Audit en Sécurité Informatique

1
 Module O.T.A

Partie 1
) Pourquoi sécuriser un réseau ?
) Principes de sécurité importants
) Rappel sur les normes utiles en sécurité réseau
) Introduction à l’Audit Sécurité
) Démarche de réalisation d’une mission d’Audit Sécurité
Approches d’Audit Sécurité
Les étapes d’Audit Sécurité (Audit Niveau 1, Audit Niveau 2)
Description détaillée des phases de l’Audit Niveau 2 (Audit
Technique)
Livrables de la phase d’audit niveau 2 (présentation d’un modèle type
d’un rapport d’audit technique) 2
Partie 2 : Outils et logiciels utilisés lors de
l’audit niveau 2 (principalement de l’Open Source)

Les outils utilisés pour chaque phase d’audit technique

Outils et logiciels utilisés lors de la phase 1 de l’Audit Technique :
Audit de l’architecture du système

Outils et logiciels utilisés lors de la phase 2 de l’Audit Technique :

Audit de la résistance du système face aux failles connues, via une analyse
automatisée des vulnérabilités
Outils et logiciels utilisés lors de la phase 3 de l’Audit Technique :
Audit de l’architecture de sécurité existante

Description détaillée des tests de sécurité à réaliser au cours de la

l’audit technique

3
Partie 3: Outils de protection réseau
(principalement de l’Open Source)

Prototype d’une architecture de sécurité basé sur

des outils du monde des logiciels libres (firewalls,
détection d’intrusions, contrôle d’intégrité, etc..)
Présentation des solutions de corrélation de
vulnérabilités

4
 Pourquoi sécuriser un réseau ?

Intrus Intrus
interne externe

Actifs de l'entreprise Autorisations

Virus incorrectes

Une conception de sécurité réseau protège les actifs des

menaces et vulnérabilités de façon organisée
Pour élaborer une conception de sécurité, analysez les risques
pesant sur vos actifs et créez des réponses
5
 Principes de sécurité importants
Principe Définition
yOffre plusieurs niveaux de
Défense en protection contre les
profondeur menaces en plusieurs points
du réseau
yOctroie à un utilisateur ou
une ressource les privilèges
Moindre
ou autorisations minimaux
privilège
nécessaires
à l'exécution d'une tâche
Surface d'attaque yRéduit les points vulnérables
minimisée d'un réseau 6
 Normes Utiles en Sécurité Réseau

Normes permettant la sécurisation et l’audit des

réseaux
ISO 17799 / BS7799‐1: Code of practice for information
security management

BS7799‐2 : Information Security Management systems –

Specification with guidance for use

ISO 19011 : Lignes directrices pour lʹaudit des systèmes de

management de la qualité et/ou de management environnemental

7
 ISO 17799 / BS7799-1

Défini des objectifs et des recommandations concernant

la sécurité de lʹinformation
Norme globale pour tout type dʹorganisme, adopté en
Décembre 2000
Actuellement en phase de révision depuis 2001
Complétée par BS7799-2

8
 BS7799-2
Norme anglo‐britannique, reprise par plusieurs pays
comme norme
Contient les objectifs associés à chaque recommandation
de sécurité listée dans ISO17799, et pour chaque objectif
les mesures à mettre en place
Défini les exigences d’un système de management de la
sécurité de l’information
Reste très général et indépendant des technologies
Similaire à la norme ISO 19011 en spécifique à la sécurité
9
 Introduction à l’Audit Sécurité

Définition

L’Audit Sécurité est une mission dʹévaluation de

conformité par rapport à une politique de
sécurité ou à défaut par rapport à un ensemble
de règles de sécurité

10
 Objectif Principal d’une mission d’Audit
Sécurité

Répondre aux préoccupations concrètes de

l’entreprise , notamment de ses besoins en
sécurité, en :
Déterminant les déviations par rapport aux bonnes
pratiques
Proposant des actions dʹaméliorations du niveau de
sécurité de l’ infrastructure informatique
11
 Démarche de réalisation d’une
mission d’Audit Sécurité

Approches d’Audit Sécurité

Définir les étapes / les phases de la mission d’Audit
Le Cycle d’Audit

12
 Approches d’Audit Sécurité

Une approche ʺ boîte blanche ʺ :

Un audit plus homogène, lʹévaluation possède une
caractéristique dʹanalyse ʺ en complétude ʺ et les
aspects techniques et organisationnels sont traités
de manière uniforme

13
 Une approche ʺ boîte noire ʺ :
Un audit avec une vue plus parcellaire, révélant
plutôt des lacunes ciblées à forte orientation
technique.
Les ʺ tests dʹintrusion ʺ ou ʺ tests intrusifs ʺ font
partie de cette catégorie dʹaudit.

