Solutions open source pour une gestion centralisée de l'accès aux ressources. Pourquoi avez-vous besoin d’Identity Manager et qu’est-ce que c’est ?
№ 4 (180) ’2012
Des années de mise en œuvre de la norme PCI DSS en Russie ont déjà porté leurs fruits sous la forme de la présence d'infrastructures certifiées d'entreprises participant au processus de paiement. Cependant, comme tout autre domaine, au cours des dernières années, le sujet de la norme PCI DSS a suscité un grand nombre de problèmes non triviaux. Je présente à votre attention le premier article de la série, consacré à un aperçu de l'industrie des cartes de paiement et du système de certification PCI DSS. Certains points sembleront évidents aux professionnels du secteur, mais mon objectif est de fournir au lecteur une description globale.
Industrie des cartes de paiement
Pour ramener à un dénominateur commun la terminologie et les concepts de base qui seront abordés dans la série d'articles consacrés à la gestion de la conformité aux exigences de la norme PCI DSS, je propose un bref aperçu du secteur des paiements. Une grande partie des informations contenues dans cette revue seront sans aucun doute évidentes pour de nombreux lecteurs. On sait que les systèmes de paiement internationaux Visa et MasterCard sont des communautés de banques émettrices qui émettent des cartes de paiement et de banques acquéreuses qui acceptent les opérations de paiement sur ces cartes. Les banques ont différents niveaux de participation aux systèmes de paiement et sont divisées en membres principaux et membres affiliés. Les transactions de paiement des magasins et autres points de vente peuvent être transmises aux banques acquéreuses directement ou via des passerelles de paiement. Tous les acteurs de l'industrie des cartes de paiement, du point de vue des systèmes de paiement internationaux, sont divisés en deux catégories : les entreprises de commerce et de services, également appelées commerçants (du marchand anglais - marchand), et les prestataires de services. Les commerçants sont toutes les entreprises qui acceptent les cartes de paiement comme moyen de paiement pour leurs biens ou services. Des exemples de telles entreprises sont les magasins de détail et en ligne, les restaurants, les salons de coiffure, les stations-service, etc. Les prestataires de services sont des entreprises qui fournissent un service, le plus souvent dans le secteur des technologies de l'information, qui facilite les transactions de paiement. Il s'agit de banques, de passerelles de paiement, de centres de données, de prestataires de services d'émission de cartes et d'autres organisations assurant le processus de paiement. La structure de l'industrie est clairement présentée dans la figure 1.
Il ne faut pas oublier que les systèmes de paiement internationaux confient aux banques acquéreuses l’entière responsabilité de la sécurité des données dans le secteur des cartes de paiement. Ils sont responsables de la sécurité des données de carte qui leur parviennent d'organisations de niveau inférieur - commerçants et prestataires de services. Autrement dit, en cas de fuite de la liste des numéros de carte dans l'infrastructure d'information du magasin, la banque acquéreuse assumera la responsabilité envers les systèmes de paiement internationaux. Il existe des mécanismes de transfert de responsabilité dans le secteur des cartes de paiement, comme l'utilisation de la technologie 3-D Secure, mais il faut faire une distinction entre la responsabilité en cas de transactions frauduleuses et la responsabilité en cas de fuite de données de carte.
Riz. 1. Entreprises de commerce et de services et prestataires de services
Normes PCI DSS et PCI PA-DSS
Après avoir uni leurs forces dans la lutte contre les violations de la sécurité des transactions de paiement, les systèmes de paiement internationaux ont créé en 2006 un organisme de réglementation international commun dans le domaine de la sécurité des cartes de paiement - le Conseil PCI SSC. Cet organisme est chargé de l'élaboration des normes PCI DSS, PCI PA-DSS et PCI PTS, ainsi que de la formation, de la certification et du contrôle qualité du travail des auditeurs de sécurité - auditeurs QSA.
Au fil des années d'existence des normes, il y a eu un débat sur la question de savoir si la normalisation des règles de sécurité de l'information, basée sur le principe d'une carte de contrôle, c'est-à-dire une liste de mesures spécifiques, est le moyen optimal de protéger les données de la carte, ou est-ce une formalité inutile. Après tout, il existe une approche basée sur les risques qui a fait ses preuves, dans laquelle il n'y a pas de liste prédéterminée de mesures, mais il existe une règle pour évaluer régulièrement les menaces actuelles et identifier les vulnérabilités du système protégé. La solution à ce dilemme est que la normalisation d'une liste de mesures spécifiques à l'instar de la norme PCI DSS est utile à ce niveau de maturité du système de sécurité de l'information, lorsque le système de gestion axé sur les risques n'a pas encore effectué un nombre suffisant d'itérations du cycle. « analyse des risques - mise en œuvre de contre-mesures - évaluation - ajustement » pour constituer une défense efficace. Un exemple est la manière dont une mère apprend à son bébé à ne pas toucher la surface chaude du fer. Tant que le fer n'a pas encore été suffisamment étudié par l'enfant, ou que l'expérience douloureuse du toucher n'a pas été acquise, la seule façon d'essayer d'éviter une brûlure ne peut être que les paroles d'une mère adulte disant : « ne touchez pas le fer, ça va faire mal !
La norme PCI DSS s'applique aux organisations qui traitent, stockent et transmettent les données des titulaires de cartes. Pour l’avenir, il est nécessaire de préciser que les boutiques en ligne qui ne traitent pas les numéros de carte sur leur site Internet, mais redirigent le client vers le site Internet d’une passerelle de paiement externalisée pour effectuer un paiement, relèvent également de la certification PCI DSS. Cependant, du point de vue de la méthode de confirmation de conformité, le questionnaire le plus simple (SAQ) de type « A » leur est applicable, ne contenant que treize procédures de vérification sur les deux cent quatre-vingt-huit disponibles dans la version standard PCI DSS. 2.0.
L'objet d'application de la norme PA-DSS associée, contrairement à PCI DSS, est une application de paiement spécifique développée pour être vendue à un nombre illimité d'utilisateurs finaux - acteurs du secteur des cartes de paiement. Des exemples de telles applications sont les modules logiciels pour les terminaux de point de vente, les applications d'autorisation, ainsi que d'autres solutions packagées pour le traitement des transactions par carte. Depuis juillet 2012, conformément aux exigences des systèmes de paiement internationaux Visa et MasterCard, les commerçants sont tenus de n'utiliser que des applications de paiement certifiées selon la norme PA-DSS. Le contrôle de la mise en œuvre de cette exigence est confié aux banques acquéreuses. Il existe une liste de treize questions qui vous permettent de déterminer plus précisément si une candidature relève ou non du programme de certification PA-DSS. Ce document est disponible sur le site officiel du Conseil PCI SSC.
Mise en œuvre de la norme PCI DSS
Un projet classique de mise en œuvre de la norme PCI DSS dans une organisation comprend généralement les étapes suivantes :
- Analyse de conformité de base
- Amener au niveau de conformité requis
- Confirmation de conformité
- Prise en charge de la conformité
Chacune de ces étapes peut être réalisée soit indépendamment par l'organisation, soit par un consultant externe. La seule action qui ne peut pas être réalisée de manière indépendante est un audit de certification externe, si l'organisation l'exige.
L'option optimale et la plus souvent utilisée dans la pratique est lorsqu'une partie du travail est effectuée par l'organisation elle-même et qu'une partie est sous-traitée à un consultant externe.
