2021/2022

RAPPORT DE STAGE DE FIN D’ETUDE

Najat RAHMANI et Safae EL AOUNI

La présidence de l’UMP, CRI
2021/2022
RAPPORT DE STAGE DE FIN D’ETUDE

Encadrante : Mme. Amina KHARBACH

Auteurs : Najat RAHMANI & Safae EL AOUNI.

Département : Génie Informatique.

Filière : Ingénierie et Sécurité des Réseaux Informatiques.

Année Académique : 2021/2022

Remerciement :
Premièrement, nous rendons grâce à DIEU TOUT PUISSANT qui nous a
permis de tenir jusqu'à ce jour.
Nous tenons à remercier toutes les personnes qui ont contribué au succès de
notre stage et qui nous a aidée lors de la rédaction de ce mémoire.
Nous voudrions dans un premier temps remercier, notre encadrante de
stage Mme. KHARBACH Amina, au Centre des Ressources Informatiques à la
présidence de l’UMPO, pour sa patience, sa disponibilité et surtout ses judicieux
conseils, qui ont contribué à alimenter notre réflexion.
Nous remercions également toute l’équipe pédagogique de l’EST
d’OUJDA et les intervenants professionnels responsables de notre formation,
pour avoir assuré la partie théorique de celle-ci.
Nous remercions nos parents, pour leur soutien constant et leurs
encouragements.
Glossaire:
AP : Access Point
CARP : Common Address Redundancy Protocol
CPU: Central Processing Unit
DMZ : Demilitarized Zone
DHCP : Dynamic Host Configuration Protocol
DNS : Domain Name Service
FAI : Fournisseur d'Accès à Internet
FTP : Foiled Twisted Pair
HTTP : Hypertext Transfer Protocol
HTTPS : HyperText Transfer Protocol Security
HTML : HyperText Markup Language
IP : Internet Protocol
LAN: Local Area Network
MAC : Medium Access Control
NFS : Network File System
NTP : Network Time Protocol
NAT: Network Address Translation
NA3 : Network Access Server
PPTP : Point-to-Point Tunneling Protocol
PHP : Hypertext Preprocessor
RADIUS: Remote Authentification Dual-In User Service
RAM : Random Access Memory
SSL : Secure Sockets layers
SSH : Secure Shell
STP : Shielded Twisted Pair
TCP : Transfer Control Protocol
UDP : User Datagram Protocol
UTP : Unshielded Twisted Pair
VPN : Virtual Private Network
WIFI : Wireless Fidelity
WAN : Wide Area Network
WAF: Web Application Firewall
OWASP: Open Web Application Security Project
SQL: Structured Query Language
XSS: cross-site scripting
RFI: Remote file inclusion
DOS: Deny of Service
MVC: Model View Controller
W3AF: Web Application Attack and Audit Framework
INTRODUCTION GENERALE :
Le Web est devenu au fil du temps, un outil de travail innovant et
indispensable pour n’importe quelle personne opérant dans n’importe quel
domaine. Il permet d’affranchir d’une manière miraculeuse et sans frontières
des barrières de l’espace et du temps en transmettant toute information
numérique de manière instantanée et précise dans le monde entier. Les
organisations, aussi bien publiques que privées, possèdent toutes ou presque
une vitrine accessible au monde extérieur.
Les serveurs ont également évolué et ne sont plus de simples machines se
limitant au stockage d’informations. En effet, ils sont utilisés, entre-autres, pour
exécuter des programmes en ligne, héberger des sites ou encore des bases de
données pouvant contenir des informations sensibles.
Les serveurs sont régulièrement victimes d’attaques visant soit à les
rendre défaillants soit à accéder aux données sensibles qu’ils contiennent. Il est
devenu primordial de les protéger contre des actes malveillants.
Problématique
Devant ce nombre important d’attaques quotidiennes Il existe de nos
jours, de nombreux outils permettant de se prémunir contre des attaques mais
ne fournissent pas d’informations suffisantes expliquant pourquoi une requête
a été considérée comme une attaque et comment elle a été classifiée. Et c’est
pour cela qu’on a choisi comme sujet de traiter cette problématique-là, mettre
en place un WAF, qui est un pare-feu applicatif, qui évaluera une requête reçue
par un serveur.
Si elle s’avère être une attaque alors un ensemble d’informations seront
retournées à l’issu de cette dernière (niveau et type par exemple) par le biais
d’une journalisation, facilitant ainsi la tâche d’un administrateur de sécurité.
Les propriétés Web de la présidence constituent aujourd’hui un risque
significatif pour de nombreuses raisons. Les principaux problèmes trouvent leur
origine dans l’omniprésence de ces propriétés, dans le fait qu’elles sont
devenues la cible de prédilection de la nouvelle communauté du piratage et du
fait de la protection inadéquate assurée par les soi-distantes solutions de
sécurité de la « couche applicative ». Les propriétés Web sont omniprésentes
De nos jours, la présidence conçoit et achète massivement des applications
Web. C’est déjà le cas pour les applications stratégiques ou orientées clients, et
de plus en plus fréquent pour les applications mobiles ou destinées à délivrer
des fonctionnalités et services d’arrière-plan. Bien que les applications
générant directement du revenu drainent encore la plus grande attention, il
serait vraiment imprudent de sous-estimer la criticalité de ces autres types
d’applications (notamment celles liées à la gestion de la chaîne
d’approvisionnement, aux flux financiers, aux ressources humaines, à la
recherche et au développement de produits).
Qu’est-ce que cela signifie pour l’équipe en charge de la sécurité
informatique ? En premier lieu, les applications Web étant de plus en plus
présentes au sein de l’université et employées aussi bien par des étudiants que
par des utilisateurs externes, les protections correspondantes ne doivent plus
se contenter de couvrir le simple périmètre du réseau.
Un autre impact significatif découle directement de l’énorme diversité
d’applications Web déployées à l’UMPO. Avec un nombre incalculable de
combinaisons d’applications Web commercialisées ou développées sur mesure,
on ne peut évidemment pas s’attendre à ce que des technologies de sécurité
s’appuyant exclusivement sur des règles et des mécanismes à large spectre
(comme par exemple la détection d’anomalies de protocole sur la couche
réseau) puisse toutes les protéger de façon efficace et complète.
L’équipe en charge de la sécurité a également besoin d’outils offrant une
plus grande flexibilité, une granularité d’inspection et de contrôle bien plus
poussée et, dans l’idéal, une capacité d’apprentissage et d’adaptation
automatique aux nouvelles applications.
Proposition d’une solution :
Pour protéger efficacement leur sites Web, la présidence a besoin de
technologies de sécurité offrant de façon réellement complète :
• Une couverture physique : protection pour tous les scénarios
d’utilisation, à la fois internes et externes au périmètre. Avec pour principal
risque le vol de secrets de recherches, des données confidentielles des
employées, des professeurs ou des étudiants, voire l’arrêt ou le blocage des
systèmes d’information.
• Une couverture fonctionnelle : non seulement application des stratégies
sous la forme d’un contrôle d’accès granulaire, mais également détection et
prévention explicités des menaces, la supervision générales de tous les
équipements de l’université (SolarWinds).
 • Une couverture logique : protection de toutes les couches de la pile
informatique, depuis les protocoles et services des couches réseau et
application jusqu’aux applications infrastructurelles, aux applications
commerciales personnalisées et même aux données. Établir une couverture
complète de ce type exige d’investir bien plus que dans de simples pare-feu
réseau et systèmes de prévention des intrusions ordinaires.
La présidence de l’UMP
Les pare-feu réseau classiques ne sont pas équipés pour détecter et
prévenir explicitement les menaces. La seule protection qu’ils assurent contre
les malwares, les attaques et toutes les autres activités non autorisées est un
sous-produit des stratégies de contrôle d’accès qu’ils sont chargés d’appliquer.
Par exemple, si une menace exploite un chemin de communication qui n’est
pas « ouvert », celle-ci sera, par défaut, repoussée (sans même avoir été
détectée). En conclusion, les pare-feu réseau classiques ne fournissent qu’une
protection relativement limitée aux propriétés Web de l’entreprise
Conclusion
Nous avons présenté les différents axes de ce projet de fin d’études. Il
reste de connaitre l’organisme d’accueil ses activités ainsi que les différentes
solutions IT sur lesquelles il travaille avec les différents collaborateurs.
Table des matières
Remerciement :.....................................................................................................................................3
Glossaire:...............................................................................................................................................4
INTRODUCTION GENERALE :.......................................................................................................6
Problématique...................................................................................................................................6
Proposition d’une solution :..............................................................................................................7
Conclusion..........................................................................................................................................8
Table des matières.................................................................................................................................9
Table des illustrations :.........................................................................................................................11
Table des tableaux :..............................................................................................................................12
CHAPITRE 1 : PRESENTATION DE L’ORGANISME D’ACCUEIL...............................................................13
I. Présentation de la Présidence de l’UMP :...............................................................................13
1. Vue historique sur la Présidence de l’UMP :.........................................................................13
2. La Présidence Valeurs et Missions :......................................................................................15
II. L’organisation des services de la Présidence de l’UMP :.........................................................17
1. Présentation des différents services de la présidence :........................................................17
2. Le service Informatique sous le microscope :.......................................................................18
CHAPITRE 2 : PRESENTATION DU PROJET...........................................................................................21
I. Les firewalls applicatifs :..........................................................................................................21
1. Préliminaires :.......................................................................................................................21
a. Une application web :..........................................................................................................21
b. Le protocole http/https :......................................................................................................21
