Rappel des

fondamentaux
techniques
 Rappels sur le modèle OSI

Layer App / Description Protocol / Device

End User layer User Apps – SMTP -

7. Application Resource sharing – Remote file access – Directory services – Network HTTP

6. Presentation Syntax layer Character code translation JPEG/ASCII/TIFF/GIF/

Formats “translates” the data to be Data conversion – Data compression –Data encryption (if needed)
presented
PICT

5. Session Sync and Send to ports RPC/SQL/NFS/

Logical ports Session management and support. Perform security, name recognition, logging etc. NetBIOS nnames

4. Transport TCP / UDP TCP/UDP/SPX

Host to Host – Flow ctrl Ensures messages are delivered error-free, in sequence and with no losses or duplications

3. Network Packets Routers

(letter) IP Address Routing – Subnet control – frame fragmentation - subnets IP/ICMP/IPX

2. Data Link Frames Switch Bridge WAP

Establishes and terminates the logical link between nodes – Frame traffic controls – Media access
(envelopes) MAC address control – Frame error checking (PPP/SLIP)

1. Physical Physical structure

Concerned with the transmission and reception of the unstructured raw bit stream over the physical Baseband or Broadband/HUB
Cables, hubs etc. medium.

2
Ports principaux

◦ Les ports de 0 à 1023

sont les ports
"reconnus",
généralement
réservés aux
processus système
(démons) ou aux
ports du serveur.

3
Équipements et services de sécurité

Firewall

En anglais Firewall
Objectifs
■ Segmenter les réseaux
■ Contrôler les flux réseaux
Fabricants
■ Cisco, Palo Alto, Fortigate

4
Équipements et services de sécurité

◦ Pare-feu applicatif

En anglais Web Application Firewall (WAF)

Objectifs
■ Segmenter les applications
■ Contrôler les flux applicatifs
■ Empêcher l’exploitation de vulnérabilités
■ Déployer du virtual-patching
Fabricants
■ Imperva
■ F5
■ Fortinet
■ Cloudflare
■ mod-security

5
Équipements et services de sécurité

◦ Load balancer
En français : répartiteur de charge
Objectifs
■ Répartir la charge sur les différents serveurs
■ Assurer la continuité de service sur défaillance
d’un des serveurs
Fabricants
■ HA-proxy, A10 Networks

6
Équipements et services de sécurité

◦ Reverse proxy
Permet d’exposer de ressources internes à des utilisateurs
externes
Permet de créer une rupture protocolaire (cache le
fonctionnement interne de l’infrastructure)
Permet de gérer la publication d’application avec certificat
(centralisation)
Permet de réaliser le routage applicatif
Fait office de load balancer

7
Équipements et services de sécurité

◦ IDS / IPS
Intrusion Detection System / Intrusion Prevention System
Analyse les flux réseaux pour détecter et empêcher les attaques
Se base sur des signatures d’attaques ou sur le comportement des système
Suricata, Snort, Cisco Firepower, Trend Micro TippingPoint, OSSEC
Appliance réseau (NDIS) ou agent (HIDS)

8
Équipements et services de sécurité

◦ Bastion
Serveur de rebond pour accéder à l’infrastructure
Contrôle d’accès strict et monitoring

9
Équipements et services de sécurité

◦ Proxy / Secure Web Gateway

Appelé serveur mandataire en
français
Relayer les requêtes internes pour
protéger les clients, restreindre les
destination et inspecter le trafic
Appliance ou agent
Zscaler, Forcepoint, Sophos, Squid
Proxy,

10
Équipements et services de sécurité

◦ NOC
Network Operation Center
Collecteur de logs d’équipements et
de statistiques du réseau
Pilotage et monitoring du réseau
◦ SIEM
Security Information and Event
Management
Piloter la sécurité en continue via des
alertes et des dashboards en
corrélant les évènements de sécurité
Qradar, ELK, Splunk, Azure Sentinel
◦ Archivage des logs
Besoin réglementaire
Uniquement logs d’audit
Archivage sur longue durée
Rsyslog, Graylog, Windows Event
Collector, SolarWinds

11
Bonnes pratiques d’architecture du SI

12
Bonnes pratiques d’architecture du SI

◦ Redondance des équipements

◦ Défense en profondeur
◦ Surveillance
◦ Visibilité

13
Bonnes pratiques d’architecture du SI

◦ Architecture privée

14
Bonnes pratiques d’architecture du SI

◦ Architecture d’entreprise

15
Bonnes pratiques d’architecture du SI

◦ Visibilité

Maintenir une cartographie du réseau à jour

■ Périmètres internes et externes
■ Via logiciels d’inventaire (OCS Inventory)
■ Via scans de vulnérabilités
Maintenir une cartographie des applications à jour
■ CMDB (Configuration Management DataBase)
■ Via logiciel de gestion du changement

