Guide bonnes pratiques Web V2

  • Published on
    20-Jun-2015

  • View
    432

  • Download
    1

Embed Size (px)

Transcript

<ul><li> 1. GUIDE DES BONNES PRATIQUES POUR LA SECURITE DES PLATEFORMES WEB V2 .0Scurit, Web, Serveur, Application, Hbergement La scurit des applications web est de plus en plus menace. Ce document traite les bonnes pratiques recommandes pour aider les administrateurs et les dveloppeurs scuriser leurs plateformes web qui englobe le systme dexploitation, le serveur web, le serveur base de donnes, le contenu web et linfrastructure du rseau dhbergement.Agence Nationale de la Scurit Informatique</li></ul><p> 2. G E S T IO N D O CU ME N TA I RE AuteurVersionDate de la versionModification apporteANSI/SET1.013/04/2009Premier draftANSI/SET1.225/05/2009Premire rvisionANSI/SET2.014/04/2010Deuxime versionDocument PubliqueDocument Interne Document Confidentiel1 3. TABLE DES MATIERES1.INTRODUCTION ......................................................................................................................... 42.SECURISATION DU SYSTEME DEXPLOITATION DU SERVEUR WEB ...................... 52.1. Installation et configuration du systme d'exploitation ............................................................. 5 2.1.1. Patch et mise niveau du systme d'exploitation ............................................................... 5 2.1.2. Supprimer ou dsactiver les services et applications inutiles ........................................... 5 2.1.3. Configurer l'authentification des utilisateurs du systme d'exploitation .......................... 6 2.1.4. Installer et configurer des outils de scurit supplmentaires .......................................... 6 2.2. Evaluation de la scurit du systme d'exploitation .................................................................. 7 2.3. Check-list de scurit du systme d'exploitation du serveur web ........................................... 7 3.SECURISATION DU SERVEUR WEB ..................................................................................... 83.1. Installation scurise du serveur web ......................................................................................... 8 3.2. Configuration des contrles d'accs ........................................................................................... 9 3.3. Configuration scurise du rpertoire de contenu web ............................................................ 9 3.4. Check-list de scurit du serveur web......................................................................................... 9 4.SECURISATION DU SERVEUR BASE DE DONNEES ..................................................... 114.1. Configuration scurise du serveur base de donnes ............................................................ 11 4.2. Check-list de scurit du serveur base de donnes ................................................................ 12 5.SECURISATION DU CONTENU WEB .................................................................................. 135.1. Publication d'informations sur les sites web publics .............................................................. 13 5.2. Considrations de scurit ct client et serveur .................................................................... 13 5.2.1Vulnrabilits ct client .................................................................................................... 145.2.2Considrations ct serveur ............................................................................................. 145.3. Check-list pour la scurisation du contenu web ...................................................................... 16 6.SECURISATION DES COMMUNICATIONS........................................................................ 186.1. Check-list pour la scurit des communications ..................................................................... 18 7.IMPLEMENTATION DUNE INFRASTRUCTURE RESEAU SECURISEE .................. 207.1. Emplacements dconseills pour lhbergement dun serveur web ...................................... 20 7.2. Zone Dmilitarise (DMZ) ............................................................................................................ 20 7.3. Configuration des lments du rseau ..................................................................................... 23 7.3.1.Configuration Routeur / Firewall .................................................................................... 247.3.2.Systmes de dtection et de prvention d'intrusions (IDS/IPS) ................................. 257.3.3.Commutateurs rseau ..................................................................................................... 267.3.4.Rpartiteurs de charge (Load balancers) ..................................................................... 267.3.5.Reverse Proxy .................................................................................................................. 267.4. Check-list pour mettre en place une infrastructure rseau scurise ................................... 