présentation aerodef pré finale - doc.lagout.org · powerpoint templates page 7 règles de...
Post on 16-Sep-2018
219 Views
Preview:
TRANSCRIPT
-
Cyrille DUMASLaurent ROGERJoseph NDAYRAJoseph NDAYRAMohamed BARRYWannes VOSSENJulien DESVEAUXThomas DUVIVIERThomas CAPRARORaphal DUJARDIN
Powerpoint Templates Page 1
Raphal DUJARDINJrmie BELMUDESFrederic TARRERIASCdric HARISMENDYHubert COMPAORE HARBOURENattapong TIWAPORNCHAROENCHAI Le 13 dcembre 2010
-
Prsentation de lquipe
Jrmie BelmudesResponsable
Architecture- Thomas Duvivier- Nattapong
Systme- Laurent ROGER
Communication- Wannes Vossen
Powerpoint Templates Page 2
- NattapongTiwaporncharoenchai
- Thomas Capraro- Frederic Tarrerias- Raphael Dujardin
- Joseph Ndayra- Mohamed Barry- Cdric Harismendy- Hubert Compaore
- Julien Desveaux- Cyrille Dumas
-
BELMUDES Jeremie
Powerpoint Templates Page 3
VOSSEN Wannes
DUMAS Cyrille
DESVEAUX Julien
-
Sommaire
La communicationPolitique de Scurit Politique de Scurit Gnralits techniques Politique de Communication Politique de Comportement
Retour dexprience
Powerpoint Templates Page 4
Contrat de prestation de service Description Retour dexprience
-
La communication
Un double enjeuo Communication pour un travail efficaceo Communication pour un travail efficace
o Les runions
o Les crits
o Communication pour la scurit
Relation troite avec la directiono Coordination des quipes
Au sien de lquipe
Powerpoint Templates Page 5
o Au sien de lquipe
o Avec lextrieur
-
Politique de Scurit
Politique de scurit :
Objectifs: Objectifs:
o Plan dactions.
Limiter les fuites dinformations.
Garantir limage et fonctionnement de lentreprise.
o Gnralits techniques.
Bonnes pratiques appliquer par les administrateurs.
Powerpoint Templates Page 6
o Politique de communication.
Bonnes pratiques de communication (lectronique et physique).
o Politique de comportement.
Bonnes pratiques lies au facteur humain (lectronique et physique).
-
Gnralits Techniques
Gnralits Techniques :
o Scuriser son primtre.o Scuriser son primtre.
Btir progressivement mais sur de bonnes bases.
Dlocaliser services mandataires (DMZ).
Surveiller le trafic aux routeurs.
Rgles de filtrage contre les attaquants.
Privilgier les communications mail HTTPS.
Powerpoint Templates Page 7
Rgles de filtrage contre les attaquants.
Ne pas laisser fonctionner des services inutiles.
Rgles de filtrage contre les attaquants.
Antivirus installs et mises jours.
-
Gnralits Techniques
Gnralits Techniques :
o Aprs une attaque o Aprs une attaque
Utilisation de GHOST
Utilisation disque dur iSATA de 1 To.
reprise dactivit.
o Mthodes de chiffrements.
Powerpoint Templates Page 8
Tentative de chiffrement du disque dur.
Chiffrement des accs distants (via VPN).
Chiffrement PGP pour certaines communications mails.
-
Politique de Communication
Politique de communication:
o Dans lentreprise.o Dans lentreprise.
Electroniques : @aerodef.fr via Google Apps.
Orales : discrtes.
o Avec nos collaborateurs de laudit.
Electroniques : @aerodef.fr via Google Apps.
Orales : Interface : Groupe communication Arodef.
Powerpoint Templates Page 9
o Avec lquipe Attaque.
Electroniques : contact@aerodef.fr via Google Apps.
Orales : Interface : Groupe communication Arodef.
Eviter les attaque de social engineering.
-
Politique de Comportement
Politique de comportement :
Ce ne sont pas les murs qui protgent la citadelle, Ce ne sont pas les murs qui protgent la citadelle,
mais l'esprit de ses habitants . Thucydide ( Vme sicle avant J.C)
40% des attaques sont causes par les utilisateurs des SI.
o Mots de passe.
Changer trs rgulirement.
Charte composition : caractres alphanumriques : ex: QS89ai37?
Powerpoint Templates Page 10
Charte composition : caractres alphanumriques : ex: QS89ai37?
Ne pas partager les mots de passe.
Ne pas les noter sur une feuille volante.
Ne pas utiliser les mmes mots de passes.
