvelles architectures web
L'open source dans les nouvelles architectures webL'open source dans les nouvelles architectures web
L'open source dans les nouvelles architectures webChristophe Villeneuve
 
Alphorm.com Support de la Formation Oracle VM Administration
Alphorm.com Support de la Formation Oracle VM AdministrationAlphorm.com Support de la Formation Oracle VM Administration
Alphorm.com Support de la Formation Oracle VM AdministrationAlphorm
 
Wilfried woivré intégration continue
Wilfried woivré intégration continueWilfried woivré intégration continue
Wilfried woivré intégration continueAymeric Weinbach
 

Tendances (20)

Maltacademy: securing your k8s cluster with CNCF falco
Maltacademy: securing your k8s cluster with CNCF falcoMaltacademy: securing your k8s cluster with CNCF falco
Maltacademy: securing your k8s cluster with CNCF falco
 
#MSDEVMTL Introduction à #SonarQube
#MSDEVMTL Introduction à #SonarQube#MSDEVMTL Introduction à #SonarQube
#MSDEVMTL Introduction à #SonarQube
 
FAN, Fully Automated Nagios, Paris Capitale du Libre 2008
FAN, Fully Automated Nagios, Paris Capitale du Libre 2008FAN, Fully Automated Nagios, Paris Capitale du Libre 2008
FAN, Fully Automated Nagios, Paris Capitale du Libre 2008
 
Fully Automated Nagios, Solutions Linux 2009
Fully Automated Nagios, Solutions Linux 2009Fully Automated Nagios, Solutions Linux 2009
Fully Automated Nagios, Solutions Linux 2009
 
Fully Automated Nagios Jm2L 2009
Fully Automated Nagios Jm2L 2009Fully Automated Nagios Jm2L 2009
Fully Automated Nagios Jm2L 2009
 
Chiffrer et sécuriser MariaDB
Chiffrer et sécuriser MariaDBChiffrer et sécuriser MariaDB
Chiffrer et sécuriser MariaDB
 
Moussasambe projet de securite zabbix
Moussasambe projet de securite zabbixMoussasambe projet de securite zabbix
Moussasambe projet de securite zabbix
 
alphorm.com - Formation Configuration Exchange 2010 (70-662)
alphorm.com - Formation Configuration Exchange 2010 (70-662)alphorm.com - Formation Configuration Exchange 2010 (70-662)
alphorm.com - Formation Configuration Exchange 2010 (70-662)
 
Meetup vault - ScaaS Secrets as a Service
Meetup vault - ScaaS Secrets as a ServiceMeetup vault - ScaaS Secrets as a Service
Meetup vault - ScaaS Secrets as a Service
 
Alphorm.com Support de la Formation PHP MySQL
Alphorm.com Support de la Formation PHP MySQLAlphorm.com Support de la Formation PHP MySQL
Alphorm.com Support de la Formation PHP MySQL
 
Zabbix
ZabbixZabbix
Zabbix
 
MIC QRS "JWT, la superstar pour sécuriser vos WebAPI"
MIC QRS "JWT, la superstar pour sécuriser vos WebAPI"MIC QRS "JWT, la superstar pour sécuriser vos WebAPI"
MIC QRS "JWT, la superstar pour sécuriser vos WebAPI"
 
Azure camp 26 septembre tips and tools
Azure camp 26 septembre tips and toolsAzure camp 26 septembre tips and tools
Azure camp 26 septembre tips and tools
 
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?
 
PSES - La securite pour les développeurs
PSES - La securite pour les développeursPSES - La securite pour les développeurs
PSES - La securite pour les développeurs
 
Alphorm.com Formation PostgreSQL, la Haute Disponibilité
Alphorm.com Formation PostgreSQL, la Haute DisponibilitéAlphorm.com Formation PostgreSQL, la Haute Disponibilité
Alphorm.com Formation PostgreSQL, la Haute Disponibilité
 
Tutoriel slideshare3
Tutoriel slideshare3Tutoriel slideshare3
Tutoriel slideshare3
 
L'open source dans les nouvelles architectures web
L'open source dans les nouvelles architectures webL'open source dans les nouvelles architectures web
L'open source dans les nouvelles architectures web
 
