Vous êtes sur la page 1sur 257

Formation

CompTIA Security+
(SY0-401)

Hamza KONDAH
Une formation
Introduction
Validation indépendante des
constructeurs et éditeurs
Validation des connaissances
Identifier les risques, proposer des
solutions et maintenir un niveau de
sécurité adéquat
Une formation
ISO 17024
Plan de la formation
Introduction
1. Menaces et Vulnérabilités
2. Contrôle d'accès, Authentification et Autorisation
3. Hôte, données et sécurité applicative
4. Cryptographie
5. Administration Sécurisé
6. Disaster Recovery and Incident Response
7. Sécurité Opérationnelle
Une formation Conclusion
Public concerné

Administrateur (Réseau ou Système)


Technicien
Ingénieur informatique
Consultant IT
Responsable SI
Une formation
Prérequis
Avoir une connaissance de base de
la pile TCP/IP
Savoir configurer les paramètres IP
d'une machine
Avoir une première expérience
dans le domaine IT
Une formation
Formation Comptia Security+ (1/2)
Prérequis
Formation Comptia Security+ (1/2)

Une formation
Introduction aux
Vulnérabilités Applicatives

Hamza KONDAH
Une formation
Introduction

Chapitre très important


Applications Web et Desktop
Concepts
Surface d’attaque
Meilleures défenses
Une formation
Merci
Architecture des
applications Web

Hamza KONDAH
Une formation
Plan

Architecture
DVWA
WebGoat
Lab : Mise en situation

Une formation
Architecture

Une formation
DVWA

Damn Vulnerable Web Application


Application web vulnérable
Très pédagogique
Vulnérabilités de base
Excellente pour commencer

Une formation
WebGoat

Application vulnérable, aussi ☺


Ecrite en J2EE
Sensibilisation du public aux problèmes
de sécurité
Projet de l’OWASP
Plus avancée que DVWA
Une formation
Lab : Mise en situation

Une formation
Merci
Cross Site Scripting

Hamza KONDAH
Une formation
Plan

Définition
Reflected XSS
Stored XSS
DOM Based XSS
Lab : XSS
Une formation
Définition

Injection de code
Problématique des INPUT
JS, VBScript, HTML, FLASH
Session Hijacking
Vol d’informations
Contrôle total ☺
Une formation
Reflected XSS

(4) Exécution du code

Pirate

(1) Envoi d’un lien piégé

(5) Envoi de données

Victime
(3) Page demandée contenant le code
injecté dans l’URL par le hacker
(2) Clique sur le lien

Une formation
Site Web Ciblé
Stored XSS

(4) Exécution du code

Site web ciblé


(2) Visite de la page piégée

(3) Page demandée contenant le code


injecté par le hacker

Victime

(5) Envoi de données

(1) Injection du code nocif dans un site


vulnérable

Une formation

Pirate
DOM Based XSS

Script
Client Side
Accès aux paramètres URL
Remote Code Execution
Bypass la SandBox
Une formation
Lab : XSS

Une formation
Merci
Cross Site Request Forgery

Hamza KONDAH
Une formation
Plan

Définition
Lab : CSRF

Une formation
Définition
Faille CSRF
1.L’administrateur rédige un article
http://www.blog.fr/create.php?id=1

Serveur : blog.fr

2.Le pirate envoie un lien exploitable


http://www.blog.fr/del.php?id=1

Une formation
3.L’administrateur clique sur le lien du pirate et supprime son propre article
Lab : CSRF

Une formation
Merci
SQL Injection

Hamza KONDAH
Une formation
Plan

Introduction
Ce qu’on pourra faire
Scénario
Lab : SQLi

Une formation
Introduction

Vecteur d’attaque le plus critique


Modifier une requête SQL
Input mal filtré
Exécution (Injection) de requête
malveillante
Une formation
Ce qu’on pourra faire

Bypasser l’authentification
Exposition d’informations
Compromission de l’intégrité
Compromission de la disponibilité
Remote Code Execution
Une formation
Scénario

