Fortinet ZTNA - Architecture

Pour effectuer un déploiement ZTNA dans Fortinet, trois composants sont nécessaires. Tout d'abord, un FortiGate est requis pour l'authentification des utilisateurs et des appareils, ainsi que pour appliquer la politique de sécurité. Ensuite, il faut déployer le serveur EMS ou Endpoint Management Server à partir duquel les profils de sécurité sont définis, la télémétrie est effectuée et nous faisons une gestion centralisée de tous les appareils. Enfin, il est nécessaire d'installer l'agent FortiClient sur les appareils finaux pour pouvoir effectuer les contrôles de sécurité, c'est-à-dire que c'est le logiciel qui vérifiera le degré de conformité de la sécurité et établira les connexions avec le FortiGate.

 

Fortinet ZTNA - Architecture

Si l'on rentre dans le détail de l'interaction entre ces trois éléments, on constate qu'il existe plusieurs flux de communication entre tous les composants. D'une part, le FortiClient communiquera avec le serveur EMS pour lui envoyer toutes les informations de télémétrie, c'est-à-dire qu'il enverra toutes les informations relatives aux données de l'utilisateur. De plus, le serveur EMS enverra au FortiClient les politiques et profils de sécurité de ce FortiClient. Il existe donc une communication bidirectionnelle entre les deux composants. D'autre part, lors du processus d'enregistrement du FortiClient sur le serveur EMS, un processus de génération de certificat numérique aura lieu pour identifier de manière unique le FortiClient. De cette façon, nous allons avoir une authentification des appareils basée sur des certificats numériques totalement transparente pour l'utilisateur. Par conséquent, chaque FortiClient disposera d'un certificat signé par le serveur EMS qu'il présentera ultérieurement au FortiGate lors de la phase d'authentification. Lorsque le FortiClient veut se connecter au FortiGate, le pare-feu aura toutes les informations de l'appareil de l'utilisateur car elles ont été préalablement envoyées par le serveur EMS, c'est-à-dire que le serveur EMS enverra au FortiGate l'état de conformité de tous les appareils comme ainsi que les informations des utilisateurs et les certificats que les FortiClients doivent présenter pour vérifier l'identité des appareils.

 

Architecture - Flux de gestion et d'acces aux applications

Au moment où l'utilisateur souhaite établir une connexion avec une application, ce que FortiGate va faire initialement est une vérification de certificat pour authentifier l'appareil. Heureusement, la conformité de la sécurité et la vérification des certificats sont transparentes pour l'utilisateur et, par conséquent, aucune action de l'utilisateur n'est requise. De cette manière, l'utilisateur pourra accéder aux applications Web en utilisant FortiGate comme proxy, c'est-à-dire qu'en aucun cas une connexion directe ne sera établie avec les applications. Cela nous aide également à protéger les applications contre d'éventuelles intrusions. Cependant, pour les connexions TCP uniquement, telles qu'une connexion SSH ou RDP, un tunnel TLS sera établi contre le FortiGate et le pare-feu initiera la connexion contre le serveur SSH ou RDP.

 

Flux pour les connexions TCP uniquement

Vous souhaitez implémenter une architecture ZTNA ?

Modèle de confiance zéro (ZTNA)

Si nous allons à l'état actuel de la cybersécurité, nous savons tous que nos utilisateurs sont de plus en plus mobiles. Actuellement, un utilisateur peut utiliser plusieurs appareils de nature différente. Il peut s'agir d'un PC d'entreprise, d'un ordinateur portable personnel ou de téléphones portables d'entreprise ou personnels. De plus, les applications et les infrastructures sont de plus en plus distribuées. Certaines applications sont migrées d'environnements sur site vers des environnements plus distribués en tant que service, par exemple, O365. De plus, il faut ajouter que nous avons des bureaux distants et des télétravailleurs qui accéderont également à toutes ces applications distribuées. Le résultat est que nous avons un périmètre très diffus où nous ne savons pas où se trouve l'intérieur, où se trouve l'extérieur, ni d'où l'on accède à toutes ces ressources et dans quelles conditions. Cependant, nous savons que toutes les menaces qui existent sont de plus en plus complexes et sophistiquées, et des modèles basés sur l'intelligence artificielle et l'apprentissage automatique commencent même à être mis en œuvre qui tirent parti de toutes ces faiblesses dérivées du manque de périmètre et d'un environnement difficile à défendre.

Zero Trust est un modèle de cybersécurité qui définit une série de principes de sécurité basés sur le fait que les menaces existent partout, c'est-à-dire à l'intérieur et à l'extérieur du réseau. Pour cette raison, ce qui est fait est de se débarrasser de la confiance implicite de tout actif, c'est-à-dire tout appareil qui veut accéder à n'importe quelle donnée d'entreprise, où qu'il se trouve, que ce soit dans le CPD traditionnel ou dans le cloud, doivent démontrer qu'ils sont valides, qu'ils sont autorisés et qu'ils respectent certaines normes de sécurité définies par notre entreprise. Il ne peut en aucun cas constituer une menace. Cette architecture Zero Trust va être alimentée avec différentes informations, c'est-à-dire que nous allons avoir différents systèmes qui vont vider les informations d'état de tous ces appareils pour vérifier cette fiabilité. Ainsi, tant que l'appareil est fiable, il pourra accéder aux ressources strictement nécessaires. Un appareil n'aura pas accès, quelle que soit sa fiabilité, à des ressources auxquelles il ne devrait pas pouvoir accéder. Vous devrez vérifier à tout moment que l'appareil est toujours digne de confiance et vous devrez effectuer une action de correction ou d'isolement lorsqu'il ne sera plus digne de confiance.