14
 Définir les étapes / les phases de la
mission d’Audit Sécurité

Cette étape permet de :

Mettre en œuvre l’audit sécurité en définissant les
champs d’étude et les périmètres de la mission
Définir un planning de réalisation de la mission
D’élaborer d’une batterie de questionnaires par rapport
à un référentiel défini à partir des exigences et des

attentes des responsables du site audité.

15
 Principalement, la mission sera subdivisée en
deux volets :

Audit Niveau 1 : Audit Organisationnel &

Physique , Analyse de Risque

Audit Niveau 2 : Audit Technique

16
 Audit Niveau 1
Avoir une vue globale de l´état de sécurité du système
d´information et d´identifier les risques potentiels
(environ tous les deux ans)

Audit Niveau 2
Concerne les composants du système d´information :
validation d’une architecture de sécurité, test de
vulnérabilités internes et/ou externes (intrusifs) ,
validation du code (failles dans une application web,
contrôle d´accès trivial...), etc…

17
L’audit Technique d’un périmètre de sécurité est préconisé
dans les situations typiques suivantes ( d’une manière
récurrente) :

Validation de la sécurité d’un nouveau périmètre, par exemple d’un

Firewall, d’un site eBusiness, d’un Extranet, d’un accès Internet, d’un
système VPN…
Analyse préalable d’un site pour l’installation d’une nouvelle
infrastructure.

18
 Le cycle de l’audit sécurité

La mission d’audit de sécurité informatique est effectuée

selon un processus cyclique permettant d’étudie le niveau
de sécurité du système d’information d’un point de vue :
Technique (les points d’entrées sur le réseau, les équipements de
sécurité, les protocoles mis en œuvre, etc…)

Organisationnel (étude des procédures de définition, de mise en

place et de suivi de la politique de sécurité, etc...)

19
 Système d’information du
réseau audité selon une
modélisation d’audit formelle

Audit Organisationnel
et Physique
3Com

Fin du cycle
d’Audit Normal
Identification des
Identification des vulnérabilités d’ordre
vulnérabilités depuis organisationnel et physique
Test Intrusif l’extérieur
Évaluation des risques

Détection régulière et
automatisée des Audit Technique
vulnérabilités et des
failles potentielles

20
La phase finale du processus d’Audit Sécurité est consacrée
à la rédaction des rapports de synthèse :
Recueil des principales vulnérabilités et insuffisances
décelées
Synthèse des recommandations de mise en œuvre
(organisationnels,physiques et techniques)
Synthèse des solutions et outils de sécurité proposés
Esquisse d’un plan d’action sécurité (Estimation des
budgets à allouer pour la mise en œuvre des mesures
recommandées )

21
 La mission d’audit sécurité constitue le point de
démarrage du projet de sécurisation d’un site.

Audit Sécurité du Site

Architecture & Solution

de Sécurité proposées

Mise en place de la
solution de sécurité

Tests & Validations du

système de sécurité implantée

22
Phase récurrente d’Audit Sécurité

23
 Détail de la Démarche
Etude Cas Pratique

• Audit Niveau 1 (AOP,AR)

• Audit Niveau 2 (AT)

24
 Audit Niveau 1

Audit Organisationnel & Physique (AOP), Analyse

de Risque
Objectif
Déroulement de l’audit niveau 1

Étude Cas – Évaluation du niveau de sécurité d’un SI

Analyse de Risque

Délivrables de la phase d’AOP

25
 Objectif

Cette première phase de l’audit sécurité permet :

D’avoir une vision qualitative et quantitative des

différents facteurs de la sécurité informatique du site
audité
D´identifier les points critiques du système d´information

26
 Déroulement de l’audit des aspects
Organisationnels et Physiques

Définir un référentiel sécurité (dépend des exigences et

attentes des responsables du site audité, type d’audit)

Élaboration d’un questionnaire d’audit sécurité à partir

du référentiel défini précédemment et des objectifs de la
mission
Planification des entretiens et information des personnes
impliqués avant le déclenchement de l’audit OP
27
Facteurs clés de succès de cette étape :

Comprendre la démarche dʹobservation : niveau global

puis niveau spécifique

Présenter les objectifs de la démarche d’audit sécurité avant

les entretiens

Instaurer un climat de confiance , éviter la culpabilité

28
 Étude Cas - Méthode Marion

La méthode MARION (Méthodologie dʹAnalyse de Risques Informatiques

Orientée par Niveaux) est issue du CLUSIF et la dernière mise à jour date de
1998 (Cette méthode est introduite en France en1984).