Le schéma d'un tel projet est illustré à la figure 2. Les travaux d'évaluation initiale de la conformité et d'élaboration de recommandations pour répondre aux exigences de la norme sont effectués par un consultant externe, et la mise en œuvre directe des modifications des systèmes d'information est effectuée par administrateurs système de l’organisation cliente. Dans ce cas, le consultant apporte son accompagnement et prépare la documentation d'accompagnement nécessaire à la certification. Viennent ensuite les contrôles finaux de la sécurité de l'infrastructure de l'information et la procédure de confirmation du respect de la norme.
Riz. 2. Projet modèle pour la mise en œuvre de la norme PCI DSS
Séparément, il convient de mentionner les options permettant de confirmer la conformité à la norme PCI DSS. Il existe trois manières pour les acteurs du secteur des cartes de paiement de démontrer leur conformité : l'audit externe, l'audit interne et l'auto-évaluation. Un audit externe est réalisé par un employé d'un organisme d'audit externe (Qualified Security Assessor, QSA), certifié par le Conseil PCI SSC. L'audit interne est réalisé par un auditeur formé et certifié dans le cadre du programme PCI SSC Council (Internal Security Assessor, ISA). La troisième option de confirmation est réalisée de manière autonome par les salariés de l'organisation en remplissant une fiche d'auto-évaluation (Questionnaire d'auto-évaluation, SAQ). Les règles régissant la manière exacte dont le respect de la norme est vérifiée sont déterminées individuellement par les systèmes de paiement internationaux pour différents types de commerçants et de prestataires de services, mais peuvent être redéfinies par les banques acquéreuses. La version actuelle du règlement sous forme générale est toujours disponible sur les sites officiels des systèmes de paiement internationaux.
Il est à noter que la forme de la fiche d'auto-évaluation SAQ se décline en plusieurs types (A, B, C, C-VT, D), et le choix du type de fiche dépend des spécificités du traitement des données de carte dans l'organisation. Le diagramme d'applicabilité des différentes options pour confirmer la conformité est présenté dans le tableau.
Dans le prochain article de la série « Gestion de la conformité PCI DSS », je parlerai de la détermination de la portée de l'applicabilité de la norme PCI DSS dans l'infrastructure d'information d'une organisation, des méthodes pour la réduire afin de réduire les coûts de mise en œuvre de la norme, et je répondrai également aux question de savoir si le processus d'émission des cartes de paiement est soumis à un audit de certification.
Tableau. Options de conformité PCI DSS
| Option | Applicabilité | Nombre de procédures de vérification |
| SAQA | Commerçants effectuant des transactions sans carte et qui ont externalisé toutes les fonctions de traitement électronique, de stockage et de transmission des données de carte à un fournisseur de services ayant confirmé leur conformité à la norme PCI DSS. | 13 |
| SAQB | Les commerçants qui utilisent des terminaux de point de vente, utilisent une ligne téléphonique, ne transmettent pas de données de carte sur Internet et ne disposent pas de stockage électronique des données de carte. | 29 |
| SAQC | Commerçants qui utilisent des terminaux de point de vente ou des applications de paiement qui transmettent des données de carte via Internet et ne disposent pas de stockage électronique des données de carte. | 40 |
| SAQ C-VT | Commerçants qui utilisent des terminaux Web virtuels via Internet auprès d'un fournisseur de services ayant confirmé la conformité à la norme PCI DSS et ne disposant pas de stockage électronique des données de carte. | 51 |
| SAQ-D | Tous commerçants et tous prestataires de services, à l'exception de ceux qui, selon les exigences de l'IPS ou de l'acquéreur, nécessitent un audit ISA ou QSA. | 288 |
| Audit ISA | Tous les commerçants, à l'exception de ceux qui, selon les exigences du ministère des Chemins de fer ou de l'acquéreur, exigent un audit QSA. | 288 |
| Audit QSA | Tous commerçants et tous prestataires de services. | 288 |
Tout test d'intrusion objectif et significatif doit
réalisé en tenant compte des recommandations et des règles. Au moins pour être
un spécialiste compétent et ne rien manquer. Par conséquent, si vous souhaitez lier votre
activités professionnelles avec pentesting - assurez-vous de lire
normes. Et tout d’abord – avec mon article.
Les règles et le cadre du pentesting d'information sont présentés dans les méthodologies
OSSTMM Et OWASP. Par la suite, les données obtenues peuvent être facilement
s'adapter à l'évaluation de la conformité avec n'importe quel industriel
normes et « meilleures pratiques mondiales » telles que, Cobit,
normes de série OIN/CEI 2700x, recommandations CEI/SANS/NIST/etc
et – dans notre cas – la norme PCI DSS.
Bien entendu, les données accumulées obtenues lors des tests pour
pénétration, pour effectuer une évaluation complète selon les normes de l’industrie
ne suffira pas. Mais c’est pourquoi il s’agit d’un pentest et non d’un audit. De plus, pour
mise en œuvre d'une telle évaluation en s'appuyant uniquement sur les données technologiques
Cela ne suffira à personne. Une évaluation complète nécessite d’interroger les employés
différentes divisions de l'entreprise évaluées, analyse des procédures administratives
documentation, divers processus IT/IS et bien plus encore.
Concernant les tests d’intrusion si nécessaire
norme de sécurité des informations dans le secteur des cartes de paiement - ce n'est pas grand-chose
diffère des tests conventionnels effectués à l’aide de techniques
OSSTMM Et OWASP. De plus, la norme PCI DSS recommandé
respecter les règles OWASP lors de la réalisation à la fois d'un pentest (AsV) et
audit (QSA).
Les principales différences entre les tests PCI DSS des tests à
pénétration au sens le plus large du terme sont les suivants :
- La norme ne réglemente pas (et n'exige donc pas) les attaques avec
en utilisant l’ingénierie sociale. - Toutes les inspections effectuées doivent minimiser la menace de « refus de
service" (DoS). Par conséquent, les tests effectués doivent
réalisée selon la méthode de la « boîte grise » avec avertissement obligatoire
administrateurs des systèmes concernés. - L'objectif principal de ces tests est de tenter de mettre en œuvre
accès non autorisé aux données des cartes de paiement (PAN, nom du titulaire de la carte et
etc.).
La méthode de la « boîte grise » fait référence à la mise en œuvre de différents
type de contrôles avec réception préalable d'informations complémentaires sur
le système étudié à différentes étapes de test. Cela réduit le risque
déni de service lors de l'exécution de tels travaux liés à l'information
des ressources fonctionnant 24h/24 et 7j/7.
En général, les tests d'intrusion PCI doivent
répondre aux critères suivants :
- clause 11.1(b) – Analyse de la sécurité des réseaux sans fil
- clause 11.2 – Analyse du réseau d'information à la recherche de vulnérabilités (AsV)
- clause 11.3.1 – Effectuer des contrôles au niveau du réseau (couche réseau
tests d'intrusion) - clause 11.3.2 – Effectuer des contrôles au niveau de l'application (Application-layer
tests d'intrusion)
C'est là que se termine la théorie et nous passons à la pratique.
