OK M212-Assurer Durcissement-Manuel-TPs

TRAVAUX PRATIQUES – FILIÈRE INFRASTRUCTURE DIGITALE
M204 – Assurer le durcissement de la sécurité des systèmes et réseaux

informatiques
50 heures
Assurer le durcissement de la sécurité
des systèmes et réseaux informatiques
SOMMAIRE 1. PRÉSENTER LES NORMES ET LES STANDARDS DE
DURCISSEMENT
• Activité 1 : Conception d’une architecture sécurisée
• Activité 2 : Rédaction des guides de durcissement des composants
2. MAITRISER LE DURCISSEMENT DU RÉESAU

• Activité 1 : Installation et configuration d’un firewall
• Activité 2 : Application des règles de durcissement d’un VPN sur un
Firewall
3. MAITRISER LE DURCISSEMENT D’UN SYSTÈME

• Activité 1 : Application des règles de durcissement d’un Linux
• Activité 2 : Application des règles de durcissement d’un Windows
4. DÉPLOYER DES SOLUTIONS DLP ET DE TRAÇABILITÉ

• Activité 1 : Déploiement d’une solution DLP
• Activité 2 : Configuration d’une solution de traçabilité
MODALITÉS PÉDAGOGIQUES
1 2 3 4 5
LE GUIDE DE LA VERSION PDF DES CONTENUS DU CONTENU DES RESSOURCES
SOUTIEN Une version PDF TÉLÉCHARGEABLES INTERACTIF EN LIGNES
Il contient le est mise en ligne Les fiches de Vous disposez de Les ressources sont
résumé théorique sur l’espace résumés ou des contenus consultables en
et le manuel des apprenant et exercices sont interactifs sous synchrone et en
travaux pratiques formateur de la téléchargeables forme d’exercices asynchrone pour
plateforme sur WebForce Life et de cours à s’adapter au
WebForce Life utiliser sur rythme de
WebForce Life l’apprentissage
Copyright - Tout droit réservé - OFPPT 3

PARTIE 1
PRÉSENTER LES NORMES ET LES
STANDARDS DE DURCISSEMENT
Dans ce module, vous allez :
• Découvrir les bonnes pratiques d’architectures sécurisées

• Se familiariser avec les guides et les standards de durcissement
12 heures
ACTIVITÉ n° 1
Conception d’une architecture sécurisée
Compétences visées :
• Appliquer les bonnes pratiques d’architecture sécurisées

• Adapter les principes de durcissement à un besoin client
Recommandations clés :
• Le besoin exprimé est volontairement vague et sans beaucoup

de contraintes pour vous permettre d’utiliser et de proposer
des solutions connues et de les challenger en groupe
6 heures
CONSIGNES
Pour le formateur :
• Il n’y a pas qu’une seule solution possible à chaque question
• Il faut orienter les apprenants en cas de blocage et donner des indices
• Le corrigé est pour orienter l’apprenant à chercher plus et challenger les propositions
• Il est recommandé de consacrer un temps pour une présentation orale des
architectures et des questions/réponses où l’objectif est de challenger les propositions
Pour l’apprenant :
• L’intérêt de chaque activité est le processus de recherche et d’analyse des résultats
• Durant la présentation des autres apprenants, il faut challenger leurs propositions et
poser des questions pour clarifier la compréhension
• Le support de réponse est une présentation PowerPoint
• Passer du temps à se familiariser avec les guides de durcissement
Conditions de réalisation :
• Une connexion internet
• Le guide théorique
• Microsoft Visio s’il est disponible sinon PowerPoint ou Word
Critères de réussite :
• Définition claire des objectifs du durcissement en cybersécurité
• Compréhension des rôles des principaux composants d’un SI
Activité n° 1
Architecture d’entreprise et interconnexion

Exercices
Vous avez été recruté par la multinationale HAPOO pour concevoir une architecture de son système d'information sécurisée en documentant vos propositions.
Voici les informations communiquées par HAPOO dans son expression de besoin. Pour chaque point, proposer un schéma ou/et un descriptif détaillé :
1. HAPOO dispose de 4 sites de bureaux situés à Casablanca, Paris, Madrid et Tokyo (proposer un schéma).
2. Les serveurs de HAPOO sont hébergés dans 2 datacenters en nominal/backup situés à Paris (proposer un schéma).
3. La connexion réseau est assurée via le MLPS d'Orange pour connecter les sites et les data centers de HAPOO (proposer un schéma).
PARTIE 1

Activité n° 1

Corrigé
HAPOO dispose de 4 sites de bureaux situés à Casablanca, Paris, Madrid et Tokyo (proposer un schéma).
PARTIE 1

Activité n° 1

Corrigé
Les serveurs de HAPOO sont hébergés dans 2 data centers en nominal/backup situés à Paris (proposer un schéma).
PARTIE 1

Activité n° 1

Corrigé
La connexion réseau est assurée via le MLPS d'Orange pour connecter les sites et les data centers de HAPOO (proposer un schéma).
PARTIE 1

Activité n° 1
Composants sensibles
Exercices
4. Lister les composants sensibles et qui doivent être particulièrement protégés.

5. Proposer une architecture sécurisée avec ces composants sensibles.
6. HAPOO dispose des services/serveurs suivants : serveur Web, relais entrant de messagerie, Webmail, publication de DNS externe, accès distant par VPN (proposer un
schéma).
PARTIE 1

Activité n° 1
Corrigé
Lister les composants sensibles et qui doivent être particulièrement protégés.
• L'étude des compagnes d'attaque et en particulier des étapes des APT nous montrent que les systèmes qui ont le rôle suivant doivent être particulièrement protégés :
✓ Les serveurs d'infrastructure qui permettent de contrôler ensuite l'ensemble des autres composants, parmi lesquels les serveurs Active Directory, les serveurs de
déploiement de logiciels ou de leurs mises à jour, les serveurs de sauvegarde/restauration.
✓ Les postes des administrateurs.
✓ Les équipements de sécurité.
PARTIE 1

Activité n° 1
Corrigé
Proposer une architecture sécurisée avec ces composants sensibles.
• Nous proposons pour cette étape d’ajouter :

✓ Un active directory par site pour gérer les utilisateurs et
les permissions en local
✓ Les contrôleurs de domaine dans le data center pour
gérer les permissions des services et des applications
centrales
✓ Les firewalls d’entrée
PARTIE 1

Activité n° 1
Corrigé
HAPOO dispose des services/serveurs suivants : serveur Web, relais entrant de messagerie, Webmail, publication de DNS externe, accès distant par VPN (proposer un
schéma)
• Les systèmes qui sont exposés à l'extérieur comme un serveur Web,
relais entrant de messagerie, Webmail, publication de DNS externe,
accès distant par VPN devront être positionnés en DMZ,
c'est à dire dans une zone cloisonnée et filtrée, interconnectée à l'extérieur,
mais dont les échanges avec le réseau interne sont fortement restreints
PARTIE 1

Activité n° 1
Zone d’administration et Zone de surveillance

Exercices
7. Proposer une architecture d'administration sécurisée pour HAPOO.

8. Proposer un système de surveillance sécurisé et conforme pour HAPOO.
9. Proposer une politique réseau.
10. Proposer une politique de segmentation.
PARTIE 1

Activité n° 1

Corrigé
Proposer une architecture d'administration sécurisée pour HAPOO
• Le SI d’administration et les ressources d’administration sont des cibles privilégiées
par un attaquant. En effet, les droits élevés nécessaires à la réalisation des actions
d’administration et les larges accès généralement attribués exposent ces ressources
à une menace élevée.
• Dans de nombreux cas de compromission ou d’intrusion sur ces équipements,
l’attaquant prend le contrôle de l’ensemble du SI.
PARTIE 1

Activité n° 1

Corrigé
Proposer un système de surveillance sécurisé et conforme pour HAPOO.
• Le système d’information de surveillance est organisé en zones

de confiance, cloisonnées entre elles par des mécanismes de
filtrage, d’authentification et de contrôle d’accès.
PARTIE 1

Activité n° 1

Corrigé
Proposer une politique réseau.
• Les grands principes qui doivent être respectés dans une politique réseau sans les suivants :
✓ Les pares-feux réseau doivent toujours cloisonner 2 zones qui ne sont pas dans le même domaine de confiance en appliquant une politique de filtrage par liste
blanche : seuls les flux nécessaires sont autorisés.
✓ Concernant les systèmes et les services exposés en public, il est recommandé de placer un proxy applicatif pour compléter le filtrage réseau par un filtrage
applicatif.
✓ Un filtrage applicatif par signature peut également être appliqué au travers un IPS (Intrusion Prevention System, Système de Prévention des Intrusions), ce qui
va bloquer certaines attaques lorsqu'un flux réseau correspond à une de ses signatures. Ce système peut être judicieux à l'entrée d'un site ou aux interfaces
avec l'extérieur, mais il faudra être précautionneux de ne pas bloquer un flux légitime (en cas de faux positif de la détection).
PARTIE 1