Alphorm.com Support de la Formation Oracle VM Administration
Alphorm.com Support de la Formation Oracle VM AdministrationAlphorm.com Support de la Formation Oracle VM Administration
Alphorm.com Support de la Formation Oracle VM Administration
 
Wilfried woivré intégration continue
Wilfried woivré intégration continueWilfried woivré intégration continue
Wilfried woivré intégration continue
 

En vedette

Code d'Armor : Open Source, mode d'emploi
Code d'Armor : Open Source, mode d'emploiCode d'Armor : Open Source, mode d'emploi
Code d'Armor : Open Source, mode d'emploibbailleux
 
Présentation Gouvernance Open Source
Présentation Gouvernance Open SourcePrésentation Gouvernance Open Source
Présentation Gouvernance Open SourceMichel-Marie Maudet
 
Open Source Software Presentation
Open Source Software PresentationOpen Source Software Presentation
Open Source Software PresentationHenry Briggs
 
Open source technology
Open source technologyOpen source technology
Open source technologyaparnaz1
 
OPEN SOURCE SEMINAR PRESENTATION
OPEN SOURCE SEMINAR PRESENTATIONOPEN SOURCE SEMINAR PRESENTATION
OPEN SOURCE SEMINAR PRESENTATIONRitwick Halder
 
Pfsense 121202023417-phpapp02
Pfsense 121202023417-phpapp02Pfsense 121202023417-phpapp02
Pfsense 121202023417-phpapp02Mohamed Houssem
 
What Makes Great Infographics
What Makes Great InfographicsWhat Makes Great Infographics
What Makes Great InfographicsSlideShare
 
Masters of SlideShare
Masters of SlideShareMasters of SlideShare
Masters of SlideShareKapost
 
STOP! VIEW THIS! 10-Step Checklist When Uploading to Slideshare
STOP! VIEW THIS! 10-Step Checklist When Uploading to SlideshareSTOP! VIEW THIS! 10-Step Checklist When Uploading to Slideshare
STOP! VIEW THIS! 10-Step Checklist When Uploading to SlideshareEmpowered Presentations
 
10 Ways to Win at SlideShare SEO & Presentation Optimization
10 Ways to Win at SlideShare SEO & Presentation Optimization10 Ways to Win at SlideShare SEO & Presentation Optimization
10 Ways to Win at SlideShare SEO & Presentation OptimizationOneupweb
 
How To Get More From SlideShare - Super-Simple Tips For Content Marketing
How To Get More From SlideShare - Super-Simple Tips For Content MarketingHow To Get More From SlideShare - Super-Simple Tips For Content Marketing
How To Get More From SlideShare - Super-Simple Tips For Content MarketingContent Marketing Institute
 
How to Make Awesome SlideShares: Tips & Tricks
How to Make Awesome SlideShares: Tips & TricksHow to Make Awesome SlideShares: Tips & Tricks
How to Make Awesome SlideShares: Tips & TricksSlideShare
 

En vedette (15)

Code d'Armor : Open Source, mode d'emploi
Code d'Armor : Open Source, mode d'emploiCode d'Armor : Open Source, mode d'emploi
Code d'Armor : Open Source, mode d'emploi
 
Présentation Gouvernance Open Source
Présentation Gouvernance Open SourcePrésentation Gouvernance Open Source
Présentation Gouvernance Open Source
 
Open Source Software Presentation
Open Source Software PresentationOpen Source Software Presentation
Open Source Software Presentation
 
Open source technology
Open source technologyOpen source technology
Open source technology
 
OPEN SOURCE SEMINAR PRESENTATION
OPEN SOURCE SEMINAR PRESENTATIONOPEN SOURCE SEMINAR PRESENTATION
OPEN SOURCE SEMINAR PRESENTATION
 
Rapport finiale
Rapport finialeRapport finiale
Rapport finiale
 
Open Source Technology
Open Source TechnologyOpen Source Technology
Open Source Technology
 
Pfsense 121202023417-phpapp02
Pfsense 121202023417-phpapp02Pfsense 121202023417-phpapp02
Pfsense 121202023417-phpapp02
 
What Makes Great Infographics
What Makes Great InfographicsWhat Makes Great Infographics
What Makes Great Infographics
 
Masters of SlideShare
Masters of SlideShareMasters of SlideShare
Masters of SlideShare
 
STOP! VIEW THIS! 10-Step Checklist When Uploading to Slideshare
STOP! VIEW THIS! 10-Step Checklist When Uploading to SlideshareSTOP! VIEW THIS! 10-Step Checklist When Uploading to Slideshare
STOP! VIEW THIS! 10-Step Checklist When Uploading to Slideshare
 
You Suck At PowerPoint!
You Suck At PowerPoint!You Suck At PowerPoint!
You Suck At PowerPoint!
 