29
Il sʹagit dʹune méthodologie dʹaudit, permettant dʹévaluer le
niveau de sécurité dʹune entreprise au travers de
questionnaires pondérés donnant des indicateurs sous la
forme de notes dans différents thèmes concourrant à la
sécurité.

30
La méthode repose sur six principes de base :

1 La sécurité ne peut être assurée que sʹil y a une forte implication de

lʹentreprise ou de lʹorganisme

2 La méthode vise à réduire les vulnérabilités en accidents, erreurs et

malveillances afin dʹassurer la sécurité en matière de disponibilité,
dʹintégrité et de confidentialité

3 Il nʹexiste pas de recette ni de solution générale : dans chaque

entreprise ou organisme, le scénario de risque est particulier et
complexe
31
4 Il convient de distinguer les risques maximaux (supérieurs à la
capacité de lʹorganisme dʹy résister) et les risques moyens et
courants

5 Le choix des moyens de sécurité est fondé sur la priorité des moyens
de protection par rapport aux moyens de prévention), sur lʹéquilibrage
des moyens de prévention et de protection, sur la réduction des
incohérences

6 Le plan d’action de sécurité des systèmes dʹinformation est une

base de décision pour la direction générale

32
Sur le plan pratique :

La méthode est basée sur des questionnaires portant sur des domaines
précis. Les questionnaires doivent permettre dʹévaluer les
vulnérabilités propres à lʹentreprise dans tous les domaines de la
sécurité.

Le niveau de sécurité est évalué suivant 27 indicateurs répartis en 6

grands thèmes, chacun dʹeux se voyant attribuer une note de 0 à 4, le
niveau 3 étant le niveau à atteindre pour assurer une sécurité jugée
correcte.

33
Lʹensemble des indicateurs est évalué par le biais de plusieurs centaines de
questions dont les réponses sont pondérées (ces pondérations évoluent
suivant les mises à jour de la méthode).

Les thèmes sont les suivants :

Sécurité organisationnelle
Sécurité physique
Continuité
Organisation informatique
Sécurité logique et exploitation
Sécurité des applications

34
Déroulement de la méthode :
La méthode se déroule en 4 phases distinctes :

Préparation
Audit des vulnérabilités
Analyse des risques
Plan d’action

35
Remarques sur la méthode :

La démarche sous forme de questionnaires exhaustifs jouent un rôle

de sensibilisation et d’information direct lors de son déroulement

La méthode prend en compte aussi bien les aspects techniques

qu’organisationnels, ce qui est un avantage non négligeable. Les
aspects techniques sont cependant peu approfondis

Les rosaces forment des indicateurs synthétiques clairs utilisables

par la direction

La méthode ne permet pas d’identifier des mesures concrètes à

mettre en place pour sécuriser l’entreprise
36
 Délivrables de la phase d’AOP
Les rapports livrés à la fin de cette phase seront constitués des parties
suivantes :
Rapports dʹaudit couvrant les aspects suivants :
Rapport sur l’Étude de la situation existante en terme de sécurité

au niveau du site audité

Rapport d’audit organisationnel et physique, couvrant les composantes
organisationnelles, physiques et les éventuelles vulnérabilités de gestion
des composantes du système (réseau, systèmes, applications, outils de
sécurité, centre de calcul, Plans de continuité) et les recommandations

correspondantes pour la politique de sécurité de lʹadministration Central.

37
 Audit Niveau 2 – (AT)
Contenu de la présentation

Audit Technique (AT)

Définition des phases de l’étape d’AT
Audit de l’architecture du système
Reconnaissance du réseau et du plan d’adressage
Sondage des Systèmes
Sondage des Services réseau
Audit des applications

38
Analyse des Vulnérabilités (intrusif interne)
Analyse des vulnérabilités des serveurs en exploitation
Analyse des vulnérabilités des postes de travail

Analyse des Vulnérabilités (intrusif externe)

Audit de l’Architecture de Sécurité existante

39
Venant en suite logique à l’audit de niveau 1, l’audit de
niveau 2 ou l’audit technique s’attache à identifier les
vulnérabilités techniques présentes sur les systèmes
informatiques critiques du site audité.

