Académique Documents
Professionnel Documents
Culture Documents
Audit Et Sécurité Informatique D'un Réseau Local - KHALID KATKOUT PDF
Audit Et Sécurité Informatique D'un Réseau Local - KHALID KATKOUT PDF
Elabor par
Riadh Abdelli
MEMOIRE
Prsent pour lobtention du
Encadr par :
Mr. Kamel Khdiri (UVT Tunis)
affectation et confiance.
espoir et qui nous ont soutenus durant tout le cursus universitaire de cette anne.
Toutes ces valeurs mont donn confiance et espoir pour continuer les tudes et
Mes Encadreur Mr Kamel Khdhiri mon encadreur lUVT pour son effort
lgard de mes travaux et les conseils quil ma prodigu mont t trs utiles.
2.2 Apprciation...15
II. Audit de lexistant...17
1. Les services de scurit...17
2. Fonction Informatique de scurit.....17
2.1 Rle des directions dans le systme informatique...17
2.2 Existence de politiques, de normes et de procdures..18
2.3Responsabilit de la direction informatique.19
2.4 Existence de dispositif de contrle interne..20
3. Dcentralisation des traitements20
3.1 Gestion des configurations..20
3.2 Analyse des demandes arrivant au help-desk..21
3.3 Procdures dachat...21
4. Equipement Informatique......22
4.1 Inventaires des quipements informatiques22
4.1.1 Les Units Centrales22
4.1.2 Les Switch et les Hubs.22
4.1.3 Les cblage Informatique.22
4.1.4 Les Imprimantes..23
4.2 Environnement du matriel.23
4.2.1Les dfauts de climatisation..23
4.2.2 Dtection des dgts deau...23
4.2.3 Dtection des dgts du feu..24
4.2.4 Les dgts dlectricit.24
4.3 Environnement des logiciels de base..24
4.3.1 Les Patchs24
4.3.2 Les systmes de fichier.25
4.3.3 Les services inutilisables..25
5. Rseaux et communications....26
5.1 Configuration du rseau..26
5.1.1 Rseau Local..26
5.1.1.1Segmentation26
5.1.1.2 Laffectation des adresses IP...26
5.1.1.3 Les postes utilisateurs..26
a- Squence de dmarrage.26
b- Session..27
c- Active directory.27
5.2 Identification des risques.27
5.2.1 Les risques humains.27
5.2.2 Les risques techniques.28
5.2.2.1 Les Virus...28
5.2.2.2 Attaque sur le rseau.28
5.2.2.3 Attaque sur le mot de passe..29
6. Scurit informatique..29
6.1 Reprage des actifs informationnels29
6.2 Gestion des impacts.30
6.2.1 Intgrit des donnes30
Bibliographie...53
Audit et Scurit dun Rseau Informatique
Introduction
Partant de cette ide, nous avons dcid dtablir un rapport daudit de scurit
informatique.
La premire partie comporte une tude thorique qui dfinie le thme daudit de
la scurit informatique.
La deuxime partie est axe sur les diffrentes phases daudit rparti sur
lanalyse.
La troisime partie prsente une tude pratique qui dfinie la mise en uvre
La socit Profil Aluminium Maghrbin, PALMA, est une socit de rfrence dans le
domaine de lextrusion et du laquage de profils ddi au secteur de la construction et plus
prcisment la menuiserie aluminium.
Palma est le nouveau n du groupe AREM sur la scne industrielle, qui a t cre en 2005.
2/ Activit :
Ses performances industrielles par lesquelles se distingue son entre sur le march lui ont
permis non seulement de russir son positionnement, mais aussi dexporter vers lAlgrie et la
Libye.
Gamme de produits :
Les profils standard (cornires, tubes carres, tubes ronds...), Portes coulissantes, accessoires
et produits usuels, les murs rideaux pour les faades et portes dintrieur
PALMA prfre des nouveauts qui se dmarquent des produits dj existants par leur
caractre innovateur. Plutt que de recourir la casse des prix.
La Qualit de leurs produits de point de vue design, esthtique saillie, styles, teintes bien
tudies, la fait dmarquer de la concurrence.
Rseaux de distribution :
La socit palma a cre un rseau de distribution dans toute les zones de la Tunisie. Ainsi que
lexportation de leurs produits vers lAlgrie, la Libye et lItalie.