10 Ways to Win at SlideShare SEO & Presentation Optimization
10 Ways to Win at SlideShare SEO & Presentation Optimization10 Ways to Win at SlideShare SEO & Presentation Optimization
10 Ways to Win at SlideShare SEO & Presentation Optimization
 
How To Get More From SlideShare - Super-Simple Tips For Content Marketing
How To Get More From SlideShare - Super-Simple Tips For Content MarketingHow To Get More From SlideShare - Super-Simple Tips For Content Marketing
How To Get More From SlideShare - Super-Simple Tips For Content Marketing
 
How to Make Awesome SlideShares: Tips & Tricks
How to Make Awesome SlideShares: Tips & TricksHow to Make Awesome SlideShares: Tips & Tricks
How to Make Awesome SlideShares: Tips & Tricks
 

Similaire à Sécurisez-vous avec des solutions Open Source

Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
La sécurité applicative par le design
La sécurité applicative par le designLa sécurité applicative par le design
La sécurité applicative par le designChristophe Villeneuve
 
#OSSPARIS19 - La sécurité applicative par le design - CHRISTOPHE VILLENEUVE, ...
#OSSPARIS19 - La sécurité applicative par le design - CHRISTOPHE VILLENEUVE, ...#OSSPARIS19 - La sécurité applicative par le design - CHRISTOPHE VILLENEUVE, ...
#OSSPARIS19 - La sécurité applicative par le design - CHRISTOPHE VILLENEUVE, ...Paris Open Source Summit
 
Integrons en mode continu
Integrons en mode continuIntegrons en mode continu
Integrons en mode continuneuros
 
Tv network systemmmanagementoss-24oct07
Tv network systemmmanagementoss-24oct07Tv network systemmmanagementoss-24oct07
Tv network systemmmanagementoss-24oct07Pascal Flamand
 
La sécurité applicative par le design
La sécurité applicative par le designLa sécurité applicative par le design
La sécurité applicative par le designChristophe Villeneuve
 
Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...
Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...
Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...SmartnSkilled
 
Les particularités de Drupal en gestion de projet: une histoire d’amour et de...
Les particularités de Drupal en gestion de projet: une histoire d’amour et de...Les particularités de Drupal en gestion de projet: une histoire d’amour et de...
Les particularités de Drupal en gestion de projet: une histoire d’amour et de...Symetris
 
MS Project Virtuel: EPM Cloud 360
MS Project Virtuel: EPM Cloud 360MS Project Virtuel: EPM Cloud 360
MS Project Virtuel: EPM Cloud 360Groupe SIRIUS
 
Déploiement PHP : de l'âge de pierre à nos jours.
Déploiement PHP : de l'âge de pierre à nos jours.Déploiement PHP : de l'âge de pierre à nos jours.
Déploiement PHP : de l'âge de pierre à nos jours.Amélie DUVERNET
 
Node, Grunt et leurs copains qui font de l’accessibilité tout seuls !
Node, Grunt et leurs copains qui font de l’accessibilité tout seuls !Node, Grunt et leurs copains qui font de l’accessibilité tout seuls !
Node, Grunt et leurs copains qui font de l’accessibilité tout seuls !vincent aniort
 
Presentation de nagios mohamed bouhamed
Presentation de nagios mohamed bouhamedPresentation de nagios mohamed bouhamed
Presentation de nagios mohamed bouhamedTECOS
 
[Scrum Day 2011] Outillage Agile dans un environnement Microsoft
[Scrum Day 2011] Outillage Agile dans un environnement Microsoft[Scrum Day 2011] Outillage Agile dans un environnement Microsoft
[Scrum Day 2011] Outillage Agile dans un environnement MicrosoftChristophe HERAL
 