Il existe deux types de déploiements Zero Trust : ZTNA et ZTA. ZTNA consiste à contrôler l'accès aux applications. Un proxy est utilisé qui permet aux utilisateurs distants d'accéder aux applications sans avoir à établir de VPN traditionnels. Cependant, ZTA a à voir avec l'architecture de contrôle d'accès à l'infrastructure réseau. Il contrôle quoi ou qui est connecté au réseau via des commutateurs, des points d'accès ou même via le VPN, et vérifie où ils se situent par rapport à notre politique de sécurité. Ce n'est que lorsque l'appareil est connu pour être digne de confiance que l'accès nécessaire lui sera fourni. Par conséquent, ZTA est plus lié à notre réseau tandis que ZTNA est plus lié aux applications.

A quelle solution Zero Trust pensez-vous ?

Certification Lead Auditor ISO 27001

Je me souviens de la première fois où j'ai lu la norme ISO 27001. C'est en 2012 que je suis tombé sur cette norme internationale car l'entreprise pour laquelle je travaille, Ariadnex, souhaitait être certifiée. Au début, il semble qu'il y ait beaucoup de paperasse et plus tard beaucoup de travail pour maintenir les politiques, les procédures et les contrôles. C'est vraiment vrai mais ça vaut le coup car c'est le meilleur moyen de sécuriser les informations de l'entreprise.

J'ai commencé avec ISO 27001:2005 où il y avait 113 contrôles dans 11 catégories de contrôle. Tout était nouveau pour moi. J'étais un débutant. Plus tard, ISO 27001: 2013 a été publié là où il y avait de nouveaux contrôles tandis que d'autres ont été modifiés. En fait, il y avait 114 contrôles dans 14 catégories de contrôle. Je n'étais pas novice et j'ai compris les changements. Aujourd'hui, toutes les entreprises sont certifiées avec la nouvelle norme ISO 27001:2022, où il existe également de nouveaux contrôles et d'autres ont été modifiés pour cette nouvelle ère. Nous avons actuellement 93 contrôles dans 4 catégories de contrôle. Je comprends tous les contrôles et je suis capable d'auditer des entreprises en ISO 27001.

Cela fait plus de 10 ans que j'ai travaillé pour la première fois avec la norme ISO 27001, j'ai donc sauté le pas pour être certifié ISO 27001 Lead Auditor. La semaine dernière, j'ai réussi l'examen. Cela n'a pas été vraiment difficile pour moi. J'ai pris des exemples de tests, j'ai lu un livre que la société de certification m'a envoyé, et bien sûr j'ai lu la norme ISO 27001:2022. C'était 40 questions pour une heure où j'avais besoin de plus de 80% de bonnes questions. J'ai réussi. Je suis vraiment heureux.

On y va!!

ISO 27001:2022 - Les 11 nouveaux contrôles

La nouvelle norme ISO/IEC 27001:2022 est une mise à jour du catalogue principal de contrôles ISO 27002, officiellement un "ensemble de contrôles de référence pour la sécurité de l'information". En plus de la restructuration générale et la mise à jour des contrôles de l'édition 2013, la commission a renforcé la couverture de la « Sécurité pour le Cloud Computing » avec le nouveau contrôle 5.23, ainsi que dix autres nouveaux contrôles, principalement dans la section 8. (contrôles technologiques) :

• Renseignements sur les menaces (5.7) : collectez des renseignements pertinents et exploitables sur les menaces à l'information, en les alimentant dans le processus de gestion des risques liés à l'information.

• Préparation des TIC pour la continuité des activités (5.30) : les organisations doivent se préparer à gérer des incidents graves qui affectent et/ou impliquent des processus critiques.

• Supervision de la sécurité physique (7.4) : Installer des alarmes anti-intrusion, CCTV, gardes, etc. pour les locaux commerciaux. Il s'agit d'un contrôle tellement basique et commun que vous ne pouvez pas croire qu'il manquait à l'édition précédente.

• Gestion de la configuration (8.9) : fait référence à la nécessité de gérer la sécurité et d'autres détails de configuration pour le hardware, les logiciels, les services et les réseaux.

• Suppression d'informations (8.10) : Il s'agit d'un autre contrôle « évident » indiquant que les données doivent être supprimées lorsqu'elles ne sont plus nécessaires pour éviter une divulgation inutile et pour des raisons de conformité. Cependant, les détails précis de la manière dont les informations sont supprimées sont importants dans la pratique.

• Masquage des données (8.11) : conformément à la politique de contrôle d'accès de l'organisation, en plus des autres exigences commerciales et obligations de conformité, les contrôles de sécurité sont appropriés pour atténuer le risque de divulgation d'informations personnelles sensibles.

• Prévention des fuites de données (8.12) : DLP est nécessaire pour protéger les informations sensibles contre la divulgation et l'extraction de données non autorisées (vol, surveillance, etc.).

