Swiss Security Hackademy

Automatisation : Ansible et les modules F5

Le rythme auquel les applications sont développées et déployées continue d'accélérer, apportant des avantages tangibles aux entreprises et à leurs clients.

Pour aller de l’avant, les entreprises utilisent des modèles tels que"DevOps" pour améliorer les processus internes et l'automatisation pour accélérer l'execution des workflow de déploiements de services. Alors que le DevOps et l'automatisation sont de plus en plus courant pour les serveurs, la véritable automatisation des réseaux demeure difficile à réaliser pour la plupart.

La structure d'automatisation d'Ansible inclut un support natif pour les périphériques réseau existants et ouverts. Ce framework sépare le Playbook du moteur Ansible, permettant à vos automatismes Ansible de couvrir tous vos équipements réseaux.

Les administrateurs des produits F5 peuvent automatiser et orchestrer les configurations et déploiements avec la solution Ansible via une série d'intégrations avec les modules appelés API F5 BIG-IP. Ces modules tirent parti du support complet de l'API REST iControl implémentée sur les plateformes F5 BIG-IP.

Les modules F5 Ansible permettent la plupart des cas d'utilisation courants, tels que :
- Automatisation des configurations de base : DNS, NTP, syslog, …
- Automatisation des paramètres réseau (VLAN, Self-Ips, route domain, …)
- Déploiement automatisé d'applications.
- Gestion des objets Virtual Servers, Pools, Moniteurs, etc.

Pour plus d’informations veuillez cliquer sur les liens ci-dessous :
- F5 Support Policy
- Ansible - List of Network Modules

• 

  Youssef

  Senior Security Engineer  

• Catégorie : Post-IT

  Date : 6 août 2018

  Mise à jour : 8 août 2018

Chrome 68 : Les sites HTTP sont marqués « Not secure »

Google étant un fervent défenseur de l'Internet sécurisé et chiffré, il va un pas en avant dans sa démarche de promotion du chiffrement des sites web.

Après avoir décidé d'impacter négativement le ranking SEO des sites HTTP, le géant du web a décidé de marquer les sites non chiffrés par la mention "Not secure" dans la barre de navigation du browser.

A partir de Chrome 70, les sites HTTPs n'auront plus le droit à une mention "Secure" puisque Google considère qu'HTTPs est la nouvelle norme.

• 

  Yann Desmarest

  Innovation Center Manager

• Catégorie : Post-IT

  Date : 4 août 2018

  Mise à jour : 6 août 2018

Rate Limiting basé sur les Access Tokens

La mise en place d'une fonction de Rate Limiting permet de réduire les risques d'abus d'utilisation des APIs. En utilisant OAuth 2.0 pour gérer les autorisations d'accès, nous avons l'opportunité de définir un rate limit par ACCESS TOKEN délivré.

Si un client effectue trop de requêtes sur l'API, il reçoit alors une réponse "429 Too much requests" avec le contenu JSON ci-dessous :

{ 
    "x-rate-limit-limit": 1000,
    "x-rate-limit-remaining": 0,
    "x-rate-limit-reset": 100
}

Dans l'exemple ci-dessus, le client a épuisé son quota de 1000 requêtes et doit attendre 100 secondes avant de pouvoir effectuer de nouveau des requêtes.

En s'appuyant sur la solution F5 BIG-IP et les iRules, nous avons conçu un service de Rate Limit pour les APIs protégées avec OAuth 2.0. Le code source est disponible sur le site devcentral.f5.com

• 

  Yann Desmarest

  Innovation Center Manager

• Catégorie : Post-IT

  Date : 13 juillet 2018

  Mise à jour : 13 juillet 2018

RGPD sonne-t-il le glas de WHOIS?

Tout le monde connait Whois : une base décentralisée recensant des informations concernant les propriétaires des noms de domaine. Très utile pour les responsables sécurité afin d'identifier les point de contacts liés à un domaine :
- le contact "abuse" (en cas d'attaques/spam/phishing provenant d'un domaine par exemple)
- les contacts techniques et administratifs responsables d'un domaine.

Sauf que ( RGPD ) est passé par là, et les nouvelles exigences ont un impact sur ce service.

L'EPAG, bureau d'enregistrement allemand, a décidé de ne plus collecter les contacts administratifs et techniques car il considère que la collecte n'est pas conforme à RGPD.

L'ICANN a insisté en déposant un injonction aux tribunaux Allemands pour forcer l'EPAG a maintenir la collecte. Demande rejetée par le tribunal de Bonn, donnant raison à l'EPAG, et confirmant que la collecte sous sa forme actuelle n'est pas conforme à RGPD. L'ICANN a fait appel....

A suivre car si la décision est confirmée, c'est l'avenir de ce service historique d'Internet qui est incertain !