16
Bonnes pratiques d’architecture du SI

◦ Redondance
Permet d’agir sur le critère de disponibilité
■ Utiliser plusieurs composants pour délivrer un service
■ Redondance électrique
■ Redondance de site physique, de zone de disponibilité
Cloud
■ Redondance d’équipements réseaux et système
Plusieurs méthodes de redondances
■ Active – Passive : un élément est actif tandis que l’autre
attend la défaillance du premier pour être activé
automatiquement ou manuellement
■ Active – Active : tous les équipements fonctionnent en
simultané, lors d’une défaillance l’élément restant
récupère la charge du premier
17
Bonnes pratiques d’architecture du SI

◦ Défense en profondeur
Permet de conserver les
systèmes internes à l’abri
des attaques

Augmente la simplicité de
gestion de la
segmentation

18
Bonnes pratiques d’architecture du SI

◦ Surveillance

Monitorer l’ensemble des périmètres

■ Internes et externes
■ Applicatifs et Infrastructures
Logs
Attaques ciblant les périmètres
État opérationnel du SI
Utilisation de SIEM
■ SolarWinds, Datadog, AlienVault
■ Splunk, OSSEC, QRadar
19
Rappels sur les architectures réseaux

20
Catégorie de réseaux

◦ Personal Area Network (PAN) ou réseau personnel

Mobile Tethering – Partage de connexion mobile
◦ Local Area Network (LAN) ou réseau local
Réseau domestique ou réseau d’entreprise
◦ Metropolitan Area Network (MAN) ou réseau métropolitain
Réseau d’opérateur cellulaire ou connexion inter-datacenter
◦ Wide Area Network (WAN) ou réseau étendu
Internet
◦ Global Area Network (GAN) ou réseau global
Réseau satellite

21
LAN et WLAN

◦ Réseaux locaux
Filaire et sans-fil
◦ Domaines
Entreprises
Particulier
◦ Considérée comme zone de confiance
Protégée par un pare-feux
Réseaux non exposés sur internet
Adressage IP privé (RFC1918)

22
DMZ

◦ Demilitarized zone - Zone

démilitarisée
◦ Considéré comme un réseau sas
Zone neutre et sacrifiable
Réseau isolation entre deux réseaux de
niveaux de confiance différents
Méthode principalement utilisée pour
publier des services sur internet
Isolé par un ou plusieurs pare-feu
◦ Equipements évoluant en DMZ
Serveurs Front-end WEB
Proxy, reverse proxy, smtp relay

23
Architecture Windows

24
Audit et exploitation d’un système Microsoft Windows

Services and Applications

Vulnerabilities & Misconfigurations

Exploits Misconfigurations

Remote &
Local Unpatched
0-days
Unfiltered Bad Security
Access OS Services Policies

Privilege Escalations

25
Cycle de mise à jour

26
Security Account Manager

◦ Base SAM : Base de données des comptes

utilisateurs
◦ Contient le hash des mots de passe
◦ Fichier : %SystemRoot%/system32/config/SAM
◦ Registre : HKLM/SAM

27
Le registre

◦ Base de données de configurations

◦ Application et composants systèmes stockent et
récupèrent des informations de cette base
◦ Structure
Base de données hiérarchique
Structurée sous forme d’arbre (clés, sous-clés, valeurs)

28
Le registre

◦ Bases principales :
◦ HKEY_LOCAL_MACHINE (HKLM)
◦ HKEY_USERS (HKU)

◦ Autres bases :
◦ HKEY_CURRENT_USER (HKCU)
◦ HKEY_CLASSES_ROOT (HKCR)
◦ HKEY_CURRENT_CONFIG (HKCC)

29
La base de registre

◦ Stockent les parties permanentes du registre

◦ Chemin de d’accès : systemroot\System32\Config
◦ HKLM important
◦ Regedit pour l’administration

30
Processus et objets

◦ Processus

Une application est composée d’un ou plusieurs processus

Processus = un programme en cours d’exécution
Chaque processus fournit les ressources nécessaires à l’exécution d’un
programme
Chaque processus détient un espace virtuel de mémoire, du code
exécutable, des handles, un contexte de sécurité, un unique identifiant PID
et au moins un thread d’exécution

◦ Thread

Unité basique d’allocation de pour l’allocation de temps processeur par le

système d’exploitation
Un thread exécute une partie du code d’un processus
Multithreading : quand plusieurs threads exécutent la même partie du code

31
Bitlocker

◦ BitLocker est un outil dit de FDE (Full-Disk

Encryption), mais qui va « seulement » chiffrer une
partition

◦ On retrouve cette caractéristique dans quasiment

tous les logiciels de FDE

◦ Bitlocker est une solution propriétaire de Microsoft

32
Bitlocker

◦ Dans l’idéal, BitLocker peut s’interfacer avec un TPM

(Trusted Platform Module) présent sur l’ordinateur
◦ Ce TPM fonctionne comme une enclave cryptographie
◦ Dans ce cas, tous le matériel cryptographique sera stocké
dans le TPM
◦ Pour que cette approche soit efficace, il faut aussi que le
BIOS ou l’UEFI établissent une chaîne de confiance (Secure
Boot)

33
Bitlocker

◦ Uniquement quand un TPM n’est pas disponible !