Activité n° 1

Corrigé
Proposer une politique de segmentation.
• Toute politique de segmentation doit commencer comme ceci :
✓ Cloisonner le réseau en segments logiques. Il peut s'agir de segments physiques ou virtuels. Nous leur attribuons des masques de réseau prédéterminés.
✓ Distribuer les ressources réseau à chaque segment (sous-réseau). A son tour, chaque segment redistribue les ressources à N stations ou appareils.
✓ Connecter des segments de réseau à l'aide de switchs (couche 2), de ponts (couches 2-3) ou de routeurs (couche 3).
PARTIE 1

Activité n° 2
Rédaction des guides de durcissement des
composants
• Rédiger un guide de durcissement adapté à partir d’un guide

général
• Comprendre les principes de sécurité de base des composants SI
• Une bonne familiarisation avec les guides de durcissement

(CIS, NIST, Anssi, etc.) est parmi les moyens les plus efficaces
de développer une solide base en cybersécurité
6 heures
CONSIGNES
Pour le formateur :
• Il n’y pas qu’une seule solution possible à chaque question
• Le corrigé est pour orienter l’apprenant à chercher plus et challenger les propositions
• Il est recommandé de consacrer un temps pour une présentation orale des
architectures et des questions/réponses où l’objectif est de challenger les propositions
Pour l’apprenant :
• L’intérêt de chaque activité est le processus de recherche et d’analyse des résultats
• Durant la présentation des autres apprenants, il faut challenger leurs propositions et
poser des questions pour clarifier la compréhension
• Les corrigés ne sont qu’un indice pour orienter votre recherche
• Passer du temps à se familiariser avec les guides de durcissement
Conditions de réalisation :
• Microsoft Word
Critères de réussite :
• Définition claire des objectifs du durcissement en cybersécurité
• Compréhension des rôles des principaux composants d’un SI
Activité n° 2
composants
Des guides de durcissement des pares-feux

Exercice
1. Après avoir déployé une architecture sécurisée. Votre responsable vous annonce qu’un audit externe aura lieu dans 2 mois et vous demande de préparer des guides de
durcissement des pares-feux à communiquer à l’équipe réseau qui se chargera de l’implémentation technique de ces guides.
PARTIE 1

Activité n° 2
composants

Corrigé
Après avoir déployé une architecture sécurisée. Votre responsable vous annonce qu’un audit externe aura lieu dans 2 mois et vous demande de préparer des guides de
durcissement des pares-feux à communiquer à l’équipe réseau qui se chargera de l’implémentation technique de ces guides.
• Les guides de durcissement doivent se baser sur les guides officiels mais aussi adaptés à notre contexte. Ces guides de durcissement doivent être appliqués d’une
manière cyclique en suivant un process de test et de correction avant de les appliquer en production :
PARTIE 1

Activité n° 2
composants

Corrigé
• Voici quelques guides à lire et à contextualiser pour chaque environnement :
✓ https://www.ssi.gouv.fr/uploads/2022/02/anssi-guide-recommandations_configuration_commutateurs_pare-feux_hirschmann.pdf
✓ https://www.ssi.gouv.fr/uploads/2017/12/anssi-guide-recommandations_configuration_securisee_pare_feu_stormshield_network_security_version_3.7.17.pdf
✓ https://www.cisecurity.org/cis-benchmarks/
• Comme principes génériques pour un firewall, nous pouvons proposer :

✓ L'utilisation de NAT doit être considérée comme une forme de routage et non comme un type de pare-feu.
✓ Les organisations ne doivent autoriser que le trafic sortant qui utilise les adresses IP source utilisées par l’organisation.
✓ La vérification de la conformité n'est utile dans un pare-feu que lorsqu'elle peut bloquer les communications susceptibles d'être préjudiciable aux systèmes
protégés.
✓ Lors du choix du type de pare-feu à déployer, il est important de décider si le pare-feu doit agir en tant que proxy d'application.
PARTIE 1
✓ La gestion des pares-feux personnels doit être centralisée pour aider à créer, distribuer et appliquer des stratégies pour tous les utilisateurs et groupes.

Activité n° 2
composants
Des guides de durcissement des actives directory

Exercice
durcissement des actives directory à communiquer à l’équipe systèmes qui se chargera de l’implémentation technique de ces guides.
PARTIE 1

Activité n° 2
composants
Des guides de durcissement des active directory

Corrigé
durcissement des actives directory à communiquer à l’équipe systèmes qui se chargera de l’implémentation technique de ces guides.
• Comme expliqué dans la partie concernant les pares-feux. L’active-directory est la cible finale des ransomwares et d’autres types d’attaques. Il est important de
considérer son durcissement comme un processus continue et non une action limitée dans le temps.
PARTIE 1

Activité n° 2
composants
Des guides de durcissement des actives directory

Corrigé
• Parmi les guides référence dans le durcissement des actives directory, nous trouvons le guide de l’ANSSI
https://www.cert.ssi.gouv.fr/uploads/guide-ad.html#certificates_vuln
• L’application de de toutes les règles n’est pas possible au début d’une nouvelle architecture. Nous pouvons proposer par exemple de se limiter à quelques règles critiques
niveau 1 :
✓ NOMBRE IMPORTANT DE MEMBRES DES GROUPES PRIVILÉGIÉS : La présence d'un nombre important de comptes privilégiés ne permet pas d'en assurer le
contrôle : cela induit une mauvaise visibilité des comptes privilégiés réellement nécessaires, une augmentation du risque d'oubli de désactivation ou de
suppression d'un compte non utilisé, etc.
✓ CHEMINS DE CONTRÔLE DANGEREUX VERS LES GPO S'APPLIQUANT AUX MEMBRES DES GROUPES PRIVILÉGIÉS : Des chemins de contrôle dangereux existent vers
des GPO s'appliquant aux membres des groupes privilégiés. Un attaquant ayant le contrôle sur ces GPO peut exécuter du code sur les machines utilisées par ces
membres et élever ses privilèges.
✓ COMPTES PRIVILÉGIÉS SANS PRÉ-AUTHENTIFICATION KERBEROS : Des comptes privilégiés n'imposent pas la pré-authentification Kerberos.
✓ CONTRÔLEURS DE DOMAINE INCOHÉRENTS : Des comptes possèdent des délégations d'authentification contraintes vers un service d'un contrôleur de domaine.
Elles permettent au compte d'élever ses privilèges auprès du contrôleur de domaine.
PARTIE 1

PARTIE 2
MAITRISER LE DURCISSEMENT DU RÉESAU
• Étudier les moyens de sécuriser la partie réseau d’un SI

• Se familiariser avec les problèmes et les contraintes
d’installation et de configuration
16 heures
ACTIVITÉ n° 1
Installation et configuration d’un firewall
• Installer un firewall
• Configurer un firewall pour une implémentation sécurisée
• L’exemple donné est un firewall OpenSource, il est

recommandé de passer aussi du temps à refaire les mêmes
activités avec les firewalls du lab disponibles
3 heures
CONSIGNES
1. Pour le formateur :
• L’objectif est de faire faire à des problèmes d’installation et de trouver une solution
par soi-même.
• Le corrigé peut être présenté rapidement mais l’apprenant doit refaire les mêmes
étapes et avoir les mêmes résultats
• L’objectif est de susciter la curiosité pour comprendre l’intérêt de chaque étape
• Il faut aussi donner la possibilité d’installer/configurer/upgrader les firewalls
disponibles dans le lab
2. Pour l’apprenant :
• Cette activité est l’occasion de faire faire à des problèmes d’installation et de trouver
des solutions et des moyens de contournement
3. Conditions de réalisation :
• Le firewall opensource Pfsense
• Les firewalls appliance disponibles dans le lab
4. Critères de réussite :
• Maitrise des configurations réseaux
• Application maitrisée des recommandations
Activité n° 1
Installation et configuration d’un firewall
Pfsense
Exercices
Dans cette activité, nous allons utiliser pfsense, un firewall opensource.
pfSense est un puissant pare-feu/routeur opensource basé sur FreeBSD. L'utilisation de pfSense au lieu d'un routeur grand public typique présente de nombreux
avantages. Les mises à jour fréquentes du système d'exploitation pour corriger les vulnérabilités sont importantes. La plupart des routeurs grand public ne reçoivent jamais
de mises à jour du micrologiciel et la plupart des gens utilisent leur routeur pendant plus de cinq ans. Mais au-delà d'une meilleure sécurité, pfSense comprend de
nombreux outils qui facilitent la configuration de pratiquement n'importe quelle configuration réseau assez facilement grâce à son interface graphique complète.
1. Se rendre sur le site officiel : https://www.pfsense.org/download/ et Télécharger la dernière version stable, community edition.
2. Créer une nouvelle VM virtual box.
3. Segmenter les réseaux qui seront connectés aux firewalls en activant 3 interfaces (interne, externe, DMZ).
4. Monter l'ISO téléchargé précédemment et lancer l’installation.
5. Dès que l’installation est terminée, redémarrer la machine, une étape de configuration sera présentée, configurer les interfaces.
✓ Sélectionner la carte avec la mac de la zone externe pour la zone WAN
✓ Sélectionner la carte avec la mac de la zone interne pour la zone LAN
PARTIE 2
✓ Sélectionner la carte avec la mac de la zone DMZ pour la zone DMZ