Certification :
Aujourdhui, toute lorganisation est mobilise pour la mise en place dun systme de
management intgr avec plusieurs composantes : qualit, sant, scurit et environnement se
basant sur les rfrentiels ISO 9001 version 2000, ISO 14001 et OHAS 18001.
Pour la certification produit, PALMA a entam les dmarches avec lADAL (lassociation de
dveloppement de laluminium) afin davoir les labels Qualicoat et Qualimarine.
Lapport juridique
3. Audit de scurit
3.1 Dfinition
Un audit de scurit consiste sappuyer sur un tiers de confiance afin de valider les
moyens de protection mis en uvre
Un audit de scurit permet de sassurer que lensemble des dispositions prises par
lentreprise sont rputes sures.
Ces objectifs sont regroups au travers des dix grandes thmatiques suivantes :
*la scurit et les ressources humaines : pour rduire les risques dorigine humaine, de vol
ou dutilisation abusive des infrastructures, notamment par la formation des utilisateurs.
*la scurit physique : pour prvenir les accs non autoriss aux locaux.
*la gestion des oprations et des communications : pour assurer le fonctionnement correct
des infrastructures de traitement de linformation, et minimiser les risques portant sur les
communications.
Pour que la scurit soit une part intgrante du dveloppement et de la maintenance des
systmes dinformation.
*la gestion des incidents : pour sassurer dune bonne gestion des vnements lis la
scurit de linformation.
*la gestion de la continuit dactivit : pour parer aux interruptions des activits de lentit
et permettre aux processus cruciaux de lentit de continuer malgr des dfaillances
majeures.
*la conformit la rglementation interne et externe : pour viter les infractions de nature
lgale, rglementaire ou contractuelle pour vrifier la bonne application de la politique
de scurit .
Lapplication de cette norme peut donc tre le rsultat dune srie dtapes qui peuvent
tre schmatises ainsi :
Ex
em
ple
s Figure1 : principe de fonctionnement de la norme ISO1779
de
me
na
ces
Universit Virtuelle de Tunis 8
Audit et Scurit dun Rseau Informatique
*accessibilit : garantir que les personnes autorises ont accs aux informations et aux
avoirs associs en temps voulu.
5.1 Dfinition :
Les services de scurit peuvent avoir des niveaux de performance trs diffrents selon les
mcanismes employs .ces niveaux couvrent :
De mme que certaines serrures (fermetures) sont plus faciles violer que dautre, les
services de scurit sont conus pour rsister des niveaux dattaque variables, selon les
mcanismes mis en uvre, ce qui les rend plus ou moins efficaces.
De mme que certaines protections actives devenir dfaillantes sans que cela provoque
une raction, les services de scurit peuvent tre tudis pour dtecter toute anomalie par
des mcanismes complmentaires, ce qui les rend plus ou moins robustes.
.Accidents physiques.
.Malveillance physique
.Panne du SI
.Carence de personnel.
.Erreur de saisie.
.Erreur de transmission.
.Erreur dexploitation.
Les risques humains sont les plus importants, ils concernent les utilisateurs mais galement
les informaticiens.
.Maladresse : Comme en toute activit les humains commettent des erreurs, ils leur arrivent
donc plus ou moins frquemment dexcuter un traitement non souhait, deffacer
involontairement des donnes ou des programmes.
.Le ver : Exploite les ressources dun ordinateur afin dassurer sa reproduction.
.Le Cheval de Troie : Programme apparence lgitime qui excute des routines
nuisibles sans lautorisation de lutilisateur.
.Le Pourriel (Spam) : Un courrier lectronique non sollicit, la plus part du temps de la
publicit. Ils encombrent le rseau.
.Attaques sur le rseau : les principales techniques dattaques sur le rseau sont :
. Le Sniffing : technique permettant de rcuprer toutes informations transitant sur le rseau.
Elle est gnralement utilise pour rcuprer les mots de passe des applications qui ne
chiffrent pas leurs communications.
.La Mystification (Spoofing) : technique consistant prendre lidentit dune autre personne
ou dune autre machine. Elle est gnralement utilise pour rcuprer des informations
sensibles.
.Attaques sur les mots de passe : les attaques sur les mots de passe peuvent consister faire
de nombreux essais jusqu trouver le bon mot de passe.
.Lattaque par dictionnaire : le mot test est pris dans une liste prdfinie contenant les
mots de passe les plus courants.
