Bonne Année 2023

Je définirais cette année comme mouvementée car beaucoup de choses se sont passées très rapidement et de manière passionnante. Beaucoup de nouveaux projets sont arrivés à Ariadnex et de nombreux nouveaux collègues avec ces projets. L'équipe d'ingénierie est de plus en plus grande, et nous visons les mêmes objectifs, rendons les projets de mieux en mieux où nous apprenons et travaillons tous comme de vrais ingénieurs. Cependant, cette année mouvementée a également connu de nombreuses périodes de stress et de charge, mais je suis sûr que cela en valait la peine.

J'ai beaucoup travaillé avec les technologies F5 pendant toute l'année et je continuerai à travailler dessus l'année prochaine. En fait, j'ai passé l'examen de recertification F5 BIG-IP ASM, que j'ai réussi, et j'ai également passé l'examen F5 BIG-IP APM, que j'ai également réussi. Par conséquent, j'ai déjà deux certifications de spécialiste de F5. J'ai cette connaissance et cette expertise avec F5 grâce à tous les clients qui ont fait confiance à Ariadnex. L'année prochaine sera chargée de nouveaux projets, non seulement sur F5 LTM mais aussi F5 AWAF, F5 APM et même F5XC. De plus, je vais essayer de passer les deux examens de spécialiste BIG-IP LTM.

De nombreux changements ont été apportés à ce blog et le plus important est la langue. J'ai beaucoup étudié la langue française cette année et je ne veux pas l'oublier rapidement. Ensuite, je veux écrire en français pour me souvenir de tous les verbes, du vocabulaire et de la grammaire que j'ai étudiés à l'École officielle de langue. Grâce à cela, j'ai passé le niveau B2 en langue française et j'en suis ravi. Cela signifie que je suis prêt à parler, écouter, écrire et lire en français en tant que compétence professionnelle.

Fortinet est l'un des principaux fabricants avec lesquels nous travaillons. Nous avons installé plus de 100 FortiGate cette année ainsi que FortiSwitches, FortiAP, FortiManager, FortiAnalyzer, FortiMail, etc, etc. Cependant, nous travaillons plus que jamais avec FortiManager (FMG) et FortiAnalyzer (FAZ) car nous gérons un Security Operation Center (SOC) où nous configurons et surveillons de nombreuses succursales. Ainsi, l'utilisation de FMG et FAZ est obligatoire, et j'ai dû apprendre à déployer, configurer et gérer les appareils Fortinet à partir d'une gestion centralisée. Impressionnant!!

Enfin, nous ne savons pas exactement comment se passera l'année prochaine mais je suis sûr que nous devrons beaucoup étudier. Nous devrons apprendre de nouveaux protocoles et attaques. Nous devrons lire beaucoup de fiches techniques et de normes. Nous devrons assister à de nombreux webinaires. Cependant, je suis sûr que nous devrons également voyager et rencontrer des amis, des clients et des collègues.

Bonne année!!

F5XC – Bot Defense

On a beaucoup parlé récemment de F5 Distributed Cloud (F5XC) et de son intégration avec Shape qui aide les clients à déployer des applications dans un environnement multisite, c'est-à-dire que F5XC peut protéger les applications Web, qu'elles soient sur site ou sur le cloud. . F5XC s'intègre parfaitement aux appliances BIG-IP car il y a un composant qui peut être installé sur l'équipement physique. Nous allons nous plonger dans Bot Defense, c'est-à-dire l'ancien IBD (Integrated Bot Defense).

 
Lorsque nous parlons de Bot Defense, Shape vient à l'esprit. F5 a acheté Shape il y a 3 ans. Tout ce qui est Shape a été migré vers la plateforme F5 Distributed Cloud. De plus, la nomenclature a été modifiée. Certains des services sont assez connus, tels que Bot Defense, Client Side Defense ou Device ID. Les principaux produits de protection contre les attaques automatisées, c'est-à-dire les bots, nous les résolvons avec Bot Defense. D'autres produits bien connus tels que Device ID permettent de détecter de manière unique les utilisateurs.

Shape vs F5XC

Que résolvons-nous avec Bot Defense ? Cela nous permet de différencier les humains des bots. Lorsque nous parlons de bots, il s'agit d'une menace totalement différente que lorsque nous parlons de WAF. Un bot ne va pas lancer une attaque XSS ou SQLi mais va essayer d'effectuer des actions comme s'il s'agissait d'un humain. Nous devons essayer de différencier quelles sessions sont humaines et quelles sessions sont des bots. Tout comme un utilisateur entre des informations d'identification, un bot effectue également la même opération. Par exemple, un bot tentera de faire une réservation massive pour ensuite les revendre au marché noir, ou il tentera également de surveiller un site e-commerce pour mettre les produits un peu moins cher.