Activité n° 1
Application des règles de durcissement d’un firewall
Pfsense
Corrigé
Se rendre sur le site officiel : https://www.pfsense.org/download/
et Télécharger la dernière version stable, community edition
PARTIE 2

Activité n° 1
Pfsense
Corrigé
Créer une nouvelle VM virtual box
PARTIE 2

Activité n° 1
Pfsense
Corrigé
Segmenter les réseaux qui seront connectés aux firewalls en activant 3 interfaces (interne, externe, DMZ).
PARTIE 2

Activité n° 1
Pfsense
Corrigé
Monter l'ISO téléchargé précédemment et lancer l’installation.
PARTIE 2

Activité n° 1
Pfsense
Corrigé
Dès que l’installation est terminée, redémarrer la machine, une étape de configuration sera présentée, configurer les interfaces
PARTIE 2

Activité n° 1
Pfsense
Corrigé
Il faut choisir l’option 1 pour configurer les interfaces.
PARTIE 2

Activité n° 1
Pfsense
Corrigé
Il faut récupérer les adresses MAC de la configuration réseau de la VM :
PARTIE 2

ACTIVITÉ n° 2
Appliquer les règles de durcissement VPN
sur un firewall
• Installer un VPN
• Configurer un VPN pour une implémentation sécurisée
• L’exemple donné est un VPN OpenSource, il est recommandé

de passer aussi du temps à refaire les mêmes activités avec les
VPNs du lab disponibles
13 heures
CONSIGNES
par soi-même
• Il faut aussi donner la possibilité d’installer/configurer/upgrader les solutions VPN
des solutions et des moyens de contournement
• Le firewall opensource OpenVPN
• Les firewalls appliance disponibles dans le lab
• Maitrise des configurations réseaux
Activité n° 2
Appliquer les règles de durcissement VPN sur un
firewall
OpenVPN
Exercices
Maintenant que pfsense est installé, une chose facile à configurer sur pfSense est votre propre serveur OpenVPN. Lorsqu'un serveur VPN s'exécute sur votre routeur, vous
pouvez vous connecter à votre réseau domestique en toute sécurité et, de n'importe où, accéder à votre machine locale et même utiliser votre connexion Internet
domestique à partir de votre appareil distant. Et c'est ce que nous allons voir dans cette activité. Nous allons à travers toutes les étapes à suivre configurer notre propre
serveur OpenVPN sur pfSense. Il faut utiliser une autre machine dans le même réseau que pfsense pour se connecter en interface web avec l’ip de pfsense. Les identifiants
à utiliser sont : admin/pfsense.
1. Installer le plugin OpenVPN Client pour générer la configuration.
2. Créer la CA (Certification Authority).
3. Créer le certificat du serveur OpenVPN (choisissez le certificat interne).
4. Créer l’utilisateur OpenVPN et le certificat de l’utilisateur.
5. Créer et Configurer le serveur OpenVPN.
6. Configurer les règles sur le firewall pour autoriser l'accès.
7. Exporter le fichier de configuration OpenVPN pour les clients.
PARTIE 2
8. Vérifier l'état du service en testant la connexion depuis une autre VM où le client OpenVPN est installé.

Activité n° 2
firewall
OpenVPN
Corrigé
Installer le plugin OpenVPN Client pour générer la configuration.
• Dans les menus en haut de l'écran, sélectionnez Système > Packages Manager. Vous êtes redirigé vers le Packages Manager
• Sélectionnez le Available Packages sous-menus
PARTIE 2

Activité n° 2
firewall
OpenVPN
Corrigé
• Faites défiler vers le bas jusqu'à ce que vous voyiez openVPN-client-export et cliquez sur le bouton Installer à sa droite. Vous êtes redirigé vers la page Package Installer.
PARTIE 2

Activité n° 2
firewall
OpenVPN
Corrigé
• Cliquer sur Confirm et l’installation commencera

PARTIE 2

Activité n° 2
firewall
OpenVPN
Corrigé
• Une fois l'installation terminée, la barre de progression devient verte et vous devriez voir Success affiché dans la fenêtre package.
PARTIE 2

Activité n° 2
firewall
OpenVPN
Corrigé
Créer la CA (Certification Authority).
• La première chose que nous devons faire est de générer notre autorité de certification (CA), qui validera l'identité du serveur OpenVPN et authentifiera les certificats
utilisateurs (si activés). Dans les menus en haut de l'écran, sélectionnez Système > Cert. Manager.
PARTIE 2

Activité n° 2
firewall
OpenVPN
Corrigé
Créer la CA (Certification Authority) :
• Cliquez sur le bouton Ajouter en bas à droite
• Saisissez un nom pour votre autorité de certification
• Assurez-vous que Méthode est définie sur « Create an internal Certificate Authority. »
• Sélectionnez votre type de clé. RSA par exemple, mais vous pouvez également utiliser ECDSA
• Définissez la longueur de votre clé sur au moins 2048
• Réglez votre algorithme Digest sur au moins sha256
• Choisissez un nom commun pour votre certificat ou laissez la valeur par défaut interne-ca
PARTIE 2

Activité n° 2
firewall
OpenVPN
Corrigé
Créer la CA (Certification Authority).
Choisir un nom de certificat :

PARTIE 2

Activité n° 2
firewall
OpenVPN
Corrigé
Cliquer sur save pour sauvegarder votre CA.
PARTIE 2

Activité n° 2
firewall
OpenVPN
Corrigé
Créer le certificat du serveur OpenVPN (choisissez le certificat interne) :
• Sélectionnez Système > Cert. Manager
• Sélectionnez le sous-menu Certificats
PARTIE 2

Activité n° 2
firewall
OpenVPN
Corrigé
• Dans le sous-menu Certificats, cliquez sur le bouton Ajouter/Signer en bas à droite
• Assurez-vous que Méthode est défini sur Créer un certificat interne
• Entrez un nom descriptif pour votre certificat
• Utilisez les mêmes valeurs que vous avez définies pour l'autorité de certification pour le type et la longueur de la clé, ainsi que pour l'algorithme Digest
• Définissez la durée de vie sur 365 jours
• Sélectionnez Certificat de serveur comme type de certificat
• Cliquez sur Save. Vous avez créé votre certificat de serveur
PARTIE 2

Activité n° 2
firewall
OpenVPN
Corrigé
PARTIE 2

Activité n° 2
firewall
OpenVPN
Corrigé
PARTIE 2

Activité n° 2
firewall
OpenVPN
Corrigé
Créer l’utilisateur OpenVPN et le certificat de l’utilisateur :
• Nous devons maintenant créer un utilisateur pour accéder au serveur OpenVPN. Dans ce corrigé, nous allons créer un seul utilisateur, mais vous pouvez créer autant
d'utilisateurs que nécessaire. Répétez simplement ces étapes
• Dans les menus en haut de l'écran, sélectionnez Système > User Manager. Vous êtes redirigé vers User Manager :
PARTIE 2
• Cliquez sur le bouton Add en bas à droite

• Entrez un nom d'utilisateur et un mot de passe pour votre utilisateur
• Cliquez sur Save. Vous avez créé votre utilisateur OpenVPN et êtes redirigé vers User Manager

Activité n° 2
firewall
OpenVPN
Corrigé
PARTIE 2

Activité n° 2
firewall
OpenVPN
Corrigé
• Si vous avez choisi de configurer votre serveur pour une authentification basée sur un certificat ou une authentification basée sur un certificat et un mot de passe,
cliquez sur l'icône en forme de crayon à droite de votre nouvel utilisateur. Vous êtes ramené à la fenêtre Edit User
• Cliquez sur le bouton Add sous User certificates. Vous êtes redirigé vers le Certificate Manager et vous êtes invité à saisir les paramètres de votre certificat utilisateur
• Assurez-vous que Méthode est défini sur "Créer un certificat interne"

• Entrez un nom descriptif pour votre certificat
PARTIE 2
• Définissez les mêmes valeurs que vous avez définies pour l'autorité de certification pour le type et la longueur de la clé, ainsi que pour l'algorithme Digest
• Définissez la durée de vie sur 365 jours
• Assurez-vous que Type de certificat est défini sur Certificat utilisateur

Activité n° 2
firewall
OpenVPN
Corrigé
PARTIE 2

Activité n° 2
firewall
OpenVPN
Corrigé
PARTIE 2

Activité n° 2
firewall
OpenVPN
Corrigé
PARTIE 2

Activité n° 2
firewall
OpenVPN
Corrigé
Créer et Configurer le serveur OpenVPN :
• Dans les menus en haut de l'écran, sélectionnez VPN > OpenVPN. Vous êtes redirigé vers le sous-menu Serveurs OpenVPN
PARTIE 2
• Cliquez sur le bouton Add en bas à droite

Activité n° 2
firewall
OpenVPN
Corrigé
• Informations générales / Mode Configuration / Endpoint Configuration
✓ Entrez un nom pour votre serveur dans le champ Description
PARTIE 2