Déroulement de l’étape :
L’audit technique sera réalisé selon une succession de
phases respectant une approche méthodique allant de la
découverte et la reconnaissance du réseau audité jusqu’à la
réalisation des scénarios d’attaques expertes.

40
L’audit technique permet la détection des types de
vulnérabilités suivantes, à savoir :
Les erreurs de programmation et erreurs d’architecture.
Les erreurs de configurations des composants logiques
installés tels que les services (ports) ouverts sur les
machines, la présence de fichiers de configuration installés
par défaut, l’utilisation de comptes utilisateurs par défaut.

Les problèmes au niveau de trafic réseau (flux ou trafic

non répertoriés, écoute réseau, etc …).
Les problèmes de configuration des équipements d’interconnexion et
de contrôle d’accès réseau

41
Cet audit s’applique aux environnements suivants :

Réseau d’accès Internet, réseau d’interconnexion inter‐

sites (Frame Relay , X25, Faisceau Hertzien, etc..).
Serveurs internes du site audité et les postes sensibles du LAN.
Systèmes critiques spécifiques.
Composants et équipements actifs de l’infrastructure
réseau du site audité (firewalls, routeurs filtrants, commutateurs
niveau 3, etc…)

42
Principales phases :

Phase 1 : Audit de l’architecture du système

Reconnaissance du réseau et du plan d’adressage
Sondage des Systèmes
Sondage Réseau
Audit des applications

43
Phase 2 : Analyse des Vulnérabilités (intrusif interne)

Analyse des vulnérabilités des serveurs en exploitation

Analyse des vulnérabilités des postes de travail

Phase 3 : Analyse des Vulnérabilités (intrusif externe)

44
Phase 4 : Audit de l’architecture de sécurité existante

Audit des Firewalls et Règles de Filtrage

Audit des routeurs et des ACLs (Liste de Contrôle dʹAccès )
Audit des Sondes et des passerelles antivirales
Audit des stations proxy/Reverseproxy
Audit des serveurs DNS, d’authentification

45
Audit de la zone d’administration de l’architecture de sécurité existante
Audit des commutateurs (switchs) et de la configuration en VLANs
Audit de la politique d’usage de mots de passe
Audit de la solidité du système, face aux essais d’interception des flux
Audit de la résistance aux attaques de déni de service

46
Détail des phases :

Audit de l’architecture du système

Reconnaissance du réseau et du plan d’adressage

Lʹinspection du réseau est un point de départ, lors duquel la topologie,

ainsi que les hôtes et les équipements réseau seront identifiés.
Cette étape consiste à utilisation de multiples traçages du réseau et
des passerelles, interrogation des serveurs DNS, afin de détecter les
stations, repérer les équipements de contrôle d’accès sur les frontières
externes du réseau.

47
Utilisation de l’outil Networkview à l’intérieur du
réseau audité

48
Utilisation de l’outil Networkview sur les périmètres
externes du réseau audité

49
 Sondage des Systèmes

Elle consiste à auditer les stations, par l’inspection des moyens

de contrôle d’accès et de leur stratégie d’administration ainsi que
l’inspection des traces, enregistrés par leur logs et les mesures de
protection anti‐viral.

50
 Tests basés sur des multiples outils de détection actif et passif
des O.S (identification des systèmes)

[root@audit Biodatascript]# ./OS_detect ‐i eth0 172.16.203.3

‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ # Technique ICMP Scanning
Interface: eth0/172.16.203.86

LOG: Target: 172.16.203.3

LOG: Netmask: 255.255.255.255
LOG: probing: 172.16.203.3
LOG: [send]‐> UDP to 172.16.203.3:32132
LOG: [98 bytes] sent, waiting for response.
LOG: [send]‐> ICMP echo request to 172.16.203.3
LOG: [68 bytes] sent, waiting for response.
LOG: [send]‐> ICMP time stamp request to 172.16.203.3
LOG: [68 bytes] sent, waiting for response.
LOG: [send]‐> ICMP address mask request to 172.16.203.3
LOG: [48 bytes] sent, waiting for response.
FINAL: [ Windows 98/98SE ]
51
 Sondage Réseau

Le sondage des services réseau est une étape qui permet de savoir
quelles sont les ports ouverts sur les machines du réseau audité (ouverts,
fermés ou filtrés), et également permet d’analyser le trafic , reconnaître
les protocoles et les services prédominant au niveau du réseau auditer,
le taux d’utilisation , les flux inter‐stations et plusieurs autres
informations.