.Lattaque par force brute : toutes les possibilits sont faites dans lordre jusqu trouver la
bonne solution (par exemple de "aaaaaa "jusqu "zzzzzz" pour un mot de passe compos
strictement de six caractres alphabtiques).
7. Mthodologie dAudit
Le but de la mthode utilise est de mettre disposition des rgles, modes de prsentation et
schmas de dcision.
7.1 Dfinition :
Une mthodologie est une dmarche rigoureuse et standardise sappuyant sur des outils tels
que des questionnaires, des logiciels spcialiss et permettant de faire lanalyse de scurit du
systme dinformation dans ce contexte, plusieurs mthodes globales se prsentent, citons
comme exemples :
.La mthode EBIOS (Expression des Besoins et Identification des Objectifs de Scurit).
.phase prparatoire.
.Audit de lexistant.
.La dfinition du domaine couvert qui consiste dlimiter le primtre de ltude et prciser
les cellules qui le composent.
.Le questionnaire daudit : cest un questionnaire prenant en compte les services satisfaire.
A chaque service correspond un lot de questions auxquelles il est demand de rpondre par
oui ou par non. "annexe 1."
.La mesure globale de la qualit des services : une mesure globale de la qualit ou la
performance densemble dun service de scurit est labore automatiquement par la
mthode partir des rponses au questionnaire daudit correspondant. Les rsultats de laudit
de lexistant sont galement utiliss pour tablir une image consolide de laudit des mesures
de scurit.
Laudit de lexistant est dtermin en suivant la dmarche dun plan bien organis et dtaill
labor par une autre socit "SONAIDE"
.lexpression des besoins de mesures gnrales de scurit : rduire les consquences des
risques majeur (graves.)
Plage dadresse IP
La Ste Palma dispose de plage dadresse IP routables allous au routeur et
aux postes de travail connects au rseau.
Topologie du rseau
Tous les postes de travail connects au rseau sont placs sur le mme
segment. Des Switchers en cascade sont utiliss dont les diffrents postes
de travail leurs sont connects.
Equipements existants
Des PC de bureau et portables : Pentium IV, Dual Core
Un serveur HP proliant pour de base de donnes
2.2 Apprciation
Faiblesse du rseau actuel
La Ste Palma est une filiale dAremgroup, ainsi la direction Informatique est
centralise au sige.
Service Bureautique
Apprciation
Linexistence de mthode de dvaluation des risques et de la gestion de la
scurit informatique a pour consquence :
Le non garanti de lharmonisation et de la qualit des applications.
Le non maitrise de la gestion des projets informatiques
Difficult dvaluation du personnel informatique
Apprciation
Lexploitation
La gestion du parc informatique
La gestion du rseau LAN et WAN
Recommandation
La direction Informatique doit instaurer une structure qui sera charg
la planification et au suivit des travaux afin de :
Suivre la productivit du personnel informatique
Apprciation
On constate quune architecture client/serveur 2 tiers est
volutive, car il est facile dajouter ou denlever des clients sans
perturbation et modification du fonctionnement du rseau
En plus larchitecture 2 tiers interroge un seul serveur pour
valuer un service demand. Mais, en cas de panne, seul ce serveur fait
lobjet dune rparation, et non le PC client, cela signifie que ce serveur
est le seul maillon faible du rseau client/serveur, tant donn que tout
le rseau est architectur autour de lui.
Recommandation
4. Equipement Informatique
4.1 Inventaires des quipements informatiques
4.1.1 Les Units Centrales
Apprciation
On constate que la configuration matrielle rpond aux exigences
minimales pour la configuration des applications et pour une
exploitation facile et assurer une rapidit des traitements
4.1.2 Les Switch et les Hubs
Les diffrents postes de travail sont interconnects via des Switch et des
hubs en cascade.
Apprciation
Les Switch envoient directement le trafic seulement la destination,
contrairement aux hubs qui envoient le trafic tous les ports et non
seulement la destination
Lutilisation des hubs augmente le risque dintrus obtenant laccs au
rseau et menant une attaque dcoute.
Recommandation
Il est conseill de remplacer tous quipements passifs par des
quipements actifs
5. Rseaux et communications
5.1 Configuration du rseau
5.1.1 Rseau Local
5.1.1.1 Segmentation
Apprciation
Un attaquant, laide doutils spcifique, peut facilement
identifier ladresse IP de lquipement dsign, pour accder
ces ressources.