2. Le firewall :...........................................................................................................................24
3. Les firewalls applicatifs (Web Application Firewall) :............................................................25
I. Les solutions Open-source existantes L’open source :............................................................28
1. Modsecurity (Trustwavelabs)...............................................................................................28
2. AQTRONIX WEBKNIGHT........................................................................................................28
3. ESAPI WAF............................................................................................................................29
4. WebCastellum......................................................................................................................29
6. Qualys Ironbee.....................................................................................................................31
7. NAXSI....................................................................................................................................31
CHAPITRE 3 : MISE EN PLACE D’UN PARE FEU APPLICATIF.................................................................34
I. Introduction :...........................................................................................................................34
II. Environnement de travail :......................................................................................................34
1. VMware Workstation...........................................................................................................34
 2. Système d’exploitation :.......................................................................................................34
III. Installation et configuration :..............................................................................................35
1. Installation de ModSecurity :................................................................................................35
2. Configuration de ModSecurity :............................................................................................36
3. Journalisation de ModSecurity :...........................................................................................37
a. Journal d’audit :...................................................................................................................38
b. Exemple de journal d’audit :................................................................................................39
c. Configuration de la journalisation d’audit :........................................................................40
d. Journal de débogage :.........................................................................................................40
e. Exemple de journal de débogage :......................................................................................41
f. Configuration du journal de débogage :.............................................................................41
4. Test de protection des règles de filtrage de ModSecurity :..................................................41
Conclusion............................................................................................................................................44
Table des illustrations :
Figure 1 Evolution des filières de l'UMP...............................................................................................15
Figure 2 Evolution des filières de l'UMP depuis 2014...........................................................................16
Figure 3 La communication entre le client et le serveur.......................................................................23
Figure 4 les attaques au niveau applicatif ne sont pas bloquées par un firewall conventionnel..........26
Figure 5 Site officiel de Modsecurity....................................................................................................29
Figure 6 Site officiel de Webknightv.....................................................................................................30
Figure 7 Site officiel de ESAPIWAF.......................................................................................................30
Figure 8 Site officiel de WebCastellum................................................................................................31
Figure 9 Site officiel de Guardian@JUMPERZ.NET................................................................................31
Figure 10 Site officiel de Qualys Ironbee..............................................................................................32
Figure 11 Site officiel de Naxsi..............................................................................................................32
Figure 12 VMware Workstation...........................................................................................................35
Figure 13 Logo CentOS 7......................................................................................................................35
Figure 14 Installation ModSecurity.......................................................................................................36
Figure 15 Redémarrage du serveur Web..............................................................................................36
Figure 16 Vérifier la disponibilité du serveur Web...............................................................................36
Figure 17 La version de ModSecurity...................................................................................................36
Figure 18 Préparation du CRS...............................................................................................................37
Figure 19 Accéder au répertoire /etc/httpd/crs...................................................................................37
Figure 20 Téléchargement OWASP CRS................................................................................................37
Figure 21 Le répertoire CRS..................................................................................................................37
Figure 22 La règle crs-setup.conf.example...........................................................................................37
Figure 23 Le fichier de configuration principal de ModSecurity...........................................................38
Figure 24 Configuration de fichier de configuration principal de ModSecurity....................................38
Figure 25 Redémarrage du serveur Web..............................................................................................38
Figure 26 Modifier le fichier de configuration principal de ModSecurity.............................................38
Figure 27 Configuration de ModSecurity..............................................................................................38
Figure 28 Redémarrer le serveur Web.................................................................................................38
Figure 29 Contenu de journal d'audit..................................................................................................40
Figure 30 Section H du journal d'audit.................................................................................................40
Figure 31 Les trois directives du journal d'audit...................................................................................41
Figure 32 Les deux directives du journal de débogage.........................................................................42
Figure 33 L'adresse ip de l'interface enp0s3.........................................................................................43
Figure 34 403 Forbidden......................................................................................................................43
Figure 35 Les informations affichées par le journal d'audit..................................................................44
Figure 36 Les informations du blockage de demande..........................................................................44
Table des tableaux :
Tableau 1 comparaison entre un pare feu réseau et un pare feu applicatif.........................................26
Tableau 2 comparaison des solutions WAF open source.....................................................................32
Tableau 3 Contenu des sections de journal d'audit..............................................................................39
 CHAPITRE 1 : PRESENTATION DE L’ORGANISME
D’ACCUEIL
La présentation du contexte général du projet a pour but de situer le
projet dans son environnement organisationnel et contextuel. Ce chapitre
commence par une présentation de l‘organisme d‘accueil.
I. Présentation de la Présidence de l’UMP :
1. Vue historique sur la Présidence de l’UMP :
L'université Mohammed Ier Créée en 1978,constitue un ensemble
d'établissements de la région de l'Oriental, au Maroc, dont la majorité se
trouve à Oujda. Elle est classée 32e dans le classement régional 2016 des
universités arabes (U.S. News & World Report). Yassine ZAGHLOUL est le
président actuel de l’Université Mohammed Premier d’Oujda.
Les établissements qui la composent sont :
 La faculté de médecine et de pharmacie d'Oujda ;
 La faculté des sciences juridiques économiques et sociales ;
 La faculté des sciences ;
 L'école supérieure de technologie (ESTO);
 L'école nationale des sciences appliquées (ENSAO);
 L'école nationale de commerce et de gestion (ENCGO) ;
 La faculté des lettres et sciences humaines ;
 La faculté pluridisciplinaire de Nador ;
L'Ecole Supérieure de Technologie Oujda (ESTO), est l'une des écoles que
compte l’Université Mohammad Premier (UMP). Créée par le ministère de
l'éducation nationale, de l'enseignement supérieur, de la formation des cadres
et de la recherche, en 1990. Pour fournir le personnel technique polyvalent
dont les entreprises marocaines avaient besoin. L’ESTO est l’unique institution
du genre dans toute la région nord-est du pays. L'Ecole Supérieure de
Technologie Oujda, forme des techniciens supérieurs hautement qualifiés et
immédiatement opérationnels dans divers secteurs d’activité ; ainsi
qu’entreprendre des actions de développement et de coopération avec toutes
les composantes de son environnement, et ce, en vue de promouvoir la
recherche scientifique et technique, le transfert technologique ainsi que
l’échange d’expériences.
EST Oujda délivre actuellement :
 DUT
 Licence Professionnelle
Les filières qui y sont enseignés sont les suivantes :
 Finance Comptabilité Fiscalité
 Gestion Banques et Assurances
 Administrateur de Systèmes et Réseaux
 Licence Professionnelle en Informatique et Gestion d'Entreprises
 DUT : Mécatronique
 Electronique et Informatique Industrielle
 Gestion Logistique et Transport
 Informatique et Gestion des Entreprises
 Développeur d'applications informatiques
 Figure 1 Evolution des filières de l'UMP