Les robots s'adaptent continuellement aux mesures de sécurité que nous établissons dans les applications Web. La solution F5XC Bot Defense utilise la télémétrie en effectuant des analyses dans le cloud et en utilisant l'apprentissage automatique et l'intelligence artificielle. Il dispose d'une série de connecteurs qui s'intègrent aux applications Web que nous voulons protéger. Cependant, si nous avons le Web dans un CDN tiers, nous pouvons également intégrer Bot Defense. Toute la télémétrie est introduite dans le moteur d'intelligence artificielle du F5XD. Par conséquent, tous les clients peuvent profiter de cette intelligence collective.

F5XC Bot Defense

Comment ça marche techniquement ? Bot Defense ajoute un code JavaScript qui collecte une série de données qui sont ensuite envoyées de manière anonyme au cloud F5XC, qui renvoie un verdict indiquant s'il s'agit d'un bot ou non. Quels types de contrôles sont effectués ? Comment il déplace la souris, quelles adresses IP il a, quels en-têtes HTTP il envoie, etc., même des opérations complexes lui sont envoyées pour voir s'il peut résoudre correctement un JavaScript.

 

Comment ça marche techniquement ?

Enfin, commentez qu'il existe différentes éditions. Il existe 4 packages pour détecter les bots. Le premier est celui de base qui repose sur les signatures et la reconnaissance de base des utilisateurs. Ce package est inclus dans le F5XC WAF. Au moment où nous devons nous protéger des bots plus avancés, nous avons commencé à parler des versions Standard, Advanced et Premium, qui utilisent la technologie Shape. Si on se concentre sur l'Advanced, il inclut toute la technologie et les connecteurs JavaScript, il est aussi orienté self-service. Il comprend principalement le SOC de F5. Cependant, la version Premium est adaptée et personnalisée au client. Shape est venu de la vente de ses projets personnalisés, c'est-à-dire de la version Premium uniquement, nous avons maintenant la possibilité d'acheter les packages.

 

Quatre éditions

Comment dimensionner un projet de bot defense ? il faut demander le nombre de transactions par seconde, il serait également conseillé de connaître le nombre d'applications à protéger. Ce n'est pas vraiment nécessaire, mais il est intéressant de savoir si nous allons inclure l'équilibrage de charge. La solution comprend une protection Web et une protection API, y compris pour les mobiles.

Etes-vous prêt ?

FortiOS 7.2 – Quels sont les nouveautés

Bienvenue dans FortiOS 7.2. Fortinet a mis en place des dizaines de nouvelles fonctionnalités et mises à jour pour prendre en charge les nouvelles technologies. Je vais rédiger un petit article pour vous expliquer les principales nouveautés disponibles.

Les fonctions d'audit et de reporting ont été améliorées. Les stratégies peuvent désormais être configurées pour expirer automatiquement pour des événements ou des occasions spéciales, et chaque règle de stratégie peut désormais conserver et afficher une piste d'audit de toutes les modifications apportées. De plus, lorsque FortiAnalyzer est dans une Security Fabric, les FortiGates, qui sont dans la même Fabric, peuvent afficher les rapports du FortiAnalyzer.

 

Rapports de FortiAnalyzer

Pour le WiFi, ils ont grandement simplifié la sélection des canaux dans les profils FortiAP. Particulièrement pour les radios 5 GHz avec la possibilité d'agréger facilement les canaux par largeur et de basculer les canaux spéciaux appropriés. De plus, avec la fonction de carte améliorée, nous pouvons voir plusieurs cartes de carte dans la liste principale, et chaque carte a la capacité de mettre en évidence des problèmes potentiels tels que les périphériques AP hors ligne.

 

Plusieurs cartes WiFi avec des emplacements de FortiAP

 

Leurs pages de journal système et d'événements ont été mises à jour pour être plus informatives et plus faciles à naviguer. Il y a un onglet récapitulatif avec une chronologie par événements et des cartes récapitulatives pour chaque type d'événement, et l'onglet détails avec une liste d'événements qui peuvent être détaillés. 

 

Événements système avec résumé et détails des journaux

  

Fortinet propose également des améliorations pour les diagnostics et le dépannage. Le processus de capture de paquets via une ou toutes les interfaces est désormais beaucoup plus intuitif. De plus, pour les diagnostics avancés, ils fournissent désormais un accès graphique à une trace de débogage pour le flux de paquets à travers le système, ce qui aide à diagnostiquer le trafic de blocage. 

 

Capture de paquets et flux de paquets faciles pour le débogage

  

En ce qui concerne les FortiSwitches, ils disposent d'un indicateur de l'état de santé de chaque port, de sorte que tout problème de connexion est immédiatement visible. Depuis le même panneau, nous pouvons voir une liste de clients connectés à chaque port. Cette liste est également disponible en tant qu'élément de menu supérieur pour un accès rapide. Ils ont également ajouté une vue de technologie d'exploitation à l'Asset Identity Center qui illustre l'étiquette de produit des appareils des entreprises de fabrication. 

