Académique Documents
Professionnel Documents
Culture Documents
1
Module O.T.A
Partie 1
) Pourquoi sécuriser un réseau ?
) Principes de sécurité importants
) Rappel sur les normes utiles en sécurité réseau
) Introduction à l’Audit Sécurité
) Démarche de réalisation d’une mission d’Audit Sécurité
Approches d’Audit Sécurité
Les étapes d’Audit Sécurité (Audit Niveau 1, Audit Niveau 2)
Description détaillée des phases de l’Audit Niveau 2 (Audit
Technique)
Livrables de la phase d’audit niveau 2 (présentation d’un modèle type
d’un rapport d’audit technique) 2
Partie 2 : Outils et logiciels utilisés lors de
l’audit niveau 2 (principalement de l’Open Source)
3
Partie 3: Outils de protection réseau
(principalement de l’Open Source)
4
Pourquoi sécuriser un réseau ?
Intrus Intrus
interne externe
7
ISO 17799 / BS7799-1
8
BS7799-2
Norme anglo‐britannique, reprise par plusieurs pays
comme norme
Contient les objectifs associés à chaque recommandation
de sécurité listée dans ISO17799, et pour chaque objectif
les mesures à mettre en place
Défini les exigences d’un système de management de la
sécurité de l’information
Reste très général et indépendant des technologies
Similaire à la norme ISO 19011 en spécifique à la sécurité
9
Introduction à l’Audit Sécurité
Définition
10
Objectif Principal d’une mission d’Audit
Sécurité
12
Approches d’Audit Sécurité
13
Une approche ʺ boîte noire ʺ :
Un audit avec une vue plus parcellaire, révélant
plutôt des lacunes ciblées à forte orientation
technique.
Les ʺ tests dʹintrusion ʺ ou ʺ tests intrusifs ʺ font
partie de cette catégorie dʹaudit.
14
Définir les étapes / les phases de la
mission d’Audit Sécurité
15
Principalement, la mission sera subdivisée en
deux volets :
16
Audit Niveau 1
Avoir une vue globale de l´état de sécurité du système
d´information et d´identifier les risques potentiels
(environ tous les deux ans)
Audit Niveau 2
Concerne les composants du système d´information :
validation d’une architecture de sécurité, test de
vulnérabilités internes et/ou externes (intrusifs) ,
validation du code (failles dans une application web,
contrôle d´accès trivial...), etc…
17
L’audit Technique d’un périmètre de sécurité est préconisé
dans les situations typiques suivantes ( d’une manière
récurrente) :
18
Le cycle de l’audit sécurité
19
Système d’information du
réseau audité selon une
modélisation d’audit formelle
Audit Organisationnel
et Physique
3Com
Fin du cycle
d’Audit Normal
Identification des
Identification des vulnérabilités d’ordre
vulnérabilités depuis organisationnel et physique
Test Intrusif l’extérieur
Évaluation des risques
Détection régulière et
automatisée des Audit Technique
vulnérabilités et des
failles potentielles
20
La phase finale du processus d’Audit Sécurité est consacrée
à la rédaction des rapports de synthèse :
Recueil des principales vulnérabilités et insuffisances
décelées
Synthèse des recommandations de mise en œuvre
(organisationnels,physiques et techniques)
Synthèse des solutions et outils de sécurité proposés
Esquisse d’un plan d’action sécurité (Estimation des
budgets à allouer pour la mise en œuvre des mesures
recommandées )
21
La mission d’audit sécurité constitue le point de
démarrage du projet de sécurisation d’un site.
Mise en place de la
solution de sécurité
22
Phase récurrente d’Audit Sécurité
23
Détail de la Démarche
Etude Cas Pratique
24
Audit Niveau 1
Analyse de Risque
25
Objectif
26
Déroulement de l’audit des aspects
Organisationnels et Physiques
28
Étude Cas - Méthode Marion
29
Il sʹagit dʹune méthodologie dʹaudit, permettant dʹévaluer le
niveau de sécurité dʹune entreprise au travers de
questionnaires pondérés donnant des indicateurs sous la
forme de notes dans différents thèmes concourrant à la
sécurité.
30
La méthode repose sur six principes de base :
lʹentreprise ou de lʹorganisme
5 Le choix des moyens de sécurité est fondé sur la priorité des moyens
de protection par rapport aux moyens de prévention), sur lʹéquilibrage
des moyens de prévention et de protection, sur la réduction des
incohérences
32
Sur le plan pratique :
La méthode est basée sur des questionnaires portant sur des domaines
précis. Les questionnaires doivent permettre dʹévaluer les
vulnérabilités propres à lʹentreprise dans tous les domaines de la
sécurité.
33
Lʹensemble des indicateurs est évalué par le biais de plusieurs centaines de
questions dont les réponses sont pondérées (ces pondérations évoluent
suivant les mises à jour de la méthode).