Figure 2 Evolution des filières de l'UMP depuis 2014

 2. La Présidence Valeurs et Missions :
L’Université Mohammed Premier a pour vocation de former des étudiants
dans des domaines très variés : sciences, droit, lettres, histoire, géographie,
langues, gestion, sciences économiques, technologie, sciences de l’ingénieur et
les sciences de la médecine.
L'Université de Mohammed Premier accueille plus de 69904 étudiants
(rentrée 2018-2019) répartis sur les sites d’Oujda et de Nador et Hoceima, elle
emploie plus de 929 enseignants et 476 personnels administratifs et
techniques.
C'est avec toutes ses forces (recherche, formation, enseignement,
pluridisciplinarité, ...), que l'Université Mohammed Premier espère collaborer à
l’essor de la région et du pays.
Elle dispose :
 Des services communs de recherche dispensant d'un matériel de haut
niveau technologique.
 Des départements regroupant les différents laboratoires : sciences
mathématiques, sciences de la terre, de l'eau, biologie, chimie, physique,
électronique, électrotechnique, automatique, informatique, mécanique,
sciences de gestion, lettres et sciences humaines.
 Des centres : COSTE, CU, CUP, CEMMM, Centre de Télédétection,
CULCOM, chargés de fédérer les activités de recherche et de promouvoir
le transfert technologique.
L’Université Mohammed Premier offre une formation attractive et variée ;
plusieurs filières professionnelles complètent l’offre de formation.
La collaboration entre l’Université et son environnement, sous des formes
variées, a connu un développement réel au cours des dernières années.
Nombreuses sont au niveau de notre Université, les expériences de
projets qui rapprochent l’établissement de son environnement et le
redéployent dans le champ du monde économique et social.
L’orientation à l’Université Mohammed Premier depuis quelques années,
est de créer des structures (centres, interfaces...) capables de favoriser le
contact université/ entreprise ; ces structures sont devenues de réels canaux
de communication pour exprimer les attentes de l’environnement socio-
 économique. Ces structures interviennent à destination de l’environnement
immédiat et de la société civile.
La tradition de la collaboration internationale dans notre établissement
est ancrée depuis longtemps, des accords internationaux avec les
établissements d'enseignement supérieur, agences et organismes sont
fréquemment signés. Une instance veille à la gestion des ententes et contrats à
caractère international touchant :
 La collaboration scientifique
 Les projets de développement
 Les échanges d'étudiants et de professeurs

