Académique Documents
Professionnel Documents
Culture Documents
OK M212-Assurer Durcissement-Manuel-TPs
OK M212-Assurer Durcissement-Manuel-TPs
50 heures
Assurer le durcissement de la sécurité
des systèmes et réseaux informatiques
SOMMAIRE 1. PRÉSENTER LES NORMES ET LES STANDARDS DE
DURCISSEMENT
• Activité 1 : Conception d’une architecture sécurisée
• Activité 2 : Rédaction des guides de durcissement des composants
1 2 3 4 5
LE GUIDE DE LA VERSION PDF DES CONTENUS DU CONTENU DES RESSOURCES
SOUTIEN Une version PDF TÉLÉCHARGEABLES INTERACTIF EN LIGNES
Il contient le est mise en ligne Les fiches de Vous disposez de Les ressources sont
résumé théorique sur l’espace résumés ou des contenus consultables en
et le manuel des apprenant et exercices sont interactifs sous synchrone et en
travaux pratiques formateur de la téléchargeables forme d’exercices asynchrone pour
plateforme sur WebForce Life et de cours à s’adapter au
WebForce Life utiliser sur rythme de
WebForce Life l’apprentissage
12 heures
ACTIVITÉ n° 1
Conception d’une architecture sécurisée
Compétences visées :
Recommandations clés :
6 heures
CONSIGNES
Pour le formateur :
• Il n’y a pas qu’une seule solution possible à chaque question
• Il faut orienter les apprenants en cas de blocage et donner des indices
• Le corrigé est pour orienter l’apprenant à chercher plus et challenger les propositions
• Il est recommandé de consacrer un temps pour une présentation orale des
architectures et des questions/réponses où l’objectif est de challenger les propositions
Pour l’apprenant :
• L’intérêt de chaque activité est le processus de recherche et d’analyse des résultats
• Durant la présentation des autres apprenants, il faut challenger leurs propositions et
poser des questions pour clarifier la compréhension
• Le support de réponse est une présentation PowerPoint
• Passer du temps à se familiariser avec les guides de durcissement
Conditions de réalisation :
• Une connexion internet
• Le guide théorique
• Microsoft Visio s’il est disponible sinon PowerPoint ou Word
Critères de réussite :
• Définition claire des objectifs du durcissement en cybersécurité
• Compréhension des rôles des principaux composants d’un SI
Activité n° 1
Conception d’une architecture sécurisée
1. HAPOO dispose de 4 sites de bureaux situés à Casablanca, Paris, Madrid et Tokyo (proposer un schéma).
2. Les serveurs de HAPOO sont hébergés dans 2 datacenters en nominal/backup situés à Paris (proposer un schéma).
3. La connexion réseau est assurée via le MLPS d'Orange pour connecter les sites et les data centers de HAPOO (proposer un schéma).
PARTIE 1
Composants sensibles
Exercices
Vous avez été recruté par la multinationale HAPOO pour concevoir une architecture de son système d'information sécurisée en documentant vos propositions.
Voici les informations communiquées par HAPOO dans son expression de besoin. Pour chaque point, proposer un schéma ou/et un descriptif détaillé :
Composants sensibles
Corrigé
Lister les composants sensibles et qui doivent être particulièrement protégés.
• L'étude des compagnes d'attaque et en particulier des étapes des APT nous montrent que les systèmes qui ont le rôle suivant doivent être particulièrement protégés :
✓ Les serveurs d'infrastructure qui permettent de contrôler ensuite l'ensemble des autres composants, parmi lesquels les serveurs Active Directory, les serveurs de
déploiement de logiciels ou de leurs mises à jour, les serveurs de sauvegarde/restauration.
✓ Les postes des administrateurs.
✓ Les équipements de sécurité.
PARTIE 1
Composants sensibles
Corrigé
Proposer une architecture sécurisée avec ces composants sensibles.
Composants sensibles
Corrigé
HAPOO dispose des services/serveurs suivants : serveur Web, relais entrant de messagerie, Webmail, publication de DNS externe, accès distant par VPN (proposer un
schéma)
• Les systèmes qui sont exposés à l'extérieur comme un serveur Web,
relais entrant de messagerie, Webmail, publication de DNS externe,
accès distant par VPN devront être positionnés en DMZ,
c'est à dire dans une zone cloisonnée et filtrée, interconnectée à l'extérieur,
mais dont les échanges avec le réseau interne sont fortement restreints
PARTIE 1
✓ Les pares-feux réseau doivent toujours cloisonner 2 zones qui ne sont pas dans le même domaine de confiance en appliquant une politique de filtrage par liste
blanche : seuls les flux nécessaires sont autorisés.
✓ Concernant les systèmes et les services exposés en public, il est recommandé de placer un proxy applicatif pour compléter le filtrage réseau par un filtrage
applicatif.
✓ Un filtrage applicatif par signature peut également être appliqué au travers un IPS (Intrusion Prevention System, Système de Prévention des Intrusions), ce qui
va bloquer certaines attaques lorsqu'un flux réseau correspond à une de ses signatures. Ce système peut être judicieux à l'entrée d'un site ou aux interfaces
avec l'extérieur, mais il faudra être précautionneux de ne pas bloquer un flux légitime (en cas de faux positif de la détection).
PARTIE 1
✓ Cloisonner le réseau en segments logiques. Il peut s'agir de segments physiques ou virtuels. Nous leur attribuons des masques de réseau prédéterminés.