52
Test par les outils de balayage systématique (services/ports) , nous avons pu cerner la liste des
ports ouverts sur les stations en activité.
(Scripts basés sur les outils NMAP, Netcat , Nsat)

[root@consultingAudit ]# scan_script -v -g53 -sS -P0 -O -oN Serveur_ORASERVER .log 172.16.203.13

Port State Service
22/tcp open ssh
80/tcp open http
111/tcp open sunrpc
139/tcp open netbios‐ssn
443/tcp open https
3306/tcp open mysql
6000/tcp open X11
10000/tcp open snet‐sensor‐mgmt
22273/tcp open wnn6
22289/tcp open wnn6_Cn

22305/tcp open wnn6_Kr

53
Audit des Flux réseau, trafic inter‐station :
Présentation du pourcentage d’utilisation des protocoles TCP et UDP :

54
 Data Frames Average frame
Source Destination
transmitted transmitted size

SERVEUR_ACCES 852.8 K 11522 74

DPT

DPT 7
172.16.204.191 1.0 K 146

SERVEUR_ACCES 255 B 1
172.16.204.159 255

DPT 863.7 K
11989
SERVEUR_ACCES 72

656 B 8
172.20.1.2 193.95.66.10 82

172.20.1.4 260 B 2
255.255.255.255 130

261 B 1 261
172.20.1.4 172.20.1.15

3.7 K 114
32
172.20.1.15
172.20.1.6

55
 Audit des applications

Cette étape de l’audit technique ne représente pas un audit détaillé des

applications.
Toutefois, il s’agit de déceler certaines anomalies au niveau
opérationnelle des applications au sein de l’environnement du travail du
client.

56
 Analyse des Vulnérabilités (intrusif interne)
L’analyse des vulnérabilités au niveau de tous les composantes du réseau
auditer sera réalisée, via un ensemble d’outils de scan automatique par
l’édification d’une analyse experte et ciblée du réseau et des systèmes
audités, permettant la mise au point d’une démarche efficace et experte.

Audit de vulnérabilités intrusif interne

Permet de mesurer les vulnérabilités des parties les plus sensibles du réseau
local en opérant à partir d’une station de travail standard, dans des conditions
analogues à celles dont disposerait une personne mal‐intentionnée travaillant
sur site (prestataires, collaborateurs, visiteurs, ...).

57
 Analyse des vulnérabilités des serveurs en exploitation
Test intrusif interne : Utilisation des scanners de vulnérabilités (Nessus, Sara, ISS) :

Le schéma suivant présente la répartition des Degrés de Vulnérabilités au

niveau d’un Serveur UNIX (Solaris) –
Outil de Test: Nessus

58
Le sondage des ports avec les vulnérabilités associées est présenté comme suit :
o ftp (21/tcp) (Vulnérabilité d’ordre grave)
o chargen (19/tcp) (Vulnérabilité d’ordre moyenne)
o daytime (13/tcp) (Vulnérabilité d’ordre moyenne)
o http (80/tcp) (Vulnérabilité d’ordre grave)
o finger (79/tcp) (Vulnérabilité d’ordre moyenne)
o oracle (1521/tcp) (Vulnérabilité d’ordre grave)
o x11 (6000/tcp) (Vulnérabilité d’ordre moyenne)
o dtspc (6112/tcp) (Vulnérabilité d’ordre grave)
o font‐service (7100/tcp) (Vulnérabilité d’ordre grave)
o sometimes‐rpc13 (32775/tcp) (Vulnérabilité d’ordre grave)
o sometimes‐rpc11 (32774/tcp) (Vulnérabilité d’ordre grave)
o sometimes‐rpc9 (32773/tcp) (Vulnérabilité d’ordre grave)
o sometimes‐rpc21 (32779/tcp) (Vulnérabilité d’ordre grave)
o snmp (161/udp) (Vulnérabilité d’ordre grave)
o xdmcp (177/udp) (Vulnérabilité d’ordre moyenne)
59
 Étude Cas 1 : Exploitation des failles au niveau du Serveur Sun Solaris

