Subscribe:

Ads 468x60px

30 January 2023

F5XC – Protection de l’infrastructure App

Je vais écrire sur un nouveau service de F5 Distributed Cloud qui vient de l'entreprise Threat Stack. Il s'agit d'une entreprise de cybersécurité récemment acquise par F5, et le nouveau service s'appelle AIP ou App Infrastructure Protection. Dans ce cas, l'intégration dans le Distributed Cloud s'est faite rapidement et directement.

Le service AIP permet à F5 d'accéder aux charges de travail dans le cloud (Cloud Workload Protection). AIP est une solution 100% de sécurité. C'est une solution totalement alignée avec un chef de sécurité (CISO). Nous savons tous que F5 propose des services de réseau ainsi que des services d'application. Dans ce cas, l'interlocuteur sera toujours quelqu'un de la sécurité.

Grâce à la transformation numérique, il existe bien plus de modèles de déploiement d'applications qu'il y a quelques années. Il y a quelques années, nous avions un serveur sur lequel l'application était déployée. C'était une simple infrastructure. Aujourd'hui, il existe des technologies telles que Kubernetes, Dockers ou des services dans plusieurs clouds. Il existe donc de nombreux modes de déploiement, très différents et très changeants. De plus, les administrateurs informatiques qui exécutent ces solutions n'ont pas le temps de gérer, d'analyser et d'améliorer l'infrastructure. Cela ouvre la porte à de nouvelles vulnérabilités et à de nouveaux problèmes. L'automatisation, le DevOps, etc. apportent de nombreux avantages et rendent le tout très agile, mais nous avons d'autres types de problèmes. En fait, il y a plus de méthodes d'attaques. Nous savons déjà que OWASP Top 10 est intégré dans F5 AWAF, mais nous travaillons maintenant avec Kubernetes, Containers as a Services, Dockers, de nouveaux modèles de gestion dans les clouds publics au niveau de l'infrastructure. En conséquence, la surface d'attaque est plus grande et il est assez compliqué d'avoir une visibilité et un contrôle de gestion sur l'ensemble de l'infrastructure.

Certaines menaces que nous pouvons trouver dans l'infrastructure sont les suivantes. Par exemple, nous aurons l'exfiltration d'informations, la modification de fichiers, l'échappement du conteneur, etc. au niveau du conteneur. Ou, nous aurons une modification de politique, un déploiement d'image non autorisé, des modifications de Kubernetes, etc. au niveau de l'orchestration. Bref, il y a beaucoup de choses à surveiller, et le contrôle de toute l'infrastructure est très difficile.

La surface de menace accrue

AIP est capable de surveiller et de collecter des informations sur tous ces appareils pour savoir ce qui se passe dans l'infrastructure. Cependant, c'est ce qu'il fait massivement. Par conséquent, AIP collecte des journaux, les analyse et nous fournit des informations et des recommandations sur ce qui se passe.
 
F5 Distributed Cloud AIP fournit une observabilité complète

Quels sont les principaux cas d'utilisation ? Tout d'abord, la détection des menaces : il dispose d'un moteur d'apprentissage qui analysera tous les appareils protégés de l'infrastructure. Par conséquent, AIP nous informera des événements que nous n'avons pas pu prévoir car une infrastructure informatique a généralement des changements prévisibles. Dans une infrastructure, vous devez apporter des changements prévisibles. Tous les changements imprévisibles seront notifiés par AIP afin que nous puissions enquêter en profondeur. Deuxièmement, le cas d'utilisation le plus important peut être la conformité car il est vraiment facile d'avoir une visibilité sur les principales normes du marché, par exemple PCI-DSS. Si vous souhaitez savoir si votre infrastructure est conforme à une norme, grâce à AIP, il est très facile de le savoir car il y a beaucoup de granularité et tellement de détails sont collectés qu'il est très facile de générer un rapport de conformité pour savoir où nous nous conformons à une norme et à quel point nous ne nous conformons pas pour améliorer la plateforme. Il existe des rapports utiles à présenter lors d'un audit. Enfin, un autre cas d'utilisation est la posture de sécurité liée aux intégrations avec les clouds publics. Par exemple, AWS est actuellement pris en charge et il est très facile de se connecter à l'API de AWS pour surveiller ce qui se passe dans l'infrastructure hébergée dans ce cloud public. Ainsi, AIP pourrait nous avertir s'il y a un bucket ouvert à tout le monde et qu'il n'a aucun type de contrôle d'accès, ou par exemple s'il y a des rôles qui ont trop d'autorisations.
 