Définir les limites de l'étude
La première étape consiste à comprendre les limites des tests d'intrusion,
déterminer et convenir de la séquence d’actions à effectuer. À son meilleur
Dans ce cas, le service de sécurité de l'information peut obtenir une carte du réseau sur laquelle
montre schématiquement comment le centre de traitement interagit avec le système général
infrastructure. Au pire, vous devrez communiquer avec l'administrateur système,
qui est conscient de ses propres erreurs et obtient des données complètes sur
système d'information sera entravé par sa réticence à partager ses
une connaissance unique (ou pas si unique - note Forb). D'une manière ou d'une autre, pour réaliser
Le pentest PCI DSS nécessite, au minimum, les informations suivantes :
- segmentation du réseau (utilisateur, technologique, DMZ, traitement et
etc.); - pare-feu aux limites de sous-réseau (ACL/ITU) ;
- utilisé des applications Web et des SGBD (à la fois de test et productifs);
- réseaux sans fil utilisés ;
- tous les détails de sécurité qui doivent être pris en compte
pendant l'enquête (par exemple, bloquer des comptes lorsque N
tentatives d'authentification incorrectes), les fonctionnalités de l'infrastructure et les informations générales
souhaits lors des tests.
Avec toutes les informations nécessaires énumérées ci-dessus, vous pouvez
organisez votre abri temporaire dans le segment de réseau le plus optimal et
commencer à examiner le système d’information.
Tests d'intrusion au niveau de la couche réseau
Pour commencer, il convient d'analyser le trafic réseau qui transite en utilisant
tout analyseur de réseau en mode de fonctionnement « promiscuité » de la carte réseau
(mode promiscuité). En tant qu'analyseur de réseau à des fins similaires
bon ajustement ou CommView. Pour réaliser cette étape, 1 à 2 heures de travail suffiront
renifleur. Passé ce délai, suffisamment de données auront été accumulées pour effectuer
analyse du trafic intercepté. Et tout d’abord, lorsqu’on l’analyse, il faut
Faites attention aux protocoles suivants :
- protocoles de commutation (STP, DTP, etc.) ;
- protocoles de routage (RIP, EIGRP, etc.) ;
- protocoles de configuration d'hôte dynamique (DHCP, BOOTP) ;
- protocoles ouverts (telnet, rlogin, etc.).
Quant aux protocoles ouverts, la probabilité qu'ils tombent dans
Le temps nécessaire pour détecter le trafic dans un réseau commuté est assez court.
Cependant, s'il y a beaucoup de trafic de ce type, alors dans le réseau étudié, on observe clairement
problèmes avec les paramètres de l'équipement réseau.
Dans tous les autres cas, il y a la possibilité de réaliser de belles attaques :
- attaque classique MITM (Man in the middle) lorsqu'elle est utilisée
DHCP, RIP - obtenir le rôle de nœud racine STP (Root Bridge), ce qui permet
intercepter le trafic des segments voisins - transférer le port en mode trunk à l'aide de DTP (activer le trunking) ;
vous permet d'intercepter tout le trafic de votre segment - etc.
Un excellent outil est disponible pour attaquer les protocoles de commutation.
Yersinia. Supposons qu'au cours du processus d'analyse du trafic, du trafic aérien ait été identifié.
anciens packages de PAO (voir capture d'écran). Puis envoi du paquet DTP ACCESS/DESIRABLE
peut permettre au port du commutateur d'être mis en mode tronc. Plus loin
le développement de cette attaque vous permet d'écouter votre segment.
Après avoir testé la couche de liaison, vous devez porter votre attention sur la troisième
Niveau OSI. Il est maintenant temps de mener une attaque d'empoisonnement à l'ARP. Tout est simple ici.
Choisissez un outil, par exemple,
et discutez avec les employés chargés de la sécurité de l'information des détails de cette attaque (y compris
la nécessité de mener une attaque visant à intercepter le SSL unidirectionnel).
Le fait est que si une attaque par empoisonnement ARP est mise en œuvre avec succès contre
de l’ensemble de son segment, une situation peut survenir lorsque l’ordinateur de l’attaquant ne parvient pas
gérer le flux de données entrantes et, à terme, cela peut devenir
provoquer un déni de service sur un segment entier du réseau. Par conséquent, le plus correct
sélectionnera des cibles uniques, par exemple des tâches d'administrateur et/ou
développeurs, tout serveur spécifique (éventuellement un contrôleur de domaine,
SGBD, serveur de terminaux, etc.).
Une attaque d'empoisonnement ARP réussie vous permet d'obtenir en texte clair
mots de passe vers diverses ressources d'information - SGBD, répertoire de domaine (si
réduisant l'authentification NTLM), chaîne de communauté SNMP, etc.
En cas de succès, les valeurs de hachage peuvent être obtenues à partir de mots de passe pour divers systèmes,
que vous devrez essayer de restaurer lors du pentest
en utilisant des tables arc-en-ciel, un dictionnaire ou une attaque frontale. Intercepté
les mots de passe peuvent être utilisés ailleurs et par la suite, cela est également nécessaire
confirmer ou infirmer.
De plus, il vaut la peine d'analyser tout le trafic intercepté pour détecter la présence
CAV2/CVC2/CVV2/CID/PIN transmis en texte clair. Pour ce faire, vous pouvez sauter
fichier de cap enregistré via NetResident et/ou
.
La seconde, soit dit en passant, est idéale pour analyser le trafic accumulé dans son ensemble.
Tests d'intrusion au niveau de l'application
Passons au quatrième niveau OSI. Ici, tout d'abord, tout se résume à
analyse instrumentale du réseau étudié. Comment le dépenser ? Le choix est mauvais
trop gros. L'analyse initiale peut être effectuée à l'aide de Nmap dans
Mode "Fast scan" (touches -F -T Aggressive|Insane), et dans les étapes suivantes
tests, analyse sur des ports spécifiques (commutateur -p), par exemple,
dans les cas où les vecteurs de pénétration les plus probables associés à
vulnérabilités dans certains services réseau. En même temps, cela vaut la peine de lancer le scanner
sécurité - Nessus ou XSpider (ce dernier aura des résultats charnus) dans
mode d'effectuer uniquement des contrôles sûrs. Lors de la numérisation sur
vulnérabilités, il faut également faire attention à la présence de systèmes obsolètes
(par exemple Windows NT 4.0), car la norme PCI les interdit
utilisation dans le traitement des données des titulaires de carte.
Si vous découvrez une vulnérabilité critique dans un service, vous ne devez pas immédiatement
ou se précipiter pour l'exploiter. L'approche correcte pour les tests PCI est la suivante :
il s'agit d'abord d'obtenir une image plus complète de l'état de sécurité du sujet
systèmes (cette vulnérabilité est-elle aléatoire ou est-elle omniprésente),
et deuxièmement, coordonner leurs actions pour exploiter les vulnérabilités identifiées dans
certains systèmes.
Les résultats de l'examen instrumental doivent fournir une image globale
mis en œuvre des processus de sécurité de l’information et une compréhension superficielle de l’état de la sécurité
infrastructure. Lorsque vous travaillez sur des scans, vous pouvez demander à vous familiariser avec
la politique de sécurité de l’information utilisée dans la Société. Pour le développement personnel général :).
L'étape suivante consiste à sélectionner les cibles de pénétration. A ce stade, vous devriez
analyser toutes les informations collectées obtenues lors de l'écoute
analyse du trafic et des vulnérabilités. Il y aura probablement déjà à ce moment-là
tracer les systèmes vulnérables ou potentiellement vulnérables. C'est pourquoi il est venu
Il est temps de profiter de ces lacunes.
Comme le montre la pratique, les travaux sont effectués dans les trois directions suivantes.
1. Exploitation des vulnérabilités des services réseau
Il est une époque lointaine où l'exploitation était le lot de quelques privilégiés,
capable au moins de collecter le code de quelqu'un d'autre et (oh mon Dieu !) de préparer son propre shellcode.