 

Indicateur de santé pour chaque port et vue de technologie d'exploitation

Enfin, dans Security Fabric, ils ont ajouté des étiquettes aux mises à niveau du micrologiciel pour nous indiquer si une mise à niveau est une version de fonctionnalité avec de nouvelles fonctionnalités à essayer ou une version mature mettant l'accent sur la stabilité.

 

Étiquettes de fonctionnalités et matures

C'est tout mes amis.

Analyse des vulnérabilités des apps mobile

Dans cet article, nous allons continuer avec l'analyse des applications Android. Dans les points suivants, nous allons réaliser une brève analyse de «InsecureBankV2». Comme son nom l'indique, il s'agit d'une application bancaire qui présente certaines vulnérabilités que nous devons trouver. Comme nous pouvons le voir dans son référentiel officiel, cette application présente un grand nombre de vulnérabilités. Cependant, dans cet article, nous n'allons nous en tenir qu'à l'étude de certains d'entre eux, en tant que preuve de concept.

 

Nous effectuerons une analyse statique superficielle et nous effectuerons une brève analyse dynamique de l'application, pour connaître son fonctionnement et ses caractéristiques afin de mesurer les comportements, en particulier dans les applications qui tentent de maintenir des connexions avec le monde extérieur.

 

InsecureBankv2 app

 

Nous allons étudier comment échapper au système d'entrée ("login") de l'application, et nous pourrons effectuer des virements bancaires, entre autres, tout au long de la ligne de commande.

 

Login Bypass

L'analyse dynamique consiste à étudier le comportement de l'application en pleine exécution. Lorsqu'une application s'exécute, elle devient un «processus» système. Pour réaliser ce type d'analyse, l'application à analyser doit être exécutée dans un environnement contrôlé, pouvoir la surveiller en temps réel, observant ainsi toutes les ressources auxquelles elle accède et les modifications qu'elle apporte au système.

Pour mener à bien cette partie de l'analyse, nous allons utiliser deux outils, tels que "MobSF" et "Wireshark".

Pour effectuer une analyse de vulnérabilité de l'application, en plus d'obtenir des informations sur ses fichiers et ses autorisations, nous allons utiliser MobSF. Mobile Security Framework (MobSF) peut être téléchargé à partir de son référentiel officiel. On pourrait le définir comme un framework destiné principalement à l'analyse des vulnérabilités dans les applications mobiles (Android / iOS / Windows). Parmi ses fonctionnalités figurent : l'analyse des logiciels malveillants et l'évaluation de la sécurité. Il est capable d'effectuer des analyses statiques et dynamiques. Prend en charge les fichiers binaires d'applications mobiles ainsi que le code source compressé. Permet des évaluations de sécurité hautement optimisées lors de l'exécution et des tests instrumentés interactifs.

 

Mobile Security Framework

Grâce à l'utilisation de "Wireshark", nous allons aussi étudier le comportement de l'application au niveau des communications réseau qu'elle effectue.

 

Wireshark

C'est tout mes amis.

Analyse des vulnérabilités des Apps Android

Selon « OWASP Mobile Security Testing » les phases pour réaliser un pentest d'une application mobile sont les suivantes :

• Collecte : Cette étape collecte les informations de l'application à analyser. Type d'application, fabricant, versions précédentes, ressources utilisées, etc.
  

• Analyse statique : un travail de rétro-ingénierie est effectué sur le binaire lui-même, où nous pouvons obtenir des informations sur les autorisations, les activités principales, les ressources, les erreurs de configuration, les points d'entrée du système, les informations codées en dur (APIkeys ou informations d'identification), etc.
  

• Analyse dynamique : un travail de rétro-ingénierie est effectué sur le processus binaire en cours d'exécution, où nous pouvons étudier et obtenir des informations en temps réel sur le comportement de l'application, telles que la connaissance des fichiers qu'elle crée/modifie/accède dans le système, des données sans chiffrer et informations sensibles, analyse des logs, sniffage du trafic réseau généré par l'application, fuzzing pour vérifier d'éventuelles vulnérabilités telles que "Buffer OverFlow" (BoF), "SQL Injection" (SQLi), "Cross-site scripting" (XSS), "Inclusion de fichier local" (LFI), "Exécution de code à distance" (RCE), etc.

En surfant sur le net, nous pouvons trouver de nombreux outils d'analyse des applications Android, et tous sont concentrés sous la même machine virtuelle (MV) appelée "Androl4b". Il s'agit d'une machine virtuelle basée sur le système d'exploitation Ubuntu, et elle est purement axée sur les fonctionnalités de sécurité du système d'exploitation Android. À cette fin, il comprend une collection d'outils de sécurité pour l'ingénierie inverse et l'analyse des logiciels malveillants dans les applications Android, parmi lesquels les plus remarquables sont "Mobile Security Framework" (MobSF), "ByteCodeViewer", "Drozer", "APKtool", "AndroidStudio", "BurpSuite", "MARA", "Wireshark", "FindBugs-IDEA" et "AndroBugs Framework", entre autres. De cette machine virtuelle, il faut noter qu'elle fonctionne parfaitement dans VirtualBox mais pose certains problèmes dans Vmware.