Activité n° 2
firewall
OpenVPN
Corrigé
• Informations générales / Mode Configuration / Endpoint Configuration
✓ Définissez le mode server sur Accès à distance (SSL/TLS), Accès à distance (Authentification de l'utilisateur) ou Accès à distance (SSL/TLS + Authentification de
l'utilisateur)
✓ Remplacez le port local par un port différent si la topologie de votre réseau l'exige ou laissez-le par défaut (1194)
PARTIE 2

Activité n° 2
firewall
OpenVPN
Corrigé
Créer et Configurer le serveur OpenVPN
• Paramètres cryptographiques :
✓ Assurez-vous que Use a TLS Key et Automatically generate a TLS key sont activés
✓ Assurez-vous que votre autorité de certification homologue est définie sur l'autorité de certification que nous avons créée précédemment
✓ Définissez le champ Server Certificat sur le certificat de serveur que nous avons créé précédemment
✓ Sélectionnez 4096 pour le réglage de la longueur du paramètre DH
✓ Définissez l'algorithme Auth digest sur RSA-SHA512 (512 bits)
PARTIE 2

Activité n° 2
firewall
OpenVPN
Corrigé
PARTIE 2

Activité n° 2
firewall
OpenVPN
Corrigé
PARTIE 2

Activité n° 2
firewall
OpenVPN
Corrigé
• Paramètres des tunnels :
✓ Dans le champ IPv4 Tunnel Network, entrez un sous-réseau qui n'est pas présent sur votre réseau à utiliser comme sous-réseau interne du réseau OpenVPN.
Dans notre exemple : 192.168.2.0/24
✓ Si votre réseau prend également en charge IPv6 et que vous souhaitez que votre tunnel OpenVPN prenne également en charge IPv6, saisissez un sous-réseau
IPv6 inutilisé dans le champ Réseau de tunnel IPv6. Dans cet exemple, je configure mon serveur pour IPv4 uniquement.
✓ Activez Redirect IPv4 Gateway afin d'acheminer tout le trafic IPv4 via le tunnel VPN
✓ Activez Redirect IPv6 Gateway afin d'acheminer tout le trafic IPv6 via le tunnel VPN, si nécessaire
PARTIE 2

Activité n° 2
firewall
OpenVPN
Corrigé
PARTIE 2

Activité n° 2
firewall
OpenVPN
Corrigé
• Configuration avancée :
✓ Activez UDP Fast I/O
✓ Si vous utilisez uniquement IPv4, sélectionnez IPv4 only dans le champ Gateway Creation. Si vous utilisez à la fois IPv4 et IPv6, laissez-le défini sur Les deux.
✓ Cliquez sur Save. Vous avez créé votre serveur OpenVPN.
PARTIE 2

Activité n° 2
firewall
OpenVPN
Corrigé
PARTIE 2

Activité n° 2
firewall
OpenVPN
Corrigé
Créer et Configurer le serveur OpenVPN.
• Vérification de la configuration du serveur OpenVPN :

✓ Pour vous assurer que notre serveur est correctement configuré, sélectionnez Status > system logs dans les menus supérieurs
✓ Sélectionnez le sous-menu OpenVPN. Les journaux OpenVPN s'affichent.
✓ Si tout est configuré correctement, vous devriez voir Initialization Sequence Completed dans les journaux
PARTIE 2

Activité n° 2
firewall
OpenVPN
Corrigé
Vérification des logs
PARTIE 2

Activité n° 2
firewall
OpenVPN
Corrigé
Configurer les règles sur le firewall pour autoriser l'accès :
Cette règle autorisera le trafic du sous-réseau OpenVPN vers Internet.
• Dans les menus en haut de l'écran, sélectionnez Firewall > Rules
• Sélectionnez le sous-menu OpenVPN
• Cliquez sur le bouton Add pour créer une nouvelle règle en haut de la liste
PARTIE 2

Activité n° 2
firewall
OpenVPN
Corrigé
• Définissez la famille d'adresses sur IPv4 + IPv6 si votre système utilise à la fois IPv4 et IPv6. Sinon, laissez-le à la valeur par défaut d'IPv4.
• Définissez le champ Protocole sur Any
• Définissez la Source sur Network
• Entrez le sous-réseau OpenVPN que vous avez spécifié précédemment dans le champ Adresse source mais sans le /24. Par exemple : 192.168.2.0
• Sélectionnez 24 dans le menu déroulant à droite du champ Adresse source
• Entrez une description pour cette règle dans le champ Description
PARTIE 2

Activité n° 2
firewall
OpenVPN
Corrigé
.
PARTIE 2

Activité n° 2
firewall
OpenVPN
Corrigé
.
PARTIE 2

Activité n° 2
firewall
OpenVPN
Corrigé
• Cliquez sur Save. Et cliquez Apply Changes. Le trafic sera désormais autorisé à sortir du pare-feu à partir du sous-réseau OpenVPN.
PARTIE 2

Activité n° 2
firewall
OpenVPN
Corrigé
Configurer les règles sur le firewall pour autoriser l'accès.
Afin de vous connecter à votre serveur OpenVPN depuis l’extérieur (c'est-à-dire Internet), vous devrez ouvrir le port sur lequel votre serveur fonctionne (1194, dans cet
exemple) sur votre interface WAN. Cette règle permettra à votre client de se connecter à votre serveur OpenVPN depuis Internet :
• Dans les menus en haut de l'écran, sélectionnez Firewall > Rules
• Sélectionnez le sous-menu WAN (par défaut)
• Cliquez sur le bouton Add pour créer une nouvelle règle en haut de la liste
• Définissez la famille d'adresses sur IPv4 + IPv6 si votre système utilise à la fois IPv4 et IPv6. Sinon, laissez-le à la valeur par défaut d'IPv4
• Assurez-vous que Source est défini sur Any
• Définissez le champ Protocole sur UDP
• Définissez la plage de ports de destination sur 1194
• Entrez une description pour cette règle dans le champ Description
PARTIE 2
• Cliquez sur Save. Et cliquez Apply Changes. Le trafic sera désormais autorisé depuis internet vers le serveur OpenVPN.

Activité 2
Appliquer les règles de durcissement VPN sur un firewall
OpenVPN
Corrigé
PARTIE 2

Activité n° 2
firewall
OpenVPN
Corrigé
PARTIE 2

Activité n° 2
firewall
OpenVPN
Corrigé
Exporter le fichier de configuration OpenVPN pour les clients
• Dans les menus en haut de l'écran, sélectionnez VPN > OpenVPN
• Sélectionnez le sous-menu client export
• Assurez-vous que le bon serveur OpenVPN est sélectionné à côté de Remote Access Server
• Si vous utilisez le DNS dynamique pour accéder à votre pfSense WAN, sélectionnez Other dans le menu déroulant Résolution du nom d'hôte. Entrez ensuite le nom
d'hôte dans la zone Nom d'hôte qui apparaît ci-dessous. Cela vous permet d'accéder à votre pfSense WAN par nom d'hôte plutôt que par adresse IP, ce qui signifie que
vous ne perdrez pas l'accès à votre serveur OpenVPN si votre FAI modifie votre adresse IP WAN. Si vous n'utilisez pas le DNS dynamique, laissez la résolution du nom
d'hôte définie sur l'adresse IP de l'interface
PARTIE 2

Activité n° 2
firewall
OpenVPN
Corrigé
Exporter le fichier de configuration OpenVPN pour les clients
• Faites défiler vers le bas de la page et vous trouverez des configurations générées pour divers systèmes et applications. Cliquez sur la configuration appropriée pour
votre ou vos appareils pour la télécharger sur votre ordinateur.
PARTIE 2

Activité n° 2
firewall
OpenVPN
Corrigé
Vérifier l'état du service en testant la connexion depuis une autre VM où le client OpenVPN est installé :
• Après l'importation de la configuration adaptée dans le gestionnaire de réseau de Linux, il suffit de saisir le nom d'utilisateur et le mot de passe (ils ne sont pas inclus
dans le fichier de configuration) et vous pouvez vous connecter au serveur OpenVPN sécurisé.
PARTIE 2

PARTIE 3
MAITRISER LE DURCISSEMENT D’UN SYSTÈME
• Appliquer les règles et les bonnes pratiques de durcissement

système
• Utiliser les outils d’audit pour analyser la configuration des
systèmes Linux et Windows
14 heures
ACTIVITÉ 1
Application des règles de durcissement
d’un Linux
• Se familiariser avec les outils natifs de sécurité Linux