Principaux cas d'utilisation

Comment fonctionne l'AIP ? Il fonctionne principalement par télémétrie, c'est-à-dire en collectant la télémétrie de tous les serveurs, des clusters Kubernetes et de l'ensemble de l'infrastructure. De plus, AIP est également proposé en tant que service géré où tous les événements sont envoyés à F5XC et, en cas d'événement d'anomalie, le client est averti et le problème de sécurité est expliqué afin de mener une enquête et une atténuation. Il s'agit donc d'une solution de visibilité car AIP détectera, investiguera et proposera des recommandations d'atténuation. Cependant, la télémétrie prend tout son sens quand on parle de règles. Nous avons un règlement basé sur des normes et des recommandations. D'une part, il existe des règles propres à F5, mais d'autre part, il existe également des recommandations d'AWS, de Docker, de la norme CIS, de Mitre, etc. Il existe donc de nombreuses règles prédéfinies. De plus, AIP est capable de prédire le comportement de l'infrastructure et nous informera des problèmes prévisibles.

Á bientôt !

23 January 2023

Aprendiendo a aprender

J'ai lu ces derniers mois le livre « Aprendiendo a aprender » de Hector Ruiz Martin où j'ai appris comment fonctionne le cerveau et comment obtenir les meilleures performances. J'aurais dû lire ce livre il y a de nombreuses années quand j'étais à l'université car cela m'aurait aidé à obtenir de meilleurs scores. Cependant, il n'est jamais trop tard pour améliorer les stratégies d'étude car nous apprenons de nouvelles choses tout au long de la vie.

La concentration est l'une des choses les plus importantes pour le processus d'apprentissage. Il est vraiment important d'éteindre tout gadget tel que smartphone, télévision, ordinateur portable ou tout ce qui ne nous permet pas de nous concentrer sur le sujet que nous étudions. Il y a beaucoup d'étudiants qui aiment étudier avec de la musique mais ils ne savent pas qu'étudier sans musique ou sans bruit améliorerait leurs performances. Cependant, si vous devez étudier avec du bruit ou écouter des gens parler, le mieux est de mettre vos écouteurs avec de la musique d'ambiance ou des chansons en langue étrangère.

Une autre chose intéressante que j'ai apprise dans ce livre est l'importance de la diversification. Étudier un sujet et plus tard sur un autre sujet est bien mieux que d'étudier un sujet encore et encore. De plus, la diversification nous permet de lier un sujet à d'autres qui est en fait le processus d'apprentissage. Nous sommes capables d'apprendre parce que nous lions de nouveaux concepts à un autre concept que nous avons déjà dans le cerveau. Par conséquent, si vous apprenez quelque chose, c'est une bonne idée de s'arrêter et d'apprendre quelque chose d'autre pendant un moment, et plus tard de continuer avec cette question.

La motivation est la cause profonde de l'apprentissage et, aujourd'hui, c'est peut-être le manque de motivation pour beaucoup de jeunes étudiants. Heureusement, la plupart d'entre nous ont tous les besoins de base tels que la nourriture, les vêtements, le transport mais aussi le temps, l'argent, etc. Par conséquent, il y a peu ou pas de motivation pour obtenir autre chose car améliorer notre vie demande beaucoup d'efforts. Cependant, nous devons rechercher la motivation si nous voulons apprendre et nous améliorer en tant qu'être humain.