L’Université aspire à s’impliquer dans le développement économique par

les relations d’échanges avec les entreprises, l’accueil des professionnels dans
les filières et l’aide à la réalisation de contrats de recherche avec les industriels.
Le projet d’établissement représente d’ailleurs un engagement vis-à-vis
des étudiants et des partenaires. Elle a signé 80 conventions de coopération
avec des institutions universitaires de plusieurs pays. Les activités, dans le
cadre de ces conventions, couvrent toutes les disciplines scientifiques, et
concernent aussi bien l'enseignement que la recherche et la gestion.
Soucieuse d'inscrire son développement international dans une stratégie
d'excellence, l’entend renforcer en effet, quelques partenariats privilégiés pour
construire des activités communes à long terme.
Par ailleurs, l’Université connaît actuellement d’importantes extensions,
au niveau des locaux pédagogiques et administratifs.
II. L’organisation des services de la Présidence de l’UMP :
1. Présentation des différents services de la présidence :
 Service de Communication :
Le service Presse et Communication met à votre disposition des services et
vous accompagnent dans vos projets.
 Service de Sport :
Les activités physiques et sportives constituent un facteur essentiel
d’équilibre, de santé, d’exemplarité et d’éducation morale. Aussi l’, bien qu’elle
se heurte souvent à certains obstacles, reste-t-elle fidèle aux objectifs tracés
par le Ministère de l’Enseignement Supérieur.
 Service de l’accueil et de l’orientation des étudiants et du suivi de
l’insertion des lauréats :
Le service de l’accueil et de l’orientation des étudiants et du suivi de
l’insertion des lauréats a pour mission principale d’instruire, de suivre et de
gérer toutes les questions relatives à la vie estudiantine et assurer le suivi de
l’insertion des lauréats.
 Service de la coopération universitaire :
Le service de la coopération universitaire a pour mission de préparer les
conventions de coopération et de partenariat et assurer le suivi de la
réalisation des actions prévues, notamment celles liées aux mobilités
internationales.
 Service des ressources humaines et des relations générales :
Le service des ressources humaines et des relations générales assure la
bonne gestion du personnel enseignant-chercheur, personnel administratif et
technique. Il assure, aussi, la coordination entre les différents services de
ressources humaines relevant des établissements et l’application des décisions
du Ministère de tutelle et de la Présidence.
 Service des affaires juridiques et de la formation continue du
personnel :
Le service des affaires juridiques et de la formation continue du personnel
assure le suivi des affaires juridiques et les programmes de formation continue
au sein de l’Université.
 Service du budget et des affaires financières :
Le service du budget et des affaires financières a pour objectif la bonne
gestion des affaires économiques et financières de l’Université Mohammed
Premier.
 Service des achats:
Le service des achats doit subvenir à tous les besoins de l’Université en
procédant aux acquisitions ou achats, soit par voie de marché, soit par voie de
bon de commande.
 2. Le service Informatique sous le microscope :
Le rôle du Service Informatique est d'assurer le développement cohérent
des moyens informatiques, réseaux, systèmes d'information et de veiller à la
disponibilité des ressources matérielles et logicielles.
Les missions prioritaires sont les suivantes :
 Garantir le fonctionnement technique et l'évolution du système
d'information de l'université et ses composantes.
 Le maintien de l'infrastructure réseaux et serveurs, au cœur du système
d'information
 Assurer la gestion et la maintenance de la logistique informatique.
 L'évolution du système d'information et l'intégration de nouveaux services
tout un gardant une cohérence de l'ensemble…
 La conception, le développement et le déploiement de logiciels
 Le développement de l'ENT et la mise à disposition de services dédiés aux
étudiants, aux enseignants-chercheurs et aux personnels administratifs et
techniques
 Conseiller et proposer des formations appropriées aux nouveaux outils
informatiques.
 Assurer une veille technologique dans un secteur en constante évolution et
gérer l'impact de l'introduction de nouvelles technologies dans l'ensemble
de l'architecture informatique.
Le service est organisé en cellules d'activités qui sont :
a. Cellule réseaux et systèmes :
Est constituée initialement de deux ingénieurs et trois techniciens, elle
s’occupe de :
 Administration du réseau:
 Veiller au bon fonctionnement des connectivités et proposer les
améliorations nécessaires à la mise à niveau du réseau informatique de
l’UMP.
 Assurer la cohérence des ressources partagées : plage d’adresse,
domaine (DNS), …
 Gestion des serveurs (messagerie, annuaires, sauvegarde, stockage, etc.) et
du parc informatique (PC)
 Il s’agit de l’administration et de la maintenance des serveurs et autres
équipements informatiques sous la responsabilité du Service.
 Gestion de la sécurité informatique
 Mettre en place une stratégie sécuritaire et veiller à sa mise en œuvre.
 Messagerie,
 Assurer la messagerie @ump.ma : (création et gestion des comptes, …).
 Aide et assistance aux utilisateurs.
b. Cellule Ressources Universitaires :
Constituée initialement de deux ingénieurs et un technicien, elle s’occupe
de :
 Développement et maintenance du site institutionnel de l’université
(www.ump.ma).
 Développer, maintenir et actualiser le site institutionnel de l’UMP
 Développement, maintenance et animation de l’Espace Numérique de
Travail (ENT).
 Maintenir et actualiser l’ENT afin de répondre aux attentes des usagers.
 Gestion de l’accès aux e-services de l’Université.
 Peuplement de l’annuaire LDAP.
 Assurer l’authentification des usagers selon leurs profiles.
 S’assurer de la disponibilité des services offerts via l’ENT.
 Développement et promotion du e-Learning.
 Maintenir et actualiser la plateforme e-learning.
 Assister les enseignants dans la création des contenus en-ligne.
c. Cellule Système d’Information :
Constituée initialement d’au moins cinq ingénieurs, elle s’occupe de :
 Administration, suivi, études et développement des applications de gestion
(enseignements (APOGEE), finances et comptabilité, personnels, patrimoine,
infocentre, etc.) :
 APOGEE :
 Développer une solution pour la préinscription.
 Développer une solution d’édition de l’attestation et diplômes et des
cartes d’étudiants.
 Assurer une bonne interaction avec les services offerts via l’ENT.
 Finance et comptabilité :
 Suivre l’implantation de solutions et assurer l’appui technique et
fonctionnel auprès des usagers.
 CHAPITRE 2 : PRESENTATION DU PROJET
Avant d’attaquer l’étude de la sécurité applicative du réseau de la
présidence, il nous fallait définir quelques paramètres du réseau indispensables
à la compréhension du projet. Pour cela, nous allons introduire les notions
suivantes :
 Application web
 HTTP/HTTPS
 DNS
 Pare feu et pare feu applicatif
I. Les firewalls applicatifs :
1. Préliminaires :
