Sécurité des services et applications Web

Les auteurs ont à coeur de nous expliquer l'historique et le contexte économique et technique de l'avènement du système d'annuaire LDAP et de son père X.500, ceci permet de mieux cerner le potentiel et les fonctionnalités de LDAP. Les auteurs sont d'excellents vulgarisateurs. Ils décrivent la norme, mais aussi et surtout les usages, les recommandations et les bonnes pratiques du déploiement d'un annuaire LDAP. Les fonctionnalités comparées des outils du marché nous donne un bon aperçu des moyens à notre disposition pour la création, le déploiement et l'administration d'un annuaire. Les concepts présentés sont toujours accompagnés d'exemples parlants.

Cet ouvrage est le parfait manuel du DSI désirant déployer une solution d'annuaire dans son entreprise. Les processus de gestion, les actions stratégiques, les analyses métiers et techniques indispensables à cette mise en oeuvre sont ici très clairement décrites. Tout est dit pour assurer une interopérabilité et une cohérence maximale des données. Toujours avec le soucis de l'exactitude sans pour autant noyer le lecteur dans des détails complexes, les auteurs s'emploient à transmettre les méthodes et les process permettant au lecteur de s'approprier la technologie des annuaires LDAP. La stratégie consistant à justifier les choix historiques permet à coup sûr au lecteur d'appréhender sans difficulté l'univers LDAP.

Une description claire des modèles des données, du protocole LDAP, des modèles fonctionnels et de sécurité assortis de nombreux exemples et méthodologies éprouvées offrent aux lecteur un panorama très complet de la technique. Tous les aspects sont abordés : conception, réalisation, sécurisation, développement, interfaces etc. Notamment les dernières évolutions de la technique comme par exemple les échanges de données reposants sur le XML (format DSML véhiculé par SOAP). Cette deuxième édition inclut notamment du code C Sharp pour une interrogation d'un annuaire LDAP via le framework .NET. De plus, le détail de l'installation, de la configuration et de l'usage des principaux outils du marché (dont OpenLDAP) permet au lecteur de prendre en main facilement un annuaire LDAP.

Bref, des conseils pertinents permettant aux responsables informatiques de mettre en oeuvre en toute sécurité un annuaire LDAP performant et cohérent dans un contexte distribué.

Mon premier livre des éditions Dunod "InfoPro", et j'en suis trés satisfait. D'un point de vue pré-requis, il est inutile d'être un développeur confirmé: le livre s'attache principalement à présenter LDAP, son protocole, ses objectifs, ses avantages et inconvénients, les outils du marché, et ne développe que trés légèrement le coté programmation (qui est parfois trop lourd dans d'autres ouvrages). Les auteurs s'adressent donc aux décideurs, architectes, et développeurs, et quelques notions de base d'architecture logicielle et protocolaire sont nécessaires.

Bien souvent, on a entendu parler de LDAP, mais on a jamais eu vraiment l'occasion de s'y intéresser ou de s'appuyer sur ce système d'annuaires. Mr Cloux et Corvalan présentent donc un petit historique, un survol des caractéristiques techniques des annuaires, des différents standards, puis on enchaîne directement (Chap 2.) avec l'étude détaillée et fort bien expliquée de la structure d'un annuaire LDAP (notions de DIT, DSE, URL LDAP, schéma, OID, attributs, syntaxes, classes d'objets). Les différents paragraphes se succèdent très logiquement et sont illustrés par de nombreux schémas, workflows, diagrammes.

Le chapitre 3 est consacré à la description du protocole LDAP en lui-même et non plus à la structure d'un annuaire, on y aborde des sujets tels que le binding, les fonctions implémentées, les modèles de sécurité (TLS, SSL). Pour les développeurs, 2 chapitres sont consacrés à la présentation d'exemples de connexions et d'opérations sur LDAP avec differents langages et API( Java, JLDAP, DSDK, Mozilla::LDAP, Microsoft SDS...).

Précédé d'explications sur les interfaces (import/export, standard XML) pour LDAP LDIF et DSML, une étude des implémentations serveurs et des outils LDAP est réalisée avec entre autre, Sun Java System Directory Server, IBM Tivoli Directory Server, OpenLDAP, AD et AD/AM, les browsers LDAP comme Calendra ou IPlanet, les clients de messageries, le solutions pour SSO (Single Sign On), Tomcat. Enfin les deux derniers chapitres détaillent les procédés de réplication et de distribution des annuaires LDAP en milieu hétérogènes, et l'intégration des annuaires avec les méta-annuaires et l'e-provisioning.

Il est important de souligner que dans cet ouvrage, à mes yeux assez complet, un gros travail d'étude des RFC de l'ancêtre X.500, de LDAP et des drafts satellites a été fourni et aidera le lecteur à comprendre les différents niveaux de conformité des éditeurs de solutions LDAP et les évolutions futures à envisager.