Recommandation
Il est conseill dintgrer un serveur DHCP qui permet
dattribuer automatiquement des adresses IP la station de
travail.
5.1.1.3 Les postes utilisateurs
a- Squence de dmarrage
Disquette/CDROM
Disque Dur
Apprciation
Lutilisation de cette squence de dmarrage offre lintrus,
obtenant laccs physique au poste de travail, le lancement
dun systme dexploitation pour mener ces attaques.
Recommandation
La squence de dmarrage qui doit tre applique est la
suivante :
Disque Dur
CD ROM/Disquette
b- Session
La plus part des postes utilisateurs ne possde pas de session, mais il
ya dautres qui possdent la configuration de deux sessions :
Une pour ladministrateur informatique, et lautre pour lutilisateur.
Apprciation
Labsence de session offre lintrus la possibilit de
collecter un ensemble dinformation sur la cible (nom
dutilisateur, partage).
Laudit des postes de travail connects au rseau a relev la
prsence de cette vulnrabilit pour plusieurs postes.
Recommandation
Lexigence davoir au moins deux sessions pour chaque
poste, une pour lutilisateur avec privilge restreint de
prfrence pour ne pas modifier la configuration initiale et la
deuxime pour ladministrateur qui est le seul pouvoir
modifier les paramtres de base.
Une authentification par Login et Mot de passe est
obligatoire.
C- Active directory
Apprciation
Active directory fournit des services centraliss de Gestion
des ressources et de la scurit, il permet galement
l'attribution et l'application de stratgies.
Recommandation
Une Intgration des postes de travail au domaine spcifi est
ncessaire. Cette tape donne ladministrateur un droit de
contrle des utilisateurs en leur attribuant les droits biens
spcifis et de grer les diffrents ressources, aussi il ya un
gain de temps pour ladministrateur et pour lutilisateur.
6. Scurit informatique
6.1 Reprage des actifs informationnels
Grace Active directory scurit est entirement intgre dans Active Directory.
Le contrle d'accs peut tre dfini non seulement sur chaque objet de l'annuaire,
mais aussi sur chaque proprit de chacun des objets.
Active Directory fournit la fois le magasin et l'tendue de l'application pour les
stratgies de scurit.
Une stratgie de scurit peut inclure des informations de compte, telles que des
restrictions de mot de passe applicables sur l'ensemble du domaine ou des droits
pour des ressources de domaine spcifiques.
Les stratgies de scurit sont mises en place par le biais des paramtres de
Stratgie de groupe. Ainsi les avantages de Active directory est :
Amlioration de la scurit
2. Solution Antivirale
La protection antivirale consiste appliquer une solution antivirus client/serveur
Cette solution consiste installer un serveur antivirus sur le rseau, et de dployer
sur chaque machine le client associ. Une telle solution permet de centraliser la
tache dadministration : mise jour des fichiers de signature et dploiement
automatiquement sur les postes clients.
Lantivirus propos implmente aux moins les fonctionnalits suivantes :
excution en tache de fond, dtection automatique, rcupration des fichiers
importants aprs une suppression accidentelle, filtrage du courrier lectronique
indsirable et mise jour automatique.
ci avec des outils comme AIDE (Advanced Intrusion Dtection Environment) qui est
un logiciel qui permet de contrler lintgrit du systme de fichier sur un serveur.
4.2 Systme de dtection dintrusion rseau
Un NIDS travaille sur les donnes transitant sur le rseau. Il peut dtecter en
temps rel une attaque seffectuant sur lune des machines. Il contient une base de
donnes avec tous les codes malicieux et peut dtecter leurs envois sur une des
machines.
On peut citer par exemple un NIDS appel Snort.
5. Solution Firewall
La solution de filtrage consiste dployer trois niveaux consiste dployer trois
niveaux de filtrage sur les ressources du rseau, comme crit ci-dessous :
6. Annuaire
Un annuaire permet de stocker des donnes lgrement types, organises
selon des classes particulires et prsentes dans un arbre.
On peut trouver des solutions dannuaire comme LDAP, cest une structure
arborescente dont chacun des nuds est constitu dattributs associs leur
valeur : la racine O organisation , le sous ensemble dune organisation ou
organizationlUnit , le nom de domaine Dc domainComponent et la personne
Person schma standard pour une personne
Chapitre IV : Installation et
dploiement dActive
directory
I. Introduction
Vu les vulnrabilits quon a rencontr pendant ltude de laudit de la scurit
informatique du rseau de la Socit Palma et vu laugmentation des services
(messagerie, serveur fichiers), je propose le passage du Workgroup au domaine
et linstallation de lannuaire Active directory afin de centraliser la gestion des
ressources et la mise en place des rgles de scurit.
