01 - auti - formation - securite - introduction
Post on 23-Oct-2015
26 Views
Preview:
TRANSCRIPT
Audit et test d’intrusionIntroduction générale aux démarches d’audit de sécurité et test d’intrusion
Intervenant : Guillaume Lopes / lopes.guillaume@free.fr
11 octobre 2013
Sommaire
Objectifs
Who am I
Déroulement
Définitions et Rappels
Test intrusion
Audit Sécurité
Veille
Outils
Objectifs
• Appréhender les notions de test d’intrusion et d’audit de
sécurité
• Savoir identifier et exploiter les vulnérabilités sur un système
d’information
• Présenter les principes généraux de sécurisation
Sommaire
Objectifs
Who am I
Déroulement
Définitions et Rappels
Test intrusion
Audit Sécurité
Veille
Outils
Who am I
• Consultant sécurité chez Intrinsec– 5 ans d’expérience professionnelle
• Spécialités – Test intrusion (applicatif, externe, interne, etc.)
– Simulation vol ordinateur portable
– Social Engineering
– Audit Technique (Architecture, Configuration, etc.)
– Audit de code (PHP, ASP.NET, Java, etc.)
– Audit Organisationnel (ISO 2700x)
– Formation aux méthodes d’attaques
Sommaire
Objectifs
Who am I
Déroulement
Définitions et Rappels
Test intrusion
Audit Sécurité
Veille
Outils
Déroulement
• Vendredi 11 octobre – Introduction générale
– Collecte d’informations
– Travaux pratiques (??)
• Vendredi 25 octobre– Attaques sur les réseaux
• Infrastructure et Architecture
• Filtrage
• Sans-fil
Déroulement
• Vendredi 15 novembre– Attaques réseaux
• VPN
• ToIP
– Travaux pratiques
• Vendredi 29 novembre– Attaques systèmes
• Windows
• Linux
• Bases de données
Déroulement
• Vendredi 6 décembre– Attaques Web
• OWASP Testing Guide
• Authentification
• Session Utilisateurs
• Vendredi 13 décembre– Attaques Web
• Validation des données
• Habilitations
– Travaux Pratiques
Déroulement
• Jeudi 19 décembre– Examen final (??)
• Notation– A définir
– 1 ou 2 évaluations (QCM possible)
Sommaire
Objectifs
Who am I
Déroulement
Définitions et Rappels
Test intrusion
Audit Sécurité
Veille
Outils
Définitions et Rappels
• En France
– « Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou
partie d'un système de traitement automatisé de données est puni de deux
ans d'emprisonnement et de 30000 euros d'amende. »(Article 323-1 du
code pénal)
• Mais qu’est qu’un accès frauduleux ?
– « L’accès frauduleux, […], vise tous les modes de
pénétration irréguliers d’un système de traitement
automatisé de données […] .» (CA de Paris 1994)
Définitions et Rappels
• En conséquence avant de mener tout test actif
– Prévenir les équipes en charge du périmètre ou de l’équipement
– Obtenir un accord écrit du propriétaire de l’équipement ou du
responsable du traitement du périmètre
• Exemple : Un site Web hébergé chez un tiers
Définitions et Rappels
• Sécurité des systèmes d’information (SSI)
– Ensemble des moyens techniques, organisationnels, juridiques et
humains nécessaire, et mis en place pour conserver, rétablir et
garantir la sécurité du système d’information
• Critères de sécurité
– Disponibilité : Garantir l’accès à un service ou à des ressources
– Intégrité : Garantir la non altération d’une donnée ou d’un système
– Confidentialité : Garantir l’accès à une information aux seules
personnes ayant besoin de la connaître
Définitions et Rappels
• Mais aussi
– Traçabilité (ou Preuve) : Garantir que toute transaction « sensible »
(accès, tentative d’accès, etc.) est tracé. Les traces doivent être
conservées et exploitables
Le vecteur « DICT » permet de classer les risques identifiés sur
un périmètre
• Menace
– Action susceptible de nuire dans l’absolu sur un ou plusieurs critères
de sécurité
Définitions et Rappels
• Vulnérabilité (ou faille)
– Faiblesse sur un système informatique permettant à un attaquant de
porter atteinte à un ou plusieurs critères de sécurité
– Représente le niveau d’exposition à une menace dans un contexte
particulier
• Défaut de configuration : Mot de passe par défaut, Politique de filtrage, etc.