[root@audit‐pc]# ftp 172.20.50.11

Connected to 172.20.50.11.
220 cmf02 FTP server (SunOS 5.7) ready.
500 'AUTH GSSAPI': command not understood.
500 'AUTH KERBEROS_V4': command not understood.
KERBEROS_V4 rejected as an authentication type

Name (172.20.50.11:root): ias

331 Password required for ias.
Password:
230 User ias logged in.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls

60
ftp> cd /etc
ftp> ls
227 Entering Passive Mode (172,20,50,11,134,123)
150 ASCII data connection for /bin/ls (172.20.20.201,1083) (0 bytes).
total 502
drwxrwxr‐x 37 root sys 3584 f?v 24 14:22 .
drwxr‐xr‐x 33 root root 1024 mar 11 12:54 ..

drwxrwxr‐x 10 root sys 512 avr 14 2000 opt

‐r‐‐‐‐‐‐‐‐ 1 root sys 482 mai 8 2000 oshadow
‐rw‐r‐‐r‐‐ 1 root sys 1742 f?v 29 2000 pam.conf
‐rw‐r‐‐r‐‐ 1 root other 680 f?v 19 2001 part19022001

‐r‐‐r‐‐r‐‐ 1 root sys 1110 jun 10 2003 passwd

‐r‐‐r‐‐r‐‐ 1 root other 3640 jun 3 2002 path_to_inst
‐r‐‐r‐‐r‐‐ 1 root other 3640 jun 3 2002 path_to_inst.old
‐rw‐r‐‐r‐‐ 1 root sys 960 f?v 28 2000 power.conf
‐rw‐r‐‐r‐‐ 1 root other 239 mar 23 2000 printers.conf

61
Vulnérabilités NFS
Le type le plus courant de vulnérabilité NFS est lié à une erreur de
configuration qui exporte le système de fichiers vers everyone (n’importe
quel utilisateur distant pourra accéder à un système de fichier sans
authentification).
En interrogeant le mappeur des ports (portmappeur), nous avons constaté
que mountd et le serveur nfs sont exécutés, ce qui révèle que le serveur
cible est peut être en train d’exporter un ou plusieurs systèmes de fichiers.

[root@audit‐pc]# showmount –e 172.20.50.11

Export list for 172.20.50.11
/ (everyone)
/ sunpartage (everyone)
les résultats de showmount indiquent que la totalité des systèmes de fichiers / et /usr
sont exportés vers l’extérieur , ce qui présente un risque énorme à la sécurité. Il suffit
qu’un utilisateur distant exécute mount pour accéder à la totalité du système de fichier
/ et /usr .

62
Étude Cas 2 : Utilisation des scripts d’audit des serveurs de données et
d’applications
Audit des Serveurs de données (Serveur BD Oracle HP-AIX d’@ip 172.20.50.10) :

Exploitation des vulnérabilités du Tnslsnr au niveau du port 1521

[root@audit-pc test-oracle]# perl scriptBD.pl version -h 172.20.50.10 -p 1521

sending (CONNECT_DATA=(COMMAND=version)) to 172.20.50.10:1521
writing 90 bytes
reading
.D.......5.........,...(DESCRIPTION=(TMP=)(VSNNUM=36708608)(ERR=0)).6........TN
SLSNR for IBM/AIX RISC System/6000: Version 2.3.2.1.0 - Production..TNS for IBM/
AIX RISC System/6000: Version 2.3.2.1.0 - Production..Unix Domain Socket IPC NT
Protocol Adaptor for IBM/AIX RISC System/6000: Version 2.3.2.1.0 - Production..T
CP/IP NT Protocol Adapter for IBM/AIX RISC System/6000: Version 2.3.2.1.0 - Prod
uction..Oracle Bequeath NT Protocol Adapter for IBM/AIX RISC System/6000: Versio
n 2.3.2.1.0 - Production,,.........@
63
[root@audit-pc test-oracle]# perl biodata_scriptBD.pl --rawcmd ʺ ʺ ‐h 172.20.1.4 ‐p 1521 ‐‐cmdsize
90
........"............@(DESCRIPTION=(ERR=1153)(VSNNUM=135290880)(ERROR_STACK=(ER
ROR=(CODE=1153)(EMFI=4)(ARGS='(CONNECT_DATA=(COMMAND=
))TOCOL=TCP)(HOST=ORACLE)(PORT=1521))(CONNECT_DATA=(SID=appro)(CID=(PROGRAM=C:\
ORACLE\ias\bin\ifweb60.exe)(HOST=ORACʹ))(ERROR=(CODE=303)(EMFI=1))))
))(