34
Déroulement de la méthode :
La méthode se déroule en 4 phases distinctes :
Préparation
Audit des vulnérabilités
Analyse des risques
Plan d’action
35
Remarques sur la méthode :
37
Audit Niveau 2 – (AT)
Contenu de la présentation
38
Analyse des Vulnérabilités (intrusif interne)
Analyse des vulnérabilités des serveurs en exploitation
Analyse des vulnérabilités des postes de travail
39
Venant en suite logique à l’audit de niveau 1, l’audit de
niveau 2 ou l’audit technique s’attache à identifier les
vulnérabilités techniques présentes sur les systèmes
informatiques critiques du site audité.
Déroulement de l’étape :
L’audit technique sera réalisé selon une succession de
phases respectant une approche méthodique allant de la
découverte et la reconnaissance du réseau audité jusqu’à la
réalisation des scénarios d’attaques expertes.
40
L’audit technique permet la détection des types de
vulnérabilités suivantes, à savoir :
Les erreurs de programmation et erreurs d’architecture.
Les erreurs de configurations des composants logiques
installés tels que les services (ports) ouverts sur les
machines, la présence de fichiers de configuration installés
par défaut, l’utilisation de comptes utilisateurs par défaut.
41
Cet audit s’applique aux environnements suivants :
42
Principales phases :
43
Phase 2 : Analyse des Vulnérabilités (intrusif interne)
44
Phase 4 : Audit de l’architecture de sécurité existante
45
Audit de la zone d’administration de l’architecture de sécurité existante
Audit des commutateurs (switchs) et de la configuration en VLANs
Audit de la politique d’usage de mots de passe
Audit de la solidité du système, face aux essais d’interception des flux
Audit de la résistance aux attaques de déni de service
46
Détail des phases :
47
Utilisation de l’outil Networkview à l’intérieur du
réseau audité
48
Utilisation de l’outil Networkview sur les périmètres
externes du réseau audité
49
Sondage des Systèmes
50
Tests basés sur des multiples outils de détection actif et passif
des O.S (identification des systèmes)
Le sondage des services réseau est une étape qui permet de savoir
quelles sont les ports ouverts sur les machines du réseau audité (ouverts,
fermés ou filtrés), et également permet d’analyser le trafic , reconnaître
les protocoles et les services prédominant au niveau du réseau auditer,
le taux d’utilisation , les flux inter‐stations et plusieurs autres
informations.
52
Test par les outils de balayage systématique (services/ports) , nous avons pu cerner la liste des
ports ouverts sur les stations en activité.
(Scripts basés sur les outils NMAP, Netcat , Nsat)
53
Audit des Flux réseau, trafic inter‐station :
Présentation du pourcentage d’utilisation des protocoles TCP et UDP :
54
Data Frames Average frame
Source Destination
transmitted transmitted size
DPT 7
172.16.204.191 1.0 K 146
SERVEUR_ACCES 255 B 1
172.16.204.159 255
DPT 863.7 K
11989
SERVEUR_ACCES 72
656 B 8
172.20.1.2 193.95.66.10 82
172.20.1.4 260 B 2
255.255.255.255 130
261 B 1 261
172.20.1.4 172.20.1.15
3.7 K 114
32
172.20.1.15
172.20.1.6
55
Audit des applications
56
Analyse des Vulnérabilités (intrusif interne)
L’analyse des vulnérabilités au niveau de tous les composantes du réseau
auditer sera réalisée, via un ensemble d’outils de scan automatique par
l’édification d’une analyse experte et ciblée du réseau et des systèmes
audités, permettant la mise au point d’une démarche efficace et experte.
Permet de mesurer les vulnérabilités des parties les plus sensibles du réseau
local en opérant à partir d’une station de travail standard, dans des conditions
analogues à celles dont disposerait une personne mal‐intentionnée travaillant
sur site (prestataires, collaborateurs, visiteurs, ...).
57
Analyse des vulnérabilités des serveurs en exploitation
Test intrusif interne : Utilisation des scanners de vulnérabilités (Nessus, Sara, ISS) :
58
Le sondage des ports avec les vulnérabilités associées est présenté comme suit :
o ftp (21/tcp) (Vulnérabilité d’ordre grave)
o chargen (19/tcp) (Vulnérabilité d’ordre moyenne)
o daytime (13/tcp) (Vulnérabilité d’ordre moyenne)
o http (80/tcp) (Vulnérabilité d’ordre grave)
o finger (79/tcp) (Vulnérabilité d’ordre moyenne)
o oracle (1521/tcp) (Vulnérabilité d’ordre grave)
o x11 (6000/tcp) (Vulnérabilité d’ordre moyenne)
o dtspc (6112/tcp) (Vulnérabilité d’ordre grave)
o font‐service (7100/tcp) (Vulnérabilité d’ordre grave)
o sometimes‐rpc13 (32775/tcp) (Vulnérabilité d’ordre grave)
o sometimes‐rpc11 (32774/tcp) (Vulnérabilité d’ordre grave)
o sometimes‐rpc9 (32773/tcp) (Vulnérabilité d’ordre grave)
o sometimes‐rpc21 (32779/tcp) (Vulnérabilité d’ordre grave)
o snmp (161/udp) (Vulnérabilité d’ordre grave)
o xdmcp (177/udp) (Vulnérabilité d’ordre moyenne)
59
Étude Cas 1 : Exploitation des failles au niveau du Serveur Sun Solaris
60
ftp> cd /etc
ftp> ls
227 Entering Passive Mode (172,20,50,11,134,123)
150 ASCII data connection for /bin/ls (172.20.20.201,1083) (0 bytes).
total 502
drwxrwxr‐x 37 root sys 3584 f?v 24 14:22 .