Enfin, nous aurons tous déjà entendu, lu ou vu ce test où des bonbons sont montrés à un groupe d'enfants et le testeur leur dit qu'ils vont obtenir plus de bonbons dans un moment s'ils ne mangent pas de bonbons. Certains d'entre eux sont incapables d'attendre et ils mangent les bonbons tandis que d'autres attendent d'en avoir d'autres par la suite. Cette maîtrise de soi a montré que les personnes capables d'attendre ont un avenir meilleur. Par conséquent, les étudiants, qui disent non à une fête parce que les examens arrivent, ont de meilleurs résultats et un meilleur avenir.

« Aprendiendo a aprender » est un livre intéressant que je recommande aux étudiants car il nous aide à améliorer la stratégie d'étude pour obtenir de meilleurs scores.

Quel livre me conseillez-vous ?

16 January 2023

OWASP Top 10 - 2021

Je ne connaissais pas le projet OWASP avant de commencer à travailler chez Ariadnex où il y avait des projets pour protéger les serveurs Web. J'ai lu, testé et protégé contre de nombreuses vulnérabilités d'applications Web. Aujourd'hui, je continue à y travailler où je déploie, configure et bloque les attaques malveillantes. Principalement, je déploie et configure les appliances Fortinet et F5 pour protéger les services des clients. C'est la principale raison pour laquelle j'aime lire, tester et écrire sur OWASP Top 10 - 2017, OWASP Mobile Top 10 Vulnerabilities et OWASP Mobile App Security (MAS).

Le nouveau Top 10 OWASP a été publié il y a deux ans où l'on peut trouver de nouvelles vulnérabilités, et d'autres, ont été fusionnées. Par exemple, A3 - Injection glisse à la troisième position concernant la version 2017. Ces attaques sont l'une des attaques les plus dangereuses où un attaquant envoie simplement une donnée malveillante pour que l'application la traite et fasse quelque chose qu'elle n'est pas censée faire. Les vulnérabilités d'injection sont répandues, en particulier dans le code légal qui ne valide ni ne nettoie les entrées fournies par l'utilisateur. De plus, le Cross-site Scripting (XSS) fait désormais partie de cette catégorie dans la nouvelle édition 2021.
 
A3 - Scénario d'injection

D'autre part, A4 - Conception non sécurisée est une nouvelle catégorie pour 2021 qui se concentre sur les risques associés aux défauts de conception et d'architecture. Par conséquent, il se concentre sur la nécessité d'une modélisation des menaces, de modèles de conception sécurisés et de principes. Les défauts d'une conception non sécurisée ne peuvent pas être corrigés par une implémentation. OWASP différencie la conception non sécurisée de la mise en œuvre et des contrôles de sécurité.
 
A4 - Scénario d'attaque de conception non sécurisée

Les vulnérabilités XXE et les erreurs de configuration de la sécurité ont été fusionnées dans A5 – Mauvaise configuration de sécurité gagne un place pour 2021. Ces vulnérabilités sont des faiblesses de configuration qui peuvent exister dans les composants et sous-systèmes logiciels ou dans l'administration des utilisateurs. Par exemple, le logiciel de serveur Web peut être livré avec des comptes d'utilisateur par défaut qu'un attaquant peut utiliser pour accéder au système, ou le logiciel peut contenir des exemples de fichiers, tels que des fichiers de configuration et des scripts qu'un attaquant peut exploiter. En outre, le logiciel peut avoir activé des services inutiles, tels que la fonctionnalité d'administration à distance.
 
A5 - Scénario d'attaque par mauvaise configuration de la sécurité

A8 – Manque d’intégrité des données et du logiciel sont également une nouvelle catégorie pour 2021 qui est liée au code et à l'infrastructure qui ne protège pas contre les violations d'intégrité. Cela peut se produire lorsque vous utilisez des logiciels provenant de sources et de référentiels non fiables ou même des logiciels qui ont été falsifiés à la source, en transit ou même dans le cache du terminal.
 