• Manque de mise à jour : Exécution de code , Déni de Service, etc.
• Faille applicative : Injection SQL, Cross Site Scripting (XSS), etc.
• Contre-mesure
– Action visant à prévenir une menace
Définitions et Rappels
• En conclusion, le risque, en sécurité informatique est
généralement définit par l’équation suivante
• En pratique, le risque est défini selon les enjeux et les objectifs
de l’entreprise
Sommaire
Objectifs
Who am I
Déroulement
Définitions et Rappels
Test intrusion
Audit Sécurité
Veille
Outils
Test d’intrusion
• Qu’est ce qu’un test d’intrusion ?
– Eprouver la sécurité d’un périmètre donné en simulant un niveau d’attaque
(profil) en considérant une durée et des contraintes imposées
– Permettre de connaître concrètement la capacité de malveillance d’un
attaquant à un instant donné
• Objectifs
– Fournir une évaluation concrète de la sécurité
– Sensibiliser à la sécurité par la démonstration
– Conseiller sur les actions correctrices
Test d’intrusion
• Test Intrusion Interne
– Evaluer la capacité de malveillance d’un utilisateur interne (employé,
prestataire, intrus physique, etc.) sur le périmètre interne
– Objectifs divers et variés
• Récupération d’informations confidentielles (fiches de paye, données
propres à l’entreprise, etc.)
• Prise de contrôle du système d’informations
• Rendre indisponible certaines ou toutes les ressources de l’entreprise
• Utilisation frauduleuse des ressources de l’entreprise
Test d’intrusion
• Test Intrusion Externe
– Evaluer la capacité de malveillance d’un attaquant (internaute
anonyme ou authentifié, vers, robot, etc.) sur des équipements
accessibles depuis Internet
De manière générale, l’objectif est de porter atteinte à un des critères
de sécurité (disponibilité, intégrité ou confidentialité) sur le périmètre
• Prendre le contrôle d’un ou plusieurs équipements
• Rendre indisponible un ou plusieurs équipements
• Modifier les données d’un équipement (par exemple un site Web)
Test d’intrusion
• Test Intrusion Application Web
– Evaluer la capacité de malveillance d’un utilisateur anonyme ou
authentifié sur une application Web (externe ou interne)
Plusieurs objectifs
Accès non autorisé à l’application ou à des données
Contournement d’une logique métier
Dégradation / Modification de l’application
Récupération d’informations sensibles (coordonnées clients, numéro de
carte bleue, etc.)
Utilisation du site comme vecteur d’attaques vers d’autres utilisateurs
Test d’intrusion
• Etapes d’un test d’intrusion
• Enumération du périmètre– Cette phase permet de récupérer le maximum d’informations sur la
cible
• Nom d’utilisateur
• Adresse IP
• Adresse Email
• Services disponibles (FTP, SSH, etc.)
Enumération du périmètre
Découverte de nouvelles
vulnérabilités
Identification des
vulnérabilités
Exploitation des
vulnérabilitésReporting
Test d’intrusion
• Comment trouver des informations sur la cible ?
– Moteurs de recherche
Test d’intrusion
– Forums
– Réseaux sociaux
– Social Engineering
• Prendre contact avec un employé de la
société (email, téléphone, fax, etc.)
• Récupération d’informations confidentielles (mot de passe,
renseignements techniques, numéro de téléphone, adresse
IP, etc.)