• Activités de surveillance (8.16) : les « anomalies » dans les réseaux, systèmes et applications informatiques doivent être détectées et traitées pour atténuer les risques associés.

• Filtrage Web (8.23) : limiter l'accès aux sites Web inappropriés ou risqués est un contrôle de sécurité de l'information suffisamment important pour justifier son inclusion dans la norme ISO 27001.

• Codage sécurisé (8.28) : les logiciels doivent être conçus et programmés de manière sécurisée, ce qui réduit le nombre et la gravité des vulnérabilités exploitables résultant de défauts de conception et d'erreurs de programmation. Ce contrôle est presque entièrement piloté par le principe de « secure by design ».

Cependant, cette nouvelle norme est assez faible en ce qui concerne la sécurité de l'Internet des objets (IoT), ce qui n'est pas surprenant étant donné que ce domaine est encore immature. Les objets IoT prolifèrent si rapidement, et la technologie est si limitée en termes de traitement, de stockage et d'autres capacités, que les contrôles de sécurité des informations sont toujours problématiques.

À bientôt !

Le nouvelle norme ISO/IEC 27001:2022

Je n'écris plus sur ISO 27001 depuis 2021 lorsque j'ai écrit un article sur les meilleures pratiques de cybersécurité. J'ai également écrit sur les directives de sécurité pour l'Union européenne en 2016 ainsi que sur PCI-DSS vs ISO 27001 et ENS vs ISO 27001. Aujourd'hui, j'aimerais écrire sur la nouvelle norme ISO/IEC 27001:2022 parce que je pense que c'est vraiment intéressant de savoir quelle est la nouvelle structure de cette norme internationale qui est suivie par de nombreuses entreprises soucieuses de la sécurité de l'information.

La nouvelle structure reflète la structure d'autres nouvelles normes de gestion, telles que ISO 9000, ISO 20000 et ISO 22301, qui aident les organisations à se conformer à diverses normes. Les changements survenus dans l'industrie avec l'apparition du NIST Cybersecurity Framework (CSF) dont l'objectif était de protéger l'infrastructure critique qui prend en charge les services essentiels des États-Unis, les propositions de cybersécurité de l'Union européenne reflétées dans divers documents de l'ENISA et les mises à jour qui ont eu lieu dans d'autres meilleures pratiques telles que ITIL et COBIT -au cours de 2019- et PCI, ont également influencé la nécessité d'actualiser le contenu de cette norme.

La nouvelle ISO 27001:2022 comporte 93 contrôles en 4 groupes ou types de contrôles contre 114 contrôles en 14 clauses dans la version 2013. Ajout de 11 nouveaux contrôles (Threat Intelligence, Information security for use of cloud services, ICT readiness for business continuity, Physical security monitoring, Configuration management, Information Deletion, Data masking, Data leakage prevention, Monitoring activities, Web Filtering, Secure Coding). Un contrôle a été supprimé (suppression d'actifs). De plus, 58 contrôles ont été mis à jour et 24 contrôles ont été fusionnés.

Par conséquent, la nouvelle version apporte avec elle des changements importants, le plus représentatif étant: Le changement de nom, incorporation de nouveaux termes et définitions, la nouvelle structure des sujets de sécurité de l'information, La nouvelle structure d'attributs des contrôles, et évolution des contrôles depuis la version ISO 27002:2013.

Un changement radical par rapport à la version précédente est la restructuration des 14 domaines de contrôle définis dans l'ISO 27002:2013 autour de 4 grands thèmes: Chapitre 5 : Contrôles organisationnels (37 contrôles), Chapitre 6 : Contrôles des personnes (8 contrôles), Chapitre 7 : Contrôles physiques (14 contrôles), et Chapitre 8 : Contrôles technologiques (34 contrôles). Cette classification des fonctions est beaucoup plus simple que celle fournie par la version 2013 de la norme, qui est beaucoup plus orientée vers le contexte d'application du contrôle (organisationnel, humain, physique et technologique).

Enfin, comme je dis toujours que tous les ingénieurs réseau devraient passer la certification CCNA car c'est la base de la mise en réseau, je dis aussi que tous les ingénieurs en sécurité devraient connaître la norme ISO 27001 pour connaître les contrôles de sécurité, les procédures de sécurité et les mesures de sécurité.

Á bientôt!

Défense d’un rapport d’expert

Le travail d'un expert ne s'arrête pas à la préparation du rapport d'expertise. Habituellement, nous devrons défendre ce qui y est reflété devant le tribunal correspondant, où des éclaircissements et la présentation des conclusions contenues dans le rapport seront demandées. C'est un élément fondamental car tout le travail effectué sur le rapport peut être perdu en raison d'une mauvaise défense, nous devons donc réagir de manière appropriée.

En ce sens, il est important de se rappeler que nous sommes les experts et qu'en tant que tels, nous avons été appelés. Il est important de le souligner car nous sommes probablement ceux qui ont le plus de connaissances technologiques, donc notre défense doit simplement être basée sur nos connaissances antérieures et notre travail effectué, sans devenir nerveux puisque nous devons avoir fait le travail auparavant et maintenant nous venons de le montrer et de le défendre.