a. Une application web :
Aussi appelé site web dynamique ou webapp, une application web est un
logiciel applicatif qui s’utilise sur un poste client d’un réseau tel qu’internet ou
intranet [1].
Une application Web est une application qui n’a besoin que du protocole
HTTP ou HTTPS pour être pilotée par un utilisateur. Celui-ci n’a besoin que d’un
simple navigateur Web ou d’une application propriétaire utilisant le protocole
HTTP/HTTPS [2].
Cela nous emmènera à poser la question c’est quoi le protocole http, quel
est son rôle et comment il travaille ?
b. Le protocole http/https :
 Le protocole http
HTTP est un protocole de la couche application. Il peut fonctionner sur
n'importe quelle connexion fiable, dans les faits on utilise le protocole TCP
comme couche de transport. Un serveur HTTP utilise alors par défaut le port 80
(443 pour HTTPS).
La communication entre le navigateur et le serveur se fait en deux temps :
 Figure 3 La communication entre le client et le serveur
o Le navigateur effectue une requête HTTP
o Le serveur traite la requête puis envoie une réponse http
 Le protocole https
Quand vous naviguez sur internet, vous surfez sur des pages dont le titre
commence toujours par « http ». Or ce protocole de communication n’est pas
sécurisé et votre connexion comporte de nombreuses données personnelles.
C’est pourquoi, vous observerez que certaines pages sont hébergées sous le
protocole « https ». Nous découvrirons en quelques lignes les critères de
sécurité des sites sur lesquels vous laissez vos données.
Le protocole « http » n’est soumis à aucun chiffrement. C’est pourquoi le
protocole « https » pour « http » ‘secured’ a été inventé. Quand vous surfez sur
un site ou certaines pages de sites, notamment les pages de transaction des
sites marchands ou sur les sites bancaires, vous observerez que la racine de la
page commence par « https » [4]
 Les modes de chiffrement Https
Le protocole « https » signifie que la communication entre vous et le
serveur web du site est chiffrée. Le flux de cette communication peut être plus
ou moins fortement chiffré ou encrypté. Il existe plusieurs modes de
chiffrement : SSLv2, SSLv3 & TLS.
 Le protocole SSL peut quant à lui être symétrique ou asymétrique, le
protocole TLS est un mode de chiffrement asymétrique.
Pour plus de sécurité, les protocoles asymétriques sont préférés car ils
rendent moins facile la possibilité d’accéder aux données véhiculées par les flux
d’un utilisateur, c'est-à-dire vos mots de passe ou autres informations
personnelles voire confidentielles [4].
Mais lorsque vous saisissez l’adresse http://www.ump.ma/ comment le
navigateur sache l’emplacement de votre destinataire ? C’est ce que nous
allons essayer de répondre dans la section suivante.
c. Le protocole DNS
Quand vous voulez téléphoner à quelqu'un, vous devez connaître son
numéro de téléphone. Comme il est difficile de les retenir par cœur, on a
inventé l'annuaire (qui permet de retrouver un numéro à partir d'un nom).
Nom  numéro de téléphone
C'est la même chose sur Internet : pour qu'un ordinateur puisse contacter
un autre ordinateur, il doit connaître son adresse IP (exemple : 205.37.192.5).
Pas facile à mémoriser non plus.
Alors on a inventé une sorte d'annuaire : les DNS
Nom ordinateur  Adresse IP
Par exemple, sur votre ordinateur, tapez ping www.ump.ma (en ligne de
commande, dans une fenêtre MS-DOS): vous verrez l'adresse IP de ce site.
 Ça veut dire quoi, DNS ?
D.N.S. signifie plusieurs choses :
o Domain Name System : l'ensemble des organismes qui gèrent
les noms de domaine.
o Domain Name Service : le protocole qui permet d'échanger des
informations à propos des domaines.
o Domain Name Server : un ordinateur sur lequel fonctionne un
logiciel serveur qui comprend le protocole DNS et qui peut
répondre à des questions concernant un domaine.
 Il se passe quoi quand je tape http://ump.ma ?
 o Le serveur DHCP de votre fournisseur d'accès (qui vous
attribué votre adresse IP) vous a aussi attribué des adresses de
DNS.
o Votre ordinateur se connecte à ces serveurs DNS pour obtenir
l'adresse IP de la machine www.ump.ma.
o La requête qu’on a envoyée est transférée par le biais du
protocole http ou https.
o Si le serveur DNS de votre fournisseur d'accès n'a pas la
réponse, il va questionner d'autres serveurs DNS
Et maintenant que nous avons fait connaissance avec la notion de
l’application Web et comment s’effectuent les requêtes et les réponses à
travers le protocole http ou https, passons à notre deuxième partie « le
FIREWALL ».
2. Le firewall :
 Qu’est-ce qu’un firewall ?
Un pare-feu, ou firewall (de l'anglais), est un logiciel et/ou un matériel,
permettant de faire respecter la politique de sécurité du réseau, celle-ci
définissant quels sont les types de communication autorisés sur ce réseau
informatique. Il mesure la prévention des applications et des paquets [3]
Un firewall classique conventionnel permet de filtrer au niveau de la
couche réseau (IP) et de la couche transport (TCP, UDP). Les règles sont
définies en fonction de l’adresse IP source, l’adresse IP de destination, le
numéro de port source, le numéro de port de destination, l’état de la
connexion (flags), l’interface d’entrée et de sortie du firewall, etc...
Un firewall IP n’offre absolument aucune protection contre les attaques
visant les applications Web, dans la mesure où celles-ci ont lieu au niveau
applicatif : elles utilisent le protocole HTTP sur le port 80, au même titre que le
trafic Web ordinaire. Un grand nombre de menaces peuvent être véhiculées
par ce canal apparemment inoffensif et qui est laissé ouvert sur la plupart des
firewalls d’entreprise [4]
 Figure 4 les attaques au niveau applicatif ne sont pas bloquées par un firewall
conventionnel
On conclut que Contrôler les ports et les paquets IP ne suffit plus pour se
protéger des attaques. Désormais, les intrus s'en prennent aux applications,
accessibles à travers des ports toujours ouverts.
C'est à ce moment que le pare-feu applicatif entre en action.
3. Les firewalls applicatifs (Web Application Firewall) :
Un WAF (Web application Firewall) est un logiciel ou un équipement
matériel placé entre le firewall et les serveurs WEB, il permet principalement
de protéger les applications Web des attaques applicatives (SQL injections,
Cross Site Scripting, injection de code …)
 Les déférences entre un Firewall réseau et un Firewall applicatif
Web :
 Pare-feu réseau Pare-feu applicatif Web
Fonctionne aux Couches 3 à 4 Couches 3 à 7 et plus
Architecture de Passerelle de la couche Proxy inversé
déploiement type 3
Granularité du contrôle Port, protocole, adresse Port, protocole, adresse
d’accès IP IP
Détection des menaces/ NON Signatures, détection
techniques de des anomalies de
prévention protocole, détection
des anomalies propres
à chaque application
Couverture de protocole Tous Orienté Web : HTTP(s),
XML, SOAP, SPDY
Inspection du trafic NON Oui
chiffré/SSL
Protection contre le Couche réseau Couche applicative
déni de service distribué (basique)
Protection des Minimale Etendue, comprenant
applications Web une couverture
complète de la couche
applicative