Nuabee : solution de Plan de Reprise d'Activité Cloud dans le Cloud public d'...
Nuabee : solution de Plan de Reprise d'Activité Cloud dans le Cloud public d'...Nuabee : solution de Plan de Reprise d'Activité Cloud dans le Cloud public d'...
Nuabee : solution de Plan de Reprise d'Activité Cloud dans le Cloud public d'...NUABEE
 
Alphorm.com support de la formation windows 10 administration des services av...
Alphorm.com support de la formation windows 10 administration des services av...Alphorm.com support de la formation windows 10 administration des services av...
Alphorm.com support de la formation windows 10 administration des services av...Alphorm
 
Formation Usine Logicielle gratuite par Ippon 2014
Formation Usine Logicielle gratuite par Ippon 2014Formation Usine Logicielle gratuite par Ippon 2014
Formation Usine Logicielle gratuite par Ippon 2014Ippon
 

Similaire à Sécurisez-vous avec des solutions Open Source (20)

Les tests de securite devops
Les tests de securite devopsLes tests de securite devops
Les tests de securite devops
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 
La sécurité applicative par le design
La sécurité applicative par le designLa sécurité applicative par le design
La sécurité applicative par le design
 
#OSSPARIS19 - La sécurité applicative par le design - CHRISTOPHE VILLENEUVE, ...
#OSSPARIS19 - La sécurité applicative par le design - CHRISTOPHE VILLENEUVE, ...#OSSPARIS19 - La sécurité applicative par le design - CHRISTOPHE VILLENEUVE, ...
#OSSPARIS19 - La sécurité applicative par le design - CHRISTOPHE VILLENEUVE, ...
 
Integrons en mode continu
Integrons en mode continuIntegrons en mode continu
Integrons en mode continu
 
Tv network systemmmanagementoss-24oct07
Tv network systemmmanagementoss-24oct07Tv network systemmmanagementoss-24oct07
Tv network systemmmanagementoss-24oct07
 
La sécurité applicative par le design
La sécurité applicative par le designLa sécurité applicative par le design
La sécurité applicative par le design
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la Sécurité
 
Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...
Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...
Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...
 
Les particularités de Drupal en gestion de projet: une histoire d’amour et de...
Les particularités de Drupal en gestion de projet: une histoire d’amour et de...Les particularités de Drupal en gestion de projet: une histoire d’amour et de...
Les particularités de Drupal en gestion de projet: une histoire d’amour et de...
 
MS Project Virtuel: EPM Cloud 360
MS Project Virtuel: EPM Cloud 360MS Project Virtuel: EPM Cloud 360
MS Project Virtuel: EPM Cloud 360
 
Déploiement PHP : de l'âge de pierre à nos jours.
Déploiement PHP : de l'âge de pierre à nos jours.Déploiement PHP : de l'âge de pierre à nos jours.
Déploiement PHP : de l'âge de pierre à nos jours.
 
Node, Grunt et leurs copains qui font de l’accessibilité tout seuls !
Node, Grunt et leurs copains qui font de l’accessibilité tout seuls !Node, Grunt et leurs copains qui font de l’accessibilité tout seuls !
Node, Grunt et leurs copains qui font de l’accessibilité tout seuls !
 
Presentation de nagios mohamed bouhamed
Presentation de nagios mohamed bouhamedPresentation de nagios mohamed bouhamed
Presentation de nagios mohamed bouhamed
 
[Scrum Day 2011] Outillage Agile dans un environnement Microsoft
[Scrum Day 2011] Outillage Agile dans un environnement Microsoft[Scrum Day 2011] Outillage Agile dans un environnement Microsoft
[Scrum Day 2011] Outillage Agile dans un environnement Microsoft
 
Nuabee : solution de Plan de Reprise d'Activité Cloud dans le Cloud public d'...
Nuabee : solution de Plan de Reprise d'Activité Cloud dans le Cloud public d'...Nuabee : solution de Plan de Reprise d'Activité Cloud dans le Cloud public d'...
Nuabee : solution de Plan de Reprise d'Activité Cloud dans le Cloud public d'...
 
Infrastructure as code drupal
Infrastructure as code drupalInfrastructure as code drupal
Infrastructure as code drupal
 
Alphorm.com support de la formation windows 10 administration des services av...
Alphorm.com support de la formation windows 10 administration des services av...Alphorm.com support de la formation windows 10 administration des services av...
Alphorm.com support de la formation windows 10 administration des services av...
 