• Améliorer la sécurité d’un système Linux en utilisant des outils
d’automatisation de l’audit
• Les exemples proposés ne sont qu’une première étape de

durcissement, il est fortement recommandé dans le temps de
l’activité d’essayer d’appliquer d’autres règles choisies sur le
guide CIS Ubuntu par exemple
7 heures
CONSIGNES
• Le corrigé est fait pour orienter l’apprenant à chercher plus et challenger les
propositions
• Une introduction ou rappel sur les outils utilisés peut être utile
• L’intérêt de chaque activité est le processus d’analyse et de recherche
• Après la correction, proposer une amélioration ou une adaptation à votre solution
initiale
• Si c’est possible proposer plusieurs scénarios de réponse pour chaque question
• Une VM Ubuntu 18.04 LTS installée sur virtual box de préférence
• Le support du guide théorique de la compétence
• Maitrise des configurations systèmes
Activité n° 1
Application des règles de durcissement d’un Linux
PAM
Exercices
L’ensemble du rendu devrait être validé sur un système Ubuntu 18.04 LTS.
PAM est un mécanisme qui permet de fournir et spécifier de l’authentification sur un système Linux. Dans cet exercice il vous faudra vous familiariser avec cette
technologie et la prendre en main à travers quelques exercices.
Pwquality
Pwquality est un module PAM qui vous permet de configurer les exigences de complexité des mots de passe pour vos utilisateurs. Il est assez facile à installer sur Ubuntu.
1. Installer pwquality : sudo gre. Une fois installé, il ajoute automatiquement une entrée dans le fichier /etc/pam.d/common-password. Le répertoire pam.d n'est qu'un
autre emplacement où PAM ajoute des fichiers pour les services de base tels que ssh, la connexion de base, etc.
Rappelez-vous avant « comment lire ceci ? » Il y a quelques différences, mais jetons un coup d'œil :
password : module
PARTIE 3
requisite : module ; indique que si le module échoue, l'opération se termine immédiatement par un échec sans invoquer d'autres modules
pam_pwquality.so : vérifie le fichier pwquality.conf pour les exigences
retry=3 : permet à l'utilisateur de réessayer son mot de passe 3 fois avant de revenir avec une erreur

Activité n° 1
PAM
Exercices
Si nous regardons quelques lignes du fichier pwquality.conf trouvé dans /etc/security, nous pouvons voir qu'il existe de nombreuses options que l'administrateur peut
définir pour la qualité du mot de passe. Les lignes doivent juste être dé-commentées et modifiées :
2. Mettez en place un mécanisme qui impose que les mots de passe du système soient au moins de 9
caractères et qu'ils contiennent majuscules, minuscules, chiffres et caractères spéciaux (donc un de
chaque au moins).
PARTIE 3

Activité n° 1
PAM
Corrigé
1. Installer pwquality : sudo apt-get install libpam-pwquality. Une fois installé, il ajoute automatiquement une entrée dans le fichier /etc/pam.d/common-password. Le
répertoire pam.d n'est qu'un autre emplacement où PAM ajoute des fichiers pour les services de base tels que ssh, la connexion de base, etc.
PARTIE 3

Activité n° 1
PAM
Corrigé
2. Mettez en place un mécanisme qui impose que les mots de passe du système soient au moins de 9 caractères et qu'ils contiennent majuscules, minuscules, chiffres et
caractères spéciaux (donc un de chaque au moins).
PARTIE 3

Activité n° 1
Apparmor
Exercices
1. Vous devez mettre en place une configuration apparmor qui vous empêche de lister le contenu du répertoire /aa-test avec la commande ls.
PARTIE 3

Activité n° 1
Apparmor
Corrigé
Vous devez mettre en place une configuration apparmor qui vous empêche de lister le contenu du répertoire /aa-test avec la commande ls.
• Pour répondre à cette question, nous allons créer un profile apparmor qui bloquera le listing du dossier /aa-test :
✓ L’outil apparmor à utiliser pour créer un profil est : aa-genprof
✓ Cependant, l’outil refuse de créer un profil spécifique à ls, cela risque d’endommager le système si nous appliquons des règles non maitrisées
✓ Option 1 : modifier la configuration de /etc/apparmor/logprof.conf
✓ Option 2 : utiliser ls dans un script ou créer une copie de ls et créer
le profil pour le script ou la copie de ls
✓ Parce que nous sommes dans un lab, nous allons choisir la deuxième
option
PARTIE 3

Activité n° 1
Apparmor
Corrigé
• Nous allons copier la commande ls :
• Nous vérifions que nous pouvons bien lister le dossier /aa-test avec la copie de ls :
PARTIE 3

Activité n° 1
Apparmor
Corrigé
Maintenant nous pouvons lancer la création du profil avec aa-genprof ls et nous lançons ensuite /root/ls aa-test dans un autre terminal
PARTIE 3

Activité n° 1
Apparmor
Corrigé
• Ensuite, en appuyant sur S, nous avons des choix à faire concernant l’action de la commande qui a été détectée. Dans notre cas, nous allons choisir (D)eny et nous
sauvegardons les changements avec (S)ave changes
PARTIE 3

Activité n° 1
Apparmor
Corrigé
Maintenant quand nous testons la commande /root/ls aa-test nous avons un « Permission denied ».
PARTIE 3

Activité n° 1
Contrôle d’intégrité et HIDS, un exemple avec AIDE

Exercices
Les HIDS sont des systèmes de détection d’intrusion sur les hôtes. Pour ce faire, ils mettent en oeuvre, entre autre, une fonction de contrôle d’intégrité des éléments
présents sur l’hôte ainsi surveillé.
Questions préliminaires
1. Citer 3 logiciels permettant d’effectuer du contrôle d’intégrité sur un hôte.
2. Citer une fonction autre que le contrôle d’intégrité que peut effectuer un HIDS.
3. Quels sont les éléments surveillés par un logiciel de contrôle d’intégrité ?
Mise en pratique
Pour effectuer les tâches et exercices de cette partie, le logiciel utilisé sera AIDE.
4. Installer le paquet AIDE.
Partie 1 :
La liste des fichiers à vérifier est :
PARTIE 3
/etc : Intégrité de la donnée, des droits et owner/group, ctime et mtime. Pas de création ou de suppression.
/var/{lib,www,log} : Intégrité des droits et des owner/group.
/{usr,}/{{s,}bin,lib*} : Intégrité de la donnée, des droits et owner/group, ctime et mtime. Pas de création ou de suppression.
/root/*,/home/* : Intégrité des owner/group.

Activité n° 1
Contrôle d’intégrité et HIDS, un exemple avec AIDE

Exercices
Les sommes de contrôle utilisées sont md5 et sha256
6. Écrire le fichier de configuration aide.conf à utiliser.
Partie 2 :
7. A l’aide de la commande appropriée, initialiser la base de données, et la placer sous /var/lib/aide/aide.db.
Partie 3 :
8. Écrire un script cron à placer sous /etc/cron.d/aide. Celui-ci lancera aide pour faire une vérification du système toutes les 10 minutes.
Questions subsidiaires
9. Que se passe-t-il lorsque l’on modifie le fichier /etc/resolv.conf ?
10. Quels sont les modes d’avertissement que l’on peut avoir avec AIDE ?
PARTIE 3

Activité n° 1
Contrôle d’intégrité et HIDS, un exemple avecAIDE

Corrigé
Questions préliminaires
Citer 3 logiciels permettant d’effectuer du contrôle d’intégrité sur un hôte.
✓ Aide
✓ Tripwire
✓ Samhain
Citer une fonction autre que le contrôle d’intégrité que peut effectuer un HIDS.
✓ L'IDS basé sur l'hôte (HIDS) est installé sur un système d'exploitation avec les autres applications en cours d'exécution. Cette configuration donnera au HIDS la
possibilité de surveiller le trafic entrant et sortant de l'hôte ; de plus, il peut surveiller les processus en cours d'exécution sur l'hôte.
Quels sont les éléments surveillés par un logiciel de contrôle d’intégrité ?

PARTIE 3
✓ Les processus
✓ Les connexions
✓ Les fichiers système critiques

Activité n° 1

Corrigé
Mise en pratique
Installer le paquet AIDE.
PARTIE 3

Activité n° 1

Corrigé
Écrire le fichier de configuration aide.conf à utiliser pour les fichier suivants :
✓ /etc : Intégrité de la donnée, des droits et owner/group, ctime et mtime. Pas de création ou de suppression.
✓ /var/{lib,www,log} : Intégrité des droits et des owner/group.
✓ /{usr,}/{{s,}bin,lib*} : Intégrité de la donnée, des droits et owner/group, ctime et mtime. Pas de création ou de suppression.
✓ /root/*,/home/* : Intégrité des owner/group.
PARTIE 3

Activité n° 1
Lynis
Exercices
Lynis est un logiciel d’audit de sécurité qui permet de vérifier la conformité d’un système avec un modèle.
1. Installer l’outil Lynis.
2. Prenez en main l’outil Lynis en analysant votre système avec le profil par défault founi par le paquet Debian.
3. Si openssh n’est pas installé, installer openssh et relancer une vérification avec lynis.
4. Ajouter la vérification de l’état de la configuration du serveur ssh pour empêcher la connexion en root (N’hésitez pas à utiliser les guides référencés dans le document
ANSSI pour vous aider, par exemple « Recommandations pour un usage sécurisé d’(Open)SSH » ).
PARTIE 3

Activité n° 1
Lynis
Corrigé
Installer l’outil Lynis.
PARTIE 3

Activité n° 1
Lynis
Corrigé
Prenez en main l’outil Lynis en analysant votre système avec le profil par défault founi par le paquet Debian.
PARTIE 3