Tableau 1 comparaison entre un pare feu réseau et un pare feu applicatif

Le premier offre une protection périmétrique, il a en charge d’autoriser
des paquets à le traverser en fonction de leur source et de leur destination. Le
firewall applicatif Web est lui en charge du contenu de ces paquets. On peut
comparer ces deux fonctionnalités à un contrôle douanier. Dans un premier
temps, une vérification sur le passeport est effectuée (ceci peut être assimilé
au firewall réseau), puis une fouille est réalisée (ici assimilée à la vérification
effectuée par le firewall applicatif WEB). Ces deux actions sont tout à fait
complémentaires et indispensables.
Après la comparaison entre les deux technologies de sécurité présentées
précédemment, les WAF offrent une capacité unique à :
• Valider les entrées, et donc stopper les dangereuses attaques par
injection SQL, cross-site scripting ou directory traversal
• Détecter les attaques par modification de cookie, de session ou de
paramètre
 • Bloquer les attaques exploitant les vulnérabilités des sites Web
personnalisés
• Stopper l’exfiltration des données sensibles via l’identification et le
blocage au niveau des objets
• Inspecter complètement le trafic chiffré SSL pour tous les types de
menaces intégrées
• Prévenir les menaces qui opèrent en exploitant les failles logiques au
sein des applications d’entreprise personnalisées
• Assurer une protection efficace contre les attaques par déni de service
distribué (DDoS) et les attaques par déni ciblant la couche applicative
• Masquer de façon dynamique les données de réponse des serveurs,
potentiellement utiles aux pirates
• Assurer une protection XML complète, comprenant la validation de
schéma pour les messages SOAP et des défenses contre l’injection XPath, et
identifier et bloquer les pièces jointes XML hébergeant un contenu malveillant
• Garantir la conformité à l’exigence 6.6 de la norme PCI DSS (Payment
Card Industry Data Security Standard).
Par le passé, les pare-feu réseau classiques suffisaient à fournir une
protection appropriée à la poignée d’applications Web que les entreprises
estimaient importantes. Désormais, du fait de la dépendance fortement accrue
des entreprises vis-à-vis de leurs propriétés Web et de la dramatique évolution
des attaques qui ciblent de plus en plus les applications, ce n’est plus le cas.
Pour assurer une protection complète des nombreuses propriétés Web
externes et internes de l’entreprise, les équipes en charge de la sécurité
doivent compléter ces contremesures (qui demeurent utiles pour filtrer de gros
volumes de menaces ciblant les couches inférieures) par un pare-feu applicatif
Web.
En maintenant une compréhension approfondie du fonctionnement
normal de chaque application protégée et en recherchant toute anomalie de
donnée ou de comportement au-delà de la couche protocole/services
applicatifs, les pare-feu applicatifs Web complets garantissent un degré élevé
de protection qu’aucune autre technologie de sécurité courante, ancienne ou
récente, n’est capable de fournir.
 I. Les solutions Open-source existantes L’open source :
L'expression Open Source, qui signifie littéralement "source ouverte" en
français, s'applique à certains logiciels dont la licence respecte les critères
définis par l'association Open Source Initiative (OSI).
L’Open Source Initiative défend en particulier la liberté d'accéder aux
sources des programmes.
Ainsi les logiciels approuvés par l’OSI offrent la possibilité de libre
redistribution, d'accès au code source et de Travaux dérivés [3].
1. Modsecurity (Trustwavelabs)
ModSecurity est l'un des plus vieux des pares-feux et les plus largement
utilisés c’est une solution open source qui permet de détecter les menaces au
niveau des applications sur internet, et offre une sécurité contre les attaques
Web les plus courantes. Il peut être intégré aux programmes d'Apache.
Récemment, ModSecurity a publié les versions 2.6.0 qui offrent des
fonctionnalités pour l'intégration d'API de navigation en toute sécurité, le suivi
des

données sensibles et des fonctions de modification de données.

Figure 5 Site officiel de Modsecurity

2. AQTRONIX WEBKNIGHT
AQTRONIX WebKnight est un pare-feu d'applications open source conçu
spécifiquement pour les serveurs Web et IIS, et il est autorisé par la GNU -
General Public License. Il fournit les fonctionnalités de débordement de
tampon, de parcours de répertoire, l'encodage et l'injection SQL pour
identifier / limiter les attaques.
 Figure 6 Site officiel de Webknightv

3. ESAPI WAF
ESAPI WAF est une solution développée par Aspect Security il est conçu
pour fournir une protection à la couche application, au lieu de la couche
réseau. Il s'agit d'une application Java basée sur WAF qui fournit une sécurité
complète contre les attaques en ligne. Quelques-unes des caractéristiques
uniques de la solution comprennent les fonctions de filtrage qui réduisent les
fuites d'informations. Il permet une installation facile en ajoutant simplement
les détails de configuration dans le fichier texte.

Figure 7 Site officiel de ESAPIWAF

4. WebCastellum
 WebCastellum est une application web basée sur Java qui permet de
protéger les applications contre les cross-site scripting, les injections SQL, les
injections de commandes, la manipulation des paramètres, et il peut être
intégré facilement au niveau d’une application Java. Il est basé sur une
technologie nouvelle et il peut utiliser un code existant pour fournir une
meilleure protection.

Figure 8 Site officiel de WebCastellum

5. Guardian@JUMPERZ.NET
Guardian@JUMPERZ.NET est un pare-feu open source conçu pour la
couche applicative il évalue le trafic HTTP / HTTPS pour protéger l'application
web contre les attaques externes. Guardian@JUMPERZ.NET déconnecte la
connexion TCP immédiatement lorsque l'application est en contact avec une
demande malveillante ou non autorisée.

Figure 9 Site officiel de Guardian@JUMPERZ.NET

 6. Qualys Ironbee
La société Qualys a créé un nuage basé sur un pare-feu d'applications
open source web Ironbee qui examine le protocole HTTP au lieu des paquets IP
traditionnelles pour évaluer un ensemble de données. Il peut même suivre les
attaques sur le site le code cross scripting. Ironbee est publié par le biais de la
licence Apache version 2 et il ne fournit aucune session du droit d'auteur. Il a
une structure modulaire et est très facile à utiliser.

Figure 10 Site officiel de Qualys Ironbee

7. NAXSI
Au contraire des WAF déjà connus, NAXSI ne se base pas sur des
signatures, mais plutôt sur la détection d’attaques connues en interceptant des
caractères et autres chaînes suspectes dans les requêtes HTTP. Tel un système
anti‐pourriel, NAXSI affecte un score à la requête et, lorsque ce dernier est trop
élevé, le client est redirigé sur une page de type 503.
NAXSI reste un projet jeune, et en tant que tel, nécessite plus de tests.