Dans de nombreux cas, ce ne sera pas un lit de roses puisque évidemment notre rapport sera généralement défavorable à l'une des parties et cela tentera d'invalider nos arguments, mais si nous sommes sûrs de la qualité du travail que nous avons précédemment développé , nous n'avons pas à en avoir peur.

Certes, l'autre partie peut également présenter son propre expert avec d'autres conclusions différentes des nôtres. Dans ce cas, nous devons essayer de nous documenter sur l'autre rapport et réfuter ses conclusions avec les nôtres.

Dans les cas où les questions vont au-delà du fait étudié en question, nous devons "ne pas entrer pour savoir" c'est-à-dire justifier que nous ne pouvons pas répondre à cela parce que ce n'est pas l'objet de notre travail ou qu'il ne nous a pas été présenté auparavant dans le cadre du travail que nous devions faire.

En tout cas, de la même manière que la pratique rend maîtres dans l'analyse et la rédaction ultérieure du rapport, l'expérience est également un degré très important pour une défense correcte, une compétence que nous devons acquérir progressivement.

En plus de tout ce qui est mentionné, il est possible que dans des cas très complexes ou dans des études dont l'explication peut devenir difficile avec des mots seuls, un soutien lors de notre intervention dans des présentations ou des vidéos qui nous permettent d'expliquer l'objet de l'étude de manière plus claire et concise.

Avez-vous déjà défendre un rapport d’expertise ?

F5 rSeries - l'appareil de nouvelle génération

Aujourd'hui, je vais vous écrire à propos des platesformes hardware Next Generation rSeries de F5. Je vais présenter les rSeries et le logiciel F5OS qui s'exécute sur les platesformes rSeries. Le rSeries est la solution basée sur l'appareil de nouvelle génération de F5 qui remplace les iSeries actuelles. Les platesformes rSeries présentent de nombreux avantages par rapport à l'architecture iSeries actuelle.

Une différence majeure est l'introduction d'une nouvelle couche de plateforme basée sur Kubernetes appelée F5OS qui permet de nouvelles fonctionnalités intéressantes. F5OS exploite une architecture de microservices avec un cadre kubernetes sous-jacent pour la gestion qui est abstraite de l'administrateur. La couche plateforme comprend les paramètres système et réseau de base ainsi que les licences. La rSeries dispose de FPGA et de CPU plus modernes pour aider à fournir une accélération hardware et des capacités de déchargement cryptographiques plus avancées.

 

Architecture de F5OS

Il est important de noter que les appareils rSeries sont multi-locataires par défaut. La nouvelle couche de plateforme F5OS permet à rSeries d'exécuter différents types de locataires au sein de la même appareil. Un locataire est conceptuellement similaire à un invité vCMP exécuté sur les platesformes VIPRION ou iSeries. Actuellement, le rSeries pourra exécuter des locataires TMOS ou BIG-IP. Un support futur est prévu pour exécuter les locataires BIG-IP Next de nouvelle génération. Chaque locataire TMOS fonctionnera comme une machine virtuelle via une technologie qui permet aux machines virtuelles de fonctionner sur une architecture conteneurisée. À l'avenir, lorsque les locataires Next Generation BIG-IP Next seront pris en charge sur rSeries, ces locataires s'exécuteront dans leur mode conteneurisé natif et non en tant que VM. Ils pourront fonctionner côte à côte sur le même appareil. De plus, les appareils rSeries sont livrées avec une API F5OS entièrement automatisable et une chaîne d'outils d'automatisation. Les locataires fonctionnant sur F5OS peuvent être gérés comme s'ils étaient des platesformes précédentes.

 

F5OS et locataires

Enfin, les appareils rSeries se déclinent en quatre variantes principales. Les modèles r10000, r5000, r4000 et r2000. Le modèle r10000 haut de gamme et les modèles r5000 de milieu de gamme bénéficient d'un support FPGA étendu. Les modèles r4000 et r2000 n'incluent pas de FPGA pour le déchargement hardware et exécutent plutôt ces fonctions dans un logiciel avec un déchargement spécialisé. En tant qu'appareil, les systèmes F5 rSeries n'ont pas de contrôleurs système et de lames, par conséquent, il n'y a pas de concept de châssis et de partition dans un système F5 rSeries.

Avez-vous de l'expérience avec les appliances rSeries de nouvelle génération ?

Rédiger un rapport d’expertise

Je suis en train d'écrire en rapport d'expertise pour clarifier les questions et les sujets soulevés par un client (c'est un avocat) qui veut prouver l'innocence d'une personne après avoir quitté une entreprise. Donc, je vais écrire quelques points très intéressants que nous devons garder à l'esprit lorsque nous écrivons un rapport d'expertise.

L'avis sera lu par des personnes peu familières avec le sujet, il doit donc être expliqué de manière simple et sans termes techniques (dans les cas où ils sont nécessaires, ils seront expliqués au préalable ou un glossaire des termes sera créé) mais il doit être rigoureux pour que si un expert le lit, il ne tombe pas non plus dans le trivial, en n'utilisant pas d'exemples trop enfantins pour illustrer nos actions.