Ne pas communiquer ses mots de passes par SMS ou mail.
-
Retour dexprience
Retours pratiques :
Politiques de scurit en gnrale.o Politiques de scurit en gnrale.
Respecte sur le plan technique.
o Politique de communication.
Concluante au sein de lentreprise et avec lattaque.
Laudit en communication directes avec nos quipes techniques pour
des raisons efficacit.
Powerpoint Templates Page 11
des raisons efficacit.
o Politique de comportement.
Politique de mots de passe trop restrictive.
Peu sre dtre connue et applique par tous (peu de contrle).
Revoir et / ou faire signer la charte lavenir.
-
Description :
Contexte
Contrat de prestation de service
o Contexte
Client dAeroDef : Grand groupe du secteur aronautique
Mission : Gestion du systme dinformation du client
o Identification des besoins dAeroDef pour remplir cette mission
o Identification des tches non ralisables dans les contraintes
Supervision
Powerpoint Templates Page 12
Supervision
ToIP/VoIP
o Diffusion de lappel doffre
Un pour chaque besoin
-
Description :
o Rponse lappel doffre
Contrat de prestation de service
AssuranceTourix a prsent
Sa socit
Ses comptences
Sa comprhension de la mission propose
Sa solution avec un prix (59 600f + 27 000f)
La solution propose (supervision)
Powerpoint Templates Page 13
La solution propose (supervision)
Nessus : relve les faiblesses des machines
Netflow : mtrologie
Syslog-ng : gestion des logs gnrs
Fully Automated Nagios : supervision avec envoi dalertes
Prelude : dtection dintrusion sur rseau et machines
Analyse complmentaire
-
Description :
La solution ToIP/VoIP:
PBX OpenSource Astrisk
Contrat de prestation de service
PBX OpenSource Astrisk
SoftPhone (sur PC) Xlite
Cisco Phone 7965G
o Solution satisfaisante
Rponse aux besoins
Cot acceptable
Rdaction du contrat
Powerpoint Templates Page 14
o Rdaction du contrat
Ngociation entre les deux parties (cots et partage des
informations)
Un contrat par prestation
o Signature des contrat => ralisation de la prestiation
-
Contrat de prestation de service
Retours pratiques :
Vision densemble de la mission avant de prendre une dcision
Relations avec un prestataire de service
Entente bnfique pour les deux parties
Mise en situation relle
Powerpoint Templates Page 15
Mise en situation relle
-
Capraro Thomas
Powerpoint Templates Page 16Powerpoint TemplatesDcembre 2010
Capraro Thomas Dujardin Raphael Tarrerias FredericDuvivier Thomas Tiwaporncharoenchai Nattapong
-
Sommaire
L'quipe Rle de l'quipe Rle de l'quipe Expression du besoin Prsentation Architecture initiale Evolutions apportes
Retour d'experience
Powerpoint Templates Page 17
Retour d'experience
-
L'quipe
Capraro Thomas : Ingnieur inventaire
Dujardin Raphael : Ingnieur documentation
Tarrerias Frederic : Ingnieur translation
Tiwaporncharoenchai Nattapong : Ingnieur
Powerpoint Templates Page 18
Tiwaporncharoenchai Nattapong : Ingnieurfiltrage
Duvivier Thomas : Responsable de l'quipe
-
Rle de lquipe
Etude et Conception de l'architecure
Dploiement de l'architecture
Optimisitation de l'architecture
A l'coute de l'utilisateur et de ses besoins
Powerpoint Templates Page 19
A l'coute de l'utilisateur et de ses besoins
Veille technologique
-
Expression du besoin
Concevoir une architecture permettant unecommunication inter-servicescommunication inter-services
Permettre au parc d'accder internet
Inclure l'audit et la telephonie dans l'architecture
Powerpoint Templates Page 20
Permettre l'accs aux services offerts par l'entreprisedepuis l'exterieur
-
Expression du besoin
Permettre l'accs distance au LAN depuis l'extrieur
Scuriser et empcher les compromissions de l'architecture
Assurer la disponibilit et la qualit d'accs de l'architecture
Powerpoint Templates Page 21
l'architecture
-
Prsentation architecture
Pourquoi avoir choisicette architecture ?
Schma architectutre globalecette architecture ?