Le facteur temps et scurit sont des facteurs importants pour les socits, ceci
pousse les dcideurs avoir des solutions centralises de gestion des ressources
informatiques.
II. Prsentation
Le service d'annuaire Active Directory doit tre entendu au sens large, c'est--dire
qu'Active Directory est un annuaire rfrenant les personnes (nom, prnom,
numro de tlphone, etc.) mais galement toute sorte d'objet, dont les serveurs,
les imprimantes, les applications, les bases de donnes, etc.
Fig. 1 :
Active Directory est donc un outil destin aux utilisateurs mais dans la mesure o
il permet une reprsentation globale de l'ensemble des ressources et des droits
1. Domaines
2. Arbres de domaines
Un arbre Active Directory est compos de plusieurs domaines relis par le
biais d'approbations transitives bidirectionnelles, qui partagent un schma et un
catalogue global communs.
3. Forts
Une fort est un groupe d'arbres de domaines interconnects. Des approbations
implicites existent entre les racines des arbres d'une fort. Si tous les domaines
et arbres de domaines ont en commun un mme schma et un mme catalogue
global, ils ne partagent en revanche pas le mme espace de noms.
La structure d'Active Directory lui permet de grer de faon centralise des
rseaux pouvant aller de quelques ordinateurs des rseaux d'entreprises
rpartis sur de multiples sites.
Dans la console DHCP, on ajoute le serveur l'aide d'un clic-droit, puis on active et on
dmarre le service proprits du service DHCP. Puis on autorise le serveur DHCP agir sur le
domaine
Nous allons maintenant crer une tendue qui distribuera les adresses IP aux postes
clients. Pour cela, au niveau du serveur, clic-droit => nouvelle tendue.
On cre ltendu selon le plan dadressage quon a dfinit au dbut, ensuite on peut spcifier
le routeur ou la passerelle par dfaut qui doit tre distribu par cette tendu en lui attribuant
son adresse IP dans option de ltendu
2. Poste Client
De prfrence il faut donner une notation significative pour les postes clients et
pour les sessions utilisateurs, on peut utiliser pour les postes la racine PC suivi du
Nom et pour les sessions on peut choisir le Nom et le prnom spar par un tir.
Par dfaut, les diffrents groupes oprateurs ne disposent pas de membres. On procde
lajout des comptes d'utilisateurs dans ceux-ci pour attribuer des droits spcifiques. II est
prfrable de limiter les droits des utilisateurs leurs fonctions pour une question de matrise
de la scurit.
Le conteneur Users liste les groupes prdfinis du domaine avec une tendue globale ainsi
que quelques groupes prdfinis du domaine avec une tendue de domaine local, selon la
figure. 23
3. Fonctionnement
Aprs linstallation dactive directory nous aurons le schma du rseau Palma
selon la figure 24.
La composition du rseau de palma aprs linstallation dactive directory est comme suit :
Domaine :
Un contrleur de domaines :
Chaque utilisateur a un certain nombre dattributs et son propre UID (User Identity :
Un numro de code qui lui permet dtre identifi sur le domaine
Des groupes
Toute personne faisant partie du domaine se connecte avec un compte utilisateur cre au
niveau active directory. Le compte utilisateur contient les informations sur lutilisateur, ses
appartenances aux groupes et les informations concernant la politique de scurit.
Authentification unique
Partages des ressources simplifis
Conclusion
A la fin de ce travail, je peux dire que jai bien pu avoir une visibilit
concrte sur un domaine bien spcifique qui est la scurit informatique.
Et pour conclure, je peux dire que lobjectif global nest pas atteint par un seul
projet, mais par une succession de projets afin dtablir un audit de scurit
selon une mthode et norme standard.
Bibliographie
www.ansi.tn
www.clusif.fr
www.clusif.fr
www.microsoft.com/technet/prodtechnol/w2kadsi.asp.
www.cygwin.com
www.commencamarche.com
www.isc.cnrs.fr
www.parisscyber.com
www.Reso-Net.com/es.htm
www.microsoft.com/france/window