Pas une page de plus que nécessaire, un rapport très volumineux décourage la lecture. Nous ne devons pas commettre l'erreur de considérer que plus nous fournirons d'informations, plus notre rapport sera fondé. Souvent, ce n'est pas le cas. Dans tous les cas, si nous voulons fournir plus de documentation, nous devons utiliser des annexes afin que le document soit autonome et que sa lecture soit suffisante pour tirer les conclusions appropriées et que les annexes servent à étoffer l'information.

Toutes les actions et procédures utilisées doivent être fondées sur l'expérience, mais lorsqu'il s'agit de les justifier, nous devons nous appuyer sur la théorie et une bibliographie qualifiée. Bien entendu, les références à des pages Web, des blogs ou d'autres types de services dont la fiabilité peut être mise en doute ne doivent jamais être utilisées.

L'expert doit justifier les faits sur lesquels se fondent son avis et ses conclusions, lesquels doivent toujours être justifiés par les travaux effectués. Les jugements de valeur non fondés ne doivent pas être portés et le ton de l'ensemble du document doit toujours être celui de l'impartialité et de la rigueur technique.

Malgré le fait que l'expertise puisse être considérée par le juge ou le tribunal comme un moyen de preuve, il faut souligner que l'expert judiciaire ne prouve rien, il ne fournit au juge qu'une base scientifique ou technique. L'expertise est appréciée par le tribunal selon les règles de la saine critique. De plus, un rapport d'expertise, sauf situation très exceptionnelle, ne constitue pas une preuve évaluable par le tribunal s'il n'est pas entériné lors d'un procès oral.

Avez-vous déjà écrit un rapport d’expertise ?

F5XC – Protection de l’infrastructure App

Je vais écrire sur un nouveau service de F5 Distributed Cloud qui vient de l'entreprise Threat Stack. Il s'agit d'une entreprise de cybersécurité récemment acquise par F5, et le nouveau service s'appelle AIP ou App Infrastructure Protection. Dans ce cas, l'intégration dans le Distributed Cloud s'est faite rapidement et directement.

Le service AIP permet à F5 d'accéder aux charges de travail dans le cloud (Cloud Workload Protection). AIP est une solution 100% de sécurité. C'est une solution totalement alignée avec un chef de sécurité (CISO). Nous savons tous que F5 propose des services de réseau ainsi que des services d'application. Dans ce cas, l'interlocuteur sera toujours quelqu'un de la sécurité.

Grâce à la transformation numérique, il existe bien plus de modèles de déploiement d'applications qu'il y a quelques années. Il y a quelques années, nous avions un serveur sur lequel l'application était déployée. C'était une simple infrastructure. Aujourd'hui, il existe des technologies telles que Kubernetes, Dockers ou des services dans plusieurs clouds. Il existe donc de nombreux modes de déploiement, très différents et très changeants. De plus, les administrateurs informatiques qui exécutent ces solutions n'ont pas le temps de gérer, d'analyser et d'améliorer l'infrastructure. Cela ouvre la porte à de nouvelles vulnérabilités et à de nouveaux problèmes. L'automatisation, le DevOps, etc. apportent de nombreux avantages et rendent le tout très agile, mais nous avons d'autres types de problèmes. En fait, il y a plus de méthodes d'attaques. Nous savons déjà que OWASP Top 10 est intégré dans F5 AWAF, mais nous travaillons maintenant avec Kubernetes, Containers as a Services, Dockers, de nouveaux modèles de gestion dans les clouds publics au niveau de l'infrastructure. En conséquence, la surface d'attaque est plus grande et il est assez compliqué d'avoir une visibilité et un contrôle de gestion sur l'ensemble de l'infrastructure.

Certaines menaces que nous pouvons trouver dans l'infrastructure sont les suivantes. Par exemple, nous aurons l'exfiltration d'informations, la modification de fichiers, l'échappement du conteneur, etc. au niveau du conteneur. Ou, nous aurons une modification de politique, un déploiement d'image non autorisé, des modifications de Kubernetes, etc. au niveau de l'orchestration. Bref, il y a beaucoup de choses à surveiller, et le contrôle de toute l'infrastructure est très difficile.

La surface de menace accrue

AIP est capable de surveiller et de collecter des informations sur tous ces appareils pour savoir ce qui se passe dans l'infrastructure. Cependant, c'est ce qu'il fait massivement. Par conséquent, AIP collecte des journaux, les analyse et nous fournit des informations et des recommandations sur ce qui se passe.

 

F5 Distributed Cloud AIP fournit une observabilité complète

Quels sont les principaux cas d'utilisation ? Tout d'abord, la détection des menaces : il dispose d'un moteur d'apprentissage qui analysera tous les appareils protégés de l'infrastructure. Par conséquent, AIP nous informera des événements que nous n'avons pas pu prévoir car une infrastructure informatique a généralement des changements prévisibles. Dans une infrastructure, vous devez apporter des changements prévisibles. Tous les changements imprévisibles seront notifiés par AIP afin que nous puissions enquêter en profondeur. Deuxièmement, le cas d'utilisation le plus important peut être la conformité car il est vraiment facile d'avoir une visibilité sur les principales normes du marché, par exemple PCI-DSS. Si vous souhaitez savoir si votre infrastructure est conforme à une norme, grâce à AIP, il est très facile de le savoir car il y a beaucoup de granularité et tellement de détails sont collectés qu'il est très facile de générer un rapport de conformité pour savoir où nous nous conformons à une norme et à quel point nous ne nous conformons pas pour améliorer la plateforme. Il existe des rapports utiles à présenter lors d'un audit. Enfin, un autre cas d'utilisation est la posture de sécurité liée aux intégrations avec les clouds publics. Par exemple, AWS est actuellement pris en charge et il est très facile de se connecter à l'API de AWS pour surveiller ce qui se passe dans l'infrastructure hébergée dans ce cloud public. Ainsi, AIP pourrait nous avertir s'il y a un bucket ouvert à tout le monde et qu'il n'a aucun type de contrôle d'accès, ou par exemple s'il y a des rôles qui ont trop d'autorisations.