Une formation
Scénario

Une formation
Lab : SQli
SQLi

Une formation
Merci
Injection LDAP

Hamza KONDAH
Une formation
Définition

Validation des inputs


Server Side
Accès complet à la BDD
Modification
Métacaractères
Une formation
Merci
Injection XML

Hamza KONDAH
Une formation
Plan

Introduction
Lab : XML Injection

Une formation
Introduction

Injection de Tags XML


Modification de la structure XML
Modification de données de
paiement
Authentification non autorisé
Une formation
Lab : XML Injection

Une formation
Merci
Command Injection
et Directory Traversal

Hamza KONDAH
Une formation
Plan

Command Injection
Directory Traversal
Lab : Exploitation

Une formation
L’injection de commandes

Injection similaire à la SQLi


Injection de commandes systèmes
Contrôle total
Shell Système

Une formation
Directory Traversal
Problème de validation
Remonter la ponte ../
Gain d’accès
Fichiers sensibles

Une formation
Lab : Exploitation

Une formation
Merci
La segmentation mémoire

Hamza KONDAH
Une formation
Plan

Introduction
Segments mémoire
Amélioration continue

Une formation
Introduction

Exécution d’une application


Mémoire
Chargement d’un ensemble
d’éléments
Instruction
Une formation
Introduction

Un programme gère :
Ses variables
Ses instructions
Variables des différentes
fonctions
Une formation
Segments mémoire

Pile

Tas
Bss
(données non initialisées)

Données

Code
Une formation
Amélioration continue

Une formation
Amélioration continue

Une formation
Merci
Buffer Overflow

Hamza KONDAH
Une formation
Plan

Définition
Exploitation courantes
Lab : Buffer Overflow

Une formation
Définition

Buffer : Zone de mémoire


Overflow : Dépassement
Mémoire allouée initialement lors
de l’exécution d’un programme
Crash
Une formation
Exploitation courantes

Stack Overflow
Shellcode
Dépassement de capacité
DoS

Une formation
Lab : Buffer Overflow

Une formation
Merci
Integer Overflow

Hamza KONDAH
Une formation
Définition

Une formation
Merci
0 Day

Hamza KONDAH
Une formation
Définition

Vulnérabilité comme les autres


Pas de correctif connu
Daknet
Un cauchemar ☺

Une formation
Définition

Une formation
Merci
Les Cookies

Hamza KONDAH
Une formation
Cookies

Fichier texte
Web experience
Historique
Customisation
Risque
Une formation
Merci
Local Shared Object

Hamza KONDAH
Une formation
Introduction

Local Shared Object


Flash Cookie
Adobe Flash
Stockage de données
Jeux Flash
Menaces
Une formation
Merci
Add-Ons Malicieux

Hamza KONDAH
Une formation
Introduction

Add-ons
Risque toujours existant
Intentionnel ou accidentel
Java Applet : La catastrophe ☺
Java-enabled
Secure Coding
Une formation
Merci
Introduction au Scanning
et à la reconnaissance

Hamza KONDAH
Une formation
Plan
Introduction
Phases de Reconnaissance
Open Source intelligence
Ce qu’il faut chercher
Méthodologie
Lab : Reconnaissance

Une formation
Introduction

La tâche la plus importante


La tremplin ☺
Récolte de vulnérabilités
Surface d’attaque
Phase d’attaque
Une formation
Phases de Reconnaissance

Passive Normal Active


reconnaissance interaction reconnaissance

Une formation
Open Source intelligence

Première phase d’un pentesteur


Sources publiques
Utilisé par la plupart des services
secrets et militaires
Organisation des ressources
Une formation
Ce qu’il faut chercher

Localisation géographique
Employés
Historique
Erreur de manipulation
IP et sous réseaux
Social engineering
Une formation
Méthodologie

Interaction Operating
OSINT , passive Vulnerability
host detection , system,
reconnaissance scanning
port scans services …