Figure 11 Site officiel de Naxsi

 Produit Fonctionne Fonctionnem Bloqua Bloquag Bloquage
ment ent Black list ge e Selon Selon les
White list Selon POST entêtes
GET http

MOD X X X X X
SECURITY

AQTRONIX X X X X X
WEB
KNIGHT
ESAPIWAF
- X X X
-

WEB X X X X X

CASTELLUM
Guardan
@JUMPERZ - - X X X
.NET

Qualys X X X X X
Iron bee

Naxsi X X X X -

Tableau 2 comparaison des solutions WAF open source

Le tableau présente un comparatif détaillé sur les points traités par
chaque solution, les points forts ainsi que ses points faibles pour trancher à la
fin sur une solution optimale qui peut répondre au cahier de charges suite à
une réflexion et un choix minutieux.
Les critères de comparaison seront les suivants :
 Fonctionnement White-list : Elle peut être utilisée lorsque l’accès à
certaines fonctions d’un système doivent être masquées à la plupart de
ses utilisateurs ou logiciels (données classifiées, actions pouvant influer
sur le système lui-même...), toute entité ne figurant pas sur la liste
blanche se verra alors refuser certains accès ou certaines possibilités.
 Fonctionnement Black-list : les adresses IP ou toute entité qui figure
dans la black-list ne peut pas accéder aux différentes ressources su
serveur WEB.
 Blocage selon la méthode GET : bloquer les requêtes malveillantes
transmises par la méthode GET
 Blocage selon la méthode POST : bloquer les requêtes malveillantes
transmises par la méthode POST.
 Blocage selon les entêtes http : Lecture des entêtes http, Décrit
comment définir le nombre maximal d'octets pour un en-tête, une
charge utile, une URL ou une requête, et comment bloquer des
demandes vers des URL qui contiennent des caractères spécifiques :
 URL Rewriting : URL Rewriting (réécriture d'URL en bon français) est une
technique utilisée pour optimiser le référencement des sites dynamiques
(utilisant des pages dynamiques). Les pages dynamiques sont
caractérisées par des URL complexes, comportant en général un point
d'interrogation, éventuellement le caractère & ainsi que des noms de
variables et des valeurs.
 FAQ, Assistance, Mailinglist : chaque produit est accompagné par une
assistance technique, un forum ou un mailinglist qui traite l’ensemble
des problèmes rencontrés par les utilisateurs.
Grace à ce tableau comparatif nous avons pu présenter les différentes
solutions Open Source disponibles au niveau du marché, nous avons évoqué
justement plusieurs critères pour trancher sur une solution finale qui peut se
présenter comme un produit optimal pour les tests à venir .La solution
Modsecurity parait répondre à la totalité de ces critères en plus d’un point fort
qu’on ne peut pas le nier c’est l’aptitude de ce produit d’avoir une mise à jour
complète et assistée par des grands développeurs .
 CHAPITRE 3 : MISE EN PLACE D’UN PARE FEU
APPLICATIF

I. Introduction :
Au cours de ce chapitre, nous nous intéressons à la description de la phase
de l’installation et la configuration de notre pare feu applicatif. Nous
commençons par la spécification de l’environnement de travail, ensuite nous
décrivons les points les plus intéressants du pare feu applicatif tout en donnant
un aperçu sur les avantages et les inconvénients et la configuration de cet outil.
II. Environnement de travail :
Les choix techniques que nous avons adoptés :
1. VMware Workstation
VMware Workstation est un outil de virtualisation de poste de travail créé
par la société VMware, il peut être utilisé pour mettre en place un
environnement de test pour développer de nouveaux logiciels, ou pour tester
l'architecture complexe d’un système d’exploitation avant de l’installer
réellement sur une machine physique.

Figure 12 VMware Workstation

2. Système d’exploitation :
Dans ce projet on a décidé d’utiliser l’image iso du système d’exploitation
suivant : La distribution CentOS 7 sur laquelle on a installé Modsecurity :

Figure 13 Logo CentOS 7

 CentOS (Community entreprise Operating System) est une distribution
GNU/Linux destinée aux serveurs (et aux postes de travail). Tous ses paquets, à
l'exception du logo, sont des paquets compilés à partir des sources de la
distribution RHEL (Red Hat Enterprise Linux), éditée par la société Red Hat.

III. Installation et configuration :

1. Installation de ModSecurity :
Installer le parfeu ModSecurity avec la commande yum install
mod_security

Figure 14 Installation ModSecurity

Redémarrer le serveur Web avec la commande service httpd restart

Figure 15 Redémarrage du serveur Web

Vérifier le status du serveur Web avec la commande service httpd status

Figure 16 Vérifier la disponibilité du serveur Web

Vérifier la version installée avec la commande yum info mod_security
donc la version est : 2.9.2

Figure 17 La version de ModSecurity

 2. Configuration de ModSecurity :
Préparation à l’obtention du Core Rule Set (CRS) par la création d’un
répertoire /etc /httpd/crs en utilisant la commande mkdir

Figure 18 Préparation du CRS

Modifier le répertoire de travail actuel par la commande cd

Figure 19 Accéder au répertoire /etc/httpd/crs

Télécharger le OWASP CRS, à l’aide de l’endroit https://github.com pour
obtenir la dernière copie de l’ensemble de règles

Figure 20 Téléchargement OWASP CRS

Aller dans l’annuaire OWASP CRS

Figure 21 Le répertoire CRS

Dans le répertoire OWASP CRS, il y a un exemple de fichier avec la règle
«crs-setup.conf.example » Il faut copier son contenu dans un nouveau fichier
appelé «crs-setup.conf» à l’aide de la commande cp

Figure 22 La règle crs-setup.conf.example

Configurer en suite Apache pour utiliser ce fichier de configuration, ce qui
peut être fait en éditant le fichier de configuration principal de ModSecurity
avec nano /etc/httpd/conf.d/mod_security.conf

Figure 23 Le fichier de configuration principal de ModSecurity

 Ajuster la configuration comme suit :

Figure 24 Configuration de fichier de configuration principal de ModSecurity

Redémarrer le serveur Web avec la commande service httpd restart pour
garder les modifications

Figure 25 Redémarrage du serveur Web

Modifier le fichier de configuration principal de ModSecurity avec
nano /etc/httpd/conf.d/mod_security.conf

Figure 26 Modifier le fichier de configuration principal de ModSecurity

Ajuster la ligne suivante :

Figure 27 Configuration de ModSecurity

Redémarrer le serveur Web

Figure 28 Redémarrer le serveur Web

3. Journalisation de ModSecurity :
Lorsque quelque chose ne fonctionne pas comme prévu, les journaux sont
toujours le premier endroit à consulter. De bons journaux peuvent fournir des
informations précieuses pour vous aider à résoudre les problèmes auxquels
vous êtes confrontés.
ModSecurity a deux types de journaux :
  Un journal d'audit. Pour chaque transaction bloquée, ModSecurity
fournit des journaux détaillés sur la transaction et pourquoi elle a été
bloquée.