Androlab intègre un ensemble de laboratoires très intéressants pour apprendre à effectuer des analyses de vulnérabilité dans des applications Android telles que Damn Insecure et Vulnérable App for Android (DIVA), InsecureBank v2, DroidBench et GoatDroid. Par exemple, DIVA est composé d'un ensemble d'applications Android intentionnellement programmées pour être vulnérables, et pour sensibiliser les développeurs et les professionnels de la sécurité aux vulnérabilités les plus courantes dans les applications, dues à des pratiques de codage pauvres ou non sécurisées.

À bientôt!!

F5 APM - Microsoft Exchange 2019

J'ai récemment participé à un projet où le client devait migrer les appliances MS Storefront vers F5 APM. Ils avaient déjà un BIG-IP LTM pour équilibrer la charge des services MS Exchange et ils voulaient déployer un nouveau BIG-IP APM devant le BIG-IP LTM pour sécuriser les services de messagerie tels que OWA, EWS, OAB, ActiveSync et Autodiscover. De plus, ils avaient besoin de SSO pour le service OWA.

 

Exchange Proxy

Au début, le client pensait que le déploiement et la configuration seraient faciles avec une iApp. Cependant, bien qu'il s'agisse d'une configuration facile, les iApps qu'ils connaissaient étaient obsolètes. Nous leur montrons les nouveaux modèles AS3 et FAST mais cette architecture ne correspondait pas à leurs besoins. Par conséquent, nous nous sommes retrouvés dans la configuration guidée de BIG-IP APM où nous avons déployé les services MS Exchange avec SSO sur le site web OWA.

 

F5 APM - Guided Configuration

Nous pouvons regarder dans la vidéo suivante les options de configuration de la configuration guidée mais je n'avais pas de serveur MS Exchange pour les tests. Je suis tellement désolé parce que je ne peux pas montrer que toute la plate-forme fonctionne correctement. Je voudrais souligner que cela fonctionne pour Exchange 2019 mais nous avons dû supprimer certaines iRule du serveur virtuel. Si nous ne supprimons pas ces iRule, la session TCP se réinitialise encore et encore. Par conséquent, la configuration guidée est prête pour Exchange 2013 et Exchange 2016, mais elle peut également fonctionner dans Exchange 2019 avec peu de modifications.

 

D'autre part, nous pouvons également utiliser le modèle AS3 et FAST pour déployer MS Exchange 2019. Cependant, c'est une bonne idée lorsque nous avons LTM et APM dans le même BIG-IP. Peut-être que cela peut aussi fonctionner avec quelques changements mais je n'ai pas essayé de cette façon.

 

F5 Application Services Templates

Passez une bonne journée!!

OWASP Mobile App Security (MAS)

J'ai écrit sur OWASP Mobile Top 10 Vulnerabilities et OWASP MSGT UnCrackable Level 1 il y a un an lorsque j'ai étudié comment sécuriser les appareils mobiles pour un cours de sécurité. Cette année, j'étudie à nouveau ces questions et je voulais écrire sur le projet OWASP Mobile App Security (MAS), qui a récemment été renommé. Actuellement, le projet OWASP MAS comprend la norme de vérification MAS (MASVS), le guide de test MAS (MASTG), les listes de contrôle MAS et les crackmes MAS. C'est donc un projet avec beaucoup de ressources intéressantes pour sécuriser les applications mobiles.

D’une part, le guide de test de sécurité mobile OWASP (MASTG) est un manuel complet pour tester la sécurité des applications mobiles. Décrit les processus et les techniques de vérification des exigences répertoriées dans la norme de vérification de la sécurité des applications mobiles (MASVS) et fournit une base de référence pour des tests de sécurité complets et cohérents. D'autre part, le MASVS est un projet communautaire visant à établir un cadre d'exigences de sécurité pour la conception, le développement et le test de la sécurité des applications mobiles iOS et Android.

Le guide de test général de MASTG contient une méthodologie de test de sécurité des applications mobiles et des techniques générales d'analyse des vulnérabilités telles qu'elles s'appliquent à la sécurité des applications mobiles. Il contient également des cas de test techniques supplémentaires indépendants du système d'exploitation, tels que l'authentification et la gestion de session, les communications réseau et la cryptographie. Par exemple, il y a des tests sur le processus d'authentification et le processus de cryptage.

Le guide de test Android de MASTG couvre les tests de sécurité mobile pour la plate-forme Android, y compris les bases de la sécurité, les cas de test de sécurité, les techniques d'ingénierie inverse et la prévention, ainsi que les techniques et la prévention de la falsification. Par exemple, il y a des tests sur les API de stockage d'Android pour vérifier si les meilleures pratiques ont été utilisées. Il y a également des tests de vérification de certificat SSL fiables pour voir si l'application mobile accepte les certificats SSL non valides ou malveillants.