◦ Bitlocker génère une clef de chiffrement symétrique qui
servira à chiffrer la partition
◦ Bitlocker dérive du mot de passe utilisateur une seconde
clef de chiffrement symétrique, qui servira à chiffrer la 1ère
clef
◦ De ce fait, un changement de mot de passe n’implique pas
un déchiffrement puis re-chiffrement du disque, mais
seulement de la clef principale

34
Bitlocker

◦ Quand un TPM est disponible, le simple fait de

s’authentifier sur la machine est suffisant
◦ Il est possible de combiner plusieurs sources
d’authentification :
TPM
TPM + PIN
TPM + PIN + USB Key
TPM + USB Key
USB Key
Password only

35
Contrôle à distance

◦ Remote Desktop Services (RDS)

◦ Windows Remote Management (WinRM)
Gestion du matériel à distance
Windows Management Instrumentation (WMI)
◦ Powershell (PSexec)
◦ RSAT (Remote Server Administration Tools) – MMC
via RPC

36
Architecture Linux

37
Notions fondamentales

◦ Système d'exploitation
GNU/Linux
UNIX
Android

38
Notions fondamentales

◦ Linux est-il le système d’exploitation plus sécurisé ?

Le système est moins commun coté grand public, les

cyberattaquants se concentrent sur des cibles massivement
utilisées
Le système est plus complexe à mettre en œuvre et nécessite
du personnel plus qualifié, il en résulte un meilleur niveau de
sécurité
Comme n’importe quel système, il comporte des
vulnérabilités qui sont découvertes tous les jours par des
chercheurs en sécurité
Comme n’importe quel système, s’il est mal implémenté et
laissé dans sa configuration par défaut, il est aussi vulnérable
Par défaut le firewall est en mode ANY ANY ACCEPT :)

39
Système de fichiers
◦ / (root filesystem) – Niveau racine
◦ /bin – Fichiers executable
◦ /boot – Chargeur de démarrage, kernel et configuration de démarrage
◦ /dev – Fichiers représentant les matériels connectés à l'ordinateur
◦ /etc - Fichiers de configuration locale à l'ordinateur
◦ /home – Répertoires des utilisateurs
◦ /lib – Bibliothèque partagées requises au démarrage du système
◦ /media – Racine des points de montage de media externes
◦ /mnt – Point de montage temporaire d'un système de fichiers standard
◦ /opt – Fichiers supplémentaire fournis par les fabriquants
◦ /root – Répertoire de l'utilisateur root
◦ /sbin – Executables système pour l'administration de l'ordinateur
◦ /tmp – Répertoire de stockage temporaire
◦ /usr – Bibliothèque et executables partagés et documentation
◦ /var – Données variables, fichiers de logs, données web, emails
◦ /proc – Point montage système de fichier information processus
40
Réseau

◦ Le routage sert à orienter les paquets vers

les réseaux à joindre
netstat –rn
route –n
ip route [lpelet@vps648889 ~]$ netstat -rn
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0 91.134.132.1 0.0.0.0 UG 0 0 0 eth0
91.134.132.1 0.0.0.0 255.255.255.255 UH 0 0 0 eth0
91.134.134.90 0.0.0.0 255.255.255.255 UH 0 0 0 eth0

[lpelet@vps648889 ~]$ ip route

default via 91.134.132.1 dev eth0 proto dhcp metric 100
91.134.132.1 dev eth0 proto dhcp scope link metric 100
91.134.134.90 dev eth0 proto kernel scope link src 91.134.134.90 metric 100

41
Permissions - DAC

Octal Permission Litéral Binaire

7 read, write and execute rwx 111

6 read and write rw- 110

5 read and execute r-x 101
4 read only r-- 100
3 write and execute -wx 011
2 write only -w- 010
1 execute only --x 001
0 none --- 000

42
Permissions

◦ Changer les droits d’un fichier ou repertoire

avec chmod
chmod 640 /var/log/application.log
chmod -R g-w /var/log/application/
chmod 600 /home/shared/IT_procedures.txx

43
Utilisateurs et Groupes

◦ Changer le propriétaire d’un fichier ou

repertoire avec chown
chown application /var/log/application.log
chown -R application /var/log/application/
chown user:sysadmin
/home/shared/IT_procedures.txx

44