Exploite actuellement les vulnérabilités des services réseau telles que les inondations
les tampons et autres comme eux sont accessibles à tous. De plus, le processus ressemble de plus en plus à
jeu dans le genre quête. Prenez Core Impact, qui résume l'intégralité du pentest
à cliquer avec la souris sur divers menus déroulants dans un magnifique wrapper GUI.
De tels outils permettent de gagner beaucoup de temps, ce qui lors des tests d'intrusion internes
pas tellement. Parce que les blagues sont des blagues et que l'ensemble des fonctionnalités implémentées dans Core Impact
permet, sans trop d'effort, d'effectuer de manière cohérente une opération, un levage
privilèges, collecter des informations et supprimer les traces de votre présence dans le système. DANS
c'est pourquoi Core Impact est particulièrement populaire parmi les auditeurs occidentaux et
pentesters.
Parmi les outils de ce type accessibles au public, on peut citer les suivants :
assemblys : Core Impact, CANVAS, SAINTexploit et le framework Metasploit préféré de tous.
Quant aux trois premiers, ce sont tous des produits commerciaux. C'est vrai, certains
d'anciennes versions d'assemblages commerciaux ont été divulguées sur Internet à un moment donné. Si désiré
vous pouvez les trouver sur le réseau mondial (bien sûr, uniquement à des fins de
auto-éducation). Eh bien, tous les nouveaux exploits gratuits sont disponibles dans Metasploit
Cadre. Bien sûr, il existe des builds zero-day, mais c’est un argent complètement différent.
De plus, il existe une opinion controversée selon laquelle lors de la réalisation d'un pentest, leur utilisation
n'est pas tout à fait honnête.
Sur la base des données d'analyse du réseau, vous pouvez jouer un peu au hacker :).
Après avoir préalablement convenu de la liste des cibles, procéder à l'exploitation des éléments détectés
vulnérabilités, puis effectuer un audit local superficiel des systèmes capturés.
Les informations collectées sur les systèmes vulnérables peuvent améliorer leur
privilèges sur d’autres ressources réseau. Autrement dit, si pendant l'attaque
Si vous avez ruiné Windows, cela ne ferait pas de mal d'en supprimer la base de données SAM (fgdump) pour
récupération ultérieure du mot de passe, ainsi que des secrets LSA (Cain&Abel), dans lesquels
Souvent, de nombreuses informations utiles peuvent être stockées sous forme ouverte. D'ailleurs,
Une fois tous les travaux terminés, les informations collectées sur les mots de passe peuvent être considérées comme
contexte de conformité ou de non-conformité aux exigences de la norme PCI DSS (clause 2.1,
clause 2.1.1, clause 6.3.5, clause 6.3.6, clause 8.4, clause 8.5.x).
2. Analyse du contrôle d'accès
L'analyse du contrôle d'accès doit être effectuée sur toutes les informations
ressources avec lesquelles il a été possible de mettre en œuvre la NSD. Et sur les partages de fichiers
Windows (SMB), sur lequel l'accès anonyme est également ouvert. Cela permet souvent
obtenir des informations supplémentaires sur les ressources qui n'ont pas été découvertes dans
moment de l'analyse du réseau, ou tomber sur d'autres informations, différentes
degré de confidentialité, stockés en format clair. Comme je l'ai déjà dit, quand
effectuer des tests PCI, tout d'abord, la recherche vise à détecter
données du titulaire de la carte. Il est donc important de comprendre à quoi pourraient ressembler ces données et
recherchez-les dans toutes les ressources d'information auxquelles il existe un correspondant
accéder.
3. Attaque par force brute
Il est nécessaire, au minimum, de vérifier les valeurs par défaut et les simples combinaisons login-mot de passe.
Des contrôles similaires doivent être effectués en premier lieu en ce qui concerne le réseau
équipements (y compris pour SNMP) et interfaces d'administration à distance.
Lors de l'analyse AsV selon PCI DSS, il n'est pas permis d'effectuer des analyses « lourdes »
force brute, ce qui peut conduire à une condition DoS. Mais dans notre cas, nous parlons
sur le pentest PCI interne, et donc ça vaut le coup sous une forme raisonnable et sans fanatisme
mener une attaque pour sélectionner des combinaisons de mots de passe simples pour divers
ressources d'informations (SGBD, WEB, OS, etc.).
L'étape suivante est l'analyse de la sécurité des applications Web. Lors d'un test d'intrusion via PCI
On ne parle pas d’analyse approfondie du Web. Laissons cela aux auditeurs QSA. Ici
il suffit d'effectuer un scan blackbox avec vérification sélective
vulnérabilités exploitables côté serveur/client. En plus de ceux déjà mentionnés
les scanners de sécurité peuvent utiliser des scanners conçus pour l'analyse
Internet. La solution idéale est définitivement HP WebInspect ou
(qui, soit dit en passant, est excellent pour détecter les bugs en AJAX). Mais tout ça -
luxe cher et inabordable, et si c'est le cas, alors w3af, qui en
a récemment pris de l'ampleur en termes de détection de divers types
vulnérabilités dans les applications Web.
Concernant la vérification manuelle des vulnérabilités sur le Web ! Il faut au minimum
vérifier les mécanismes d'authentification et d'autorisation, utiliser des
les combinaisons login-mot de passe, les valeurs par défaut, ainsi que les injections SQL préférées de tous,
y compris les fichiers et l'exécution de commandes sur le serveur. Concernant le côté client
vulnérabilités, donc, en plus de vérifier la possibilité d'exploiter la vulnérabilité, ici
rien de plus n'est requis. Mais côté serveur, vous devez bricoler un peu,
car il s’agit toujours d’un pentest, bien que conforme à la norme PCI DSS. Comme je l'ai noté plus tôt, nous recherchons PAN,
Nom du titulaire de la carte et CVC2/CVV2 en option. Très probablement, ces données
sont contenus dans le SGBD, et donc, si une injection SQL est trouvée, il vaut la peine d'évaluer les noms
tableaux, colonnes; Il est conseillé de réaliser plusieurs échantillons d'essai pour
confirmer ou infirmer la présence de ces données dans la base de données en
forme non cryptée. Si vous rencontrez une injection Blind SQL, alors il est préférable d'inciter
au serveur Web (depuis
switch --dump-all), qui fonctionne actuellement avec MySQL, Oracle,
PostgreSQL et Microsoft SQL Server. Ces données suffiront à démontrer
exploitation de la vulnérabilité.
L'étape suivante est une analyse de la sécurité du SGBD. Encore une fois, il y en a un génial
outil - AppDetective de "Application Security Inc.", mais c'est cher
plaisir. Malheureusement, il n'existe aucun scanner de sécurité similaire qui afficherait
un tel volume d'informations qu'AppDetective peut le faire, et prend en charge la même quantité
Le SGBD n'existe pas actuellement. Et donc nous devons prendre en compte
de nombreux produits distincts et sans rapport qui sont adaptés à
travailler avec certains fournisseurs. Ainsi, pour Oracle, l'ensemble minimum
pentester sera le suivant :
- Oracle Database Client - environnement pour travailler avec un SGBD
- Toad pour Oracle – client pour travailler avec PL/SQL
- Kit d'évaluation Oracle - Brosser les utilisateurs et les SID de base de données
- divers scripts en langage PL/SQL (par exemple audit de configuration ou
possibilité de descendre jusqu'au niveau d'exécution des commandes du système d'exploitation)
La dernière étape des tests d'intrusion PCI est l'analyse
sécurité des réseaux sans fil, ou plutôt, même pas d'analyse, mais recherche de points d'accès,
en utilisant des configurations vulnérables telles que Open AP, WEP et WPA/PSK. D'autre part
En revanche, la norme PCI n’interdit pas une analyse plus approfondie, notamment
avec récupération des clés de connexion à un réseau sans fil. Parce que c'est logique
réaliser ce genre de travaux. Le principal outil à ce stade est
bien sûr, il y aura du crack-ng. De plus, vous pouvez mener une attaque visant
clients sans fil, connus sous le nom de "Caffe Latte", utilisant le même
outil. Lorsque vous effectuez une enquête sur un réseau sans fil, vous pouvez en toute sécurité
se laisser guider par les données du site
wirelessdefense.org.