Le guide de test iOS de MASTG couvre les tests de sécurité mobile pour la plate-forme iOS, y compris un aperçu du système d'exploitation iOS, les tests de sécurité, les techniques d'ingénierie inverse et la prévention, ainsi que les techniques et la prévention de la falsification. Par exemple, il y des tests sur l'architecture de sécurité iOS, la structure des applications, la communication inter-processus et la publication des applications.

Le MASVS peut être utilisé pour établir un niveau de confiance dans la sécurité des applications mobiles. Cette norme définit deux niveaux de vérification de sécurité (MASVS-L1 et MASVS-L2), ainsi qu'un ensemble d'exigences de résistance à la rétro-ingénierie (MASVS-R). Le niveau MASVS-L1 contient des exigences de sécurité génériques recommandées pour toutes les applications mobiles, tandis que MASVS-L2 doit être appliqué aux applications qui traitent des données hautement sensibles.

Comment testez-vous les applications mobiles ?

F5 APM - OAuth JWT Token

J'ai déjà écrit sur Fédération OAuth et OAuth Access Token. Cependant, je n'ai pas encore écrit sur le système de jetons le plus largement utilisé. Jetons JWT. JSON Web Token (JWT, RFC 7519) est un moyen d'encoder les revendications dans un document JSON qui est ensuite signé. Les JWT peuvent être utilisés comme jetons porteurs OAuth 2.0 pour coder toutes les parties pertinentes d'un jeton d'accès dans le jeton d'accès lui-même au lieu de devoir les stocker dans une base de données.

Les avantages offerts par l'utilisation de JWT sont les suivants : Permet la signature et le cryptage des données. Le format est facile à comprendre. Il permet de se déployer comme mécanisme d'authentification dans les appels entre services. La validation des jetons peut être effectuée hors ligne, contrairement aux jetons opaques qui nécessitent une connexion au service qui a émis le jeton pour les valider. Les jetons JWT n'ont pas besoin d'être validés en contactant l'émetteur, il suffit d'avoir la clé publique qui a signé le jeton. Cependant, JWT présente également des inconvénients dont il faut être conscient. Par exemple, ils ne sont pas faciles à révoquer car leur validation, étant hors ligne, ne dépend pas d'un seul point.

 

JWT Token

La représentation d'un jeton JWT est composée de trois parties distinctes séparées par un point (.). Chaque partie a un encodage en base 64 qui, une fois décodé, nous donne un JSON pour les deux premières parties et les données cryptographiques pour la troisième partie. L'en-tête contient le type de jeton et les algorithmes cryptographiques pour sa vérification et/ou son déchiffrement. La charge utile est constituée des données de l'utilisateur (revendications) et le tiers contient la signature ou le cryptage des données qui en assure l'intégrité et/ou la confidentialité.

 

Ci-dessous, vous pouvez voir la génération du jeton JWT, signé par RSA, avec le type d'octroi ROPC approprié dans les cas où le propriétaire de la ressource a une relation de confiance avec le client (par exemple, le client mobile d'un service) et dans les situations où le client peut obtenir les informations d'identification du propriétaire de la ressource. Dans cette méthode d'octroi, au lieu de rediriger l'utilisateur vers le serveur d'autorisation, le client lui-même demandera à l'utilisateur le nom d'utilisateur et le mot de passe du propriétaire de la ressource. Le client enverra ensuite ces informations d'identification au serveur d'autorisation avec les propres informations d'identification du client.

 

A bientôt mes amis ! Avez-vous déjà configuré le jeton JWT dans F5 APM ?

F5 APM – Certified Technology Specialist

J'ai écrit plus de 26 articles sur F5 APM dans ce blog. Je travaille intensivement avec F5 APM depuis 2020. Il était temps de franchir le pas pour postuler à l'examen 304. Vendredi dernier, j'étais très mal, des vomissements et de la diarrhée, mais je voulais passer l'examen. Ensuite, je suis allé à l'académie et j'ai réussi l'examen 304, que j'étudiais depuis cet été. J'ai réussi. Je suis vraiment content de passer ce niveau.

En plus d'écrire trop d'articles et d'enregistrer plusieurs vidéos, j'ai lu trois guides d'utilisation pour réussir cet examen. Le premier, le guide d'exploitation BIG-IP APM, dont la lecture est obligatoire, le second est le guide d'exploitation VPN pour la continuité des activités, qui a été rédigé pendant la pandémie COVID-19, et enfin le guide d'exploitation BIG-IP Edge Client, ce qui est vraiment intéressant pour comprendre comment fonctionne Edge Client et comment résoudre les problèmes.