 

Principaux cas d'utilisation

Comment fonctionne l'AIP ? Il fonctionne principalement par télémétrie, c'est-à-dire en collectant la télémétrie de tous les serveurs, des clusters Kubernetes et de l'ensemble de l'infrastructure. De plus, AIP est également proposé en tant que service géré où tous les événements sont envoyés à F5XC et, en cas d'événement d'anomalie, le client est averti et le problème de sécurité est expliqué afin de mener une enquête et une atténuation. Il s'agit donc d'une solution de visibilité car AIP détectera, investiguera et proposera des recommandations d'atténuation. Cependant, la télémétrie prend tout son sens quand on parle de règles. Nous avons un règlement basé sur des normes et des recommandations. D'une part, il existe des règles propres à F5, mais d'autre part, il existe également des recommandations d'AWS, de Docker, de la norme CIS, de Mitre, etc. Il existe donc de nombreuses règles prédéfinies. De plus, AIP est capable de prédire le comportement de l'infrastructure et nous informera des problèmes prévisibles.

Á bientôt !

Aprendiendo a aprender

J'ai lu ces derniers mois le livre « Aprendiendo a aprender » de Hector Ruiz Martin où j'ai appris comment fonctionne le cerveau et comment obtenir les meilleures performances. J'aurais dû lire ce livre il y a de nombreuses années quand j'étais à l'université car cela m'aurait aidé à obtenir de meilleurs scores. Cependant, il n'est jamais trop tard pour améliorer les stratégies d'étude car nous apprenons de nouvelles choses tout au long de la vie.

La concentration est l'une des choses les plus importantes pour le processus d'apprentissage. Il est vraiment important d'éteindre tout gadget tel que smartphone, télévision, ordinateur portable ou tout ce qui ne nous permet pas de nous concentrer sur le sujet que nous étudions. Il y a beaucoup d'étudiants qui aiment étudier avec de la musique mais ils ne savent pas qu'étudier sans musique ou sans bruit améliorerait leurs performances. Cependant, si vous devez étudier avec du bruit ou écouter des gens parler, le mieux est de mettre vos écouteurs avec de la musique d'ambiance ou des chansons en langue étrangère.

Une autre chose intéressante que j'ai apprise dans ce livre est l'importance de la diversification. Étudier un sujet et plus tard sur un autre sujet est bien mieux que d'étudier un sujet encore et encore. De plus, la diversification nous permet de lier un sujet à d'autres qui est en fait le processus d'apprentissage. Nous sommes capables d'apprendre parce que nous lions de nouveaux concepts à un autre concept que nous avons déjà dans le cerveau. Par conséquent, si vous apprenez quelque chose, c'est une bonne idée de s'arrêter et d'apprendre quelque chose d'autre pendant un moment, et plus tard de continuer avec cette question.

La motivation est la cause profonde de l'apprentissage et, aujourd'hui, c'est peut-être le manque de motivation pour beaucoup de jeunes étudiants. Heureusement, la plupart d'entre nous ont tous les besoins de base tels que la nourriture, les vêtements, le transport mais aussi le temps, l'argent, etc. Par conséquent, il y a peu ou pas de motivation pour obtenir autre chose car améliorer notre vie demande beaucoup d'efforts. Cependant, nous devons rechercher la motivation si nous voulons apprendre et nous améliorer en tant qu'être humain.

Enfin, nous aurons tous déjà entendu, lu ou vu ce test où des bonbons sont montrés à un groupe d'enfants et le testeur leur dit qu'ils vont obtenir plus de bonbons dans un moment s'ils ne mangent pas de bonbons. Certains d'entre eux sont incapables d'attendre et ils mangent les bonbons tandis que d'autres attendent d'en avoir d'autres par la suite. Cette maîtrise de soi a montré que les personnes capables d'attendre ont un avenir meilleur. Par conséquent, les étudiants, qui disent non à une fête parce que les examens arrivent, ont de meilleurs résultats et un meilleur avenir.

« Aprendiendo a aprender » est un livre intéressant que je recommande aux étudiants car il nous aide à améliorer la stratégie d'étude pour obtenir de meilleurs scores.

Quel livre me conseillez-vous ?

OWASP Top 10 - 2021

Je ne connaissais pas le projet OWASP avant de commencer à travailler chez Ariadnex où il y avait des projets pour protéger les serveurs Web. J'ai lu, testé et protégé contre de nombreuses vulnérabilités d'applications Web. Aujourd'hui, je continue à y travailler où je déploie, configure et bloque les attaques malveillantes. Principalement, je déploie et configure les appliances Fortinet et F5 pour protéger les services des clients. C'est la principale raison pour laquelle j'aime lire, tester et écrire sur OWASP Top 10 - 2017, OWASP Mobile Top 10 Vulnerabilities et OWASP Mobile App Security (MAS).