Une formation
Lab : Reconnaissance

Une formation
Merci
NMAP : Introduction

Hamza KONDAH
Une formation
Plan

Introduction
Lab : Nmap

Une formation
Introduction

Scanner de ports open source


Ports ouverts, services hébergés et
informations sur l’OS
La référence
Version graphique : Zenmap
Une formation
Lab : Nmap

Une formation
Merci
NMAP :
Techniques de Scanning

Hamza KONDAH
Une formation
Plan

TCP SYN Scan


Stealth Scan
TCP XMAS Scan
TCP ACK Scan
Lab : Scanning avancé
Une formation
TCP SYN Scan
TCP SYN scan : port ouvert

SYN

SYN/ACK

TCP SYN scan : port fermé

SYN

Une formation
RST/ACK
TCP Connect Scan
TCP SYN scan : port ouvert

SYN
SYN/ACK
ACK

TCP SYN scan : port fermé

SYN

Une formation
RST/ACK
Stealth Scan
Stealth scan : port ouvert

FIN

Pas de réponse

Stealth scan : port fermé

FIN

RST/ACK
Une formation
TCP XMAS Scan
TCP XMAS scan : port ouvert

URG/PUSH/FIN

Pas de Réponse

TCP XMAS scan : port fermé

URG/PUSH/FIN

RST/ACK
Une formation
TCP ACK Scan
TCP ACK scan : port non filtré

ACK

RST

TCP ACK scan : port filtré

ACK

Pas de Réponse
Une formation
Lab : Scanning avancé

Une formation
Merci
Nessus

Hamza KONDAH
Une formation
Plan

Introduction
Lab : Nessus

Une formation
Introduction

Scanner de vulnérabilités
Services, Passwords, Serveur,
Config…
Incluant le DoS
Très complet
Version communautaire
Une formation
Lab : Nessus

Une formation
Merci
OpenVAS

Hamza KONDAH
Une formation
Plan

Introduction
Lab : OpenVas

Une formation
Introduction

Un Fork de Nessus
Développement libre
Vulnerability Scanning
Vulnerability Management

Une formation
Lab : OpenVas

Une formation
Merci
Vulnerability Assessment

Hamza KONDAH
Une formation
Définition

Processus d’évaluation
Sécurité interne et externe
Identification des vulnérabilités
Contremesures
Tout sauf un test d’intrusion
Une formation
Merci
Déterminer une surface
d'attaque

Hamza KONDAH
Une formation
Plan

Définition
Types
Importance
Analyse

Une formation
Définition

Systèmes d’informations
Points de terminaison
Communication Externe
Tout ce qui est en interaction
Exposition
Une formation
Types

Surface Surface
d’attaque d’attaque
physique réseau

Surface Surface
d’attaque d’attaque
Une formation
logiciel humaine
Importance

L’étendu de la surface d’attaque


reflète son degré d’exposition
Plus une surface d’attaque est
étendue Sécurisation en
profondeur
Une formation
Analyse

Formulaire de contact

Application 1 Upload de fichier


Drupal
Saisie d’article
Service
IP 192.168.7.114 Apache
2.2.24 Application 2 Formulaire de saisie
Webmin
Port 80 Envoie de commande
Linux

Une formation
Merci
Exploitation de vulnérabilités

Hamza KONDAH
Une formation
Plan

Méthodologie
Rappel : Metasploit

Une formation
Méthodologie

Méthodologie
Analyse de
Reconnaissance Scanning Exploitation Post
vulnérabilités
Exploitation

Une formation
Metasploit

Framework Sécurité Informatique


Modulaire
Modules auxiliaires
Coding d’exploits
Automatisation
Une formation
Merci
Le Durcissement
Système et Réseau

Hamza KONDAH
Une formation
Plan

Définition
Implication du Hardenning
Méthodologie

Une formation
Définition

Hardenning ou Durcissement
Rendre un système plus résistant
Mauvaise exploitation

