Cours

Systèmes & Réseaux

Technologies Web

Outils


Filères

 

 

Java - Sécurité

Objectifs

Ce stage permet de comprendre les besoins de sécurisation liés aux architectures des Systèmes d'information, de comprendre les moyens de sécurisation disponibles et en particulier les PKI.
A l'issue de cette formation , les stagiaires seront à même de sécuriser une application Java/JEE de manière efficace.

programme rouge

Présentation et besoins

  • Le principe de l'homme du milieu
  • Les risques
  • Politique de Sécurité
  • Evaluation des risques en fonction des différents modes d'utilisation de Java (applets, application, servlets)

Problématiques de sécurisation

  • Identification
  • Authentification
  • Autorisation Confidentialité
  • Non-répudiation

Techniques de sécurisation

  • Chiffrement (DES, AES, RSA,...)
  • Code de hachage
  • Signature (MD5, ...)

Java NIO

  • Buffers, Channels et Selectors
  • Accès direct au système de fichiers
  • Multiplexage de sockets et traitements non-bloquants
  • Encodage des flux de caractères

JCE : Java Cryptography Extension

  • Mise en œuvre du chiffrement et du déchiffrement
  • Mise en œuvre de la signature
  • Configuration et choix des Security Provider

Techniques de sécurisation

  • Différences entre une Clef, une Bi-Clef et un Certificat
  • Illustration d'un envoi d'email avec thunderbird: Les acteurs d'une PKI
  • Autorités de Certification
  • Exemples : Entrust, VeriSign, Thawte
  • Créer votre propre AC
  • Listes de révocation Où stocker toutes ces clefs ?

Keytool : le magasin de clefs Java

  • Génération, manipulation, export et import de clefs et de certificats

SSL

  • Le ou les finalités de SSL
  • SSL simple / SSL mutuelle
  • Procédure de Handshake
  • Présentation de TLS
  • HTTP + SSL = HTTPS
  • Les Magasins de certificats de Internet Explorer et Firefox

JSSE : l'API SSL du monde Java

  • Présentation de Java Secure Socket Extension
  • Manipulation de certificats X.509
  • Sécurisation d'un échange client/serveur

JAAS : Java Authentication and Authorization Service

  • Présentation du principe et des acteurs JAAS
  • Notion de Principal et de Subject
  • Présentation de modules de Login classiques
  • Exemples: Windows, LDAP, SGBD, ...

Sécurité de la JVM

  • Sécurité liée au classloader
  • Classloader par défaut
  • Politique de chargement des classes
  • Créer votre propre classloader
  • Garantir l'intégrité du code par signature
  • Inconvénients du ByteCode : décompilation et obfuscation de code
  • Apprendre à activer le SecurityManager
  • Définir des politiques d'accès grâce aux JavaPolicy (*.policy)
  • Mettre en œuvre les SecurityPermissions
  • Présentation du Bac à sable (sandbox)
  • Cas des Applets
  • Cas des applications JavaWebStart

Sécurité d'une application JEE

  • Une sécurité basée sur les rôles (security role based)
  • Notion de Realm : JDBC, LDAP, XML, ...
  • Sécurité déclarative par Security
  • Contraints dans les descripteurs de déploiement
  • Sécurité programmative par l'utilisation d'API dans le code applicatif Sécurisation des EJB et des Applications Web
  • Exemple de configuration du container web Tomcat
  • Problématique d'accès aux autres acteurs : Exemple avec la base de données

Moyens d'authentification standards Introduction à la Sécurité matérielle

  • Hub et Switch
  • Firewall et DMZ
  • Ouverture de ports
  • Système d'exploitation
  • Proxy / Reverse Proxy
  • Réseaux privés et VPN

Ref : JAS Plan format pdf
pendule-rouge Durée : 3 jours
calculette Prix : 1500 € HT
silhouette-rouge Public : Administrateur systèmes et réseaux,
Développeurs
clef-rouge

Bonne connaisance de Java/JavaEE.

ordinateur-TP De nombreux exercices permettront d’acquérir les commadnes shell de base, l'écriture de scripts simples en bash, de configurer le système réseaux et de gérer le système de fichiers.

telephone

Contactez-nous :

06 60 81 02 03

enveloppe formation@asoft.fr

 

 

 

 

 

 

 

 






---------------------------------------------------------------------------------------------------------------------------------------

AcOS (Académie Open Source) - Formation aux technologies Open Source - Lyon - Paris
Tous Droits réservés à ALTERNANCE Soft   Webmaster - Mentions légales
                         --- Dernière mise à jour 07/01/2016 ---
---------------------------------------------------------------------------------------------------------------------------------------