rapport final sécurité applicative

Download Rapport Final Sécurité applicative

Post on 02-Aug-2015

326 views

Category:

Documents

6 download

Embed Size (px)

TRANSCRIPT

Universit Sidi Mohammed Ben Abdellah Ecole Nationale des Sciences Appliques Fs Filire : Rseaux et tlcomsU.S.M.B.A

Projet de Fin dEtudesPour lObtention Du Diplme DIngnieur DEtat Spcialit : Scurit rseaux Ralis au sein de : Intelcom Satec Groupe

SUJET Mise en place dune maquette de test base dun WAF OpenSource et deux applications WEB(PHP,J2EE)Priode de stage : Du 20/02/2012 Au 20/06/2012

Encadr par : Ralis par :Nasredine Boujmil

Mr Hassan Chaib Mr Youness Mehdaoui

Prsent le 30 /06/2012 Devant le Jury compos de :

Mr Y. Mehdaoui Mr S. Bennani Mr M. Alfidi

Anne Universitaire : 2011/ 2012

Ddicaces

Je ddie ce modeste travail :A mes trs chers parents Rien ne pourra exprimer ma gratitude, mon respect, et mon amour ternel pour tous les sacrifices que vous avez consenti pour mon ducation et pour mon bien tre. Trouvez en ce travail lexpression de mon profond amour.

A mon frre et ma sur

A toute ma grande famille .

Je vous aime tous

Nasredine Boujmil

Remerciementse tiens remercier toute personne mayant aid illuminer le chemin au cours de ma priode de formation et surtout mon prsent Projet de Fin dEtudes. Et bien que a ne soit lvidence qui le dicte, je tiens rendre grce au corps professoral de lEcole Nationale des Sciences Appliques de Fs pour les efforts fournis afin de garantir le bon droulement de la formation. Bien plus, jadresse avec tout le respect et lestime que cela se doit de requrir, mes remerciements au personnel de la socit Intelcom, et leur tte videmment Mr. Bahaadine Tagmouti qui ma fournis la possibilit dintgrer cette socit et de raliser ce projet de fin dtudes. Encore, faudrait-il que je remercie sincrement Mr. Najib Bazza pour son apport et son assistance, ses conseils prcieux avant quil cda sa place Mr. Hassan Chaib qui na pargn aucun effort maider tout au long la priode du stage et qui, grce sa cordialit et son esprit ouvert ma permis de mintgrer pleinement dans les spcificits du cahier de charges demand, sans pour autant me sentir dpays. Je tiens remercier galement Mme Elammari , M.Wadie Haddad , M. Wafae essafar et tout le personnel dIntelcom pour leur sympathie , leur hypergentiellesse et leur aide . Mon Professeur Mr Youness Mehdaoui de mavoir encadr tout le long de llaboration du prsent projet. Je tiens exprimer ma gratitude au directeur de LEcole Nationale des Sciences Appliques de Fs et Monsieur le Vice-prsident, et les professeurs qui ont accept dtre prsents pour mavoir honor en acceptant de juger mon travail. Veuillez trouver ici le tmoignage de mon respect le plus profond. Enfin, je remercie lensemble des stagiaires pour la bonne ambiance quils ont tablie tout au long la priode du stage

J

Rsum

a gestion de la scurit informatique au sein de nimporte quelle entreprise quelle que soit sa taille est devenue indispensable et du mme ordre que la gestion de son rseau propre elle. Nous pouvons mme aller affirmer que la gestion de scurit est dsormais un souci majeur et quotidien du gestionnaire du rseau de lentreprise et parmi les projets qui proccupent un grant dune telle socit. De nombreuses tudes publiques, comme celle de la communaut OWASP2, nous rvlent que la grande majorit des vulnrabilits sont dordres applicatifs. Aussi, ces vulnrabilits proviennent le plus souvent du code spcifique des applications, plutt que des frameworks3 utiliss pour les dvelopper. Les technologies traditionnelles, comme les Firewalls, sont malheureusement peu efficaces contre ces attaques au niveau applicatif. Une nouvelle gnration de Firewalls, les Web Application Firewalls (WAF)1 a donc vu le jour, avec lambition de rpondre ces nouveaux dfis.