C'est un ouvrage d'une grande richesse qui présente tous les aspects de la prévention des intrusions : aspects techniques, économiques, organisationnels et juridiques. Après sa lecture, tout ingénieur système ou responsable informatique devient conscient de l'état des menaces qui planent sur leur système d'information. Les solutions possibles pour prévenir les intrusions ainsi que leurs limites sont présentés ici avec beaucoup de pédagogique et à force d'exemples concrets.

Après une phase de rappel des failles des principaux protocoles de base (TCP, IP, UDP, ICMP), l'auteur revient sur les motivations des pirates et leurs méthodes. Ensuite, il présente les principaux types d'attaques et se propose de classifier les différents outils de prévention et de détection des intrusions. Il explique pas à pas le fonctionnement de ces systèmes et en montre les limites. La présentation des évolutions futures de ces outils montre à quel point cette thématique de la sécurité des systèmes n'en est qu'à ses balbutiements. L'auteur, qui a l'expérience de la mise en œuvre de tels outils, présente au lecteur une méthodologie de conduite d'un projet d'intégration d'un IDS : que ce soient les écueils à éviter ou les critères de choix parmi les solutions du marché.

Voici donc "100 trucs, secrets et techniques" (ou plus sobrement "hacks" en version originale) à adapter à votre contexte et à vos besoins spécifiques. Le plus souvent, le "hack" explique et détaille, par l'exemple, l'utilisation d'un logiciel spécialisé (nmap, snort, nessus, etc), ou d'un composant du système (droits et permissions, shell scripting, journalisation...). La plupart de ces hacks concernent les systèmes Unix/Linux, mais les systèmes Windows ne sont pas oubliés pour autant, et le lecteur apprendra qu'il est possible de rendre ces derniers à peu près sûrs... et comment le faire, bien entendu.

Pour conclure, Réseaux sécurisés à 200% est un ouvrage très bien conçu, et qui recèle, pour l'administrateur réseau soucieux de sécurité, une mine de renseignements et d'astuces très professionnels à mettre en pratique au quotidien.

Cet ouvrage sur la sécurité est d'une incroyable densité. En moins de 500 pages quasiment tout ce que compte les architectures web comme dispositifs de sécurité est passé en revue.

Il débute avec une piqûre de rappel sur les fondamentaux de la sécurité avec notamment la cryptographie, les méthodes d'analyse des risques et les principales architectures reconnues. Avec force d'exemples et d'arguments chocs, la valeur pédagogie de ce livre est incontestable.

Les procédés techniques de la sécurité mais aussi les méthodologies et bonnes pratiques de développement sont passées en revue. On notera l'attachement des auteurs à décortiquer les limites en terme de sécurité de tous les dispositifs mise en place dans une architecture web.

Les auteurs ont réalisé un énorme travail de compilation de tous les aspects à prendre en compte lors de la création d'une architecture web. Un large éventail de conseils sont ainsi prodigués à l'attention de tous les acteurs d'un projet web : administrateur de base de données, développeur, ingénieur réseau, responsable qualité, chef de projet...

Les chefs de projets web J2EE et .NET trouveront ici matière à inspirer de bonnes pratiques de sécurité.

Ce livre se veut très général et aborde les grands problèmes de sécurité actuels. Il présente une approche très universitaire de la sécurité des réseaux, et pourrait donc convenir comme une introduction à un cours de sécurité plus approfondi. Le problème est qu'il ne fait qu'effleurer les différents thèmes abordés et laisse un grand nombre de questions en suspend.
Des points importants comme la cryptographie, IPSec ou encore SSL sont présentés. Ceci permet de donner un bon aperçu des techniques employées actuellement pour sécuriser les réseaux. Encore une fois, les notions présentées ne sont pas suffisantes pour permettre à un administrateur de prendre des décisions concrètes ou de mettre en place un système de sécurité efficace. L'ouvrage sensibilise donc aux problèmes de sécurité et montre un certain nombre de techniques qui peuvent être utilisées, mais on regrette qu'il reste aussi vague.
L'introduction sur la cryptographie est complète et intéressante, ce qui est un très bonne chose étant donné l'importance de la cryptographie dans la sécurité actuelle, que ce soit des données ou des réseaux. La partie cryptographie est à mon avis suffisante pour permettre à une personne nouvelle à ces techniques de comprendre le fonctionnement général des applications cryptographiques. Cependant il est probablement nécessaire de livre un ouvrage consacré entièrement à la cryptographie si l'on s'intéresse sérieusement à la sécurité des réseaux étant donné l'importance de cette notion.
Les standards présentés sont assez peu nombreux. Kerberos, IPSec, SSL, PGP, sont certes des outils importants pour la mise en place d'un réseau sécurisé, mais on ne peut pas résumer la sécurité des réseaux à ces seuls outils. Kerberos, dont le fonctionnement est très détaillé (et pour différentes versions), aurait peut être pu être présenté plus rapidement au profit d'explications supplémentaires sur la mise en place concrète d'un réseau utilisant Kerberos. Un explication brève suivie d'un nombre conséquent d'exemples sur le fonctionnement aurait à mon avis été préférable. En effet, les explications parfois complexes sur les technologies utilisées rendront cet ouvrage difficile à lire pour un débutant, publique pourtant visé par cet ouvrage.