✓ Distribuer les ressources réseau à chaque segment (sous-réseau). A son tour, chaque segment redistribue les ressources à N stations ou appareils.
✓ Connecter des segments de réseau à l'aide de switchs (couche 2), de ponts (couches 2-3) ou de routeurs (couche 3).
PARTIE 1
Recommandations clés :
6 heures
CONSIGNES
Pour le formateur :
• Il n’y pas qu’une seule solution possible à chaque question
• Il faut orienter les apprenants en cas de blocage et donner des indices
• Le corrigé est pour orienter l’apprenant à chercher plus et challenger les propositions
• Il est recommandé de consacrer un temps pour une présentation orale des
architectures et des questions/réponses où l’objectif est de challenger les propositions
Pour l’apprenant :
• L’intérêt de chaque activité est le processus de recherche et d’analyse des résultats
• Durant la présentation des autres apprenants, il faut challenger leurs propositions et
poser des questions pour clarifier la compréhension
• Les corrigés ne sont qu’un indice pour orienter votre recherche
• Passer du temps à se familiariser avec les guides de durcissement
Conditions de réalisation :
• Une connexion internet
• Le guide théorique
• Microsoft Word
Critères de réussite :
• Définition claire des objectifs du durcissement en cybersécurité
• Compréhension des rôles des principaux composants d’un SI
Activité n° 2
Rédaction des guides de durcissement des
composants
✓ La gestion des pares-feux personnels doit être centralisée pour aider à créer, distribuer et appliquer des stratégies pour tous les utilisateurs et groupes.
16 heures
ACTIVITÉ n° 1
Installation et configuration d’un firewall
Compétences visées :
• Installer un firewall
• Configurer un firewall pour une implémentation sécurisée
Recommandations clés :
3 heures
CONSIGNES
1. Pour le formateur :
• L’objectif est de faire faire à des problèmes d’installation et de trouver une solution
par soi-même.
• Le corrigé peut être présenté rapidement mais l’apprenant doit refaire les mêmes
étapes et avoir les mêmes résultats
• L’objectif est de susciter la curiosité pour comprendre l’intérêt de chaque étape
• Il faut aussi donner la possibilité d’installer/configurer/upgrader les firewalls
disponibles dans le lab
2. Pour l’apprenant :
• Cette activité est l’occasion de faire faire à des problèmes d’installation et de trouver
des solutions et des moyens de contournement
3. Conditions de réalisation :
• Une connexion internet
• Le guide théorique
• Le firewall opensource Pfsense
• Les firewalls appliance disponibles dans le lab
4. Critères de réussite :
• Maitrise des configurations réseaux
• Application maitrisée des recommandations
Activité n° 1
Installation et configuration d’un firewall
Pfsense
Exercices
Dans cette activité, nous allons utiliser pfsense, un firewall opensource.
pfSense est un puissant pare-feu/routeur opensource basé sur FreeBSD. L'utilisation de pfSense au lieu d'un routeur grand public typique présente de nombreux
avantages. Les mises à jour fréquentes du système d'exploitation pour corriger les vulnérabilités sont importantes. La plupart des routeurs grand public ne reçoivent jamais
de mises à jour du micrologiciel et la plupart des gens utilisent leur routeur pendant plus de cinq ans. Mais au-delà d'une meilleure sécurité, pfSense comprend de
nombreux outils qui facilitent la configuration de pratiquement n'importe quelle configuration réseau assez facilement grâce à son interface graphique complète.
1. Se rendre sur le site officiel : https://www.pfsense.org/download/ et Télécharger la dernière version stable, community edition.
2. Créer une nouvelle VM virtual box.
3. Segmenter les réseaux qui seront connectés aux firewalls en activant 3 interfaces (interne, externe, DMZ).
4. Monter l'ISO téléchargé précédemment et lancer l’installation.
5. Dès que l’installation est terminée, redémarrer la machine, une étape de configuration sera présentée, configurer les interfaces.
✓ Sélectionner la carte avec la mac de la zone externe pour la zone WAN
✓ Sélectionner la carte avec la mac de la zone interne pour la zone LAN
PARTIE 2
Pfsense
Corrigé
Se rendre sur le site officiel : https://www.pfsense.org/download/
et Télécharger la dernière version stable, community edition
PARTIE 2
Pfsense
Corrigé
Créer une nouvelle VM virtual box
PARTIE 2
Pfsense
Corrigé
Segmenter les réseaux qui seront connectés aux firewalls en activant 3 interfaces (interne, externe, DMZ).
PARTIE 2
Pfsense
Corrigé
Monter l'ISO téléchargé précédemment et lancer l’installation.
PARTIE 2
Pfsense
Corrigé
Dès que l’installation est terminée, redémarrer la machine, une étape de configuration sera présentée, configurer les interfaces
PARTIE 2
Pfsense
Corrigé
Il faut choisir l’option 1 pour configurer les interfaces.