Le nouveau Top 10 OWASP a été publié il y a deux ans où l'on peut trouver de nouvelles vulnérabilités, et d'autres, ont été fusionnées. Par exemple, A3 - Injection glisse à la troisième position concernant la version 2017. Ces attaques sont l'une des attaques les plus dangereuses où un attaquant envoie simplement une donnée malveillante pour que l'application la traite et fasse quelque chose qu'elle n'est pas censée faire. Les vulnérabilités d'injection sont répandues, en particulier dans le code légal qui ne valide ni ne nettoie les entrées fournies par l'utilisateur. De plus, le Cross-site Scripting (XSS) fait désormais partie de cette catégorie dans la nouvelle édition 2021.

 

A3 - Scénario d'injection

D'autre part, A4 - Conception non sécurisée est une nouvelle catégorie pour 2021 qui se concentre sur les risques associés aux défauts de conception et d'architecture. Par conséquent, il se concentre sur la nécessité d'une modélisation des menaces, de modèles de conception sécurisés et de principes. Les défauts d'une conception non sécurisée ne peuvent pas être corrigés par une implémentation. OWASP différencie la conception non sécurisée de la mise en œuvre et des contrôles de sécurité.

 

A4 - Scénario d'attaque de conception non sécurisée

Les vulnérabilités XXE et les erreurs de configuration de la sécurité ont été fusionnées dans A5 – Mauvaise configuration de sécurité gagne un place pour 2021. Ces vulnérabilités sont des faiblesses de configuration qui peuvent exister dans les composants et sous-systèmes logiciels ou dans l'administration des utilisateurs. Par exemple, le logiciel de serveur Web peut être livré avec des comptes d'utilisateur par défaut qu'un attaquant peut utiliser pour accéder au système, ou le logiciel peut contenir des exemples de fichiers, tels que des fichiers de configuration et des scripts qu'un attaquant peut exploiter. En outre, le logiciel peut avoir activé des services inutiles, tels que la fonctionnalité d'administration à distance.

 

A5 - Scénario d'attaque par mauvaise configuration de la sécurité

A8 – Manque d’intégrité des données et du logiciel sont également une nouvelle catégorie pour 2021 qui est liée au code et à l'infrastructure qui ne protège pas contre les violations d'intégrité. Cela peut se produire lorsque vous utilisez des logiciels provenant de sources et de référentiels non fiables ou même des logiciels qui ont été falsifiés à la source, en transit ou même dans le cache du terminal.

 

A8 - Scénario d'attaque par manque d'intégrité de données et du logiciel

Une autre nouvelle catégorie est A10 – Falsification de requête côté serveur (SSRF) qui se produit chaque fois qu'une application Web récupère une ressource distante sans valider l'URL fournie par l'utilisateur, car l'application Web vulnérable aura souvent des privilèges pour lire, écrire ou importer des données à l'aide de une URL. Par conséquent, pour exécuter une attaque SSRF, l'attaquant abuse de la fonctionnalité du serveur pour lire ou mettre à jour les ressources internes.

 

A10 - Falsification de requête côté serveur - SSRF

Ce ne sont que quelques commentaires sur le nouveau Top 10 OWASP – 2021 que j'aime beaucoup tester et protéger les applications web avec F5 AWAF et OWASP Mutillidae.

Á bientôt !

Abus de SQL basé sur JSON

J'ai été informé le mois dernier d'un contournement dangereux qui consiste à ajouter la syntaxe JSON aux charges utiles d'injection SQL qu'un WAF est incapable d'analyser. Cette technique d'attaque a été divulguée par Team82 qui ont publié que les principaux fournisseurs de WAF manquaient de support JSON dans leurs produits, bien qu'il soit compatible par la plupart des moteurs de base de données pendant une décennie. Je ne connaissais pas cette nouvelle technique d'attaque et j'ai dû lire à ce sujet pour savoir si les WAF, que nous déployons, sont capables de bloquer ce genre d'attaque.

Team82 introduit une technique d'attaque qui agit comme le premier contournement générique de plusieurs WAF vendus par les principaux fournisseurs du secteur. Le contournement fonctionne sur les WAF vendus par cinq principaux fournisseurs : Palo Alto, F5, Amazon Web Services, Cloudflare et Imperva. Tous les fournisseurs concernés ont reconnu la divulgation de Team82 et ont mis en œuvre des correctifs qui ajoutent la compatibilité de la syntaxe JSON aux processus d'inspection SQL de leurs produits.

 

F5 CSIRT

La technique repose d'abord sur la compréhension de la manière dont les WAF identifient et signalent la syntaxe SQL comme malveillante, puis sur la recherche de la syntaxe SQL à laquelle le WAF est aveugle. Cela s'est avéré être JSON. JSON est un format standard d'échange de fichiers et de données, couramment utilisé lorsque des données sont envoyées d'un serveur à une application Web. Les attaquants utilisant cette nouvelle technique pourraient accéder à une base de données principale et utiliser des vulnérabilités et des exploits supplémentaires pour exfiltrer des informations via un accès direct au serveur ou via le cloud.