Je travaillais déjà avec F5 APM en 2019 lorsque j'ai écrit sur l'authentification SSO. En fait, je voulais connaître les fonctionnalités de ce super module. Après cette formation, je travaillais avec un client pour configurer le SSO dans les applications SAP. Ce fut une expérience enrichissante. Ensuite, un client a dû configurer un accès réseau VPN SSL avec authentification OTP, où j'en ai appris encore plus sur F5 APM. De nombreux projets sur lesquels j'ai travaillé depuis, tels que SAML SSO dans MS Exchange ou SAML SSO dans Citrix. Tous ont été vraiment drôles.

Si vous voulez passer l'examen F5 APM, je pense qu'il vaut mieux que vous travailliez d'abord avec ce module. Vous devez configurer autant de laboratoires que possible. La formation avant de passer l'examen est d'obtenir un succès dans la note finale. J'espère que cet article vous intéressera !

A bientôt mes amis ! Envisagez-vous de passer l'examen F5 APM ?

F5 APM - OAuth Access Token

Il y a deux semaines j’ai écrit sur Fédération OAuth où j’ai expliqué la terminologie OAuth et le composants de cette norme. De plus, j’ai enregistré une vidéo où vous pouvez regarder comment on peut configurer un serveur d’autorisation avec F5 APM et comment on peut émettre des jetons d’accès. Aujourd’hui, je vais écrire des types d’autorisation d’accès configurables dans F5 APM où je vais aussi enregistrer une vidéo avec des configurations en F5 APM.

Un octroi d'autorisation est un identifiant utilisé par le client pour obtenir un jeton d'accès. Les informations d'identification représentent l'autorisation du propriétaire de la ressource d'accéder à ses ressources protégées. F5 APM prend en charge les types de baux suivants.

Code d'autorisation : cette autorisation est optimisée pour les applications côté serveur qui peuvent maintenir la confidentialité du client (ID client/secret client). Le client redirige le RO vers un AS, qui à son tour redirige le RO vers le client avec le code d'autorisation. Les informations d'identification RO ne sont jamais exposées à l'application cliente. La vidéo que j’ai enregistrée il y a deux semaines utilise ce type de consentement.

 

Code d'autorisation

Octroi implicite : Cette autorisation est utilisée pour les applications mobiles et Web qui ne peuvent pas garantir la confidentialité du client (ID client/secret client). Au lieu d'émettre un code d'autorisation au client, l'application envoie directement au client un jeton d'accès. L'URI de redirection utilisé pour fournir le jeton d'accès au client vérifie l'identité du client. L'AS n'authentifie pas le client.

 

Octroi implicite

Resource Owner Password Credential Grant (ROPC) : les utilisateurs fournissent leurs informations d'identification directement à l'application cliente, qui les utilise pour obtenir un jeton d'accès auprès du service. Vous ne devez utiliser cette autorisation que lorsque l'application est approuvée par l'utilisateur, par exemple lorsque le service est propriétaire de l'application cliente ou est le système d'exploitation du poste de travail de l'utilisateur.

 

ROPC

Ci-dessous, vous pouvez regarder une vidéo où j’ai configuré F5 APM pour émettre des jetons d’access de type ROPC. D’abord, je reçois un jeton via la console, et ensuite, via l’application Postman.

 

Quel type d'accès configurez-vous habituellement ?

F5 AFM - InterVLAN Security

 

Il existe principalement quatre architectures pour les services d'équilibrage de charge. Le mode à un bras est largement déployé lorsque nous voulons que seul le trafic des services de charge passe par des appareils d'équilibrage de charge, par exemple, lorsque les appareils d'équilibrage de charge sont licenciés par débit. Par conséquent, le trafic de service hors charge ne passe pas par les équilibreurs de charge. Le mode DSR ou le mode de retour direct du serveur n'est pas beaucoup utilisé car il y a un routage asymétrique et il y a beaucoup de problèmes avec les pare-feu de type stateful. Le mode transparent n'est pas utilisé. En fait, je n'ai jamais installé cette architecture du tout. Enfin, le mode route est également très déployé lorsque l'on dispose de dispositifs d'équilibrage de charge performants. Cependant, cette architecture nécessite que la passerelle de serveur soit l'équilibreur de charge qui ont des problèmes de sécurité.

Le principal problème de sécurité dans les architectures en mode route est de savoir comment refuser et autoriser le trafic inter-vlan, car si nous créons un serveur virtuel IPF, tout le trafic inter-vlan est autorisé par défaut. Cependant, il existe plusieurs configurations que nous pouvons appliquer pour refuser et autoriser le trafic inter-VLAN lorsque le mode route est déployé. Une méthode consiste à configurer des serveurs virtuels avec une passerelle de pare-feu en tant que membre du pool, mais il existe une bien meilleure méthode si le pare-feu est sous licence dans F5 BIG-IP.

J'ai enregistré une vidéo dans laquelle vous pouvez voir comment configurer une politique de sécurité avec des règles dans F5 AFM pour autoriser du trafic inter-VLAN ainsi que du trafic Internet. Tout d'abord, j'ai créé une règle pour autoriser uniquement le trafic Internet et, par conséquent, le trafic inter-VLAN est refusé. Enfin, j'ai modifié la politique pour autoriser également un certain trafic inter-VLAN. Vous pouvez également voir comment configurer un profil de journalisation pour voir le journal de trafic.