Au lieu d'une conclusion
Sur la base des résultats des tests, toutes les informations collectées sont analysées dans
dans le cadre du respect des exigences techniques de la norme PCI DSS. Et comment vais-je déjà
noté au tout début, de la même manière, les données obtenues lors d'un pentest peuvent être
interprété dans le contexte de tout autre document de haut niveau,
contenant des critères techniques et des recommandations pour le système de gestion
sécurité des informations. Concernant le modèle de reporting utilisé
Documents PCI : vous pouvez utiliser les exigences de MasterCard pour les rapports PCI
Analyse AsV. Ils prévoient la division du rapport en deux documents -
un document de haut niveau pour le manager qui contient de beaux graphiques
et le pourcentage de conformité de l'état actuel du système aux exigences PCI DSS est indiqué,
et un document technique contenant un protocole d'essais effectués pour
pénétration, les vulnérabilités identifiées et exploitées, ainsi que des recommandations pour
mise en conformité du système d'information avec les exigences de MasterCard.
Je peux maintenant vous dire au revoir et vous souhaiter bonne chance dans vos recherches !
WWW
pcisecuritystandards.org - Conseil des normes de sécurité PCI.
pcisecurity.ru – portail,
dédié à PCI DSS d'Informzashchita.
pcidss.ru – un portail dédié à
PCI DSS de Digital Security.
isecom.org/osstmm - Ouvert
Manuel de méthodologie de test de sécurité source.
owasp.org - Application Web ouverte
Projet de sécurité.
Beaucoup pensent qu'aujourd'hui, un analogue pleinement intégré de MS Active Directory, ainsi que de la stratégie de groupe, n'existe pas encore dans le monde GNU/Linux. Cependant, des développeurs du monde entier tentent d'implémenter des technologies similaires dans les systèmes UNIX. Un exemple frappant est eDirectory de Novell, dont nous discuterons plus en détail des fonctionnalités.
Il est intéressant de noter que la prise en charge des politiques de groupe a été implémentée dans Samba 4, après quoi des outils efficaces pour définir des politiques de groupe ont commencé à être développés. Cependant, auparavant, la plupart des administrateurs système devaient se limiter aux scripts de connexion ou aux politiques système NT4.
Que vous permet de réaliser Samba4 ? De nombreuses personnes ont aujourd'hui pris l'habitude d'utiliser cette solution comme AD, c'est-à-dire un contrôleur de domaine associé à des serveurs de fichiers basés sur la même solution. En conséquence, l'utilisateur reçoit au moins quelques serveurs configurés avec Samba4, dont l'un fait office de contrôleur de domaine et le second agit comme serveur membre avec les fichiers utilisateur.
Aujourd'hui, les problèmes associés à la maintenance et à l'enregistrement des utilisateurs du réseau au sein des réseaux peer-to-peer sont résolus de manière responsable par plusieurs grandes sociétés produisant des logiciels modernes. Favoris parmi ces développeurs aujourd'hui sont considérés comme Microsoft avec son Active Directory mentionné précédemment et Novell avec son eDirectory, également mentionné au début de cet article.
La solution aux problèmes ci-dessus réside dans ce cas dans la création de services de catalogage ou d'une base de données, qui vous permettent de sauvegarder des informations dans un stockage fixe sur tous les comptes d'utilisateurs, ainsi que, ce qui peut considérablement faciliter le contrôle des réseaux.
Considérez les technologies ci-dessus et d'autres technologies pour organiser le travail avec les réseaux d'utilisateurs dans le contexte de leurs avantages et de leurs fonctionnalités.
Active Directory - fonctionnalités technologiques
Essentiellement, AD est un référentiel de données ordonné qui constitue un moyen assez pratique d'accéder à des informations sur toutes sortes d'objets réseau. Cela aide également grandement les applications et les utilisateurs à trouver ces objets.
AD utilise un espace de noms distribué ou DNS (Domain Name System) pour déterminer l'emplacement. Pour travailler avec une base de données, AD dispose d'un ensemble de logiciels spéciaux, ainsi que d'outils conçus pour la programmation d'applications.
Même avec une structure hétérogène de systèmes sur le réseau, AD permet une authentification unique via un protocole simplifié lié au service d'annuaire LDAP.
Ce système est bon car il est évolutif et facile à développer. Active Directory stocke son propre schéma, ou ensemble d'exemples de classes d'un objet et de ses attributs, directement dans l'annuaire. Ainsi, le schéma implique la capacité d’y apporter des modifications de manière dynamique.
Une caractéristique importante d'AD est sa tolérance aux pannes, ainsi que la présence d'une base de données distribuée. Le service d'annuaire peut couvrir plusieurs ou un seul domaine à la fois.
Il convient de noter la fonction de délégation, c'est-à-dire la fourniture de droits d'administration de l'administrateur à des groupes individuels et des utilisateurs sur les arborescences et les conteneurs, ainsi que la possibilité d'héritage.
Le service d'annuaire AD vous permet de déployer assez simplement et rapidement des réseaux fiables et de haute qualité qui peuvent être construits conformément à une grande variété d'exigences individuelles.
Technologies utilisant eDirectory
Même avant l'avènement de MS Active Directory, d'autres méthodes de gestion de bases de données étaient activement utilisées.
Il convient donc de noter le service « Bindery » de Novell, qui est une base de données homogène. Dans une telle base de données, certains enregistrements n’ont aucun lien évident avec d’autres enregistrements. Cette base de données est principalement axée sur le travail avec le serveur. Cela signifie que chaque serveur dans ce cas recevra un classeur unique contenant les droits d'accès et les paramètres des objets réseau. Cette version de gestion de base de données suppose que les ressources réseau sont considérées comme des objets ayant une connexion directe avec le répertoire du serveur racine.
La formation du liant repose sur les composants suivants :
Propriétés – caractéristiques de chaque objet du classeur (adresses de type Internet, facteurs restrictifs et mots de passe) ;
Objets – composants physiques et logiques du réseau auxquels on peut attribuer des noms (serveurs de fichiers, groupes d'utilisateurs, utilisateurs).
Les propriétés d'un ensemble d'informations sont des formes de données d'information stockées dans un classeur (chiffres, tableaux, texte, heure, date, adresse réseau, etc.)
Lorsque NetWare4xx est né, Novell a également présenté au monde un nouveau service d'annuaire, eDirectory, initialement appelé NDS dans cette version de NW. Depuis la version 6.x, il est connu sous le nom de eDirectory.
Au sein de ce service, ainsi que dans Active Directory, une base de données a été implémentée, construite sur un principe hiérarchique. Cela permet à certains objets du réseau d'interagir avec d'autres.
La possibilité de supprimer la nécessité d’une subordination à un ordre hiérarchique est l’un des avantages significatifs de cette solution. Sur certaines zones de l’arbre, des ourlets peuvent être utilisés, ce que beaucoup trouvent naturellement comme une solution très pratique.
Il convient également de noter que le serveur eDirectory peut également fonctionner sur des plates-formes différentes de NetWare.