Commentaire personnel :
J'ai trouvé trouvé l'ouvrage relativement difficile à lire et souvent décevant du fait qu'il ne fait que décrire quelques standards. La sécurité d'un réseau est très complexe et la connaissance du principe de fonctionnement de quelques standards ne suffira pas à mettre en place un réseau protégé efficacement. Pour cela il est nécessaire que le lecteur puisse voir des exemples plus concrets de réseaux complets utilisant ces technologies, et comment elles-ont été mises en place.

SOA et Sécurité, deux termes très présents et très importants dans le développement en entreprise.
Le titre est donc très prometteur. Mais les auteurs réduisent tout de suite la portée du livre dans l'introduction.
En effet, ce livre n'explique pas l'architecture et les concepts SOA et n'expose pas toutes les notions de sécurité non plus. Le livre portant sur l'intersection de ces deux domaines, une connaissance minimale des deux sujets était nécessaire pour commencer, ce livre s'adresse donc à un public initié, mais sans pour autant expert.
Cela dit, le livre est tout de même bien ficelé et intéressant. Il est composé de trois parties.
La première consiste en un rappel des bases de la SOA et de la sécurité par WebService : SOAP, SOAP Header, WS-Security.
La seconde partie présente les concepts de sécurité : authentification, autorisation, chiffrement,. Cette section est particulièrement intéressante. Elle présente diverses pratiques (utilisateur/mot de passe, Kerberos, PKI ) tout en décrivant leurs avantages et inconvénients.
La dernière partie est légèrement plus complexe et traite réellement de la sécurité orientée service. Encore une fois, les différentes implémentations d'un service de sécurité sont présentées ainsi que les technologies utilisées dans ce but (SAML, WS-Trust, . )
A la fin de la lecture, on a acquis bon nombre d'informations, mais il subsiste toutefois une impression d'insuffisance sur le sujet. Mais encore une fois, c'est volontaire. Au vu de la complexité des sujets, seules les bases sont présentées mais une multitude de liens sont fournis pour ceux qui désirent approfondir un sujet précis.
Au niveau des exemples, une implémentation basée sur Axis est fourni en fin de chapitre. C'est sans doute le seul bémol, Axis étant un peu vieillissant. Cependant, les exemples sont suffisamment explicites pour être adaptables facilement avec n'importe quel autre framework.
Ce livre est donc plus qu'intéressant, même si le titre " Introduction to SOA Security " aurait été plus représentatif.
English version :
SOA and security, two terms very present and important in the enterprise development.
Due to this and its title, this book sounds very promising. However, the authors reduce immediately the scope of the book in the introduction.
Indeed, the book is not intended to explain the SOA architecture and concepts, neither all the security notions.
The book is about the intersection of the two subjects and so a minimal knowledge of these is necessary. The book is aimed at an initiated public, but not an expert one.
However, the book is well put together and interesting. It is composed of three parts.
The first is a reminder of the basics of SOA and WebService security : SOAP Header SOAP, WS-Security.
The second part presents the concepts of security: authentication, authorization, encryption, ... This section is particularly interesting. It introduces various practices (user / password, Kerberos, PKI), while describing their advantages and disadvantages.
The last part is a little more complex and deals with real security-oriented service. Again, the different implementations of a security service are shown together with the technologies used for this purpose (SAML, WS-Trust, ...)
At the end of the reading, we have learnt lots of information, however there is still a feeling of weakness on the subject. But once again, it's voluntary. Given the complexity of the issues, only the fundamentals are presented, but many links are provided for those who wish to deepen a specific topic.
In terms of examples, an implementation based on Axis is provided at the end of the chapter. This is probably the only regret I have : Axis is a little old. However, the examples are explicit enough to be easily adapted with any other framework.
This book is more than interesting, even if the title "Introduction to SOA Security" would have been more representative.

Le plus souvent utilisateur final, j'ai récemment été initié à l'administration d'une infrastructure SSL VPN (Juniper). C'est donc tout naturellement que j'ai abordé cet ouvrage sur le sujet. Des efforts de vulgarisation évident rendent ce livre trés accessible pour le profane, même si de vagues notions scolaires en modèle OSI et TCP/IP sont préférables.
Une première comparaison avec IPSec (la technique "concurrente" principale) est faite dans le premier chapitre, mais le focus est naturellement donné à SSL VPN et aux challenges de diffusion de l'information et de l'accessibilité au contenu d'entreprise (ressources distantes, applications web d'entreprise, SSO, etc.). Un chapitre conséquent aborde de plus près la sécurisation d'un système SSL VPN, au niveau des différentes vérifications à réaliser coté client (browser, historique de navigation, fichiers temporaires et solutions antivirus), mais également des phases d'authentification et d'autorisations (ACL, chiffrement). Les chapitres 5 et 6 procurent une vision globale pour vous aider à déployer une solution VPN SSL et à assurer que sa mise en place soit correctement appréhendée par l'utilisateur final. Tout au long de l'ouvrage, vous retrouverez des références aux différents produits du marché (Juniper, Cisco, Checkpoint).