Activité n° 1
Lynis
Corrigé
PARTIE 3

Activité n° 1
Lynis
Corrigé
PARTIE 3

Activité n° 1
Lynis
Corrigé
Si openssh n’est pas installé, installer openssh et relancer une vérification avec lynis.
PARTIE 3

Activité n° 1
Lynis
Corrigé
PARTIE 3

Activité n° 1
Lynis
Corrigé
Ajouter la vérification de l’état de la configuration du serveur ssh pour empêcher la connexion en root (N’hésitez pas à utiliser les guides référencés dans le document
ANSSI pour vous aider, par exemple « Recommandations pour un usage sécurisé d’(Open)SSH » )
• La recommandation de l’ANSSI pour l’accès root est la suivante :
• Nous pouvons modifier alors la configuration du fichier /etc/ssh/sshd.conf :

PARTIE 3

Activité n° 1
Lynis
Corrigé
• Maintenant si nous lançons lynis, nous aurons un résultat différent pour le contrôle PermitRootLogin
PARTIE 3

ACTIVITÉ 2
Application des règles de durcissement
d’un Windows
• Se familiariser avec les outils natifs de sécurité Windows

• Améliorer la sécurité d’un système Windows en utilisant des
outils d’automatisation de l’audit
• L’énoncé de chaque situation est succinct, laissant à

l’apprenant le temps d’analyser la situation et de poser toutes
les hypothèses allant dans le sens de l’objectif du cas
7 heures
CONSIGNES
• Il faut orienter les apprenant en cas de blocage et donner des indices.
• Le corrigé est fait pour orienter l’apprenant à chercher plus et challenger les
propositions
• Une introduction ou rappel sur les outils utilisés peut être utile
• L’intérêt de chaque activité est le processus d’analyse et de recherche
• Après la correction, proposer une amélioration ou une adaptation à votre solution
initiale
• Si c’est possible, proposer plusieurs scénarios de réponse pour chaque question
• Une machine Windows 10 avec accès administrateur
• Le support du guide théorique de la compétence
• Maitrise des configurations systèmes
Activité n° 2
Application des règles de durcissement d’un
Windows
Gestion des comptes

Exercices
Compte standard vs administrateur :
La gestion des identités et des accès implique l'utilisation des meilleures pratiques pour garantir que seuls les utilisateurs authentifiés et autorisés peuvent accéder au
système. Il existe deux types de comptes dans Windows, à savoir le compte administrateur et le compte standard. Selon les meilleures pratiques, le compte administrateur
ne doit être utilisé que pour effectuer des tâches telles que l'installation de logiciels et l'accès à l'éditeur de registre, au panneau de service, etc. Les fonctions de routine
telles que l'accès aux applications régulières, y compris Microsoft Office, le navigateur, etc. comptes standards.
1. Accéder au Panneau et créer un compte standard et un compte administrateur.
Contrôle de compte d'utilisateur (UAC) :
Le contrôle de compte d'utilisateur (UAC) est une fonctionnalité qui applique un contrôle d'accès amélioré et garantit que tous les services et applications s'exécutent dans
des comptes non-administrateurs. Il aide à atténuer l'impact des logiciels malveillants et minimise l'escalade des privilèges en contournant l'UAC. Les actions nécessitant
des privilèges élevés demanderont automatiquement les informations d'identification du compte d'utilisateur administratif si l'utilisateur connecté ne les possède pas
déjà.
En tant que principe, suivez toujours le principe du moindre privilège, qui stipule que « un utilisateur ne doit recevoir que les privilèges nécessaires pour accomplir sa
tâche. Si un utilisateur n'a pas besoin d'un droit d'accès, le sujet ne devrait pas avoir ce droit ».
PARTIE 3
2. Accéder à l’UAC à travers le Panneau de configuration et modifier les paramètres de contrôle de compte d'utilisateur.
3. Conservez le niveau de notification "Toujours m’avertir" dans les paramètres de contrôle de compte d'utilisateur.

Activité n° 2
Windows
Gestion des comptes

Exercices
Politique des mots de passe :
A l'aide de l'éditeur de stratégies locales et de stratégies de groupe pour garantir des mots de passe complexes et forts pour les comptes d'utilisateurs (cette option est
disponible seulement sur Windows entreprise) :
4. Configurer des politiques de mot de passe avec les options suivantes :
✓ Les mots de passe doivent contenir à la fois des caractères majuscules et minuscules.
✓ Vérifiez les mots de passe par rapport aux bases de données divulguées ou déjà piratées ou à un dictionnaire de mots de passe compromis.
✓ En cas de 6 tentatives de connexion infructueuses en 15 minutes, le compte restera verrouillé pendant au moins 1 heure.
Définition d'une politique de verrouillage :

Pour éviter que votre mot de passe système ne soit deviné par un attaquant, nous pouvons définir une politique de verrouillage afin que le compte se verrouille
automatiquement après certaines tentatives non valides (cette option est disponible seulement sur Windows entreprise).
PARTIE 3
5. Configurer les valeurs pour verrouiller les pirates après trois tentatives non valides.

Activité n° 2
Windows
Gestion des comptes

Corrigé
Accéder au Panneau et créer un compte standard et un compte administrateur.
PARTIE 3

Activité n° 2
Windows
Gestion des comptes

Corrigé
Accéder à l’UAC à travers le Panneau de configuration et modifier les paramètres de contrôle de compte d'utilisateur.
PARTIE 3

Activité n° 2
Windows
Gestion des comptes

Corrigé
Conservez le niveau de notification "Toujours m’avertir" dans les paramètres de contrôle de compte d'utilisateur.
PARTIE 3

Activité n° 2
Windows
Gestion des comptes

Corrigé
Politique des mots de passe :
Ci-dessous la fenêtre permettant de changer les caractéristiques des mots de passe (cette option est disponible seulement sur Windows entreprise).
PARTIE 3

Activité n° 2
Windows
Gestion des comptes

Corrigé
Définition d'une politique de verrouillage :
Configurer les valeurs pour verrouiller les pirates après trois tentatives non valides (cette option est disponible seulement sur Windows entreprise).
PARTIE 3

Activité n° 2
Windows
La gestion du réseau
Exercices
Pare-feu Windows Defender :
Le pare-feu Windows Defender est une application intégrée qui protège les ordinateurs contre les attaques malveillantes et bloque le trafic non autorisé via des règles ou
des filtres entrants et sortants. Par analogie, cela équivaut à "qui entre et sort de chez vous".
Les acteurs malveillants abusent du pare-feu Windows en contournant les règles existantes. Par exemple, si nous avons configuré le pare-feu pour autoriser les connexions
entrantes, les pirates essaieront de manipuler la fonctionnalité en créant une connexion à distance à l'ordinateur de la victime.
1. Accéder au pare-feu Windows Defender
2. Afficher les paramètres détaillés de chaque profil en cliquant sur Propriétés du pare-feu Windows Defender
3. Dans la mesure du possible, Activer les paramètres par défaut du pare-feu Windows Defender
PARTIE 3

Activité n° 2
Windows
Exercices
Les périphériques réseaux inutilisés :
Les périphériques réseau tels que les routeurs, les cartes Ethernet, les adaptateurs WiFI, etc. permettent le partage de données entre ordinateurs. Si l'appareil est mal
configuré ou n'est pas utilisé par le propriétaire, il est recommandé de désactiver l'interface afin que les pirates ne puissent pas y accéder et les utiliser pour récupérer les
données de l'ordinateur de la victime.
1. Désactiver les périphériques réseaux inutilisés.
Désactivation du protocole SMB

Comme nous l’avons vu dans la compétence 10, SMB est un protocole de partage de fichiers très exploité par les pirates. Le protocole est principalement utilisé pour le
partage de fichiers dans un réseau.
2. Par conséquent, désactiver le protocole si votre ordinateur ne fait pas partie d'un réseau en exécutant une commande PowerShell.
Vérification de l'attaque ARP poinsoning

PARTIE 3
L’ARP poinsoning est quand un attaquant arrive à inonder les systèmes cibles de réponses ARP spécialement conçues, qui pointent vers une machine contrôlée par
l'attaquant et le placent au milieu de la communication entre les hôtes ciblés.
3. À l’aide de la commande arp, vérifier que votre système n’est pas victime d’un ARP poinsoning
4. À l’aide de la commande arp, nettoyer le cache arp

Activité n° 2
Windows
Exercices
Empêcher l'accès à distance à la machine :
L'accès à distance permet de se connecter à d'autres ordinateurs/réseaux, même situés à un emplacement géographique différent, pour le partage de fichiers et
d'apporter à distance des modifications à un poste de travail. Microsoft a développé un Remote Desktop Protocol (RDP) pour se connecter avec d'autres ordinateurs. Les
pirates ont exploité le protocole dans le passé, comme la célèbre vulnérabilité Blue Keep, pour obtenir un accès non autorisé au système cible.
1. Désactiver l'accès à distance.
PARTIE 3

Activité n° 2
Windows
Corrigé
Accéder au pare-feu Windows defender
PARTIE 3

Activité n° 2
Windows
Corrigé
Afficher les paramètres détaillés de chaque profil en cliquant sur Propriétés du pare-feu Windows Defender.
PARTIE 3

