Sécurisation d'un serveur Web Apache

Public :

• Responsables informatiques, équipes réseaux, système et sécurité.

Objectifs :

• Etre en mesure de disposer des compétences permettant de sécuriser un serveur Web Apache tant au niveau de la sécurité du serveur qu'au niveau des échanges avec les clients Web.

Pré-requis :

• ­ Notion de base sur la sécurité des systèmes d'information.
• ­ Savoir mettre en œuvre un serveur Web Apache (cours " T115-150 - Configuration et administration d'un serveur Web Apache ").

Contenu pédagogique

Rappel sur le fonctionnement d'Apache

Rappel sur les principes de configuration d'Apache

Sécurisation du serveur Apache

• Privilèges d'exécution
• Droits d'accès associés
• Chargement raisonné des modules
• Limitation de ressources
• • Mémoire
  • CPU
  • Processus-fils
  • Cas particulier de PHP
  • Gestion des méthodes HTTP (get, post, put…)
• Limitation du risque d'attaque de type DOS : mod_evasive

Sécurisation de la configuration dynamiquement

• Principe de la configuration dynamique
• Définition du fichier de configuration dynamique
• Limitation des directives prises en compte
• Limitation fine des directives (Version 2.4)

Sécurisation des échanges avec les clients

• Restriction des clients
• Authentification des utilisateurs
• • Par couple login/password
  • Par utilisation de certificats clients
• Mise en œuvre du protocole HTTPS
• • Rappels sur le protocole SSL
  • Création d'un certificat de test
  • Mise en œuvre à proprement dite
  • Approbation des autorités de certification dans les navigateurs web
• Limitation de la bande passante
• • Module ratelimit (Version 2.4)