Présentation AeroDef pré finale - doc.lagout.org · Powerpoint Templates Page 7 Règles de...

Cyrille DUMASLaurent ROGERJoseph NDAYRAJoseph NDAYRAMohamed BARRYWannes VOSSENJulien DESVEAUXThomas DUVIVIERThomas CAPRARORaphal DUJARDIN

Powerpoint Templates Page 1

Raphal DUJARDINJrmie BELMUDESFrederic TARRERIASCdric HARISMENDYHubert COMPAORE HARBOURENattapong TIWAPORNCHAROENCHAI Le 13 dcembre 2010

Prsentation de lquipe

Jrmie BelmudesResponsable

Architecture- Thomas Duvivier- Nattapong

Systme- Laurent ROGER

Communication- Wannes Vossen


- NattapongTiwaporncharoenchai

- Thomas Capraro- Frederic Tarrerias- Raphael Dujardin

- Joseph Ndayra- Mohamed Barry- Cdric Harismendy- Hubert Compaore

- Julien Desveaux- Cyrille Dumas

BELMUDES Jeremie


VOSSEN Wannes

DUMAS Cyrille

DESVEAUX Julien

Sommaire

La communicationPolitique de Scurit Politique de Scurit Gnralits techniques Politique de Communication Politique de Comportement

Retour dexprience


Contrat de prestation de service Description Retour dexprience

La communication

Un double enjeuo Communication pour un travail efficaceo Communication pour un travail efficace

o Les runions

o Les crits

o Communication pour la scurit

Relation troite avec la directiono Coordination des quipes

Au sien de lquipe


o Au sien de lquipe

o Avec lextrieur

Politique de Scurit

Politique de scurit :

Objectifs: Objectifs:

o Plan dactions.

Limiter les fuites dinformations.

Garantir limage et fonctionnement de lentreprise.

o Gnralits techniques.

Bonnes pratiques appliquer par les administrateurs.


o Politique de communication.

Bonnes pratiques de communication (lectronique et physique).

o Politique de comportement.

Bonnes pratiques lies au facteur humain (lectronique et physique).

Gnralits Techniques

Gnralits Techniques :

o Scuriser son primtre.o Scuriser son primtre.

Btir progressivement mais sur de bonnes bases.

Dlocaliser services mandataires (DMZ).

Surveiller le trafic aux routeurs.

Rgles de filtrage contre les attaquants.

Privilgier les communications mail HTTPS.



Ne pas laisser fonctionner des services inutiles.


Antivirus installs et mises jours.

Gnralits Techniques

Gnralits Techniques :

o Aprs une attaque o Aprs une attaque

Utilisation de GHOST

Utilisation disque dur iSATA de 1 To.

reprise dactivit.

o Mthodes de chiffrements.


Tentative de chiffrement du disque dur.

Chiffrement des accs distants (via VPN).

Chiffrement PGP pour certaines communications mails.

Politique de Communication

Politique de communication:

o Dans lentreprise.o Dans lentreprise.

Electroniques : @aerodef.fr via Google Apps.

Orales : discrtes.

o Avec nos collaborateurs de laudit.

Electroniques : @aerodef.fr via Google Apps.

Orales : Interface : Groupe communication Arodef.


o Avec lquipe Attaque.

Electroniques : [email protected] via Google Apps.

Orales : Interface : Groupe communication Arodef.

Eviter les attaque de social engineering.

Politique de Comportement

Politique de comportement :

Ce ne sont pas les murs qui protgent la citadelle, Ce ne sont pas les murs qui protgent la citadelle,

mais l'esprit de ses habitants . Thucydide ( Vme sicle avant J.C)

40% des attaques sont causes par les utilisateurs des SI.

o Mots de passe.

Changer trs rgulirement.

Charte composition : caractres alphanumriques : ex: QS89ai37?


Charte composition : caractres alphanumriques : ex: QS89ai37?

Ne pas partager les mots de passe.

Ne pas les noter sur une feuille volante.

Ne pas utiliser les mmes mots de passes.

Ne pas communiquer ses mots de passes par SMS ou mail.

Retour dexprience

Retours pratiques :

Politiques de scurit en gnrale.o Politiques de scurit en gnrale.

Respecte sur le plan technique.

o Politique de communication.

Concluante au sein de lentreprise et avec lattaque.

Laudit en communication directes avec nos quipes techniques pour

des raisons efficacit.


des raisons efficacit.

o Politique de comportement.

Politique de mots de passe trop restrictive.