PARTIE 2
Pfsense
Corrigé
Il faut récupérer les adresses MAC de la configuration réseau de la VM :
PARTIE 2
• Installer un VPN
• Configurer un VPN pour une implémentation sécurisée
Recommandations clés :
13 heures
CONSIGNES
1. Pour le formateur :
• L’objectif est de faire faire à des problèmes d’installation et de trouver une solution
par soi-même
• Le corrigé peut être présenté rapidement mais l’apprenant doit refaire les mêmes
étapes et avoir les mêmes résultats
• L’objectif est de susciter la curiosité pour comprendre l’intérêt de chaque étape
• Il faut aussi donner la possibilité d’installer/configurer/upgrader les solutions VPN
disponibles dans le lab
2. Pour l’apprenant :
• Cette activité est l’occasion de faire faire à des problèmes d’installation et de trouver
des solutions et des moyens de contournement
3. Conditions de réalisation :
• Une connexion internet
• Le guide théorique
• Le firewall opensource OpenVPN
• Les firewalls appliance disponibles dans le lab
4. Critères de réussite :
• Maitrise des configurations réseaux
• Application maitrisée des recommandations
Activité n° 2
Appliquer les règles de durcissement VPN sur un
firewall
OpenVPN
Exercices
Maintenant que pfsense est installé, une chose facile à configurer sur pfSense est votre propre serveur OpenVPN. Lorsqu'un serveur VPN s'exécute sur votre routeur, vous
pouvez vous connecter à votre réseau domestique en toute sécurité et, de n'importe où, accéder à votre machine locale et même utiliser votre connexion Internet
domestique à partir de votre appareil distant. Et c'est ce que nous allons voir dans cette activité. Nous allons à travers toutes les étapes à suivre configurer notre propre
serveur OpenVPN sur pfSense. Il faut utiliser une autre machine dans le même réseau que pfsense pour se connecter en interface web avec l’ip de pfsense. Les identifiants
à utiliser sont : admin/pfsense.
1. Installer le plugin OpenVPN Client pour générer la configuration.
2. Créer la CA (Certification Authority).
3. Créer le certificat du serveur OpenVPN (choisissez le certificat interne).
4. Créer l’utilisateur OpenVPN et le certificat de l’utilisateur.
5. Créer et Configurer le serveur OpenVPN.
6. Configurer les règles sur le firewall pour autoriser l'accès.
7. Exporter le fichier de configuration OpenVPN pour les clients.
PARTIE 2
8. Vérifier l'état du service en testant la connexion depuis une autre VM où le client OpenVPN est installé.
OpenVPN
Corrigé
Installer le plugin OpenVPN Client pour générer la configuration.
• Dans les menus en haut de l'écran, sélectionnez Système > Packages Manager. Vous êtes redirigé vers le Packages Manager
• Sélectionnez le Available Packages sous-menus
PARTIE 2
OpenVPN
Corrigé
Installer le plugin OpenVPN Client pour générer la configuration.
• Faites défiler vers le bas jusqu'à ce que vous voyiez openVPN-client-export et cliquez sur le bouton Installer à sa droite. Vous êtes redirigé vers la page Package Installer.
PARTIE 2
OpenVPN
Corrigé
Installer le plugin OpenVPN Client pour générer la configuration.
OpenVPN
Corrigé
Installer le plugin OpenVPN Client pour générer la configuration.
• Une fois l'installation terminée, la barre de progression devient verte et vous devriez voir Success affiché dans la fenêtre package.
PARTIE 2
OpenVPN
Corrigé
Créer la CA (Certification Authority).
• La première chose que nous devons faire est de générer notre autorité de certification (CA), qui validera l'identité du serveur OpenVPN et authentifiera les certificats
utilisateurs (si activés). Dans les menus en haut de l'écran, sélectionnez Système > Cert. Manager.
PARTIE 2
OpenVPN
Corrigé
Créer la CA (Certification Authority) :
• Cliquez sur le bouton Ajouter en bas à droite
• Saisissez un nom pour votre autorité de certification
• Assurez-vous que Méthode est définie sur « Create an internal Certificate Authority. »
• Sélectionnez votre type de clé. RSA par exemple, mais vous pouvez également utiliser ECDSA
• Définissez la longueur de votre clé sur au moins 2048
• Réglez votre algorithme Digest sur au moins sha256
• Choisissez un nom commun pour votre certificat ou laissez la valeur par défaut interne-ca
PARTIE 2
OpenVPN
Corrigé
Créer la CA (Certification Authority).
OpenVPN
Corrigé
Cliquer sur save pour sauvegarder votre CA.