Accès
Système Réseau Application
physique

Une formation
Réduire la surface d’attaque !
Implication du Hardenning

Renforcement de la sécurité
Méthodologie différente
Pas de Copy / Past
Connaissances requises
Étude de l’existant !
Une formation
Méthodologie
Remove
Default
Accounts

Configure
Closed
And
Unused
Manage
Network
User
Port
Privileges

Security
Hardening

Patch Enforce
Known
Password
Vulnerabilit
y Compexity

Remove
Unneeded
Une formation Services
Merci
Sécurisation des réseaux

Hamza KONDAH
Une formation
Plan

Introduction
PDCA
Postures Défensives
Durcissement

Une formation
Introduction

Sécurité offensive Points faibles


Analyse des surfaces d’attaque
Amélioration continue PDCA
Mise en pratique

Une formation
PDCA

Une formation
Postures Défensives

Firewall
DMZ IDS/IPS
Proxy

Sécurité Contrôle
Durcissement
sans fils d’accès
Une formation
Durcissement

Meilleurs
pratiques SSH Serveur Web
hôte

Serveur FTP Serveur DNS Serveur DHCP

Une formation
Merci
Shodan

Hamza KONDAH
Une formation
Plan

Définition
Lab : Shodan

Une formation
Définition

Moteur de recherche
Répertorie tout les systèmes
Connectés
Scan de services et ports
API de développement
Une formation
Lab : Shodan

Une formation
Merci
SIEM

Hamza KONDAH
Une formation
Plan

Définition
Rôles
Lab : SIEM

Une formation
Définition

Security Event Information Management


Gérer et corréler les logs
Moteurs de corrélation
Relier plusieurs évènements à une même
cause

Une formation
Rôles

la
la collecte l'agrégation
normalisation

la corrélation le reporting l'archivage

le rejeu des
évènements
Une formation
Lab : SIEM

Une formation
Merci
Méthodologies d’audit

Hamza KONDAH
Une formation
Plan

Introduction
EBIOS
MEHARI
ISO 27000

Une formation
Introduction

Méthodologie de test
Normes
Customisation nécessaire
Etude du besoin
Contrôle continue
Une formation
EBIOS

Evaluation du risque
DCSSI
ANSSI (2009)
Risques de sécurité des SI
Vulnérabilités, attaques, menaces…
Une formation
MEHARI

Méthode harmonisée d’analyse des


risques (MEHARI)
Gestion de risque de sécurité
CLUSIF
Révision 2016
Une formation
ISO 2700x

Famille de normes
Sécurité de l’information
Recommandation
SMSI

Une formation
Merci
Patch Management

Hamza KONDAH
Une formation
Plan

Définition
Processus
Lab : Patch Management

Une formation
Définition

Processus
Gestion des correctifs de sécurité
Déploiement
Vulnérabilités Correctifs ou
Patchs
Méthodologie
Une formation
Processus
Inventaire

Amélioration Veille
Continue

Gestion du
risque

Post Plannifier
déploiement

Une formation Déploiement


Lab : Patch Management

Une formation
Merci
Le Reporting

Hamza KONDAH
Une formation
Introduction

Le point le plus primordial


Reflète vos trouvailles
Plusieurs méthodologies
Le plus granulaire possible
Screenshot
Annexe
Une formation
Merci
Introduction aux
contrôles d'accès

Hamza KONDAH
Une formation
Plan

Définition
Identification et Authentification
Système d’authentification
Méthodologie de contrôle d’accès

Une formation
Définition

Permettre l’accès à un utilisateur autorisé


Filtrage
Outils et Technologies
Ensemble de procédures

Une formation
Identification et Authentification

Trouver l’identité d’une entité


Mécanisme de vérification de
l’identification
L’identification est la revendication
d’une identité ☺
Une formation
Système d’authentification

Something you know


Something you have
Something you are
Something you do
Something you are
Une formation
SFA

Single Factor Authentication


La plus basique d’entre toutes
Un seul type d’authentification
Username/Password
Mutual Authentication
Une formation
Illustration

Login : Administrator
Password :