Comment configurez-vous le trafic inter-VLAN dans F5 BIG-IP ?

F5 APM – Fédération OAuth

J'ai travaillé avec OAuth dans l'APM F5 cette année pour un projet SSO. J'avais déjà travaillé avec la fédération SAML mais je n'avais pas tellement travaillé avec la fédération OAuth jusqu'à présent. OAuth et SAML sont des protocoles pour encourager et standardiser l'interopérabilité. Cependant, SAML est vraiment bon pour le processus d'authentification tandis que OAuth est la meilleure solution pour le processus d'authentification et d'autorisation. En fait, OAuth est très utilisé par des entreprises telles qu'Amazon, Google, Facebook, Microsoft et Twitter pour permettre aux utilisateurs de partager des informations sur leurs comptes avec des applications ou des sites Web tiers.

Open Authorization (OAuth) 2.0 est une infrastructure qui permet à une application d'obtenir un accès limité au nom d'un utilisateur à un service HTTP. Cependant, si nous voulons configurer OAuth, nous devons d'abord connaître la terminologie OAuth. Premièrement, le serveur de ressources (RS) est un serveur hébergeant la ressource protégée. Par exemple, un serveur virtuel BIG-IP LTM+APM. Deuxièmement, le propriétaire de la ressource (RO) est une entité capable d'accorder l'accès à une ressource protégée. Cela peut être, ou est généralement, un utilisateur sur un appareil client. Troisièmement, l'application client est une entité effectuant des demandes de ressources protégées au nom du propriétaire de la ressource et avec son autorisation. Les exemples incluent les applications de messagerie et de bureautique. Enfin, le serveur d'autorisation (AS) émet des jetons d'accès à l'application cliente après avoir authentifié avec succès le propriétaire de la ressource et obtenu l'autorisation. Cela peut être connecté à une base de données d'utilisateurs comme OpenLdap ou Active Directory.

Le diagramme suivant décrit le flux général du protocole OAuth 2.0. Tout d'abord, l'utilisateur accède à l'application cliente. Ensuite, l'application redirige l'utilisateur vers l'AS pour authentification. Lors de l'authentification, l'utilisateur est redirigé vers l'application cliente avec une autorisation accordée. Puis, l'application client récupère le jeton d'accès de l'AS en fournissant l'identifiant/secret client et l'octroi de l'autorisation. Finalement, l'application cliente accède aux données utilisateur sur le serveur de ressources en fournissant le jeton d'accès.

Flux de protocole OAuth 2.0

Ci-dessous, vous pouvez voir comment un jeton d'accès est obtenu à partir de l'application client Postman par rapport au serveur d'autorisation OAuth configuré dans F5 APM. En outre, vous pouvez voir que l'utilisateur ne peut pas accéder à la ressource protégée lorsque le jeton d'accès est révoqué.

Avez-vous déjà configuré OAuth dans F5 APM ?

F5 ASM ReCertified Technology Specialist

J'étudie F5 ASM depuis quelques semaines car j'ai dû me recertifier pour l'examen de spécialiste F5 ASM. J'ai déjà passé cet examen trois fois car la première fois que je l'ai fait c'était en 2018 et il faut le faire tous les deux ans. J'ai déjà beaucoup écrit sur F5 ASM, et il y a beaucoup d'articles à ce sujet, cependant, je voudrais laisser dans ce blog ce que j'ai fait cette fois pour réussir l'examen de recertification.

Tout d'abord, et peut-être le plus important, je travaille presque tous les jours avec F5 ASM. Le déploiement de nouveaux systèmes BIG-IP, les ajustements de la politique de sécurité et l'examen des événements et des suggestions sont généralement quotidiens. Cependant, la vérité est que je ne connais pas et ne configure pas tout ce qui est demandé à l'examen, comme l'intégration avec le scanner de vulnérabilité WhiteHat Sentinel, la configuration des profils JSON ou la configuration particulière des exceptions dans IP Intelligence.

Deuxièmement, j'ai de nouveau reçu le cours F5 ASM. La première fois, c'était en 2018, et le cours reçu cette année a été utile pour renforcer les concepts et les connaissances de la plateforme F5 WAF. Se rappeler comment configurer les profils CSRF, les profils de protection contre les attaques par force brute ou comment mener des attaques XSS Reflected est important pour réussir l'examen de certification.

Enfin, même si les questions d'examen portent sur la version 12.1 du firmware, j'aime lire et écrire sur les nouvelles fonctionnalités de BIG-IP V16 et BIG-IP v17. De plus, j'ai écrit plusieurs articles sur F5 ASM depuis la dernière fois que j'ai réussi l'examen. Des articles sur la désactivation des signatures d'attaque, l'intégration avec le scanner de vulnérabilité Qualys, la transmission des événements de sécurité à BIG-IQ ou la protection contre le piratage de session sont quelques-uns des articles que vous pouvez lire sur mon blog personnel.