Même si tous les moteurs de base de données ont ajouté la compatibilité de JSON, tous les WAF ne sont pas compatible avec cette "nouvelle" fonctionnalité. Ce manque de compatibilité dans WAF pourrait introduire une incompatibilité dans l'analyse des primitives entre WAF et les moteurs de base de données réels, et entraîner une mauvaise identification de la syntaxe SQL.

Niveaux de compatibilité de JSON pour chaque base de données principale

Team82 voulait comprendre comment WAF pouvait signaler les requêtes comme malveillantes pour trouver une syntaxe SQL que WAF ne comprendrait pas. Ils recherchaient une charge utile SQLi que WAF ne reconnaîtra pas comme SQL valide, mais le moteur de base de données l'analysera, puis ils pourraient réellement réaliser le contournement.

Par exemple, l'opérateur JSON, @>, qui vérifie si le bon JSON est contenu dans celui de gauche, a jeté le WAF dans une boucle et nous a permis de fournir des charges utiles SQLi malveillantes, nous permettant de contourner le WAF. En ajoutant simplement une syntaxe JSON simple au début de la requête, nous avons pu exfiltrer des informations sensibles à l'aide de la vulnérabilité SQLi.

 

Voici une charge utile SQLi malveillante, contenant la syntaxe JSON. Comme nous pouvons le voir, le WAF n'a pas signalé la demande comme malveillante et ne l'a pas abandonnée

Il s'agit d'un contournement dangereux, d'autant plus que de plus en plus d'entreprises continuent de publier des applications Web. Par conséquent, il est fortement recommandé de vérifier les signatures d'attaque dans nos outils de sécurité, tels que les appliances WAF, pour bloquer cette nouvelle attaque.

 

À tout à l'heure!

RHEL/CentOS - Configurer VLAN et LACP

Dans l'infrastructure informatique de l'entreprise, il est courant d'utiliser LACP Network Bonding et VLAN Tagging. LACP Network Bonding permet à deux interfaces réseau ou plus d'être agrégées en une seule, offrant ainsi une bande passante accrue et une redondance interface/câble. VLAN Tagging permet aux trafics de différents réseaux de partager des liens physiques communs tout en étant séparés.

Pour configurer les deux dans un serveur Linux, il est courant d'utiliser nmcli . Fondamentalement, il s'agit d'une configuration en deux étapes. D'une part, configurez une interface en agrégation de liens (LACP) pour agréger les interfaces réseau sous-jacentes. D’autre part, configurez une interface marquée (VLAN) au-dessus de l'interface en agrégation de liens.

Vous trouverez ci-dessous un exemple pour les configurer à l'aide de « nmcli » sur CentOS / RHEL.

Conditions requises
Assurez-vous que le module « 8021q » est activé pour LACP.
# modprobe --first-time 8021q 

# modinfo 8021q

Configurer l’interface en agrégation de liens (LACP)
Cet exemple ajoute une interface en agrégation de liens nommée « bond0 » avec deux interfaces réseau nommées « eno12399np0 » et « eno12409np1 ».

Créez l'interface en agrégation de liens « bond0 » à l'aide du mode 802.3ad.
# nmcli con add type bond ifname bond0 con-name bond0 mode 802.3ad miimon 100 downdelay 0 updelay 0 connection.autoconnect yes ipv4.method disabled ipv6.method ignore

Ajoutez les deux interfaces réseau en tant qu'esclaves à l'interface en agrégation de liens « bond0 ».
# nmcli con add type bond-slave ifname eno12399np0 con-name eno12399np0 master bond0 nmcli con add type bond-slave ifname eno12409np1 con-name eno12409np1 master bond0

Affichez l'interface en agrégation de liens « bond0 ».
# nmcli con up bond0

Vérifiez les connexions créées.

# nmcli con show
NAME         UUID      TYPE      DEVICE
bond0        <masked>  bond      bond0
eno12399np0  <masked>  ethernet  eno12399np0
eno12409np1  <masked>  ethernet  eno12409np1

 

Configurer l’interface marquée (VLAN)
Ensuite, une connexion de type vlan doit être ajoutée au-dessus du périphérique bond0 créé à l'étape précédente. Les paramètres TCP/IP tels que l'adresse IP, le masque, la passerelle, le DNS et le domaine de recherche sont également ajoutés ici. Dans cet exemple, les paramètres utilisés sont :

• ID VLAN : 2000

• Adresse IP : 172.17.0.7

• Masque: 255.255.0.0

• Passerelle: 172.17.0.1

• DNS : 172.17.0.2,172.17.0.3

• Domaine de recherche: davidromerotrejo.com

# nmcli con add type vlan ifname bond0.2000 con-name bond0.2000 id 2000 dev bond0 connection.autoconnect yes ip4 172.17.0.7/16 gw4 172.17.0.1 ipv4.dns 172.17.0.2,172.17.0.3 ipv4.dns-search davidromerotrejo.com

Affichez l'interface bond0.2000.
# nmcli con up bond0.2000

Vérifiez les connexions créées.

nmcli con show

Vérifiez que l'interface créée bond0.2000 est UP avec l'adresse IP configurée.

ip addr show bond0.2000

À bientôt !