Peu sre dtre connue et applique par tous (peu de contrle).

Revoir et / ou faire signer la charte lavenir.

Description :

Contexte

Contrat de prestation de service

o Contexte

Client dAeroDef : Grand groupe du secteur aronautique

Mission : Gestion du systme dinformation du client

o Identification des besoins dAeroDef pour remplir cette mission

o Identification des tches non ralisables dans les contraintes

Supervision


Supervision

ToIP/VoIP

o Diffusion de lappel doffre

Un pour chaque besoin

Description :

o Rponse lappel doffre


AssuranceTourix a prsent

Sa socit

Ses comptences

Sa comprhension de la mission propose

Sa solution avec un prix (59 600f + 27 000f)

La solution propose (supervision)


La solution propose (supervision)

Nessus : relve les faiblesses des machines

Netflow : mtrologie

Syslog-ng : gestion des logs gnrs

Fully Automated Nagios : supervision avec envoi dalertes

Prelude : dtection dintrusion sur rseau et machines

Analyse complmentaire

Description :

La solution ToIP/VoIP:

PBX OpenSource Astrisk


PBX OpenSource Astrisk

SoftPhone (sur PC) Xlite

Cisco Phone 7965G

o Solution satisfaisante

Rponse aux besoins

Cot acceptable

Rdaction du contrat


o Rdaction du contrat

Ngociation entre les deux parties (cots et partage des

informations)

Un contrat par prestation

o Signature des contrat => ralisation de la prestiation


Retours pratiques :

Vision densemble de la mission avant de prendre une dcision

Relations avec un prestataire de service

Entente bnfique pour les deux parties

Mise en situation relle


Mise en situation relle

Capraro Thomas

Powerpoint Templates Page 16Powerpoint TemplatesDcembre 2010

Capraro Thomas Dujardin Raphael Tarrerias FredericDuvivier Thomas Tiwaporncharoenchai Nattapong

Sommaire

L'quipe Rle de l'quipe Rle de l'quipe Expression du besoin Prsentation Architecture initiale Evolutions apportes

Retour d'experience


Retour d'experience

L'quipe

Capraro Thomas : Ingnieur inventaire

Dujardin Raphael : Ingnieur documentation

Tarrerias Frederic : Ingnieur translation

Tiwaporncharoenchai Nattapong : Ingnieur


Tiwaporncharoenchai Nattapong : Ingnieurfiltrage

Duvivier Thomas : Responsable de l'quipe

Rle de lquipe

Etude et Conception de l'architecure

Dploiement de l'architecture

Optimisitation de l'architecture

A l'coute de l'utilisateur et de ses besoins


A l'coute de l'utilisateur et de ses besoins

Veille technologique

Expression du besoin

Concevoir une architecture permettant unecommunication inter-servicescommunication inter-services

Permettre au parc d'accder internet

Inclure l'audit et la telephonie dans l'architecture


Permettre l'accs aux services offerts par l'entreprisedepuis l'exterieur

Expression du besoin

Permettre l'accs distance au LAN depuis l'extrieur

Scuriser et empcher les compromissions de l'architecture

Assurer la disponibilit et la qualit d'accs de l'architecture


l'architecture

Prsentation architecture

Pourquoi avoir choisicette architecture ?

Schma architectutre globalecette architecture ?

Afin dassurer :

La communication entre des machines dans le parc

Ladministration des trafics


Ladministration des trafics

Laccs distance scuris

Lvolutivit du rseau

Prsentation architecture

Fonctionnalits de l'architecture

Schma architectutre globale

l'architecture Dcoupage en sous-rseaux

Routage inter-vlans

Translation dadresses


Liaison scuris VPN

Contrle daccs ACL

EvolutionEvolution


Switchport statique

But : Minimiser les risques dintrusion sur le parc Minimiser les risques dintrusion sur le parc Avoir une vue globale des diffrents quipements

Principe : Association port => @MAC


Association port => @MAC

ACL CBAC

But : Tirer partie du matriel disposition Tirer partie du matriel disposition Firewall statefull matriel => prvention d

attaques par dni de service

Principe :


Principe : Eliminer les sessions orphelines Inspection protocolaire

Deuxime adresse IP sur le serveur

But : Sparation des flux Sparation des flux Sparer les ports serveurs des ports client Meilleur vision

Principe : Mise en place dune IP secondaire sur linterface


Mise en place dune IP secondaire sur linterface Mise en place dACL et de rgle de PAT

correspondant

Span port

But : Collaboration avec lquipe Audit Collaboration avec lquipe Audit Permettre lanalyse du trafic

Principe : Mise en place dun monitor mode sur le switch


Mise en place dun monitor mode sur le switch

Fixation des seuils

But : Eviter que le routeur soit surcharg par du traffic Eviter que le routeur soit surcharg par du traffic

excessif et inutile.