L

Lobjectif premier de ce travail est dtudier et de raliser une plate-forme dun pare-feuopen source contre des intrusions de type applicatif permettant de dtecter en temps rel toute attaque menaant le patrimoine informatique dune entreprise sur une maquette de test base sur le dveloppement et limplmentation de deux applications Web ( 3 tiers) avec deux langages diffrents(PHP5,J2EE savoir la technologie JSP marie avec le modle MVC) pour lvaluation du produit.

1 2 3 4

WAF : Web Application Firewall OWASP (Open Web Application Security Project) est une communaut travaillant sur la scurit des applications Web. Sa philosophie est d'tre la fois libre et ouverte tous. FRAMEWORK est un kit de composants logiciels structurels, qui sert crer les fondations ainsi que les grandes lignes de tout ou dune partie d'un logiciel (architecture) Un test d'intrusion, pentesting est une mthode d'valuation de la scurit d'un systme informatique ou rseau en simulant une attaque de l'extrieur

Abstract

anagement of information security in any company whatever its size has become essential as well as managing its own network. We can even go to say that security management is now a major and daily concern of each networks manager. Many public studies, such as the community 2 show that the vast majority of vulnerabilities rely on the applications used in OWASP development. Also, these vulnerabilities are caused mostly by the specific code applications, more than "frameworks3" used to develop them. Traditional technologies such as firewalls are unfortunately not very effective against these attacks at the application level. A new generation of firewalls, Web Application Firewalls (WAF)1 has emerged, with the ambition to meet these new challenges. The primary objective of this work is to study and make a platform for an open source firewall against application intrusions in order to detect in real time any attack threatening the numeric heritage of a company and it will be by the development of two applications with two different languages (PHP5, J2EE by implementing JSP technology in MVC model) and to establish a model for the pentesting4

M

1 2 3 4

WAF : Web Application Firewall OWASP (Open Web Application Security Project) is a community working on web application security. His philosophy is to be both free and open to all. Framework is a set of software components, structural, used to create the foundations and outlines of all or part of a software (architecture) Pentesting is a method for evaluating the security of a computer system or network by simulating an attack from outside

. . 2 OWASP . 3 frameworks . 1( )WAF . ( )2E2J,5PPP 4pentesting

1 WAF : Web Application Firewall 2 . )OWASP (Open Web Application Security Project . 3 4 Framework Pentesting

TABLE DES MATIRESI. INTRODUCTION GENERALE .............................................................................. 11. 2. 3. 4. Problmatique ............................................................................................................. 1 Cahier de charges ....................................................................................................... 1 Organisation du projet ............................................................................................... 2 Conclusion................................................................................................................... 3

II.

PRESENTATION DE LORGANISME DACCUEIL ......................................... 41.1. 1.2. 1.3. 1.4. Prsentation ............................................................................................................. 4 Mission, valeurs et stratgies ................................................................................ 4 Les secteurs dactivit ............................................................................................ 5 Organigramme dIntelcom .................................................................................... 5

Chapitre 1 : Description technique du projetI. LES FIREWALLS APPLICATIFS ............................................................................ 81. 1.1. 1.2. 1.3. 1.4. 1.5. 2. 2.1. 2.2. 2.3. Prliminaires ............................................................................................................... 8 Quest une application Web ? ............................................................................... 8 Le protocole http/https ......................................................................................... 9 Le protocole DNS ................................................................................................. 11 Bilan de la premire partie .................................................................................. 11 Quest-ce quun firewall ?.................................................................................... 12 Les firewalls applicatifs (Web Application Firewall) .......................................... 12 Quest-ce quun firewall applicatif ..................................................................... 13 Les solutions Open-source existantes ................................................................ 13 Fiche technique sur Modsecurity ....................................................................... 18

II.

FICHE TECHNIQUE SUR LES APPLICATIONS WEB ................................... 201. 1.1. 1.2. 1.3. 2. 2.1. 2.2. 2.3. 2.4. 2.5. Environnement du travail ....................................................................................... 20 Fiche technique sur le serveur Web ................................................................... 20 Le site Web intranet.............................................................................................. 22 Lapplication de gestion des utilisateurs du site en JEE ................................. 22 Les attaques Web les plus courantes ........................................................