26 2 4. 8.ADMINISTRATION SECURISEE DU SERVEUR WEB ..................................................... 288.1. Journalisation ............................................................................................................................... 28 8.2. Sauvegarde du serveur web ....................................................................................................... 28 8.3. Audit priodique de la plateforme web ...................................................................................... 29 8.3.1.Scan de vulnrabilits ..................................................................................................... 298.3.2.Test de pntration.......................................................................................................... 308.3.3.Audit de code source ...................................................................................................... 308.4. Supervision ................................................................................................................................... 30 8.4.1.Supervision systme ....................................................................................................... 318.4.2.Supervision rseau.......................................................................................................... 318.4.3.Supervision des applications ......................................................................................... 318.5. Gestion des incidents .................................................................................................................. 31 8.6. Check-list pour la gestion du serveur web ................................................................................ 32 9.BIBLIOGRAPHIE ...................................................................................................................... 3510. ANNEXES .................................................................................................................................... 363 5. 1. INTRODUCTION Une plateforme web est lensemble de composants matriels et logiciels configur et connect Internet permettant de servir des pages web sur demande. Les informations sur les serveurs web public peuvent tre consultes par les internautes n'importe o sur Internet. De ce fait, ils peuvent tre soumis des tentatives dattaques par les pirates. Les pirates peuvent modifier le contenu des sites web et voler des donnes critiques du systme. Cela peut se traduire par une perte importante de revenu si cest une institution financire ou un site e-commerce et une perte ou vol de donnes pour dautres entreprises. Un incident de web defacement peut causer aussi bien des dommages importants l'image de marque d'une entreprise. Les menaces communes un serveur web public peuvent tre classes comme suit : Accs non autoris o Defacement o Vol de donnes o Manipulation de donnes Mauvaise utilisation o Lancement dattaques o Hbergement de contenus malicieux Dni de Service Menaces physiques Ce document traite les bonnes pratiques recommandes pour aider les administrateurs et les dveloppeurs scuriser leurs plateformes web qui englobe le systme dexploitation, le serveur web, le serveur base de donnes, le contenu web et linfrastructure du rseau dhbergement.4 6. 2. SECURISATIONDU SYSTEME DEXPLOITATION DU SERVEURWEB La premire tape de scurisation d'un serveur web est le durcissement du systme d'exploitation sous-jacent. La majorit des systmes dexploitation sont configurs par dfaut ; des configurations matrielles et logicielles qui sont gnralement fixes par les fabricants qui mettant l'accent sur les caractristiques, les fonctions et la facilit d'utilisation, au dtriment de la scurit. Ceci du fait que ces constructeurs ne sont pas conscients des besoins en scurit de chaque entreprise. Pour cela, chaque administrateur doit configurer de nouveaux les systmes dexploitation afin de reflter les exigences de scurit de sa plateforme. 2.1. Installation et configuration du systme d'exploitation 2.1.1. Patch et mise niveau du systme d'exploitationUne fois un systme d'exploitation est install, l'application des correctifs ou mises niveau ncessaires pour corriger les vulnrabilits connues est essentielle. Toute vulnrabilit connue sur lOS utilis pour lhbergement devrait tre corrige avant la mise en exploitation du serveur web sinon il sera exposer des utilisateurs malveillants. Pour dtecter correctement et corriger ces failles, les administrateurs de serveur web doivent faire ce qui suit: Crer, documenter et mettre en place une procdure de patch Identifier les vulnrabilits et les patches manquants o Pour vrifier les vulnrabilits des systmes d'exploitation, des services et d'autres applications, vous pouvez consulter : http://www.securityfocus.com/vulnerabilities, le NIST National Vulnerability Database (NVD) ladresse http://nvd.nist.gov/, etc. (voir annexe pour plus de ressources) Installer les correctifs et les mises jour partir du site web officiel de lOS utilis Si des correctifs ne sont pas