[root@audit-pc test-oracle]# perl scriptBD.pl --rawcmd ʺ ʺ ‐h 172.20.1.4 ‐p 1521 ‐‐cmdsize 200

........"............@(DESCRIPTION=(ERR=1153)(VSNNUM=135290880)(ERROR_STACK=(ER
ROR=(CODE=1153)(EMFI=4)(ARGS='(CONNECT_DATA=(COMMAND=
))TOCOL=TCP)(HOST=ORACLE)(PORT=1521))(CONNECT_DATA=(SID=appro)(CID=(PROGRAM=C:\
)) USER=Jamel))')) (ERROR=(CODE=303)(EMFI=1))))
ORACLE\ias\bin\ifweb60.exe)(HOST=ORACʹ))(

Systèmes Affectés
Oracle 8i Standard and Enterprise Editions Version 8.1.5, 8.1.6, 8.1.7 et les versions
précédentes sous Windows, Linux, Solaris, AIX, HP‐UX and Tru64 Unix.
Oracle 9i (versions 9.0.x, 9.2.x)

64
 Analyse des vulnérabilités des postes de travail

Cette analyse de vulnérabilité ciblant l’ensemble des postes utilisateurs

du réseau audité a permis de dégager le taux global moyen suivant :

Nombre de vulnérabilités
d’ordre grave : 146

Nombre de vulnérabilités
d’ordre moyenne : 215

Nombre de vulnérabilités
d’ordre minime : 193

65
 Analyse des Vulnérabilités (intrusif externe)

Audit de vulnérabilités intrusif externe avec connaissance partielle

ou totale
Le but de cet audit est de mettre à l’épreuve l’architecture technique en opérant dans
des conditions analogues à celles dont disposerait une personne mal‐intentionnée
ayant une bonne voire très bonne connaissance du système d’information.

Audit de vulnérabilités intrusif externe sans aucune connaissance

préalable

Cette opération est réalisée depuis le réseau externe du site audité (avec autorisation :
Une simulation de ces attaques pourra être réalisée à la demande) à partir de postes de
travail positionnés sur le réseau public (Internet) ou sur le réseau téléphonique dans
les mêmes conditions que celles dont pourrait disposer un pirate informatique.

66
Test de l’opacité du réseau depuis l’extérieur :
Examen et test des possibilités offertes à un attaquant
de récupérer, depuis l’extérieur les informations
suivantes :
‐ Topologie du réseau et adresses IP des serveurs et
éléments actifs du réseau.
‐ Protocoles applicatifs et de routage utilisés.
‐ Les services actifs.
‐ Les mécanismes de sécurité supportés.

67
68
 Audit de l’architecture de sécurité existante

L’objectif est d’expertiser l’architecture technique déployée et de

mesurer la conformité des configurations équipements réseaux, pare‐
feu, autocommutateur privé, sondes , etc. avec la politique de sécurité
définie et les règles de l’art en la matière.

69
 Étude Cas :
Audit des Firewalls et Règles de Filtrage

La démarche adoptée consiste à :

‐ Vérifier la configuration, les failles renfermées par la version installée, les
mises à jour
‐ Audit des règles de filtrage (TCP/UDP filtering, Firewalking)
‐ Audit des mécanismes de log

70
 Audit des Routeurs

La démarche adoptée consiste à :

‐ Vérifier le type du routeur et sa configuration, ainsi que les failles
éventuelle de version
‐ Test de la conformité des ACLs envers la politique de la sécurité
du site (Audit des ACLs)
‐ Test de la résistance des routeurs contre les attaques DDOS

71
 Audit des des Commutateurs (switchs) et de la Configurations en
VLANs ‐ la solidité du système, face aux essais d’interception des
flux

La démarche adoptée consiste à :

‐ Réaliser des simulations par des essais d’attaques par des outils d’écoute
réseaux (sniffers) au niveau des différents segments de la configuration en
VLANs
‐ Vérifier de la résistance des commutateurs(switch) contre les attaques
expertes de type MAC Flood et ARP poisoning (Arpspoof)
‐ Réaliser des simulations par des essais d’attaques par des outils
d’interception de flux évolués (interception du contenu des flux http, smtp,
pop)
72
 Audit du Système de Détection dʹintrusion (IDS)