PARTIE 2
OpenVPN
Corrigé
Créer le certificat du serveur OpenVPN (choisissez le certificat interne) :
• Sélectionnez Système > Cert. Manager
• Sélectionnez le sous-menu Certificats
PARTIE 2
OpenVPN
Corrigé
• Dans le sous-menu Certificats, cliquez sur le bouton Ajouter/Signer en bas à droite
• Assurez-vous que Méthode est défini sur Créer un certificat interne
• Entrez un nom descriptif pour votre certificat
• Utilisez les mêmes valeurs que vous avez définies pour l'autorité de certification pour le type et la longueur de la clé, ainsi que pour l'algorithme Digest
• Définissez la durée de vie sur 365 jours
• Sélectionnez Certificat de serveur comme type de certificat
• Cliquez sur Save. Vous avez créé votre certificat de serveur
PARTIE 2
OpenVPN
Corrigé
PARTIE 2
OpenVPN
Corrigé
PARTIE 2
OpenVPN
Corrigé
Créer l’utilisateur OpenVPN et le certificat de l’utilisateur :
• Nous devons maintenant créer un utilisateur pour accéder au serveur OpenVPN. Dans ce corrigé, nous allons créer un seul utilisateur, mais vous pouvez créer autant
d'utilisateurs que nécessaire. Répétez simplement ces étapes
• Dans les menus en haut de l'écran, sélectionnez Système > User Manager. Vous êtes redirigé vers User Manager :
PARTIE 2
OpenVPN
Corrigé
PARTIE 2
OpenVPN
Corrigé
• Si vous avez choisi de configurer votre serveur pour une authentification basée sur un certificat ou une authentification basée sur un certificat et un mot de passe,
cliquez sur l'icône en forme de crayon à droite de votre nouvel utilisateur. Vous êtes ramené à la fenêtre Edit User
• Cliquez sur le bouton Add sous User certificates. Vous êtes redirigé vers le Certificate Manager et vous êtes invité à saisir les paramètres de votre certificat utilisateur
• Définissez les mêmes valeurs que vous avez définies pour l'autorité de certification pour le type et la longueur de la clé, ainsi que pour l'algorithme Digest
• Définissez la durée de vie sur 365 jours
• Assurez-vous que Type de certificat est défini sur Certificat utilisateur
OpenVPN
Corrigé
PARTIE 2
OpenVPN
Corrigé
PARTIE 2
OpenVPN
Corrigé
PARTIE 2
OpenVPN
Corrigé
Créer et Configurer le serveur OpenVPN :
• Dans les menus en haut de l'écran, sélectionnez VPN > OpenVPN. Vous êtes redirigé vers le sous-menu Serveurs OpenVPN
PARTIE 2
OpenVPN
Corrigé
Créer et Configurer le serveur OpenVPN :
• Informations générales / Mode Configuration / Endpoint Configuration
✓ Entrez un nom pour votre serveur dans le champ Description
PARTIE 2
OpenVPN
Corrigé
Créer et Configurer le serveur OpenVPN :
• Informations générales / Mode Configuration / Endpoint Configuration
✓ Définissez le mode server sur Accès à distance (SSL/TLS), Accès à distance (Authentification de l'utilisateur) ou Accès à distance (SSL/TLS + Authentification de
l'utilisateur)
✓ Remplacez le port local par un port différent si la topologie de votre réseau l'exige ou laissez-le par défaut (1194)
PARTIE 2
OpenVPN
Corrigé
Créer et Configurer le serveur OpenVPN
• Paramètres cryptographiques :
✓ Assurez-vous que Use a TLS Key et Automatically generate a TLS key sont activés
✓ Assurez-vous que votre autorité de certification homologue est définie sur l'autorité de certification que nous avons créée précédemment
✓ Définissez le champ Server Certificat sur le certificat de serveur que nous avons créé précédemment
✓ Sélectionnez 4096 pour le réglage de la longueur du paramètre DH
✓ Définissez l'algorithme Auth digest sur RSA-SHA512 (512 bits)
PARTIE 2
OpenVPN
Corrigé
PARTIE 2
OpenVPN
Corrigé
PARTIE 2
OpenVPN
Corrigé
Créer et Configurer le serveur OpenVPN :
• Paramètres des tunnels :
✓ Dans le champ IPv4 Tunnel Network, entrez un sous-réseau qui n'est pas présent sur votre réseau à utiliser comme sous-réseau interne du réseau OpenVPN.
Dans notre exemple : 192.168.2.0/24
✓ Si votre réseau prend également en charge IPv6 et que vous souhaitez que votre tunnel OpenVPN prenne également en charge IPv6, saisissez un sous-réseau
IPv6 inutilisé dans le champ Réseau de tunnel IPv6. Dans cet exemple, je configure mon serveur pour IPv4 uniquement.
✓ Activez Redirect IPv4 Gateway afin d'acheminer tout le trafic IPv4 via le tunnel VPN
✓ Activez Redirect IPv6 Gateway afin d'acheminer tout le trafic IPv6 via le tunnel VPN, si nécessaire
PARTIE 2
OpenVPN
Corrigé
PARTIE 2
OpenVPN
Corrigé
Créer et Configurer le serveur OpenVPN :
• Configuration avancée :
✓ Activez UDP Fast I/O
✓ Si vous utilisez uniquement IPv4, sélectionnez IPv4 only dans le champ Gateway Creation. Si vous utilisez à la fois IPv4 et IPv6, laissez-le défini sur Les deux.
✓ Cliquez sur Save. Vous avez créé votre serveur OpenVPN.
PARTIE 2
OpenVPN
Corrigé
PARTIE 2
OpenVPN
Corrigé
Créer et Configurer le serveur OpenVPN.
OpenVPN
Corrigé
Vérification des logs
PARTIE 2
OpenVPN
Corrigé
Configurer les règles sur le firewall pour autoriser l'accès :
Cette règle autorisera le trafic du sous-réseau OpenVPN vers Internet.
• Dans les menus en haut de l'écran, sélectionnez Firewall > Rules
• Sélectionnez le sous-menu OpenVPN
• Cliquez sur le bouton Add pour créer une nouvelle règle en haut de la liste
PARTIE 2
OpenVPN
Corrigé
Configurer les règles sur le firewall pour autoriser l'accès :
• Définissez la famille d'adresses sur IPv4 + IPv6 si votre système utilise à la fois IPv4 et IPv6. Sinon, laissez-le à la valeur par défaut d'IPv4.