Openerp
OpenerpOpenerp
Openerp
 
Formation Usine Logicielle gratuite par Ippon 2014
Formation Usine Logicielle gratuite par Ippon 2014Formation Usine Logicielle gratuite par Ippon 2014
Formation Usine Logicielle gratuite par Ippon 2014
 

Sécurisez-vous avec des solutions Open Source

  • 1. Sécurisez-vous avec des solutions O pen Source 1 .0 - Solutions Linux (05-201 4) Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014 Julien C AYSSO L - C ertilience www.certilience.fr
  • 2. 1 Sommaire ● Présentation de l'architecture type d'une entreprise ● Recherche de vulnérabilités sur le périmètre : Pirate / Pentest ● Sécurisez-vous avec des solutions OpenSource Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
  • 3. Architecture Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
  • 4. Architecture ● Notre entreprise Avant: – Accès internet de l'entreprise un Linux – Un site vitrine sous Wordpress, accès SSH ouvert sur internet – Échange de documents avec Owncloud – Un Webmail : Roundcube Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
  • 5. L'entreprise estrassurée car... ● Elle utilise du SSL !!! ● Elle a des sauvegardes !!! ● Elle n'a rien à cacher Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
  • 6. C omment rentrer? Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
  • 7. C ommentrentrer ● Inciterl'utilisateurà allersurun site malveillantou à ouvrirune pièce jointe : Exécution de code surle poste de l'utilisateur. ● Brute-force surl'accès d'administration (SSH) du site vitrine : effacementdu site ● Motde passe simple surl'admin Wordpresse : Exécution de code. ● Pas de suivi surles mises à jourde O wncloud : fuite d'information, exécution de code ● Injection SQ L surun module Wordpress : dump de base, exécution de code. Injection SQ L ? Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
  • 8. Injection SQ L ● Exemple de code d'une formulaire d'authentification : – SELECT * from users where user='$username' and password='$password' – => si username = admin et password = admin ● select * from users where user= 'admin' and password = 'admin' – =>si username = admin et password = test' or1='1 ● select * from users where user= 'admin' and password = 'test' or 1='1' ● Démonstration avec un outilcomme sqlmap Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
  • 9. Après l'attaque, les conséquences ● Les utilisateurs ont des Virus ● Atteinte à l'image de la société surle site vitrine : tête de pirate surle site de l'entreprise ? ● Perte de données clients ● Indisponibilité du SI Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
  • 10. C omment Sécuriser? Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
  • 11. Architecture Sécurisée : C ontrôle périmétrique Un Firewall ● Filtrage entre les zones ● Accès VPN pourles Utilisateurs ou les Administrateurs. ● VPN site à site ● Solutions : – Pfsense – Ipcop – Linux avec Netfilter ● Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
  • 12. Architecture Sécurisée : Accès internet ● Accès internetdes utilisateurs ● Filtrage + Natsurle firewall ● Proxypourles FluxHTTP: – Utilisation du proxy SQUID – HAVP pour l'antivirus – SquidGuard pour le filtrage d'url. – Sarg pour l'analyse des traces – Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
  • 13. Architecture Sécurisée : Site vitrine ● Durcissementsurle serveur: – Durcissement système : fail2ban sur ssh, iptables, limitation des services, personnalisation pam, outils d'audit de configuration – Durcissement des services : SSH,apache,Mysql – Ajout de composants sur la couche applicative :suPhp, Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
  • 14. Architecture Sécurisée : Sites Internet • Pointcentralpourpublierles applications • Reverse Proxy: • Mod Security pour la vérification • Mod evasive • Fail2ban pour l'action • Filtrage des URL • Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
  • 15. Architecture Sécurisée : Les conseils • Ne pas négligerle suivi des mises à jour(veille à réaliser) • Désactiverun maximum de services etd'options ( exemple : owncloud) • Maîtrisez les produits installés = Formez-vous, plusieurs formations sécuritéchez AlterWay/Certilience • Sur les solutions : Pfsense, squid, Web cache, ... • Sur l'aspect offensif : Techniques de Hacking (Réseau/Applicatif/Web) et sur les outils de hacking • Sur le développement : Php sécurisé, présentation OWASP • Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014
  • 16. Vos Q uestions ? Sécurisez-vous avec des solutions Open Source / 1.0 / 05-2014 Plus d'informations sur : ● Www.certilience.fr