Activité n° 2
Windows
Corrigé
Dans la mesure du possible, Activer les paramètres par défaut du pare-feu Windows Defender.
PARTIE 3

Activité n° 2
Windows
Corrigé
Les périphériques réseaux inutilisés :
Désactiver les périphériques réseaux inutilisés.
PARTIE 3

Activité n° 2
Windows
Corrigé
Désactivation du protocole SMB :
Par conséquent, désactiver le protocole si votre ordinateur ne fait pas partie d'un réseau en exécutant une commande PowerShell.
PARTIE 3

Activité n° 2
Windows
Corrigé
Vérification de l'attaque ARP poinsoning :
À l’aide de la commande arp, vérifier que votre système n’est pas victime d’un ARP poinsoning :
À l’aide de la commande arp, nettoyer le cache arp :

PARTIE 3

Activité n° 2
Windows
La gestion du stockage
Exercices
Chiffrement des données via BitLocker :
Le cryptage de l'ordinateur est l'une des choses les plus vitales auxquelles nous prêtons généralement peu d'attention. Le pire cauchemar est que quelqu'un ait un accès
illimité aux données de vos appareils. Le chiffrement garantit que vous ou une personne avec qui vous partagez la clé de récupération pouvez accéder au contenu stocké.
Microsoft, pour son édition professionnelle de Windows, utilise les outils de chiffrement de BitLocker. Voyons rapidement comment on peut s'assurer de protéger les
données grâce aux fonctionnalités de chiffrement BitLocker disponibles sur les éditions familiales de Windows 10.
1. Vérifier si l'option de chiffrement de lecteur BitLocker est activée ou non.
Démarrage sécurisé de Windows (Windows secure boot) :

Le démarrage sécurisé - une norme de sécurité avancée - vérifie que votre système s'exécute sur un matériel et un micrologiciel fiables avant le démarrage, ce qui garantit
que votre système démarre en toute sécurité tout en empêchant les accès logiciels non autorisés de prendre le contrôle de votre PC, comme les logiciels malveillants.
Vous êtes déjà dans un environnement de démarrage sécurisé si vous utilisez un PC moderne avec Unified Extensible Firmware Interface UEFI (le meilleur remplacement
pour le BIOS) ou Windows 10.
PARTIE 3
1. Vérifier l'état du démarrage sécurisé.

Activité n° 2
Windows
Corrigé
Chiffrement des données via BitLocker :
Vérifier si l'option de chiffrement de lecteur BitLocker est activée ou non.
PARTIE 3

Activité n° 2
Windows
Corrigé
Démarrage sécurisé de Windows (Windows secure boot) :
Vérifier l'état du démarrage sécurisé.
PARTIE 3

Activité n° 2
Windows
Les mises à jour de Windows

Exercices
Les pirates contournent et exploitent en permanence les fonctionnalités légitimes de Windows. Vous pouvez voir une liste des vulnérabilités de Windows en suivant ce lien
https://www.cvedetails.com/vulnerability-list/vendor_id-26/product_id-32238/Microsoft-Windows-10.html
La partie la plus critique du durcissement des ordinateurs consiste à activer les mises à jour automatiques de Windows.
Cela garantit que toutes les mises à jour de sécurité urgentes, le cas échéant, sont installées immédiatement sans causer de retard. C'est le plus important car plus vite
vous appliquez le nouveau correctif de protection Windows, plus vite vous pouvez corriger les vulnérabilités potentielles - pour assurer la sécurité contre les dernières
menaces connues.
1. Activer les mises à jour automatiques.
PARTIE 3

Activité n° 2
Windows
Les mises à jour de Windows

Corrigé
Activer les mises à jour automatiques :
PARTIE 3

Activité n° 2
Windows
CIS-CAT
Exercices
CIS-CAT est un outil d'évaluation de la configuration qui compare la configuration des systèmes cibles aux paramètres de configuration sécurisés recommandés dans les
benchmarks CIS dans un contenu lisible par ordinateur.
1. Télécharger la version gratuite directement sur votre machine Windows et lancer un scan CIS-CAT.
PARTIE 3

Activité n° 2
Windows
CIS-CAT
Corrigé
Télécharger la version gratuite directement sur votre machine Windows et lancer un scan CIS-CAT.
PARTIE 3

Activité n° 2
Windows
CIS-CAT
Corrigé
PARTIE 3

Activité n° 2
Windows
CIS-CAT
Corrigé
Les résultats sont dans un fichier html :
PARTIE 3

Activité n° 2
Windows
CIS-CAT
Corrigé
Les résultats sont dans un fichier html :
PARTIE 3

PARTIE 4
DÉPLOYER DES SOLUTIONS DLP ET DE
TRAÇABILITÉ
• Déployer une solution DLP

• Découvrir une solution de traçabilité
11 heures
ACTIVITÉ 1
Déploiement d’une solution DLP
• Découvrir les solutions de DLP

• Déployer une solution DLP
• L’exemple donné est un DLP OpenSource, il est recommandé

de passer aussi du temps à refaire les mêmes activités avec les
VPNs du lab disponibles
2 heures
CONSIGNES
par soi-même
• Il faut aussi donner la possibilité d’installer/configurer/upgrader les solutions DLP
des solutions et des moyens de contournements
• Le DLP opensource OpenDLP
• Les solutions DLP disponibles dans le lab
• Connaissance claire des solutions de traçabilité
• Maitrise des configurations
Activité n° 1
Etape 1 : Installation OpenDLP

Exercices
OpenDLP est un outil de prévention des pertes de données gratuit et open source, basé sur des agents, géré de manière centralisée et massivement distribuable. Avec les
informations d'identification de domaine Windows appropriées, OpenDLP peut identifier simultanément les données sensibles au repos sur des centaines ou des milliers
de systèmes Microsoft Windows à partir d'une application Web centralisée. OpenDLP comporte deux composants : une application Web et un agent.
1. Utiliser le lien suivant pour télécharger les fichiers composants la VM OpenDLP :
https://drive.google.com/drive/folders/1tAnXAdvT5O7h9tRsWqI6xTXTa88mn4Ue?usp=sharing
2. Une fois téléchargés, regrouper les 7 fichiers dans le même dossier
3. Décompresser le premier fichier avec 7z , à la fin de la décompression, un nouveau dossier sera créé avec l’image de la machine virtuelle .OVA
4. Utiliser la configuration réseau NAT
5. Si besoin, désactiver le contrôleur USB
6. Lancer la machine OpenDLP et utiliser les identifiants opendlp/opendlp
7. Vérifier l’ip de la machine dlp. Vérifier la configuration des interfaces /etc/network/interfaces en cas de problème
PARTIE 4

Activité n° 1
Installation OpenDLP
Corrigé
• Utiliser le lien suivant pour télécharger les fichiers composants la VM OpenDLP
• Une fois téléchargés, regrouper les 7 fichiers dans le même dossier
• Décompresser le premier fichier avec 7z , à la fin de la décompression, un nouveau dossier sera créé avec l’image de la machine virtuelle .OVA
PARTIE 4

Activité n° 1
Corrigé
• Utiliser la configuration réseau NAT
• Si besoin, désactiver le contrôleur USB
PARTIE 4

Activité n° 1
Corrigé
• Lancer la machine OpenDLP et utiliser les identifiants opendlp/opendlp
• Vérifier l’ip de la machine dlp. Vérifier la configuration des interfaces /etc/network/interfaces en cas de problème
PARTIE 4

Activité n° 1
Corrigé
PARTIE 4

ACTIVITÉ 2
Configuration d’une solution de traçabilité
• Découvrir les solutions de traçabilité

• Déployer une solution de traçabilité
• L’exemple donné est avec ELK et sysmon, il est recommandé

de passer aussi du temps à refaire les mêmes activités avec
d’autres solutions (splunk, syslog par exemple)
6 heures
CONSIGNES
par soi-même.
• Il faut aussi donner la possibilité d’installer/configurer/upgrader les solutions de
traçabilité disponibles dans le lab
des solutions et des moyens de contournements
• La solution ELK et l’agent sysmon
• Les solutions de traçabilité disponibles dans le lab ou en opensource
• Connaissance claire des solutions de traçabilité
• Maitrise des configurations
Activité n° 2
Étape 1 : Installation de ELK dans le cloud

Exercices
Dans le résumé théorique, nous avons présenté 2 solutions de traçabilité, syslog pour configurer la journalisation dans les sources de journaux basées sur Linux (serveurs,
firewalls, antivirus, etc) et Cloudtrail pour collecter et centraliser ces journaux. Dans cette activité, nous allons découvrir deux autres solutions : sysmon et ELK.
ELK combine trois technologies et fournit une solution puissante lorsque vous travaillez avec un grand volumes de données. De plus, nous sommes en mesure de
configurer des règles SIEM pour nous alerter en tant que défenseurs des attaques contre notre organisation.
✓ E-Elasticsearch
✓ L - Logstash
✓ K - Kibana
ELK permet aux défenseurs de détecter les attaques et de prévenir les menaces.
1. Créer un compte Elastic en utilisant le lien suivant (ce lien vous donnera un accès gratuit de 150 jours):
https://cloud.elastic.co/registration?settings=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJsZW5ndGgiOjE1MCwic2l6ZSI6NDA5NiwiZGVmYXVsdF9zaXplIjoxMDI0fQ.dS6xq
drcNBVkANlcS19AnsZmHVSqoPROLHprdeN-Qbc&source=education
2. Configurer Fleet
PARTIE 4
Kibana a une fonctionnalité pratique appelée « Fleet ». Cette fonctionnalité permet aux utilisateurs d'ajouter facilement des données à la stack ELK.