A8 - Scénario d'attaque par manque d'intégrité de données et du logiciel

Une autre nouvelle catégorie est A10 – Falsification de requête côté serveur (SSRF) qui se produit chaque fois qu'une application Web récupère une ressource distante sans valider l'URL fournie par l'utilisateur, car l'application Web vulnérable aura souvent des privilèges pour lire, écrire ou importer des données à l'aide de une URL. Par conséquent, pour exécuter une attaque SSRF, l'attaquant abuse de la fonctionnalité du serveur pour lire ou mettre à jour les ressources internes.
 
A10 - Falsification de requête côté serveur - SSRF

Ce ne sont que quelques commentaires sur le nouveau Top 10 OWASP – 2021 que j'aime beaucoup tester et protéger les applications web avec F5 AWAF et OWASP Mutillidae.

Á bientôt !

9 January 2023

Abus de SQL basé sur JSON

J'ai été informé le mois dernier d'un contournement dangereux qui consiste à ajouter la syntaxe JSON aux charges utiles d'injection SQL qu'un WAF est incapable d'analyser. Cette technique d'attaque a été divulguée par Team82 qui ont publié que les principaux fournisseurs de WAF manquaient de support JSON dans leurs produits, bien qu'il soit compatible par la plupart des moteurs de base de données pendant une décennie. Je ne connaissais pas cette nouvelle technique d'attaque et j'ai dû lire à ce sujet pour savoir si les WAF, que nous déployons, sont capables de bloquer ce genre d'attaque.

Team82 introduit une technique d'attaque qui agit comme le premier contournement générique de plusieurs WAF vendus par les principaux fournisseurs du secteur. Le contournement fonctionne sur les WAF vendus par cinq principaux fournisseurs : Palo Alto, F5, Amazon Web Services, Cloudflare et Imperva. Tous les fournisseurs concernés ont reconnu la divulgation de Team82 et ont mis en œuvre des correctifs qui ajoutent la compatibilité de la syntaxe JSON aux processus d'inspection SQL de leurs produits.
 
F5 CSIRT

La technique repose d'abord sur la compréhension de la manière dont les WAF identifient et signalent la syntaxe SQL comme malveillante, puis sur la recherche de la syntaxe SQL à laquelle le WAF est aveugle. Cela s'est avéré être JSON. JSON est un format standard d'échange de fichiers et de données, couramment utilisé lorsque des données sont envoyées d'un serveur à une application Web. Les attaquants utilisant cette nouvelle technique pourraient accéder à une base de données principale et utiliser des vulnérabilités et des exploits supplémentaires pour exfiltrer des informations via un accès direct au serveur ou via le cloud.

Même si tous les moteurs de base de données ont ajouté la compatibilité de JSON, tous les WAF ne sont pas compatible avec cette "nouvelle" fonctionnalité. Ce manque de compatibilité dans WAF pourrait introduire une incompatibilité dans l'analyse des primitives entre WAF et les moteurs de base de données réels, et entraîner une mauvaise identification de la syntaxe SQL.

Niveaux de compatibilité de JSON pour chaque base de données principale

Team82 voulait comprendre comment WAF pouvait signaler les requêtes comme malveillantes pour trouver une syntaxe SQL que WAF ne comprendrait pas. Ils recherchaient une charge utile SQLi que WAF ne reconnaîtra pas comme SQL valide, mais le moteur de base de données l'analysera, puis ils pourraient réellement réaliser le contournement.

Par exemple, l'opérateur JSON, @>, qui vérifie si le bon JSON est contenu dans celui de gauche, a jeté le WAF dans une boucle et nous a permis de fournir des charges utiles SQLi malveillantes, nous permettant de contourner le WAF. En ajoutant simplement une syntaxe JSON simple au début de la requête, nous avons pu exfiltrer des informations sensibles à l'aide de la vulnérabilité SQLi.
 