Test d’intrusion
• Base whois
Test d’intrusion
• Interrogation DNS
Test d’intrusion
• Scan de ports
• L’ensemble des informations recueillies seront utilisées par la
suite lors de l’identification et l’exploitation des vulnérabilités
Test d’intrusion
• Identification des vulnérabilités
– Des tests manuels ou automatisés sont effectués lors de cette phase
afin d’identifier les vulnérabilités sur la cible
• Analyse de la bannière d’un service
• Réponse à un stimuli particulier
Test d’intrusion
• Exploitation des vulnérabilités
– Permet de valider l’existence ou non d’une vulnérabilité
– Peut amener la découverte d’autres vulnérabilités et, ainsi obtenir un
scénario d’attaque plus avancé
C’est la phase la plus importante d’un test d’intrusion
Test d’intrusion
• Reporting
– Phase de rédaction permettant de répertorier notamment :
• Les vulnérabilités rencontrées
• Les scénarios d’attaque
• Les recommandations de correction
Test d’intrusion
• Différentes méthodologies existent pour réaliser un test
d’intrusion
• OSSTMM (www.isecom.org/osstmm/)
– Méthodologie générale de test d’intrusion
• ISSAF (www.oissg.org)
– Méthodologie générale d’évaluation d’un système d’information recouvrant
divers aspects notamment
• Organisationnel
• Procédure
• Technique
Test d’intrusion
• OWASP (www.owasp.org)
– Fournit de nombreux documents et outils sur la sécurité applicative
notamment
• OWASP Top Ten : Document fournissant le Top 10 des vulnérabilités les
plus rencontrées sur les applications Web
• OWASP Testing Guide : Méthodologie de test d’intrusion applicatif
• OWASP Development Guide : Guide de bonnes pratiques de
développement des applications Web
Sommaire
Objectifs
Who am I
Déroulement
Définitions et Rappels
Test intrusion
Audit Sécurité
Veille
Outils
Audit Sécurité
• Qu’est ce qu’un audit sécurité ?
– Evaluation du niveau de sécurité du système d’information ou d’un
équipement vis-à-vis d’une norme ou de bonnes pratiques
• Objectif
– Fournir un état des lieux du niveau de sécurité (points forts et faibles)
– Analyse en profondeur (organisationnelle et technique)
– Avoir une vision plus large qu’un test d’intrusion
Audit Sécurité
• Pourquoi un audit de sécurité ?
– Etat des lieux : Se faire une idée du niveau de sécurité du SI
– Proactif :
• Tester la mise en place effective d’une politique de sécurité
• Evaluer l’évolution du niveau de sécurité
– Réactif : Réagir à une attaque
• Inconvénients
– Ne fournit pas une évaluation démonstrative des vulnérabilités
– Ne se substitue pas à une analyse des risques
Audit Sécurité
• Audit organisationnel
– Analyse des processus SSI et métier (thématiques ISO27002)
• Politique de sécurité
• Organisation de la sécurité
• Gestion des actifs
• Sécurité dans les ressources humaines
• Sécurité physique et environnementale
• Sécurité opérationnelle (exploitation, sauvegarde, etc…)
• Contrôle d’accès
• Développements
• Gestion des événements de sécurité
• Continuité d’activité
• Conformité
Audit Sécurité
• Audit technique
– Infrastructures
• Architectures (réseau, virtualisation, stockage, etc.), filtrages, etc.
– Equipements (configuration)
• Actifs réseaux, serveurs, etc.
– Applicatifs (revue fonctionnelle, revue de code, etc.)
– Thématiques spécifiques :
• Revue d’habilitations
• Etc.