Principe : Mise en place de seuil associ chaque interface,


Mise en place de seuil associ chaque interface, au del dune certaine limite, les paquets sont

jets.

Retour d'experience - Architecture

Objectifs :

Etude, Deploiement et Maintenance du SI.

- Travail concentr en dbut de projet :- Etude et Dploiement.

- Aprs :


- Aprs :- Maintient en condition oprationnelle.

- Contrle d'accs.

Retour d'experience - Architecture (2)

Projet Riche en Enseignements :

- Projet de grande envergure :

- Entreprise : 14 personnes

- Equipe Achitecture : 5 personnes


--> Cohsion de travail ncessaire.

Retour d'experience - Apports

- Mise en pratique et approfondissements techniques :

Configurations avances d'quipements :

- Routeurs

- Switchs

- Vlans, NAT, ACL, ...


- Vlans, NAT, ACL, ...

Retour d'experience - Apports (2)

Service Architecture :

- Principal travail : Dploiement et Maintenance du SI.

- Importance du SI :

- Dysfonctionnements : Retour rapide des utilisateurs.

--> Rsolution sous pression et avec prcipitation


- Importance d'une connaissance exhaustive du SI :

- Inventaire

Retour d'experience - Apports (3)

- Importance d'une planification structure.

- Importance de la communication :

--> Echange de point de vue

--> Etude des diffrentes solutions envisageables.


Powerpoint Templates Page 35Powerpoint Templates

ROGER LaurentNDAYRA JosephHARISMENDY CdricBARRY MohamedCOMPAORE HARBOURE Hubert Dcembre 2010

Plan de prsentation

Dfinition des besoins Dfinition des besoins

Prsentation du systme initial

1re confrontation

2me confrontation

3me confrontation


Conclusion

Dfinition des besoins

Parc informatique: Parc informatique:

- Stations de travail pour les utilisateurs

- Accs au rseau extrieur pour les utilisateurs

Services:

- Messagerie lectronique pour le personnel

- Site web de lentreprise


- Site web de lentreprise

- Accs aux quipements distance pour lquipe Systmes


Serveur principal

DNS

Mail

Web

SFTP

Rseau extrieur

SFTP

SSH

Contrleur de

domaine


Poste client:

Windows XP

Poste client:

Windows Seven


Parc informatique:

Contrleur de domaine: Windows Server 2003

- Active Directory: -> CompteXP

-> CompteSeven

- Antivirus: AVG Antivirus

Windows XP SP2


Windows XP SP2

Windows Seven

- Antivirus: AVG Antivirus

- Internet Explorer 6 / 8


Services:

Serveur principal: Debian 5.0

- DNS: Bind

- Mail: Postfix + SquirrelMail (Webmail)

- Web: Apache2 (HTTP/HTTPS)

- SFTP: Vsftp


- SFTP: Vsftp

- SSH: OpenSSH


Services:

Quelques politiques et configurations:

- DNS: -> Rsolution interne

-> Zone interne: aerodefense.stri

-> Transfert des requtes externes lautorit suprieure

-> Configuration dun nom de domaine HTTP

-> Configuration dun nom de domaine Mail

- Mail: -> Accs la messagerie par Webmail


- Mail: -> Accs la messagerie par Webmail

- Web: -> Accs par les protocoles HTTP et HTTPS

-> Affichage du site Internet

-> Connexion espace scuris


Services:

Quelques politiques et configurations:

- SFTP: -> Connexion limite aux comptes locaux

-> Connexion impossible en Super-utilisateur

-> Connexion impossible en Anonymous

-> Chroot des utilisateurs dans leur rpertoire

- SSH: -> Connexion limite aux comptes locaux


- SSH: -> Connexion limite aux comptes locaux

-> Connexion impossible en Super-utilisateur

1re confrontation

Les besoins spcifis par le groupe Attaque:

Sur le serveur de services :

- Service FTP disponible

- Service Web disponible avec espace scuris

Sur les postes de travail :


1re confrontation

Evolutions du systme:


- Mise en place dune sauvegarde: SystemImager

Sur le parc informatique:


- Installation des outils demands

1re confrontation

Les attaques survenues

DNS Spoofing :