La démarche adoptée consiste à :

‐ Tester par des scans et méthodes d’attaques diversifiés et des essais de

simulation (par flood , fausses attaques simultanées, fragmentation, scans
lents) afin de réduire les possibilités de l’IDS à détecter les attaques
‐ Vérifier les mécanismes de journalisation (log) de la Sonde
‐ Vérifier les performances de la sonde

73
 Délivrables de la phase d’Audit Technique :
Rapport dʹAudit technique du système d’information, présentant les
vulnérabilités décelées (voir le modèle en ce qui suit)
Rapports de synthèse :
• Synthèse globale et exhaustif des vulnérabilités et des insuffisances.
• Synthèse des solutions et outils de sécurité proposés.
• Synthèse des recommandations de mise en oeuvre
• Esquisse d’un Plan d’action sécurité informatique du site audité (contenant
une estimation des budgets à allouer pour la mise en œuvre des mesures
recommandées

74
 Modèle d’un rapport d’audit technique

•Rapport dʹAudit de l’architecture réseau et système

Contient les tests de sécurité qui ont été réalisés ,les interprétations
ainsi qu’un ensemble de recommandations techniques (cas des
anomalies et failles au niveau de l’architecture réseau existante,
vulnérabilités décelées sur les serveurs et postes sensibles, etc..).

75
Esquisse du rapport d’ Audit de l’architecture Réseau &
Système :

A‐1 Topologie du réseau ‐ Site Audité

A‐1‐1 Cartographie du réseau
A‐1‐2 Cloisonnement du réseau
A‐2 Sondage système
A‐2‐1 Identification et Mise à jour des systèmes d’exploitation
A‐2‐2 Mise à jour des applications
A‐2‐3 Sécurisation des postes de travail (contrôle d’intégrité, protection anti‐
virale)
A‐2‐4 Sécurisation des Serveurs

76
A‐3 Sondage des Flux et services réseau
A‐3‐1 Sondage Réseau ( ports , services, applications associées)
A‐3‐2 Flux réseaux observés
A‐3‐3 Situation des ressources et partages sur le réseau interne
A‐3‐4 Politique de gestion des mots de passe
A‐3‐5 Audit des applications

A‐4 Audit de la gestion des défaillances matérielles

A‐4‐1 Protection physique des disques durs
A‐4‐2 Stratégie de sauvegarde des données

77
Esquisse du Rapport d’Audit des vulnérabilités réseau et
système :

B‐1 Audit des vulnérabilité des Serveurs en exploitation

B‐1‐1 Analyse des vulnérabilités des Serveurs de données &
d’applications
B‐1‐2 Analyse des vulnérabilités des Serveurs Internet/Intranet

B‐2 Audit des vulnérabilité des postes de travail du réseau

audité
B‐2‐1 Analyse des vulnérabilités des postes de travail
B‐2‐2 Synthèse des principales vulnérabilités décelées sur les postes
de travail du réseau

78
Esquisse du rapport d’audit de l’architecture de sécurité existante :

1‐ Audit & vérification des règles de filtrage au niveau des Firewalls

A‐ Vérifier que le Firewall filtre correctement la circulation vers/depuis le réseau
local, relativement à la politique de sécurité nécessaire à mettre en oeuvre.
B‐ Vérifier la résistance du firewall contre le Firewalking
C‐ Vérifier les pénétrations issues des scans inversés

79
2‐ Audit des Commutateurs (Switchs) et de la configuration en VLANs
A‐ Identification des vulnérabilités des switchs
B‐ Audit et vérification de la configuration en VLANs

3‐ Audit de la solidité du système face aux essais dʹinterception de flux

A‐ Identification de la liste des services vulnérables à une écoute passive du
réseau
B‐ Inspection de la résistance du réseau, concernant l’interception de données
sensibles (mots‐clés, données confidentielles)

80
2‐ Audit du Routeur et de la résistance contre les attaques par déni de
service
A‐ Vérification du type du routeur et sa configuration, ainsi que les failles
éventuelle de version
B‐ Audit de la conformité des ACL envers la politique de la sécurité du site
C‐ Vérification de la réponse des éléments réseaux en connexion avec l’extérieur
contre les attaques de déni de service (DDos, …).
D‐ Audit de la réaction du réseau contre les surcharges des serveurs et du réseau

81
Fin de la Présentation

82