Audit Sécurité
• ISO19011:2002
– Lignes directrices pour l'audit des systèmes de management de la
qualité et/ou de management environnemental
• Principes de l’audit
– Déontologie : le fondement du professionnalisme
– Présentation impartiale : l’obligation de rendre compte de manière
honnête et précise
– Conscience professionnelle : l’attitude diligente et avisée au cours de
l’audit
Audit Sécurité
• Principes (suite)
– Indépendance : le fondement de l’impartialité de l’audit et de
l’objectivité des conclusions d’audit
– Approche fondée sur la preuve : la méthode rationnelle pour parvenir
à des conclusions d’audit fiables et reproductibles dans un processus
d’audit systématique
Audit Sécurité
• Normes
• ISO 27001
– Spécifie les exigences pour mettre en place, exploiter, améliorer un SMSI
(Système de Management de la Sécurité de l’Information)
• ISO 27002
– Description détaillée des mesures de sécurité préconisées dans l’ISO 27001
Sommaire
Objectifs
Who am I
Déroulement
Définitions et Rappels
Test intrusion
Audit Sécurité
Veille
Outils
Veille
• Comme tout domaine en informatique, la sécurité est un
domaine qui évolue
• Il est important de rester informé sur les dernières
vulnérabilités et techniques d’attaques
• Les diapositives suivantes ne prétendent pas être exhaustives
– Mais permet d’avoir une bonne base
Veille
• Vulnérabilités
– www.secunia.com
– www.vupen.com
– www.securityfocus.com
• Exploit
– www.exploit-db.com
– packetstormsecurity.org
– www.metasploit.com
Veille
• Mailing list
– seclists.org (pentest, full disclosure, etc.)
• Applicatif
– OWASP (www.owasp.org)
• Ressources diverses
– www.sans.org
– www.nist.org
– www.cert.org
Veille
• Hacking Map
– http://www.mindmeister.com/fr/11594999/hacking
• Conférences
– OSSIR : www.ossir.org
– SSTIC : www.sstic.org
– Nuit du Hack
– Hackito Ergo Sum
– Black Hat
– Defcon
Sommaire
Objectifs
Who am I
Déroulement
Définitions et Rappels
Test intrusion
Audit Sécurité
Veille
Outils
Outils
• Différents outils sont utilisés lors d’un test d’intrusion (ou d’un
audit)
• Chaque outil à sa fonction et son utilité
• Pièges à éviter
– Un outil ne remplace pas une analyse humaine
– Une bonne connaissance de l’outil est nécessaire
– Un outil ne fait pas tout !
Outils
• Ecoute réseau passive
– Wireshark (www.wireshark.org ) : Outil permettant de capturer et
analyser les paquets réseaux (Windows/Linux)
– Tcpdump (www.tcpdump.org) : Outil permettant de capturer et
analyser les paquets en ligne de commande (Linux)
Outils
• Ecoute réseau active
– Cain et Abel(www.oxid.it) : Véritable couteau suisse permettant
d’analyser les trames réseau, de récupérer les mots de passe circulant,
ainsi que de les « casser » (Windows)
– Ettercap (ettercap.sourceforge.net) : Fonctions similaires à Cain et
Abel, sauf pour le « cassage » de mots de passe (Windows/Linux)
Outils
• Cassage de mot de passe
– John the ripper (www.openwall.com/john ) : Outil permettant de
casser un mot de passe via des attaques par dictionnaire ou force
brute (Linux)
– Ophcrack (ophcrack.sourceforge.net) : Outil permettant de casser un
mot de passe via des rainbow tables (Windows/Linux)
Outils
• Scanners réseau
– Nmap (nmap.org) : Scanner de ports permettant notamment
d’identifier les services en écoute sur un équipement, ainsi que la
version du système d’exploitation
– Hping (www.hping.org) : Forgeur de paquets TCP / UDP / ICMP.
Outils
• Scanners de vulnérabilités
– Qualys (www.qualys.com ): Scanner de vulnérabilités systèmes et
réseaux en mode SaaS
– Nessus (www.nessus.org) : Scanner vulnérabilités systèmes et réseaux
– IBM Rational AppScan (www.ibm.com) : Scanner de vulnérabilités
applicatives
– Paros (www.parosproxy.org) : Scanner de vulnérabilités applicatives
Outils
• Environnement Test d’intrusion
– Backtrack (www.backtrack-linux.org) : Distribution Linux contenant
une panoplie d’outils utilisés lors d’un test d’intrusion
Outils
• Cette distribution contient une panoplie d’outils
– Bluetooth
– Fuzzers
– Base de données
– Cassage de mots de passe
– Sniffers
– Wifi
– VoIP
– Application Web
– Framework d’exploits
– ….
Questions ?
top related