Une formation
Logon or Security Server
Multifactor Authentication

Deux méthodes ou plus


Password + SMS

Une formation
NAC

Network Access Control


Contrôle d’accès
Opérations journalières
Méthodologie
Analyse des besoins et des
exigences
Une formation
NAC

Opérations journalières
Topologie et connexions
Partie tierce
Vulnérabilité
Hardware + Software
Une formation
Token

Similaire aux certificats


Identification et authentification
Token : Data (Informations sur le user)
Générer à chaque moment

Une formation
Fédération

Ensemble de ressources
Même standard d’opération
Messagerie instantanée
Faciliter la communication
Notion d’identité fédérée
Une formation
Authentification via Token
1 Challenge
Client PC
2 Response

3 Token Device Challenge

4 Valid Certificate

5 Authentication Authentication
3 Server
4 Token Device Answers

Token

Une formation
Incidents potentiels

Deux méthodes ou plus


Password + SMS

Nontransitive Trust Nontransitive Trust Transitive Trust Transitive Trust

Can’t Can
User User Be
Be Ressource
granted granted Ressource
access access

Domain A Domain B Domain C Domain A Domain B Domain C

Une formation Figure 1 : Transitive trust and Nontransitive trusts


Merci
Accès à distance

Hamza KONDAH
Une formation
Plan

Introduction
Protocole Point-to-Point
Protocoles de Tunneling
Radius
(X)TACACS/TACACS+
SAML
Lab: Accès à distance
Une formation
Introduction

L’habilité de se connecter
Processus plus facile et plus sécurisé
Protocoles utilisés pour faciliter l’accès
à distance

Une formation
Protocole Point-to-Point

PPP – 1994
Supporte plusieurs protocoles
AppleTalk, IPX et DECnet
Pas de sécurité de la data
Authentification CHAP

Une formation
Point-to-Point Protocol

Encapsulation de trafic
Network Control Protocol – NCP
Link Control Protocol – lCP
Connection au réseau
Comme si vous y étiez ☺
Une formation
Protocoles de Tunneling

Création de tunnel entre des réseaux


Sécurité
Confidentialité
Encapsulation
VPN
Attention à la configuration par default
Une formation
Protocoles de Tunneling

Point to point Layer 2 Layer 2


tunneling Forwarding – Tunneling
protocol –pptp 2LF Protocol – L2TP

Internet
Secure Shell -
Protocol
SSH
Security - IPSEC

Une formation
Radius

ISP
Large Network

Authorization

Request Server
Validating
Request
Client Radius Client Radius Server

Une formation
(X)TACACS/TACACS+

Terminal Access Controller


Access Control System
Client/Server
Similaire à radius

Une formation
(X)TACACS/TACACS+
Extented TACAS – XTACACS
Authentification + Autorisation
Traçabilité
TACAS +
Plusieurs manières de gestion
Cisco TACACS +
Alternative RADIUS
Une formation
SAML

Security Assertion Markup Language


Standard basé sur XML
Authentification + Autorisation
Identité
SAML v2.0
Une formation
Lab : Accès à distance

Une formation
Merci
Les Services
d'authentification

Hamza KONDAH
Une formation
Plan

Introduction
LDAP
Kerberos
Single Sign On

Une formation
Introduction

Spécifique à une technologie


LDAP et Kerberos
Internet Authentication Service – IAS
Central Authentication Service – CAS
Single Sign-on

Une formation
LDAP

Lightweight Directory Access Protocol


Protocol d’accès
Annuaires
Bases d’informations
Port 389
LDAPS
Une formation
Kerberos

Une formation
Single Sign On

App Server

User AD
Security
Email Server

User

DB Server

Une formation
Merci
Les Contrôles d’accès

Hamza KONDAH
Une formation
Plan

MAC
DAC
RBAC (role & rule)

Une formation
MAC

Une formation
DAC

Une formation
RBAC

Une formation
RBAC

Une formation
Merci
Rappel sur le Durcissement

Hamza KONDAH
Une formation
Définition

Durcissement ou « Hardening »
Sécurisation
Peut concerner plusieurs couches
Réduction de la surface d’attaque
Une nécessité
Une formation
Merci
Durcissement applicatif