À bien des égards, les capacités de cette solution coïncident avec des capacités similaires présentées dans MS Active Directory. Par exemple, via eDirectory, vous pouvez effectuer une réplication automatique, ainsi que l'héritage et la délégation.
La principale difficulté du processus de configuration du réseau, avec eDirectory installé sur le réseau, est la sélection de spécialistes qui doivent avoir les compétences appropriées pour travailler avec cette solution.
Philippe Torchinsky : Bon après-midi Aujourd’hui, je ne parlerai pas beaucoup d’Open Solaris, même si c’est généralement de cela que je parle.
Aujourd'hui, nous allons parler de comment et pourquoi vous pouvez utiliser certaines alternatives au service d'annuaire Active Directory sous UNIX. À proprement parler, ce ne seront pas exactement des alternatives à AD. Mais j'exprimerai encore une fois mon opinion sur la façon dont la situation va évoluer à l'avenir, dans quelle direction. Je vais vous expliquer un peu comment configurer les solutions qui seront populaires à l'avenir - encore une fois, à mon avis. Le rapport comprend un élément distinct sur Identity Manager.
En règle générale, je parle de choses que j'ai mises en place de mes propres mains et sur lesquelles je peux tout vous dire. Aujourd'hui, ce sera un peu différent. Je vais parler du concept et mentionner ce que j'ai moi-même mis en place. J'ai beaucoup utilisé ce service. Je peux vous dire à quoi cela ressemble du point de vue de l’utilisateur et ce qui peut être bon ou mauvais.
L'une des tâches principales de tout concepteur de système est d'éviter une situation dans laquelle nous utilisons un outil très puissant pour effectuer un travail assez simple. Même si c'est exactement ce qui se passe dans la vie.
Beaucoup d'entre vous ont sûrement vu un ensemble de textes primitifs, par exemple dans Microsoft Word ou OpenOffice Writer. En principe, ces textes méritent d’être tapés dans un terminal texte, dans Notepad ou tout équivalent. Mais ces textes ont tellement de chance qu’ils sont tapés dans des éditeurs très puissants.
En fait, j'y pense souvent. Puisque nous sommes ici avec des gens qui font une différence dans ce monde, j'espère qu'ensemble nous pourrons amener la situation à un état où nos clients, nos employés et tous ceux qui nous sont associés consacreront moins de temps et de ressources à effectuer des actions simples à l'aide de solutions complexes. moyens.
Maintenant, je voudrais tirer mon chapeau aux développeurs de Microsoft Corporation. Mes collègues et moi étions d’accord sur le fait que, dans l’ensemble, Active Directory est une bonne chose. C'est bien que cette solution existe, on peut vraiment l'utiliser. Une autre chose est que le service d'annuaire Active Directory est souvent utilisé dans des endroits où sans lui, ce ne serait pas pire.
Qu'est-ce qui est bien avec Active Directory ? A quoi peut-il servir ?
Tout d'abord, Active Directory est adapté à la gestion des utilisateurs (groupes, rôles d'utilisateurs, etc.). À proprement parler, la solution Active Directory est directement liée à cela, mais ne constitue pas un moyen de garantir cela. Le service d'annuaire Active Directory vous permet d'accéder au réseau à partir de différents ordinateurs et fournit la fonctionnalité de profils itinérants.
Ces profils sont devenus mon casse-tête pendant 2 ans. J'étais à la tête du service informatique d'une entreprise où tous les bureaux du pays utilisaient ces mêmes profils itinérants. Ils pourraient avoir une taille de 2 ou 3 gigaoctets et s'étendre miraculeusement du bureau de Saint-Pétersbourg au bureau de Moscou, car l'employé est venu ici en voyage d'affaires et a décidé de travailler.
Ceci n’est qu’un exemple typique d’utilisation inefficace d’un bon concept, dans lequel il s’avère terriblement gênant.
De plus, Active Directory est naturellement utilisé pour contrôler les accès, puisqu'il indique qui peut aller où. Active Directory est également assez largement utilisé dans les systèmes où le réseau est hétérogène. Dans ce cas, nous configurons l'accès via PAM, l'authentification, l'accès via Active Directory à certaines ressources physiquement situées sur des ordinateurs qui ne sont en aucun cas connectés à Active Directory. Par exemple, nous avons un serveur sous Linux sur lequel nous devons distribuer certains fichiers. Naturellement, vous pouvez utiliser Active Directory pour l'authentification Web.
Il y a encore une chose sur laquelle je ne m'attarderai pas en détail aujourd'hui. Je dirai simplement que cela se fait à l'aide d'Active Directory. Je peux deviner comment implémenter cela pour les applications UNIX sur les systèmes UNIX, mais cela n'a rien à voir avec le sujet du rapport.
Il s'agit de ce qu'on appelle les politiques de groupe et, en particulier, la gestion des applications, dans lesquelles nous pouvons configurer différemment le « comportement » d'applications spécifiques pour différents groupes ou utilisateurs.
Pour autant que je sache, cet élément de la fonctionnalité dont je vais parler aujourd'hui n'a été implémenté d'aucune manière. Cela doit se faire soit par d'autres moyens, soit en ajoutant autre chose aux moyens existants.
De manière générale, à quoi servent les ordinateurs (qu'ils soient UNIX ou non) ? Les objectifs sont nombreux, mais pour chaque groupe de tâches, il existe le protocole le plus pratique. Nous avons le protocole SSH - il a été inventé pour mes collègues administrateurs système. Il est clair que les gens ordinaires n’en ont guère besoin.
Les protocoles FTP et HTTP sont nécessaires à presque tous ceux qui ont déjà téléchargé quelque chose sur un hébergement.
Naturellement, tout le monde a besoin de courrier. Lorsque, par exemple, j'installe un nouveau système sur mon ordinateur ou que je lance un LiveCD et que je n'y vois pas de courrier fonctionnel, cela m'énerve déjà. Même si cela ne m'aurait pas surpris il y a cinq ans. Un téléphone portable qui ne peut pas lire les e-mails n’est qu’une sorte de honte. Bien que, en règle générale, nous ne nous attendions pas à cela d’un téléphone résidentiel.
Une autre fonctionnalité généralement requise dans toute entreprise où il y a plus de deux personnes. Il s'agit de la possibilité d'utiliser le même environnement de travail sur différents ordinateurs. Cela est requis partout - depuis des options classiques comme un groupe d'opérateurs assis dans une banque ou dans un centre d'appels (ce dernier peut comprendre jusqu'à 400 personnes d'affilée), jusqu'à des options moins courantes - comme une administration universitaire, où les salariés passent d’un corps à l’autre. Toutes ces personnes doivent disposer d’un seul environnement de bureau sur n’importe quel ordinateur.
Je vais maintenant vous parler des moyens pour assurer cet environnement de travail. Cette partie du rapport n'est en aucun cas liée aux analogues d'Active Directory. Il s'agit plutôt d'une sorte de solution qui vous permet de mettre en œuvre ce qui se fait souvent avec Active Directory, mais ne charge pas trop le système. C'est une solution très simple. Très probablement, beaucoup d'entre vous l'ont déjà utilisé, ou du moins l'ont vu, ou même l'ont vendu - je ne sais pas.
Il existe une chose aussi ancienne qu'un terminal. Ils existaient même avant 1969. En 1969, lors de l’invention d’UNIX, les terminaux existaient déjà. Sans surprise, tout fonctionne plutôt bien depuis les terminaux. Une version moderne du terminal est ce que, par exemple, la société Sun a appelé Sun Ray. Aujourd'hui, il s'appelle toujours Sun Ray, mais il est produit par Oracle.