 Un journal de débogage. Lorsqu'il est activé, ce journal conserve des

informations détaillées sur tout ce que fait ModSecurity.

Le journal d'audit est utile pour savoir non seulement pourquoi une
attaque individuelle a été bloquée, mais aussi pour en savoir plus sur les
schémas d'attaque globaux. Vous pourriez être surpris par la quantité de trafic
de robots et de scanners que vous obtenez simplement en exposant les ports
80 et/ou 443 à Internet.

a. Journal d’audit :

Le journal principal de ModSecurity est le journal d'audit, qui enregistre

toutes les attaques, y compris les attaques potentielles, qui se produisent.

Par défaut, ModSecurity enregistrera toutes les transactions qui ont

déclenché un avertissement ou une erreur.

Le journal d'audit ModSecurity est partitionné en sections. Cela facilite

l'analyse du journal et la recherche des informations que vous recherchez. Le
tableau ci-dessous décrit le contenu de chaque section :
Section La description
A En-tête du journal d'audit
(obligatoire)
B En-têtes de requête
C Corps de la requête
D Réservé
E Corps de la réponse
F En-têtes de réponse
G Réservé
H Bande-annonce du journal d'audit,
qui contient des données
supplémentaires
I Alternative au corps de requête
compact (à la partie C), qui exclut les
fichiers
J Informations sur les fichiers
téléchargés
K Contient une liste de toutes les règles
qui correspondent à la transaction

Z Limite finale (obligatoire)

Tableau 3 Contenu des sections de journal d'audit
b. Exemple de journal d’audit :

Le fichier de log /var/log/httpd/modsec_audit.log permet un audit

approfondi de chaque requête, avec tous les éléments nécessaires, classes
selon le type de données (type d’header, pattern détecté …) récoltée.

Un exemple d'entrée de journal d'audit ModSecurity pourrait ressembler

à ceci :

Figure 29 Contenu de journal d'audit

Figure 30 Section H du journal d'audit

La meilleure section pour trouver des informations sur la raison pour
laquelle une demande particulière a été bloquée est la section H, et non la
section K. Dans l'exemple de journal d'audit, si nous parcourons la section H,
nous pouvons voir le message "Pattern match « ^[\\d. :]+$" ce qui indique que
quelqu'un a essayé d'accéder à notre site par l’utilisation des caractères
spéciaux.
c. Configuration de la journalisation d’audit :

Dans le fichier /etc/httpd/conf.d/mod_security.conf, on peut trouver les

trois directives suivantes qui contrôlent ce qui est mis dans le journal d'audit :

Figure 31 Les trois directives du journal d'audit

 SecAuditEngine – Contrôle ce qui doit être enregistré. Les options sont :
 Off – Désactivez le journal d'audit.
 On – Enregistrez toutes les transactions, ce qui peut être utile lors
du débogage.
 RelevantOnly – Enregistrez uniquement les transactions qui ont
déclenché un avertissement/une erreur ou qui ont un code d'état
qui correspond à ce qui se trouve dans
la SecAuditLogRelevantStatusdirective.

 SecAuditLogRelevantStatus – If SecAuditEngineest défini

sur RelevantOnly, cette directive contrôle les codes d'état de réponse
HTTP à consigner. Il est basé sur l'expression régulière. La valeur ci-
dessus enregistrera toutes les réponses 5xxet , à l'exception de s.4xx404

 SecAuditLogParts – Contrôle les sections à inclure dans le journal

d'accès. La suppression des sections qui ne vous intéressent pas réduit la
taille du journal d'audit et facilite son analyse.
d. Journal de débogage :

Lorsque le journal de débogage est activé, il fournit une mine

d'informations sur tout ce que fait ModSecurity. Pour résoudre les problèmes
liés à la raison pour laquelle quelque chose ne fonctionne pas comme prévu, le
journal de débogage est votre ressource de référence. C'est également très
bien si vous débutez avec ModSecurity et que vous voulez observer pourquoi il
fait les choses d'une certaine manière.
 e. Exemple de journal de débogage :

Le journal de débogage ressemble à ce qui suit. Il contient de nombreux

détails sur les actions entreprises par ModSecurity pour toutes les
transactions :

Le journal de débogage répertorie le numéro d'identification de la règle

pour faciliter la recherche.

f. Configuration du journal de débogage :

Par défaut, le journal de débogage est désactivé, car il peut affecter

négativement les performances. Tout comme avec la journalisation d'audit, le
journal de débogage est configuré dans /etc/httpd/conf.d/mod_security.conf
Dans ce fichier, il y a deux directives de configuration qui sont
commentées. Pour activer la journalisation du débogage, on doit les
décommenter et les modifier comme suit :

Figure 32 Les deux directives du journal de débogage

Les deux directives suivantes signifient :

 SecDebugLog – Spécifie le chemin d'accès au fichier journal de débogage.

 SecDebugLogLevel – 0– 9 indique la quantité d'informations à

consigner, 9 étant le maximum. Si vous effectuez un dépannage, la
définition de cette valeur sur 9 est la plus utile.

4. Test de protection des règles de filtrage de ModSecurity :

Maintenant que nous avons mis en place les règles basiques, nous
pouvons essayer d’en tester quelqu’une. Afin d’avoir un effet garanti de notre
Firewall applicatif, nous avons décidé d’accéder au serveur web à partir de
notre adresse qui est :
 Figure 33 L'adresse ip de l'interface enp0s3
Après nous avons taper 10.0.2.15/index.html sur notre navigateur
Mozilla Firefox pour accéder a cette page web et nous avons avoir l’erreur 403
‘’403 forbidden’’
Il s'agit d'une erreur http qui indique purement et simplement un accès
refusé à un contenu, une ressource. Le serveur trouve donc bien l'URL,
contrairement au cas de l'erreur 404, mais il ne peut accéder à la demande du
client. C’est le rôle du notre Firewall applicatif il bloque l’accès à cette page web.

Figure 34 403 Forbidden

Nous avons vérifié après le journal d’audit pour voir les informations
nécessaires :
 Figure 35 Les informations affichées par le journal d'audit
Il nous a donné toutes les informations qui précise notre action, par
exemple la date et l’heure, la page que nous voulons accéder, l’adresse ip du
client qui est notre adresse 10.0.2.15, agent utilisateur qui est notre navigateur
Mozilla.
Pour trouver des informations sur la raison pour laquelle cette
demande a été bloquée nous pouvons voir la section H.

Figure 36 Les informations du blockage de demande

Dans cette exemple : on trouve des messages comme "Pattern match
« ^[\\d. :]+$" et ‘’Matched phrase’’bin/bash’’ ce qui indique que quelqu'un a
essayé d'accéder à notre site.
CONCLUSION