• Définissez le champ Protocole sur Any
• Définissez la Source sur Network
• Entrez le sous-réseau OpenVPN que vous avez spécifié précédemment dans le champ Adresse source mais sans le /24. Par exemple : 192.168.2.0
• Sélectionnez 24 dans le menu déroulant à droite du champ Adresse source
• Entrez une description pour cette règle dans le champ Description
PARTIE 2
OpenVPN
Corrigé
.
PARTIE 2
OpenVPN
Corrigé
.
PARTIE 2
OpenVPN
Corrigé
Configurer les règles sur le firewall pour autoriser l'accès :
• Cliquez sur Save. Et cliquez Apply Changes. Le trafic sera désormais autorisé à sortir du pare-feu à partir du sous-réseau OpenVPN.
PARTIE 2
OpenVPN
Corrigé
Configurer les règles sur le firewall pour autoriser l'accès.
Afin de vous connecter à votre serveur OpenVPN depuis l’extérieur (c'est-à-dire Internet), vous devrez ouvrir le port sur lequel votre serveur fonctionne (1194, dans cet
exemple) sur votre interface WAN. Cette règle permettra à votre client de se connecter à votre serveur OpenVPN depuis Internet :
• Dans les menus en haut de l'écran, sélectionnez Firewall > Rules
• Sélectionnez le sous-menu WAN (par défaut)
• Cliquez sur le bouton Add pour créer une nouvelle règle en haut de la liste
• Définissez la famille d'adresses sur IPv4 + IPv6 si votre système utilise à la fois IPv4 et IPv6. Sinon, laissez-le à la valeur par défaut d'IPv4
• Assurez-vous que Source est défini sur Any
• Définissez le champ Protocole sur UDP
• Définissez la plage de ports de destination sur 1194
• Entrez une description pour cette règle dans le champ Description
PARTIE 2
• Cliquez sur Save. Et cliquez Apply Changes. Le trafic sera désormais autorisé depuis internet vers le serveur OpenVPN.
OpenVPN
Corrigé
PARTIE 2
OpenVPN
Corrigé
PARTIE 2
OpenVPN
Corrigé
Exporter le fichier de configuration OpenVPN pour les clients
• Dans les menus en haut de l'écran, sélectionnez VPN > OpenVPN
• Sélectionnez le sous-menu client export
• Assurez-vous que le bon serveur OpenVPN est sélectionné à côté de Remote Access Server
• Si vous utilisez le DNS dynamique pour accéder à votre pfSense WAN, sélectionnez Other dans le menu déroulant Résolution du nom d'hôte. Entrez ensuite le nom
d'hôte dans la zone Nom d'hôte qui apparaît ci-dessous. Cela vous permet d'accéder à votre pfSense WAN par nom d'hôte plutôt que par adresse IP, ce qui signifie que
vous ne perdrez pas l'accès à votre serveur OpenVPN si votre FAI modifie votre adresse IP WAN. Si vous n'utilisez pas le DNS dynamique, laissez la résolution du nom
d'hôte définie sur l'adresse IP de l'interface
PARTIE 2
OpenVPN
Corrigé
Exporter le fichier de configuration OpenVPN pour les clients
• Faites défiler vers le bas de la page et vous trouverez des configurations générées pour divers systèmes et applications. Cliquez sur la configuration appropriée pour
votre ou vos appareils pour la télécharger sur votre ordinateur.
PARTIE 2
OpenVPN
Corrigé
Vérifier l'état du service en testant la connexion depuis une autre VM où le client OpenVPN est installé :
• Après l'importation de la configuration adaptée dans le gestionnaire de réseau de Linux, il suffit de saisir le nom d'utilisateur et le mot de passe (ils ne sont pas inclus
dans le fichier de configuration) et vous pouvez vous connecter au serveur OpenVPN sécurisé.
PARTIE 2
14 heures
ACTIVITÉ 1
Application des règles de durcissement
d’un Linux
Compétences visées :
Recommandations clés :
7 heures
CONSIGNES
1. Pour le formateur :
• Il n’y pas qu’une seule solution possible à chaque question
• Il faut orienter les apprenants en cas de blocage et donner des indices
• Le corrigé est fait pour orienter l’apprenant à chercher plus et challenger les
propositions
• Une introduction ou rappel sur les outils utilisés peut être utile
2. Pour l’apprenant :
• L’intérêt de chaque activité est le processus d’analyse et de recherche
• Après la correction, proposer une amélioration ou une adaptation à votre solution
initiale
• Si c’est possible proposer plusieurs scénarios de réponse pour chaque question
3. Conditions de réalisation :
• Une VM Ubuntu 18.04 LTS installée sur virtual box de préférence
• Le support du guide théorique de la compétence
4. Critères de réussite :
• Maitrise des configurations systèmes
• Application maitrisée des recommandations
Activité n° 1
Application des règles de durcissement d’un Linux
PAM
Exercices
L’ensemble du rendu devrait être validé sur un système Ubuntu 18.04 LTS.
PAM est un mécanisme qui permet de fournir et spécifier de l’authentification sur un système Linux. Dans cet exercice il vous faudra vous familiariser avec cette
technologie et la prendre en main à travers quelques exercices.
Pwquality
Pwquality est un module PAM qui vous permet de configurer les exigences de complexité des mots de passe pour vos utilisateurs. Il est assez facile à installer sur Ubuntu.