Le matériel se compose d'un X-Terminal avec un port Internet et un port USB. Il existe également des sorties et des entrées audio. Vous pouvez connecter des écouteurs, écouter votre musique préférée, allumer une clé USB - tout fonctionnera très bien. De plus, il peut également lire les cartes à puce, ce qui vous permet de procéder à une authentification à l'aide de cartes à puce.
En plus de Sun Ray, il existe un autre produit (je ne me souviens plus de son nom) qui fait partie de la famille Virtual Desktop Infrastructure.
C'est un tel rayon de soleil virtuel. Lorsque vous venez voir votre patron et lui dites : « Écoutez, c'est le cas, Petr Petrovich, nous devrions transférer notre groupe de support technique vers des terminaux, car au lieu de répondre rapidement aux questions, ils jouent au « Klondike » sur ce qu'ils ont, c'est là. » Ou : « Nous en avons assez de réparer leurs alimentations électriques parce qu’elles tombent en panne chaque semaine parce que nous ne pouvons pas réparer le climatiseur. »
Ceci, bien sûr, ne fait pas trop plaisir à Piotr Petrovitch, car l'équipement doit être changé, l'équipement semble avoir été acheté récemment... L'ordinateur doit durer cinq ans jusqu'à ce qu'il soit radié, sinon ce n'est pas bon pour la comptabilité .
Vous pouvez utiliser des rayons de soleil virtuels au lieu de la technologie. Installez des postes de travail virtuels. La solution fonctionnera sur le système existant et « fera semblant » qu’il ressemble à un terminal.
Nous en avons fini avec les terminaux. Voyons maintenant comment cela fonctionne et pourquoi nous pourrions avoir besoin d'un système qui soit, en un sens, un analogue d'Active Directory. Je souligne encore une fois qu'il ne s'agit pas d'un analogue fonctionnel strict.
Serveurs d'applications
Glassfish est un serveur d'applications standard, qui, d'une manière générale, est similaire à Tomcat, mais, contrairement à lui, il peut également jouer le rôle non seulement de conteneur Web, mais aussi de conteneur JB (qui est Enterprise Java...). À propos, ce qui s'appelait auparavant simplement Glassfish s'appelle désormais Oracle Glassfish Server.
Par exemple, il peut fonctionner sur Oracle Solaris. Cela fonctionne pour moi dans Open Solaris.
Ce serveur d'applications vous permet de déployer une grande variété d'applications Web, dont Liferay. Je ne parlerai pas beaucoup de lui aujourd’hui. Pour ceux d’entre vous qui ne connaissent pas encore son existence, mon conseil est d’y prêter attention. C'est un truc sympa. J’imagine que dans un avenir assez proche, il y en aura bien plus qu’aujourd’hui.
Je pense qu'après un certain temps - d'ici un an ou deux - l'hébergement Java apparaîtra probablement en Russie (ils existent déjà à l'étranger). Liferay est une plateforme assez pratique pour créer tout type de site Web. En principe, j'ai réalisé un site Web sur Liferay - simple, 5 pages, avec du contenu, avec des images, avec un design minimal - en une demi-heure environ.
Il existe également une implémentation du même portail appelée WebSpace. Il est basé à peu près sur le même code, mais a été réalisé dans Sun. Liferay est un produit communautaire qui a peu de lien avec Sun – Sun a investi très peu d'argent ou d'efforts dans sa création.
Il s'agissait d'un exemple de serveur d'applications.
Voyons maintenant ce qui se cache derrière le serveur d'applications. Derrière le serveur d'applications se trouve ce qui nous permet de nous authentifier auprès de ce serveur d'applications, et permet également à ce serveur et aux applications qui y sont exécutées de déterminer nos droits d'accès à différents objets.
Il s'agit d'Identity Manager, Directory Server et Access Manager. En principe, il peut y avoir davantage de composants qui assurent l'authentification et le contrôle d'accès à certaines ressources Web, mais celui-ci est le plus intéressant.
Pour le rendre pratique pour les gens, il est tout à fait naturel de fournir un accès centralisé, de combiner les ressources Web de manière logique (en règle générale) ou organisationnelle, financière. Il est nécessaire que les gens aient la possibilité d'accéder à une ressource Web et d'accéder automatiquement à toutes les autres. Pour ce faire, ils ont mis au point une technologie bien connue appelée technologie d'authentification unique (SSO, Single Sign On). Une fois connecté, tout fonctionne. Vous n'avez plus besoin de vous connecter.
Ceci est similaire à ce à quoi nous sommes habitués, par exemple, dans les systèmes Windows Client et Windows Server, lorsque nous nous « connectons » une fois et parcourons ensuite tous les fichiers.
Une question raisonnable se pose : à quelle fréquence devons-nous « parcourir » les fichiers ? De la pratique du groupe où je travaille depuis 3 ans (encore plus), je constate qu'en fait, « parcourir » les fichiers et stocker des fichiers dans des dossiers n'est souvent pas nécessaire. J'ai mon propre ordinateur portable, qui contient tout ce dont j'ai besoin. Tout ce que nos groupes partagent entre eux se trouve sur le wiki commun.
Il existe différentes options pour implémenter un wiki. Cela pourrait être un moteur gratuit appelé TWiki. Il existe de nombreuses autres solutions qui fonctionnent de la même manière. Il existe de nombreux sites d'hébergement gratuits sur lesquels vous pouvez, par exemple, héberger certains projets - où le wiki est fourni gratuitement en tant qu'élément de gestion de projet.
C'est une chose assez populaire. Par conséquent, en particulier, lorsque vous réfléchissez au type d'infrastructure à construire dans votre entreprise, l'option est lorsque vous ne disposez pas d'un serveur de fichiers, mais que vous disposez d'une certaine ressource Web où tout le monde télécharge des fichiers et les récupère également (en conformément aux autorités qui leur sont assignées), est un schéma assez logique. Par ailleurs, le thème du transfert de ressources vers le web est de plus en plus abordé.
À propos, j'ai adressé une grande demande aux développeurs de produits 1C : nous devons de toute urgence proposer une chose appelée comptabilité basée sur le Web. Elle me manque terriblement.
Réplique:- Manger. Philippe Torchinsky :— Est-ce vraiment basé sur le Web ? Est-ce que j'ai raté quelque chose ? Depuis combien de temps est-il là ? Réplique:- Il est déjà apparu. Philippe Torchinsky :- Super. Merci beaucoup! Apparemment, j'ai raté quelque chose ces derniers mois et je ne l'ai pas vu. Il y a six mois, à mon avis, ça n’existait pas encore. Déjà là. Super. Merci pour la bonne nouvelle !Revenons maintenant à la technologie d'authentification unique. Il est pratique de s'assurer que le client dispose de deux options pour accéder au serveur d'authentification unique.
La première option est lorsque nous accédons à une certaine ressource Web, par exemple, exécutée sur le même Glassfish. Il s'agit simplement d'une application Java qui permet une authentification unique (authentification et suivi). Il se tourne vers PAM, qui « extrait » les informations des sources d’authentification habituelles.
C'est bien s'il existe une option inverse : on contacte PAM, et il contacte le serveur d'authentification unique et parvient à lui demander quelque chose.
Malheureusement, la deuxième option n’a pas encore été mise en œuvre – du moins je n’ai pas vu sa mise en œuvre. La première option a été mise en œuvre, je l'ai même essayée. Je vais essayer d'expliquer comment le mettre en œuvre.