encore disponibles, dsactiver les services qui sont en relation avec la vulnrabilit si cela est possible2.1.2. Supprimer ou dsactiver les services et applications inutilesIl est fortement recommand quun serveur web soit sur un hte ddi. Lors de la configuration du systme d'exploitation :5 7. Dsactiver ou supprimer tous les services et applications inutiles (ractiver seulement ceux requis par le serveur web)Si possible, installer la configuration OS minimale, puis ajouter les services et les applications ncessaires. Parmi les services et applications qui devraient normalement tre dsactive si non ncessaire sont les suivants: les services de partage de fichiers et d'imprimantes (par exemple Windows Network Basic Input / Output System [NetBIOS], Network File System [NFS], File Transfer Protocol [FTP]) les services sans fil les programmes d'accs distance, en particulier ceux qui ne cryptent pas leurs communications (par exemple, Telnet) Lightweight Directory Access Protocol [LDAP], Kerberos, Network Information System [NIS]) les services e-mail (par exemple, Simple Mail Transfer Protocol [SMTP]) les compilateurs de langage et les bibliothques Les outils de dveloppement Les outils et utilitaires de gestion systme et rseau, y compris Simple Network Management Protocol (SNMP)2.1.3. Configurer l'authentification des utilisateurs du systme d'exploitationPour sassurer quune authentification approprie des utilisateurs est en place, il fallait prendre les mesures suivantes : -Supprimer ou dsactiver les comptes par dfaut et les groupes inutiles Vrifier le choix des mots de passe (Longueur, Complexit, Rutilisation, ) Prvenir le devine mot de passe (par exemple, refuser la connexion aprs un nombre dfini de tentatives non russis) Installer et configurer d'autres mcanismes de scurit pour renforcer l'authentification2.1.4. Installer et configurer des outils de scurit supplmentairesLes systmes d'exploitation, souvent, ne comprennent pas tous les outils ncessaires pour garantir la scurit du systme d'exploitation, des services et des applications de manire adquate. Pour cela, les administrateurs ont besoin de choisir, installer et configurer des logiciels supplmentaires pour assurer une scurit plus efficace tels que : Les logiciels anti-malware : tels que les logiciels antivirus, les logiciels anti spyware et les dtecteurs de rootkit ceci afin de protger le systme d'exploitation6 8. locale des logiciels malveillants et afin de dtecter et liminer toutes les infections qui peuvent se produire. Les logiciels de dtection et de prvention d'intrusion hte (HIDS)2.2. Evaluation de la scurit du systme d'exploitationLe test priodique de la scurit de l'OS est un moyen essentiel pour identifier les vulnrabilits et veiller ce que les mesures de scurit existantes sont efficaces. Les mthodes courantes pour tester lOS sont notamment le scan de vulnrabilits et les tests de pntration. Le scan des vulnrabilits devraient tre effectus priodiquement, au moins hebdomadaire mensuel et les tests de pntration doivent tre effectues au moins chaque anne (Pour plus dinformations, consulter la partie 8.1.3 : Audit priodique de la plateforme web) 2.3. Check-list de scurit du systme d'exploitation du serveur web CompltActionPatch et mise niveau du systme d'exploitationCrer, documenter et mettre en place une procdure de patchTester les patchs sur un serveur de test avant de les appliquer sur le serveur en exploitationIdentifier et installer tous les correctifs et mises niveau du systme d'exploitationIdentifier et installer tous les correctifs et mises niveau des applications et des services inclus avec le systme d'exploitationInstaller les correctifs et les mises jour partir du site web officiel de lOS utilisSi des correctifs ne sont pas encore disponibles, dsactiver les services qui sont en relation avec la vulnrabilit identifie si cela est possible Supprimer ou dsactiver les services et applications inutilesDsactiver ou supprimer tous les services et applications inutiles Configurer l'authentification des utilisateurs du systme d'exploitationSupprimer ou dsactiver les comptes et les groupes par dfaut ou inutilesVrifier le choix des mots de passe (Longueur, Complexit, Rutilisation, )7 9. Prvenir le devine de mot de passe (par exemple, refuser la connexion aprs un nombre dfini de tentatives non russis)Installer et configurer d'autres mcanismes de scurit pour renforcer l'authentification Installer et configurer des contrles de scurit supplmentaires Choisir, installer et configurer des logiciels supplmentaires pour assurer les contrles ncessaires ne figurant pas dans le systme d'exploitation, tels que : les logiciels anti malwares : (antivirus, logiciel antiespion, les dtecteurs de rootkit) des logiciels de dtection et de prvention d'intrusion hte (HIDS)Evaluation de la scurit du systme d'exploitationEffectuer le scan de vulnrabilit de lOS aprs linstallation initiale afin didentifier les vulnrabilitsTester lOS priodiquement pour identifier de nouvelles vulnrabilitsEffectue...</p>

Recommended

View more >