• 

  Yoann Le Corvic

  Senior Security Engineer  / CISM

• Catégorie : Post-IT

  Date : 11 juillet 2018

  Mise à jour : 11 juillet 2018

Faille au niveau des e-mails chiffrés, les pirates lisent vos mails secrets !

La faille EFAIL permet à un attaquant de lire le contenu d’un email préalablement chiffré. Cette vulnérabilité se situe au niveau de l’implémentation des protocoles OpenPGP et S/MIME. Certains des clients de messagerie prenant en charge ces standards sont vulnérables aux attaques de type « Direct Exfiltration » et "CBC/CFB Gadget".

Orange : Soyez très vigilants !
Type d'alerte : Faille de sécurité et atteinte à la confidentialité des données.
Prérequis d'intervention : Expert en intégration de solutions de chiffrement et administrateur système en charge des mises à jour.

Comment ça marche ?
- Le pirate a accès à un email chiffré (dans le cadre d’une attaque tierce),
- Le pirate envoie un email contenant une charge malicieuse,
- La victime ouvre l’email,
- L’ouverture déclenche le contenu malveillant,
- Le mail est renvoyé en clair à l’attaquant.

Concrètement le pirate injecte un élément HTML de type image qui une fois restitué par le client de messagerie, envoie le texte en clair en forgeant une requête HTTP vers le site de l'attaquant.

Dans l’attaque de type « Direct Exfiltration », certains clients de messagerie électronique, qui n'isolent pas les différentes parties MIME d'un message, permettent aux pirates d'englober un message chiffré entre deux blocs MIME en clair. Une fois déchiffrée et restituée par le client de messagerie, les données sont renvoyées à l’attaquant.

Conseil de nos experts !
Les vulnérabilités révélées sous le nom EFAIL affectent les implémentations et le fonctionnement des différents clients de messagerie. Pour minimiser le risque, nous vous conseillons les étapes suivantes :
- Désactiver le rendu du contenu HTML dans les e-mails,
- Désactiver le déchiffrement automatique des e-mails,
- Appliquer les patchs de sécurité visant à corriger ces vulnérabilités dans les clients de messagerie,
- Utiliser des solutions externes comme TotemoMail pour réaliser le déchiffrement des e-mails, cette solution n’étant pas affectée.

• 

  Michael Molho

  Senior Security Engineer

• Catégorie : Post-IT

  Date : 8 juillet 2018

  Mise à jour : 10 juillet 2018

Qu’est ce qu’un WAF ?

Le WAF est un acronyme pour Web Application Firewall (ou Pare-feu Applicatif en Francais). C’est une solution de sécurité informatique permettant de protéger les applications web et se présentant sous forme d’appliance ou de machine virtuelle.

Leur rôle est d’analyser les flux HTTP et HTTPs pour bloquer les tentatives d’attaques sur les applications. Dans l’architecture réseau, le WAF est positionné entre les utilisateurs et les serveurs hébergeant les applications.

Il intègre très souvent des protections contre :

- Les menaces du Top 10 OWASP,
- Les dénis de service applicatifs,
- Les robots,
- Les Brute Forces.

Certaines solutions fournissent également des tableaux de bords permettant de contrôler le niveau de conformité des politiques de sécurité implémentées avec des standards comme PCI par exemple.

• 

  Yann Desmarest

  Innovation Center Manager

• Catégorie : Post-IT

  Date : 15 avril 2018

  Mise à jour : 10 juillet 2018

Qu’est ce qu’un Deni de Service ?

Le Déni de service aussi appelé DoS (pour Denial of Service) est un type d’attaque informatique qui vise à rendre un service ou un réseau inaccessible. Il existe plusieurs catégories de dénis de service :

- Volumétrique : L’attaquant envoi un grand nombre de données vers sa cible pour saturer la bande passante réseau. Il est très facile à lancer et des compétences techniques pointues ne sont pas nécessaires. C’est le type de DoS le plus couramment utilisé. Le record du monde est actuellement détenu par Github qui a subit une attaque de près de 1.35 Tbps.

- Protocole : Avec ce type d’attaque, le pirate exploite des faiblesses sur les protocoles. L’attaquant va par exemple générer un très grand nombre de sessions TCP pour saturer les tables de sessions des équipements réseaux ou des Firewalls. L’attaque SYN Flood fait parti de cette catégorie.

- Applicatif : L’attaquant exploite une vulnérabilité ou une faiblesse sur le l’application jusqu'à saturer les ressources CPU, RAM, Disque, … sur la cible. Ce type d’attaque requiert bien souvent des compétences plus avancées et une bonne connaissance de l’environnement constituant la cible.

Le déni de service fait des milliers de victimes par année. Le botnet Mirai est un exemple concret de systèmes malicieux permettant de lancer des attaques DoS de très grande ampleur.

• 

  Yann Desmarest

  Innovation Center Manager

• Catégorie : Post-IT

  Date : 5 février 2018

  Mise à jour : 10 juillet 2018