1. Installer pwquality : sudo gre. Une fois installé, il ajoute automatiquement une entrée dans le fichier /etc/pam.d/common-password. Le répertoire pam.d n'est qu'un
autre emplacement où PAM ajoute des fichiers pour les services de base tels que ssh, la connexion de base, etc.
Rappelez-vous avant « comment lire ceci ? » Il y a quelques différences, mais jetons un coup d'œil :
password : module
PARTIE 3
requisite : module ; indique que si le module échoue, l'opération se termine immédiatement par un échec sans invoquer d'autres modules
pam_pwquality.so : vérifie le fichier pwquality.conf pour les exigences
retry=3 : permet à l'utilisateur de réessayer son mot de passe 3 fois avant de revenir avec une erreur
PAM
Exercices
Si nous regardons quelques lignes du fichier pwquality.conf trouvé dans /etc/security, nous pouvons voir qu'il existe de nombreuses options que l'administrateur peut
définir pour la qualité du mot de passe. Les lignes doivent juste être dé-commentées et modifiées :
2. Mettez en place un mécanisme qui impose que les mots de passe du système soient au moins de 9
caractères et qu'ils contiennent majuscules, minuscules, chiffres et caractères spéciaux (donc un de
chaque au moins).
PARTIE 3
PAM
Corrigé
1. Installer pwquality : sudo apt-get install libpam-pwquality. Une fois installé, il ajoute automatiquement une entrée dans le fichier /etc/pam.d/common-password. Le
répertoire pam.d n'est qu'un autre emplacement où PAM ajoute des fichiers pour les services de base tels que ssh, la connexion de base, etc.
PARTIE 3
PAM
Corrigé
2. Mettez en place un mécanisme qui impose que les mots de passe du système soient au moins de 9 caractères et qu'ils contiennent majuscules, minuscules, chiffres et
caractères spéciaux (donc un de chaque au moins).
PARTIE 3
Apparmor
Exercices
1. Vous devez mettre en place une configuration apparmor qui vous empêche de lister le contenu du répertoire /aa-test avec la commande ls.
PARTIE 3
Apparmor
Corrigé
Vous devez mettre en place une configuration apparmor qui vous empêche de lister le contenu du répertoire /aa-test avec la commande ls.
• Pour répondre à cette question, nous allons créer un profile apparmor qui bloquera le listing du dossier /aa-test :
✓ L’outil apparmor à utiliser pour créer un profil est : aa-genprof
✓ Cependant, l’outil refuse de créer un profil spécifique à ls, cela risque d’endommager le système si nous appliquons des règles non maitrisées
✓ Option 1 : modifier la configuration de /etc/apparmor/logprof.conf
✓ Option 2 : utiliser ls dans un script ou créer une copie de ls et créer
le profil pour le script ou la copie de ls
✓ Parce que nous sommes dans un lab, nous allons choisir la deuxième
option
PARTIE 3
Apparmor
Corrigé
• Nous allons copier la commande ls :
• Nous vérifions que nous pouvons bien lister le dossier /aa-test avec la copie de ls :
PARTIE 3
Apparmor
Corrigé
Maintenant nous pouvons lancer la création du profil avec aa-genprof ls et nous lançons ensuite /root/ls aa-test dans un autre terminal
PARTIE 3
Apparmor
Corrigé
• Ensuite, en appuyant sur S, nous avons des choix à faire concernant l’action de la commande qui a été détectée. Dans notre cas, nous allons choisir (D)eny et nous
sauvegardons les changements avec (S)ave changes
PARTIE 3
Apparmor
Corrigé
Maintenant quand nous testons la commande /root/ls aa-test nous avons un « Permission denied ».
PARTIE 3
/etc : Intégrité de la donnée, des droits et owner/group, ctime et mtime. Pas de création ou de suppression.
/var/{lib,www,log} : Intégrité des droits et des owner/group.
/{usr,}/{{s,}bin,lib*} : Intégrité de la donnée, des droits et owner/group, ctime et mtime. Pas de création ou de suppression.
/root/*,/home/* : Intégrité des owner/group.
Citer une fonction autre que le contrôle d’intégrité que peut effectuer un HIDS.
✓ L'IDS basé sur l'hôte (HIDS) est installé sur un système d'exploitation avec les autres applications en cours d'exécution. Cette configuration donnera au HIDS la
possibilité de surveiller le trafic entrant et sortant de l'hôte ; de plus, il peut surveiller les processus en cours d'exécution sur l'hôte.
✓ Les processus
✓ Les connexions
✓ Les fichiers système critiques
Lynis
Exercices
Lynis est un logiciel d’audit de sécurité qui permet de vérifier la conformité d’un système avec un modèle.
1. Installer l’outil Lynis.
2. Prenez en main l’outil Lynis en analysant votre système avec le profil par défault founi par le paquet Debian.
3. Si openssh n’est pas installé, installer openssh et relancer une vérification avec lynis.
4. Ajouter la vérification de l’état de la configuration du serveur ssh pour empêcher la connexion en root (N’hésitez pas à utiliser les guides référencés dans le document
ANSSI pour vous aider, par exemple « Recommandations pour un usage sécurisé d’(Open)SSH » ).
PARTIE 3
Lynis
Corrigé
Installer l’outil Lynis.
PARTIE 3
Lynis
Corrigé
Prenez en main l’outil Lynis en analysant votre système avec le profil par défault founi par le paquet Debian.