Voici une charge utile SQLi malveillante, contenant la syntaxe JSON. Comme nous pouvons le voir, le WAF n'a pas signalé la demande comme malveillante et ne l'a pas abandonnée

Il s'agit d'un contournement dangereux, d'autant plus que de plus en plus d'entreprises continuent de publier des applications Web. Par conséquent, il est fortement recommandé de vérifier les signatures d'attaque dans nos outils de sécurité, tels que les appliances WAF, pour bloquer cette nouvelle attaque.
 
À tout à l'heure!

2 January 2023

RHEL/CentOS - Configurer VLAN et LACP

Dans l'infrastructure informatique de l'entreprise, il est courant d'utiliser LACP Network Bonding et VLAN Tagging. LACP Network Bonding permet à deux interfaces réseau ou plus d'être agrégées en une seule, offrant ainsi une bande passante accrue et une redondance interface/câble. VLAN Tagging permet aux trafics de différents réseaux de partager des liens physiques communs tout en étant séparés.

Pour configurer les deux dans un serveur Linux, il est courant d'utiliser nmcli . Fondamentalement, il s'agit d'une configuration en deux étapes. D'une part, configurez une interface en agrégation de liens (LACP) pour agréger les interfaces réseau sous-jacentes. D’autre part, configurez une interface marquée (VLAN) au-dessus de l'interface en agrégation de liens.

Vous trouverez ci-dessous un exemple pour les configurer à l'aide de « nmcli » sur CentOS / RHEL.

Conditions requises
Assurez-vous que le module « 8021q » est activé pour LACP.
# modprobe --first-time 8021q 
# modinfo 8021q

Configurer l’interface en agrégation de liens (LACP)
Cet exemple ajoute une interface en agrégation de liens nommée « bond0 » avec deux interfaces réseau nommées « eno12399np0 » et « eno12409np1 ».

Créez l'interface en agrégation de liens « bond0 » à l'aide du mode 802.3ad.
# nmcli con add type bond ifname bond0 con-name bond0 mode 802.3ad miimon 100 downdelay 0 updelay 0 connection.autoconnect yes ipv4.method disabled ipv6.method ignore

Ajoutez les deux interfaces réseau en tant qu'esclaves à l'interface en agrégation de liens « bond0 ».
# nmcli con add type bond-slave ifname eno12399np0 con-name eno12399np0 master bond0 nmcli con add type bond-slave ifname eno12409np1 con-name eno12409np1 master bond0

Affichez l'interface en agrégation de liens « bond0 ».
# nmcli con up bond0

Vérifiez les connexions créées.
# nmcli con show
NAME         UUID      TYPE      DEVICE
bond0        <masked>  bond      bond0
eno12399np0  <masked>  ethernet  eno12399np0
eno12409np1  <masked>  ethernet  eno12409np1
 
Configurer l’interface marquée (VLAN)
Ensuite, une connexion de type vlan doit être ajoutée au-dessus du périphérique bond0 créé à l'étape précédente. Les paramètres TCP/IP tels que l'adresse IP, le masque, la passerelle, le DNS et le domaine de recherche sont également ajoutés ici. Dans cet exemple, les paramètres utilisés sont :

  • ID VLAN : 2000

  • Adresse IP : 172.17.0.7

  • Masque: 255.255.0.0

  • Passerelle: 172.17.0.1

  • DNS : 172.17.0.2,172.17.0.3

  • Domaine de recherche: davidromerotrejo.com

# nmcli con add type vlan ifname bond0.2000 con-name bond0.2000 id 2000 dev bond0 connection.autoconnect yes ip4 172.17.0.7/16 gw4 172.17.0.1 ipv4.dns 172.17.0.2,172.17.0.3 ipv4.dns-search davidromerotrejo.com

Affichez l'interface bond0.2000.
# nmcli con up bond0.2000

Vérifiez les connexions créées.

nmcli con show


Vérifiez que l'interface créée bond0.
2000 est UP avec l'adresse IP configurée.

ip addr show bond0.2000


À
bientôt !

Related Posts Plugin for WordPress, Blogger...

Entradas populares