- Accs Internet impossible

- Redirection des requtes HTTP


1re confrontation


Infection par code malveillant:

- Demande dexcution dun programme malveillant

- Saturation charge systme poste client


1re confrontation




1re confrontation

Rflexion sur les attaques survenues

DNS Spoofing:

- Rendre le numro didentification des requtes difficilement prdictible

--> Solution trop contraignante techniquement, dlai insuffisant

- Chiffrage des flux DNS laide de loutil DNSSec


--> Ncessite linstallation de DNSSec sur lautorit suprieure

Mesures de protection contraignantes

1re confrontation



Mesures de protection satisfaisante

- Attaque identifie et prvenue par les outils de protection


2me confrontation

Les besoins spcifis par le groupe Attaque:


- Service Web avec affichage de news dynamique

Sur les postes de travail :

- Internet Explorer 6 ou 7


- Internet Explorer 6 ou 7

- Adobe Reader 9.4

- QuickTime 7.6.7

2me confrontation

Evolutions du systme


- Mise en place de loutil Fail2Ban: protection contre le brute-force


- Virtualisation des clients: VirtualBox


- Virtualisation des clients: VirtualBox

- Service DHCP sur le contrleur de domaine

- Installation des logiciels demands par le groupe Attaque

2me confrontation


DNS Spoofing

Intrusion dans le systme de base de donnes:

- Accs et intrusion au service MySQL

- Ecriture dans la base de donnes

- Gnration de news sur le site Aerodef


Excution dun lien corrompu:

- Gnration de news sur le site Aerodef

- Saturation de la mmoire physique des clients

2me confrontation


Intrusion dans le systme de base de donnes:


- Hypothse: faille de scurit dans loutil MySQL

Mise jour gnrale du systme



Infection dtecte et prvenue par les outils de dfense

3me confrontation

Evolutions du systme


- Mise jour gnrale du systme et des paquets


- Dploiement du service Terminal Server: Accs distance


- Dploiement du service Terminal Server: Accs distance

3me confrontation


DNS Spoofing DNS Spoofing

Intrusion gnrale dans le systme:

- Accs et intrusion sur le serveur principal

- Accs et intrusion sur le contrleur de domaine

- Modification de fichiers relatifs au site de lentreprise

- Accs certains comptes de messagerie


- Accs certains comptes de messagerie

- Modification des accs sur les quipements et comptes e-mail

Situation catastrophique !

3me confrontation


Intrusion gnrale dans le systme:

- Accs aux comptes mails du personnel Aerodef

- Prsence dun compte utilisateur suspect sur le serveur

- Reprise du contrle du serveur laide de Knoppix:

rinitialisation des comptes


rinitialisation des comptes

- Pas de sauvegarde pour le contrleur de domaine

solution de sauvegarde Windows trop contraignante

3me confrontation


Au sujet de laccs aux comptes mails AerodefAu sujet de laccs aux comptes mails Aerodef

- Dtournement observ tardivement

- Changement de mot de passe inefficace

Appropriation de messagerie puis transferts de mails


Solution

- Utilisation de messagerie signe et chiffre

- Prendre davantage de prudence

Bilan technique

Robustesse des quipements de dtection et de prvention dintrusion

Solutions difficiles contre certaines attaques : DNS Spoofing

Difficults de prvenir les failles de scurit du systme et des outils

Systme de sauvegarde / reprise intressant : Systemimager

Boite outils de secours ncessaire: Knoppix

Facilit pour mettre un systme en fonctionnement, difficults pour


Facilit pour mettre un systme en fonctionnement, difficults pour

le dfendre !

Bilan personnel

Projet trs enrichissant car:

Simulation du fonctionnement dune entreprise

Simulation dun contexte critique

Gestion de projets, responsabilits (responsables dquipe)

Apports techniques: solutions pour dtecter et prvenir certaines

attaques

Apports relationnel: relations interpersonnel, hirarchiques


Apports relationnel: relations interpersonnel, hirarchiques

En conclusion

Grand intrt pour ce projet

Projet compos : Projet compos :

o dorganisation (rpartition des tches)o de technique (systme dinformation complet)

Mise en conditions relles :

o trois confrontations


o trois confrontations

Une exprience en scurit concrte et

enrichissante !

Mer


Des questions ?Des questions ?Merci de votre attention !

Présentation AeroDef pré finale - doc.lagout.org · Powerpoint Templates Page 7 Règles de...

Documents

Transcript of Présentation AeroDef pré finale - doc.lagout.org · Powerpoint Templates Page 7 Règles de...