PARTIE 3
Lynis
Corrigé
PARTIE 3
Lynis
Corrigé
PARTIE 3
Lynis
Corrigé
Si openssh n’est pas installé, installer openssh et relancer une vérification avec lynis.
PARTIE 3
Lynis
Corrigé
PARTIE 3
Lynis
Corrigé
Ajouter la vérification de l’état de la configuration du serveur ssh pour empêcher la connexion en root (N’hésitez pas à utiliser les guides référencés dans le document
ANSSI pour vous aider, par exemple « Recommandations pour un usage sécurisé d’(Open)SSH » )
• La recommandation de l’ANSSI pour l’accès root est la suivante :
Lynis
Corrigé
• Maintenant si nous lançons lynis, nous aurons un résultat différent pour le contrôle PermitRootLogin
PARTIE 3
Recommandations clés :
7 heures
CONSIGNES
1. Pour le formateur :
• Il n’y pas qu’une seule solution possible à chaque question
• Il faut orienter les apprenant en cas de blocage et donner des indices.
• Le corrigé est fait pour orienter l’apprenant à chercher plus et challenger les
propositions
• Une introduction ou rappel sur les outils utilisés peut être utile
2. Pour l’apprenant :
• L’intérêt de chaque activité est le processus d’analyse et de recherche
• Après la correction, proposer une amélioration ou une adaptation à votre solution
initiale
• Si c’est possible, proposer plusieurs scénarios de réponse pour chaque question
3. Conditions de réalisation :
• Une machine Windows 10 avec accès administrateur
• Le support du guide théorique de la compétence
4. Critères de réussite :
• Maitrise des configurations systèmes
• Application maitrisée des recommandations
Activité n° 2
Application des règles de durcissement d’un
Windows
2. Accéder à l’UAC à travers le Panneau de configuration et modifier les paramètres de contrôle de compte d'utilisateur.
3. Conservez le niveau de notification "Toujours m’avertir" dans les paramètres de contrôle de compte d'utilisateur.
5. Configurer les valeurs pour verrouiller les pirates après trois tentatives non valides.
La gestion du réseau
Exercices
Pare-feu Windows Defender :
Le pare-feu Windows Defender est une application intégrée qui protège les ordinateurs contre les attaques malveillantes et bloque le trafic non autorisé via des règles ou
des filtres entrants et sortants. Par analogie, cela équivaut à "qui entre et sort de chez vous".
Les acteurs malveillants abusent du pare-feu Windows en contournant les règles existantes. Par exemple, si nous avons configuré le pare-feu pour autoriser les connexions
entrantes, les pirates essaieront de manipuler la fonctionnalité en créant une connexion à distance à l'ordinateur de la victime.
1. Accéder au pare-feu Windows Defender
2. Afficher les paramètres détaillés de chaque profil en cliquant sur Propriétés du pare-feu Windows Defender
3. Dans la mesure du possible, Activer les paramètres par défaut du pare-feu Windows Defender
PARTIE 3
La gestion du réseau
Exercices
Les périphériques réseaux inutilisés :
Les périphériques réseau tels que les routeurs, les cartes Ethernet, les adaptateurs WiFI, etc. permettent le partage de données entre ordinateurs. Si l'appareil est mal
configuré ou n'est pas utilisé par le propriétaire, il est recommandé de désactiver l'interface afin que les pirates ne puissent pas y accéder et les utiliser pour récupérer les
données de l'ordinateur de la victime.
1. Désactiver les périphériques réseaux inutilisés.
L’ARP poinsoning est quand un attaquant arrive à inonder les systèmes cibles de réponses ARP spécialement conçues, qui pointent vers une machine contrôlée par
l'attaquant et le placent au milieu de la communication entre les hôtes ciblés.
3. À l’aide de la commande arp, vérifier que votre système n’est pas victime d’un ARP poinsoning
4. À l’aide de la commande arp, nettoyer le cache arp
La gestion du réseau
Exercices
Empêcher l'accès à distance à la machine :
L'accès à distance permet de se connecter à d'autres ordinateurs/réseaux, même situés à un emplacement géographique différent, pour le partage de fichiers et
d'apporter à distance des modifications à un poste de travail. Microsoft a développé un Remote Desktop Protocol (RDP) pour se connecter avec d'autres ordinateurs. Les
pirates ont exploité le protocole dans le passé, comme la célèbre vulnérabilité Blue Keep, pour obtenir un accès non autorisé au système cible.
1. Désactiver l'accès à distance.
PARTIE 3
La gestion du réseau
Corrigé
Pare-feu Windows Defender :
Accéder au pare-feu Windows defender
PARTIE 3
La gestion du réseau
Corrigé
Pare-feu Windows Defender :
Afficher les paramètres détaillés de chaque profil en cliquant sur Propriétés du pare-feu Windows Defender.
PARTIE 3
La gestion du réseau
Corrigé
Pare-feu Windows Defender :
Dans la mesure du possible, Activer les paramètres par défaut du pare-feu Windows Defender.
PARTIE 3
La gestion du réseau
Corrigé
Les périphériques réseaux inutilisés :
Désactiver les périphériques réseaux inutilisés.
PARTIE 3
La gestion du réseau
Corrigé
Désactivation du protocole SMB :
Par conséquent, désactiver le protocole si votre ordinateur ne fait pas partie d'un réseau en exécutant une commande PowerShell.