En février de cette année, ForgeRock a décidé de « forger » le projet OpenSSO car Oracle, comme vous le savez, a officiellement finalisé l'achat de Sun en février.
Du point de vue de ForgeRock, il serait intéressant d’extraire le code OpenSSO du projet du référentiel puis d’en faire quelque chose (puisque la licence le permet). Super. Jusqu’à présent, rien ne prouve qu’Oracle fera quoi que ce soit de mal avec OpenSSO. De plus, il y a des preuves qu'il ira bien.
Pourquoi est-ce que je recommande de télécharger OpenAM, qui est le même assembly, uniquement depuis ForgeRock ? Parce que le site Web ForgeRock propose la meilleure description de la façon de l'installer. J'y ai vu la meilleure description de la façon d'installer OpenSSO.
Vous devez maintenant installer Glassfish. Dans Open Solaris, lors du déballage, vous devez cocher la case « installer Glassfish » - il sera installé. Vous pouvez simplement télécharger Glassfish et exécuter le programme d’installation.
Ensuite, vous devez démarrer le démon amunixd et le système peut déjà être utilisé. OpenSSO fonctionnera via PAM. Vous ne savez pas si vous en avez besoin – peut-être avez-vous besoin d’autre chose. Mais si vous avez besoin que tout fonctionne via PAM, cela se fait comme je l'ai décrit.
Je vous ai expliqué comment installer Glassfish correctement et rapidement dans OpenSolaris. Plus précisément, comment le dire est clair. Plus intéressant est de savoir comment créer un domaine.
Permettez-moi d'expliquer brièvement ce qu'est un domaine par rapport à Glassfish. Nous avons un serveur d'applications et nous souhaitons y déployer une application. Cette application ne peut pas être déployée en vase clos. Il doit créer une sorte de shell dans lequel tous les fichiers qui lui sont associés et certains paramètres seront écrits. À l’intérieur de ce shell, certains composants applicatifs supplémentaires seront déployés, et ainsi de suite.
Cette chose s'appelle un domaine. Cela n'a rien à voir avec le domaine au sens de quelque chose.ru. Cela n'a rien à voir avec les domaines Internet. C'est simplement le nom d'un ensemble de composants combinés et interconnectés. En principe, le domaine aura une sorte de nom de domaine (du point de vue d'un domaine Internet), mais cela viendra plus tard. Vous pouvez le configurer si nécessaire.
Vient maintenant le point le plus important. Lors de la configuration de l'authentification unique, vous devez spécifier un nom de domaine complet.
En fait, les instructions de ForgeRock indiquent en grosses lettres sur fond jaune : « Écrivez le nom de domaine complet dans le fichier /etc/hosts. » Si cela n’est pas fait, une erreur obscure sera générée. Le résultat sera un étrange diagnostic. Ce qui ne va pas ne sera absolument pas clair.
Il dira que vous ne pourrez pas accéder au port 80. Pourquoi tu ne peux pas ? Inconnu. Point important. Lors de la configuration de cette configuration, veillez à inclure le nom complet de votre hôte dans le fichier /etc/hosts.
Accédez à l'adresse, connectez-vous (par défaut le nom de l'administrateur est amadmin), sélectionnez Autorisation->Unix. Vous pouvez sélectionner d'autres options d'autorisation si nécessaire. Mais sous Unix, tout fonctionnera respectivement via PAM.
Pourquoi avez-vous besoin d’Identity Manager et qu’est-ce que c’est ?
Identity Manager d'Oracle peut fonctionner avec de nombreuses sources d'informations différentes. De plus, dans une source d'information, un certain objet s'appelle Ivan Petrovich, dans une autre, il s'appelle Vanya, dans la troisième, il s'appelle Ivan. Ces sources d’information disent autre chose sur lui.
Qu'est-ce qui est important ? Que ces sources d’informations ne sont pas tenues de contenir des informations telles qu’une clé primaire. Il n’existe aucun identifiant unique dans chacune de ces sources. En utilisant simplement les outils de gestion d'Identity Manager, vous pouvez relier différents enregistrements provenant de différentes sources d'informations de différentes manières.
De plus, Identity Manager assure la synchronisation. Si, par exemple, quelqu'un est licencié du travail, son compte est supprimé de la liste des employés ou d'une autre liste - par exemple, les débiteurs ou les créanciers de l'organisation. En général, l'entrée est supprimée de toutes les sources d'informations disponibles.
Ainsi, si une modification se produit, par exemple certains champs changent, alors celle-ci est également synchronisée entre différentes sources d'informations, si ces champs sont présents.
En tant que projet stratégique, Oracle a retenu Oracle Identity Manager, qui existait auparavant. Le projet, appelé Sun Identity Manager, demeure également. Il continuera d'exister, mais le principal produit vendu par Oracle sera Oracle Identity Manager.
Identity Manager est, en fait, une chose qui coûte beaucoup d’argent. Je sais que divers clients Sun et Oracle en Russie l'achètent.
Il existe également une entité appelée Directory Server, dont nous avons parlé un peu plus tôt. Il s'agit simplement de l'une des options de source d'informations d'Identity Manager. En règle générale, il s'agit d'un serveur LDAP classique. Il existe un produit spécifique, appelé OpenDS, qu'Oracle promet de prendre en charge. Il s'agit simplement d'un serveur LDAP écrit en Java.
C'est pratique à utiliser. Si vous ne souhaitez rien collecter de plus, vous pouvez simplement prendre cet OpenDS et le déployer sur le même Glassfish.
Je vais vous parler de l'interaction entre le client, le serveur d'applications, Access Manager et Identity Manager.
Il existe un client qui demande l'accès à un fichier, par exemple, à partir d'un serveur d'applications DEP avec une interface Web appelée conteneur Web. Des droits d'accès incorrects sont définis pour le fichier. Le serveur d'applications "demande" au programme Access Manager s'il peut donner accès à ce fichier.
Access Manager se tourne vers Identity Manager : « Qu'avons-nous avec l'identité d'un tel camarade ? L'information lui est renvoyée selon laquelle son ami a le rôle de super administrateur dans le système. Access Manager dit : « Vous pouvez le faire. » Les informations sont envoyées au serveur d'applications, par exemple Glassfish : "Oui, vous pouvez." Le dossier est délivré.
Vous savez probablement que dans nsswitch.conf, sur les systèmes qui en disposent, comme Debian et OpenSolaris, vous pouvez écrire le mot ldap à l'endroit où il est déterminé d'où obtenir les informations d'authentification. Il existe des informations sur la façon de configurer cela sur opennet, qui décrivent l'ajout nécessaire au schéma LDAP.
C'est la chose la plus importante : à quoi ressemblera l'avenir si nous ne faisons pas trop d'efforts pour paraître différent. La première option est celle vers laquelle j’espère vraiment que tous les services gouvernementaux devraient passer, me disant maintenant par la fenêtre : « Désolé, nous ne pouvons rien faire. Notre ordinateur est gelé et l'administrateur système viendra demain. Dans de tels endroits, bien sûr, vous devez installer des terminaux de manière à ce qu'il y ait un serveur sur lequel l'administrateur système soit toujours présent.
De plus, évidemment, il existe des situations lorsque l'on travaille avec la CAO, où vous devez créer un serveur et des postes de travail, et où des applications avec des clients (par exemple, avec des téléphones mobiles) pour tout le reste.
Merci beaucoup pour l'information selon laquelle 1C : Comptabilité a déjà fait ce qui me manquait.
Merci! Je pense qu'il me reste 30 secondes pour répondre aux questions.