Activité n° 2

Corrigé
Créer un compte Elastic en utilisant le lien suivant :
PARTIE 4

Activité n° 2

Corrigé
Cliquer sur : « start your free trial » et lancer un nouveau déploiement :
PARTIE 4

Activité n° 2

Corrigé
Pour nos besoins, nous voulons lancer une instance Elastic security :
PARTIE 4

Activité n° 2

Corrigé
Après avoir sélectionné Sécurité, faites défiler vers le bas. Il existe des options pour sélectionner des paramètres personnalisés et pour nommer le déploiement.
PARTIE 4

Activité n° 2

Corrigé
Nous avons maintenant une instance complète et fonctionnelle d'une instance ELK dans laquelle nous pouvons apprendre et expérimenter.
PARTIE 4

Activité n° 2

Corrigé
Configurer Fleet :
PARTIE 4

Activité n° 2

Corrigé
Dans le menu Fleet, recherchez l'onglet « Agents » :
PARTIE 4

Activité n° 2

Corrigé
Pour activer Fleet, un utilisateur central doit être activé. Cliquez sur «Create user and enable central management » :
PARTIE 4

Activité n° 2

Corrigé
Ajouter un agent en cliquant sur « Add agent » :
PARTIE 4

Activité n° 2

Corrigé
Choisir un nom de politique et Faites défiler vers le bas du panneau. Au bas du panneau, il y a des commandes qui peuvent être copiée dans le presse-papiers en cliquant
sur le bouton présenté.
PARTIE 4

Activité n° 2

Corrigé
La stack ELK est maintenant configurée et nos informations de connexion sont enregistrées. La deuxième étape couvrira l'installation et la configuration d'un agent Elastic.
PARTIE 4

Activité n° 2
Étape 2 : Installation de l’agent ELK sur une machine Windows

Exercices
1. Télécharger l’agent à partir du lien suivant : https://www.elastic.co/fr/downloads/elastic-agent
2. Extraire le fichier téléchargé et lancer la commande powershell sauvegardée à l’étape précédente d’installation
3. Installer l’agent ELK avec la commande : ./elastic-agent.exe install -f --kibana-url=[URL] --enrollment-token=[Token]
PARTIE 4

Activité n° 2

Corrigé
1. Télécharger l’agent Windows 10 à partir du lien suivant : https://www.elastic.co/fr/downloads/elastic-agent
2. Extraire le fichier téléchargé et lancer la commande d’installation
PARTIE 4

Activité n° 2

Corrigé
Lancer la commande d’installation : ./elastic-agent.exe install -f --kibana-url=[URL] --enrollment-token=[Token]
Une fois l’installation terminée, nous avons la confirmation dans l’instance Elastic :
PARTIE 4

Activité n° 2
Étape 3 : Configuration de sysmon

Exercices
Sysmon est l’équivalent de syslog pour les OS Windows. Sysmon est un outil gratuit pour surveiller et enregistrer l’activité de Windows.
1. Télécharger sysmon à partir du lien suivant : https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon
2. Extraire le fichier téléchargé et lancer la commande powershell sauvegardée à l’étape précédente d’installation
3. Dans le menu Kibana, séléctionner “Integrations“ et ajouter Windows
4. Confirmer que Windows a été intégré en utilisant l’option “ installed integrations ”
5. Utiliser sur l'ordinateur sur lequel Elastic Agent est installé pour déplacer des fichiers, créer des fichiers, démarrer des programmes, effectuer quelques recherches sur
Google. Cela générera des journaux pour garantir que les journaux Sysmon atteignent notre cloud.
PARTIE 4

Activité n° 2

Corrigé
Télécharger l’agent à partir du lien suivant : https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon
PARTIE 4

Activité n° 2

Corrigé
Extraire le fichier téléchargé et lancer la commande powershell pour installer Sysmon :
PARTIE 4

Activité n° 2

Corrigé
Dans le menu Kibana, sélectionner “Integrations “ et ajouter Windows :
PARTIE 4

Activité n° 2

Corrigé
Confirmer que Windows a été intégré en utilisant l’option “installed integrations” :
PARTIE 4

Activité n° 2

Corrigé
Utiliser sur l'ordinateur sur lequel Elastic Agent est installé pour déplacer des fichiers, créer des fichiers, démarrer des programmes, effectuer quelques recherches sur
Google. Cela générera des journaux pour garantir que les journaux Sysmon atteignent notre cloud.
PARTIE 4

Activité n° 2

Corrigé
En définissant notre source de données sur "logs-*". Définissez une contrainte de temps pour concentrer vos résultats.
Nous pouvons ajouter un filtre sur nos données pour limiter vos résultats aux données sysmon. Cela peut être fait en recherchant dans le champ "data_stream.dataset" les
données "Windows.sysmon_operational".
PARTIE 4

Activité n° 2

Corrigé
Si vous obtenez un résultat, et non une erreur, vos données Sysmon sont collectées et envoyées à Elastic.
PARTIE 4

OK M212-Assurer Durcissement-Manuel-TPs

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

OK M212-Assurer Durcissement-Manuel-TPs

Transféré par

Droits d'auteur :

Formats disponibles

TRAVAUX PRATIQUES – FILIÈRE INFRASTRUCTURE DIGITALE

M204 – Assurer le durcissement de la sécurité des systèmes et réseaux

2. MAITRISER LE DURCISSEMENT DU RÉESAU

3. MAITRISER LE DURCISSEMENT D’UN SYSTÈME

4. DÉPLOYER DES SOLUTIONS DLP ET DE TRAÇABILITÉ

Copyright - Tout droit réservé - OFPPT 3

Dans ce module, vous allez :

• Découvrir les bonnes pratiques d’architectures sécurisées

• Appliquer les bonnes pratiques d’architecture sécurisées

• Le besoin exprimé est volontairement vague et sans beaucoup

Architecture d’entreprise et interconnexion

Copyright - Tout droit réservé - OFPPT 7

Architecture d’entreprise et interconnexion

Copyright - Tout droit réservé - OFPPT 8

Architecture d’entreprise et interconnexion

Copyright - Tout droit réservé - OFPPT 9

Architecture d’entreprise et interconnexion

Copyright - Tout droit réservé - OFPPT 10

4. Lister les composants sensibles et qui doivent être particulièrement protégés.

Copyright - Tout droit réservé - OFPPT 11

Copyright - Tout droit réservé - OFPPT 12

• Nous proposons pour cette étape d’ajouter :

Copyright - Tout droit réservé - OFPPT 13

Copyright - Tout droit réservé - OFPPT 14

Zone d’administration et Zone de surveillance

7. Proposer une architecture d'administration sécurisée pour HAPOO.

Copyright - Tout droit réservé - OFPPT 15

Zone d’administration et Zone de surveillance

Copyright - Tout droit réservé - OFPPT 16

Zone d’administration et Zone de surveillance

• Le système d’information de surveillance est organisé en zones

Copyright - Tout droit réservé - OFPPT 17

Zone d’administration et Zone de surveillance

Copyright - Tout droit réservé - OFPPT 18

Zone d’administration et Zone de surveillance

• Toute politique de segmentation doit commencer comme ceci :

Copyright - Tout droit réservé - OFPPT 19

• Rédiger un guide de durcissement adapté à partir d’un guide

• Une bonne familiarisation avec les guides de durcissement

Des guides de durcissement des pares-feux

Copyright - Tout droit réservé - OFPPT 22

Des guides de durcissement des pares-feux

Copyright - Tout droit réservé - OFPPT 23

Des guides de durcissement des pares-feux

• Comme principes génériques pour un firewall, nous pouvons proposer :

Copyright - Tout droit réservé - OFPPT 24

Des guides de durcissement des actives directory

Copyright - Tout droit réservé - OFPPT 25

Des guides de durcissement des active directory

Copyright - Tout droit réservé - OFPPT 26

Des guides de durcissement des actives directory

Copyright - Tout droit réservé - OFPPT 27

Dans ce module, vous allez :

• Étudier les moyens de sécuriser la partie réseau d’un SI

• L’exemple donné est un firewall OpenSource, il est

✓ Sélectionner la carte avec la mac de la zone DMZ pour la zone DMZ

Copyright - Tout droit réservé - OFPPT 31

Copyright - Tout droit réservé - OFPPT 32

Copyright - Tout droit réservé - OFPPT 33

Copyright - Tout droit réservé - OFPPT 34

Copyright - Tout droit réservé - OFPPT 35

Copyright - Tout droit réservé - OFPPT 36

Copyright - Tout droit réservé - OFPPT 37

Copyright - Tout droit réservé - OFPPT 38