PARTIE 3
La gestion du réseau
Corrigé
Vérification de l'attaque ARP poinsoning :
À l’aide de la commande arp, vérifier que votre système n’est pas victime d’un ARP poinsoning :
La gestion du stockage
Exercices
Chiffrement des données via BitLocker :
Le cryptage de l'ordinateur est l'une des choses les plus vitales auxquelles nous prêtons généralement peu d'attention. Le pire cauchemar est que quelqu'un ait un accès
illimité aux données de vos appareils. Le chiffrement garantit que vous ou une personne avec qui vous partagez la clé de récupération pouvez accéder au contenu stocké.
Microsoft, pour son édition professionnelle de Windows, utilise les outils de chiffrement de BitLocker. Voyons rapidement comment on peut s'assurer de protéger les
données grâce aux fonctionnalités de chiffrement BitLocker disponibles sur les éditions familiales de Windows 10.
1. Vérifier si l'option de chiffrement de lecteur BitLocker est activée ou non.
La gestion du stockage
Corrigé
Chiffrement des données via BitLocker :
Vérifier si l'option de chiffrement de lecteur BitLocker est activée ou non.
PARTIE 3
La gestion du stockage
Corrigé
Démarrage sécurisé de Windows (Windows secure boot) :
Vérifier l'état du démarrage sécurisé.
PARTIE 3
CIS-CAT
Exercices
CIS-CAT est un outil d'évaluation de la configuration qui compare la configuration des systèmes cibles aux paramètres de configuration sécurisés recommandés dans les
benchmarks CIS dans un contenu lisible par ordinateur.
1. Télécharger la version gratuite directement sur votre machine Windows et lancer un scan CIS-CAT.
PARTIE 3
CIS-CAT
Corrigé
Télécharger la version gratuite directement sur votre machine Windows et lancer un scan CIS-CAT.
PARTIE 3
CIS-CAT
Corrigé
PARTIE 3
CIS-CAT
Corrigé
Les résultats sont dans un fichier html :
PARTIE 3
CIS-CAT
Corrigé
Les résultats sont dans un fichier html :
PARTIE 3
11 heures
ACTIVITÉ 1
Déploiement d’une solution DLP
Compétences visées :
Recommandations clés :
2 heures
CONSIGNES
1. Pour le formateur :
• L’objectif est de faire faire à des problèmes d’installation et de trouver une solution
par soi-même
• Le corrigé peut être présenté rapidement mais l’apprenant doit refaire les mêmes
étapes et avoir les mêmes résultats
• L’objectif est de susciter la curiosité pour comprendre l’intérêt de chaque étape
• Il faut aussi donner la possibilité d’installer/configurer/upgrader les solutions DLP
disponibles dans le lab
2. Pour l’apprenant :
• Cette activité est l’occasion de faire faire à des problèmes d’installation et de trouver
des solutions et des moyens de contournements
3. Conditions de réalisation :
• Une connexion internet
• Le guide théorique
• Le DLP opensource OpenDLP
• Les solutions DLP disponibles dans le lab
4. Critères de réussite :
• Connaissance claire des solutions de traçabilité
• Maitrise des configurations
Activité n° 1
Déploiement d’une solution DLP
Installation OpenDLP
Corrigé
• Utiliser le lien suivant pour télécharger les fichiers composants la VM OpenDLP
• Une fois téléchargés, regrouper les 7 fichiers dans le même dossier
• Décompresser le premier fichier avec 7z , à la fin de la décompression, un nouveau dossier sera créé avec l’image de la machine virtuelle .OVA
PARTIE 4
Installation OpenDLP
Corrigé
• Utiliser la configuration réseau NAT
• Si besoin, désactiver le contrôleur USB
PARTIE 4
Installation OpenDLP
Corrigé
• Lancer la machine OpenDLP et utiliser les identifiants opendlp/opendlp
• Vérifier l’ip de la machine dlp. Vérifier la configuration des interfaces /etc/network/interfaces en cas de problème
PARTIE 4
Installation OpenDLP
Corrigé
PARTIE 4
Compétences visées :
Recommandations clés :
6 heures
CONSIGNES
1. Pour le formateur :
• L’objectif est de faire faire à des problèmes d’installation et de trouver une solution
par soi-même.
• Le corrigé peut être présenté rapidement mais l’apprenant doit refaire les mêmes
étapes et avoir les mêmes résultats
• L’objectif est de susciter la curiosité pour comprendre l’intérêt de chaque étape
• Il faut aussi donner la possibilité d’installer/configurer/upgrader les solutions de
traçabilité disponibles dans le lab
2. Pour l’apprenant :
• Cette activité est l’occasion de faire faire à des problèmes d’installation et de trouver
des solutions et des moyens de contournements
3. Conditions de réalisation :
• Une connexion internet
• Le guide théorique
• La solution ELK et l’agent sysmon
• Les solutions de traçabilité disponibles dans le lab ou en opensource
4. Critères de réussite :
• Connaissance claire des solutions de traçabilité
• Maitrise des configurations
Activité n° 2
Configuration d’une solution de traçabilité
Kibana a une fonctionnalité pratique appelée « Fleet ». Cette fonctionnalité permet aux utilisateurs d'ajouter facilement des données à la stack ELK.
Une fois l’installation terminée, nous avons la confirmation dans l’instance Elastic :
PARTIE 4