Par conséquent, si vous souhaitez réussir l'examen de spécialiste F5 ASM, je vous recommande d'installer une machine virtuelle F5 ASM de laboratoire dans la version 12.1 et de vous entraîner beaucoup en utilisant la plupart des profils et des configurations.

Vous souhaitez être certifié en F5 ASM ?

F5 APM – SSO Forms – Client Initiated

Si vous envisagez de configurer une plate-forme SSO avec de nombreuses applications, il est probable que plusieurs applications auront des champs masqués requis lors de l'authentification de l'utilisateur. Autrement dit, certaines applications auront besoin d'un jeton caché, en plus d'un nom d'utilisateur et d'un mot de passe, pendant le processus d'authentification. Ces jours-ci, j'ai travaillé sur un projet SSO où il y avait ce type d'applications.

Bugzilla est une application Web qui envoie à l'utilisateur un jeton caché appelé "Bugzilla_login_token" qui doit être utilisé lors du processus d'authentification. Par conséquent, lorsque l'utilisateur saisit ses informations d'identification et clique sur soumettre, le jeton masqué est également envoyé via un en-tête HTTP. F5 APM peut SSO des applications avec des champs dynamiques masqués à l'aide de la fonctionnalité SSO Forms - Client Initiated.

 

 

Ci-dessous, vous pouvez voir une vidéo avec la configuration nécessaire pour effectuer SSO dans une application avec des champs dynamiques cachés. De plus, vous pouvez voir comment ajouter facilement des applications aux utilisateurs à l'aide d'attributs Active Directory à valeurs multiples. En fait, j'ai utilisé la configuration faite dans les phases précédentes du projet SSO où le mot de passe de l'utilisateur est également crypté pour le stocker sur le contrôleur de domaine.

 

Connaissiez-vous cette fonctionnalité ? L'avez-vous déjà utilisé ?

F5 ASM - ICAP pour la protection Anti-Virus

À mesure qu'Internet se développe, le besoin de services Internet évolutifs augmente également. Les serveurs Web populaires sont invités à fournir du contenu à des centaines de millions d'utilisateurs connectés à des bandes passantes sans cesse croissantes. Le modèle de serveurs centralisés et monolithiques qui sont responsables de tous les aspects de la demande de chaque client semble arriver en fin de vie.

Pour faire face à la croissance du nombre de clients, il y a eu une évolution vers des architectures qui évoluent mieux grâce à l'utilisation de la réplication, de la distribution et de la mise en cache. Du côté des fournisseurs de contenu, les techniques de réplication et d'équilibrage de charge permettent de répartir la charge des requêtes des clients sur une myriade de serveurs. Les fournisseurs de contenu ont également commencé à déployer des réseaux de distribution de contenu géographiquement diversifiés qui rapprochent les serveurs d'origine de la "périphérie" du réseau où les clients sont connectés. Ces réseaux de serveurs d'origine distribués ou "substituts" permettent au fournisseur de contenu de distribuer son contenu tout en gardant le contrôle sur l'intégrité de ce contenu.

ICAP, l'Internet Content Adaption Protocol, est un protocole visant à fournir une vectorisation de contenu simple basée sur des objets pour les services HTTP. ICAP est, par essence, un protocole léger pour exécuter un "appel de procédure à distance" sur des messages HTTP. Il permet aux clients ICAP de transmettre des messages HTTP aux serveurs ICAP pour une sorte de transformation ou un autre traitement ("adaptation"). Le serveur exécute son service de transformation sur les messages et renvoie les réponses au client, généralement avec des messages modifiés. Les messages adaptés peuvent être soit des requêtes HTTP, soit des réponses HTTP.

 

Serveur ICAP de TrendMicro

Vous pouvez configurer le système BIG-IP ASM pour vérifier les demandes de virus en configurant le système pour se connecter à un serveur ICAP (Internet Content Adaptation Protocol). Lorsque vous configurez la protection antivirus, le système se connecte à un serveur ICAP externe et invite le serveur à inspecter les téléchargements de fichiers et les pièces jointes à la recherche de virus avant de diffuser le contenu au membre du pool.

Protection Anti-Virus

Vous pouvez configurer le système BIG-IP pour effectuer une inspection de contenu sur des données binaires pour les types de données suivants. Téléchargements de fichiers HTTP : le système vérifie les types de contenu pour les téléchargements de fichiers en plusieurs parties auxquels aucun profil de contenu n'est associé. Pièces jointes SOAP : vous devez configurer le profil XML pour autoriser et inspecter les pièces jointes SOAP (Simple Object Access Protocol). Pièces jointes SMTP : Le profil SMTP doit avoir les options antivirus sélectionnées.

En-tête de virus

Connaissiez-vous ce genre de configuration ?