Hamza KONDAH
Une formation
Plan

Introduction
Base de données
SAN

Une formation
Introduction

Vérification
Mise à jour
Protocoles nécessaires uniquement
Applications et services
Particulièrement vulnérable
Une formation
Base de données

One-Tier Two-Tier Three-Tier


Model Model Model

Une formation
Base de données

Une formation
SAN

Storage Area Network


Réseau Séparé
Front end tant que serveur
Sécurité similaire aux serveurs traditionnels
Fibre très rapide iSCSI
Firewall, IDS …
Une formation
Merci
Le Fuzzing

Hamza KONDAH
Une formation
Plan

Définition
Lab : Le Fuzzing

Une formation
Définition

Technique de test d’applications


Injection de data aléatoires
Inputs
Bug Défauts à corriger
Web, logiciels etc…
Une formation
Lab : Le Fuzzing

Une formation
Merci
Le développement sécurisé

Hamza KONDAH
Une formation
Plan

Introduction
Que coûte une faille ?
Cycle de développement
OWASP
CERT
Une formation
Plan

PCI
CWE
Méthodologie
Zones à Risques

Une formation
Introduction

Attaques de plus en plus sophistiquées


Hardening non suffisant : Combler les
trous n’est jamais une solution
Une faille cache une autre
Sécurité par le développement
Une formation
Que coûte une faille ?

Par enregistrement volé : 150$


Par brèche 3,79 M$
23% d’augmentation depuis 2013
60 à 70 % lié à de mauvaises
pratiques en coding
Une formation
Cycle de développement

Création de modèle conceptuel


Mauvaises pratiques en développement
Déploiement non approprié
Maintenance et mise à jour

Une formation
Cycle de développement

Association à des informations


OS
Base de données
Applications partagées
Client Side
Une formation
OWASP

Open Web Application Security Project


Applications web
Recommandation sécurité
Outils
Guides
Une formation
CERT

Software Engineering Institute (SEI)


Cyber sécurité
Software
Participatif
Gouvernement
FBI
Une formation
PCI

Payement Card Industry


PCI SSC
PCI DSS
Recommandations

Une formation
CWE

Common Weakness Enumeration


Vulnérabilités
MITRE
NCSD
Département de sécurité intérieur US
Une formation
Méthodologie
Planning

Deployment Defining

SDL
C
Testing Designing

Une formation Building


Méthodologie

Une formation
Zones à Risques

Validation des entrées


Déclaration et initialisation
Expressions
Api
Librairies
Une formation
Merci
Sécurité de l'hôte

Hamza KONDAH
Une formation
Plan

Permissions
ACL
Anti-Malware
Lab : Host Security

Une formation
Permissions

Aspect le plus basique


Privilèges moindres
Granularité

Full Read and


Modify Read
Control Execute

Une formation
Write
ACL

Access Control List


Qui peut accéder à quoi
Peut être interne à l’OS
ACL Physique
White et Black List
Une formation
Anti-Malware

Anti
Anti Virus Anti Spam
Spyware

Pop up Host based Host based


blocker firewalls IDSs

Une formation
Lab : Host Security

Une formation
Merci
Protection de données

Hamza KONDAH
Une formation
Plan

Backups
RAID
Types de RAID
Clustering
Load Balancing
Une formation
Backups
Niveau basique
Tolérance de pannes Backups
Archivage périodique
Plusieurs types de backups

Full Differential Incremental


Une formation
RAID

Rendundant Array of Independent Disks


Plus d’un HD
Fonctionnement sans interruption

Une formation
Types de RAID

RAID 3 et
RAID 0 RAID 1
4

RAID 1+0
RAID 5 RAID 6
(ou 10 )

RAID 0+1
Une formation
Clustering

Parallélisme
Performance
Disponibilité
Redondance

Une formation
Load Balancing

Une formation
Merci