drwxr‐xr‐x 33 root root 1024 mar 11 12:54 ..
61
Vulnérabilités NFS
Le type le plus courant de vulnérabilité NFS est lié à une erreur de
configuration qui exporte le système de fichiers vers everyone (n’importe
quel utilisateur distant pourra accéder à un système de fichier sans
authentification).
En interrogeant le mappeur des ports (portmappeur), nous avons constaté
que mountd et le serveur nfs sont exécutés, ce qui révèle que le serveur
cible est peut être en train d’exporter un ou plusieurs systèmes de fichiers.
62
Étude Cas 2 : Utilisation des scripts d’audit des serveurs de données et
d’applications
Audit des Serveurs de données (Serveur BD Oracle HP-AIX d’@ip 172.20.50.10) :
Systèmes Affectés
Oracle 8i Standard and Enterprise Editions Version 8.1.5, 8.1.6, 8.1.7 et les versions
précédentes sous Windows, Linux, Solaris, AIX, HP‐UX and Tru64 Unix.
Oracle 9i (versions 9.0.x, 9.2.x)
64
Analyse des vulnérabilités des postes de travail
Nombre de vulnérabilités
d’ordre grave : 146
Nombre de vulnérabilités
d’ordre moyenne : 215
Nombre de vulnérabilités
d’ordre minime : 193
65
Analyse des Vulnérabilités (intrusif externe)
Cette opération est réalisée depuis le réseau externe du site audité (avec autorisation :
Une simulation de ces attaques pourra être réalisée à la demande) à partir de postes de
travail positionnés sur le réseau public (Internet) ou sur le réseau téléphonique dans
les mêmes conditions que celles dont pourrait disposer un pirate informatique.
66
Test de l’opacité du réseau depuis l’extérieur :
Examen et test des possibilités offertes à un attaquant
de récupérer, depuis l’extérieur les informations
suivantes :
‐ Topologie du réseau et adresses IP des serveurs et
éléments actifs du réseau.
‐ Protocoles applicatifs et de routage utilisés.
‐ Les services actifs.
‐ Les mécanismes de sécurité supportés.
67
68
Audit de l’architecture de sécurité existante
69
Étude Cas :
Audit des Firewalls et Règles de Filtrage
70
Audit des Routeurs
71
Audit des des Commutateurs (switchs) et de la Configurations en
VLANs ‐ la solidité du système, face aux essais d’interception des
flux
73
Délivrables de la phase d’Audit Technique :
Rapport dʹAudit technique du système d’information, présentant les
vulnérabilités décelées (voir le modèle en ce qui suit)
Rapports de synthèse :
• Synthèse globale et exhaustif des vulnérabilités et des insuffisances.
• Synthèse des solutions et outils de sécurité proposés.
• Synthèse des recommandations de mise en oeuvre
• Esquisse d’un Plan d’action sécurité informatique du site audité (contenant
une estimation des budgets à allouer pour la mise en œuvre des mesures
recommandées
74
Modèle d’un rapport d’audit technique
75
Esquisse du rapport d’ Audit de l’architecture Réseau &
Système :
76
A‐3 Sondage des Flux et services réseau
A‐3‐1 Sondage Réseau ( ports , services, applications associées)
A‐3‐2 Flux réseaux observés
A‐3‐3 Situation des ressources et partages sur le réseau interne
A‐3‐4 Politique de gestion des mots de passe
A‐3‐5 Audit des applications
77
Esquisse du Rapport d’Audit des vulnérabilités réseau et
système :
78
Esquisse du rapport d’audit de l’architecture de sécurité existante :
79
2‐ Audit des Commutateurs (Switchs) et de la configuration en VLANs
A‐ Identification des vulnérabilités des switchs
B‐ Audit et vérification de la configuration en VLANs
80
2‐ Audit du Routeur et de la résistance contre les attaques par déni de
service
A‐ Vérification du type du routeur et sa configuration, ainsi que les failles
éventuelle de version
B‐ Audit de la conformité des ACL envers la politique de la sécurité du site
C‐ Vérification de la réponse des éléments réseaux en connexion avec l’extérieur
contre les attaques de déni de service (DDos, …).
D‐ Audit de la réaction du réseau contre les surcharges des serveurs et du réseau
81
Fin de la Présentation
82