Afin dassurer :
La communication entre des machines dans le parc
Ladministration des trafics
Powerpoint Templates Page 22
Ladministration des trafics
Laccs distance scuris
Lvolutivit du rseau
-
Prsentation architecture
Fonctionnalits de l'architecture
Schma architectutre globale
l'architecture Dcoupage en sous-rseaux
Routage inter-vlans
Translation dadresses
Powerpoint Templates Page 23
Liaison scuris VPN
Contrle daccs ACL
-
EvolutionEvolution
Powerpoint Templates Page 24
-
Switchport statique
But : Minimiser les risques dintrusion sur le parc Minimiser les risques dintrusion sur le parc Avoir une vue globale des diffrents quipements
Principe : Association port => @MAC
Powerpoint Templates Page 25
Association port => @MAC
-
ACL CBAC
But : Tirer partie du matriel disposition Tirer partie du matriel disposition Firewall statefull matriel => prvention d
attaques par dni de service
Principe :
Powerpoint Templates Page 26
Principe : Eliminer les sessions orphelines Inspection protocolaire
-
Deuxime adresse IP sur le serveur
But : Sparation des flux Sparation des flux Sparer les ports serveurs des ports client Meilleur vision
Principe : Mise en place dune IP secondaire sur linterface
Powerpoint Templates Page 27
Mise en place dune IP secondaire sur linterface Mise en place dACL et de rgle de PAT
correspondant
-
Span port
But : Collaboration avec lquipe Audit Collaboration avec lquipe Audit Permettre lanalyse du trafic
Principe : Mise en place dun monitor mode sur le switch
Powerpoint Templates Page 28
Mise en place dun monitor mode sur le switch
-
Fixation des seuils
But : Eviter que le routeur soit surcharg par du traffic Eviter que le routeur soit surcharg par du traffic
excessif et inutile.
Principe : Mise en place de seuil associ chaque interface,
Powerpoint Templates Page 29
Mise en place de seuil associ chaque interface, au del dune certaine limite, les paquets sont
jets.
-
Retour d'experience - Architecture
Objectifs :
Etude, Deploiement et Maintenance du SI.
- Travail concentr en dbut de projet :- Etude et Dploiement.
- Aprs :
Powerpoint Templates Page 30
- Aprs :- Maintient en condition oprationnelle.
- Contrle d'accs.
-
Retour d'experience - Architecture (2)
Projet Riche en Enseignements :
- Projet de grande envergure :
- Entreprise : 14 personnes
- Equipe Achitecture : 5 personnes
Powerpoint Templates Page 31
--> Cohsion de travail ncessaire.
-
Retour d'experience - Apports
- Mise en pratique et approfondissements techniques :
Configurations avances d'quipements :
- Routeurs
- Switchs
- Vlans, NAT, ACL, ...
Powerpoint Templates Page 32
- Vlans, NAT, ACL, ...
-
Retour d'experience - Apports (2)
Service Architecture :
- Principal travail : Dploiement et Maintenance du SI.
- Importance du SI :
- Dysfonctionnements : Retour rapide des utilisateurs.
--> Rsolution sous pression et avec prcipitation
Powerpoint Templates Page 33
- Importance d'une connaissance exhaustive du SI :
- Inventaire
-
Retour d'experience - Apports (3)
- Importance d'une planification structure.
- Importance de la communication :
--> Echange de point de vue
--> Etude des diffrentes solutions envisageables.
Powerpoint Templates Page 34
-
Powerpoint Templates Page 35Powerpoint Templates
ROGER LaurentNDAYRA JosephHARISMENDY CdricBARRY MohamedCOMPAORE HARBOURE Hubert Dcembre 2010
-
Plan de prsentation
Dfinition des besoins Dfinition des besoins
Prsentation du systme initial
1re confrontation
2me confrontation
3me confrontation
Powerpoint Templates Page 36
Conclusion
-
Dfinition des besoins
Parc informatique: Parc informatique:
- Stations de travail pour les utilisateurs
- Accs au rseau extrieur pour les utilisateurs
Services:
- Messagerie lectronique pour le personnel
- Site web de lentreprise
Powerpoint Templates Page 37
- Site web de lentreprise
- Accs aux quipements distance pour lquipe Systmes
-
Prsentation du systme initial
Serveur principal
DNS
Mail
Web
SFTP
Rseau extrieur
SFTP
SSH
Contrleur de
domaine
Powerpoint Templates Page 38
Poste client:
Windows XP
Poste client:
Windows Seven
-
Prsentation du systme initial
Parc informatique:
Contrleur de domaine: Windows Server 2003
- Active Directory: -> CompteXP
-> CompteSeven
- Antivirus: AVG Antivirus
Windows XP SP2
Powerpoint Templates Page 39
Windows XP SP2
Windows Seven
- Antivirus: AVG Antivirus
- Internet Explorer 6 / 8
-
Prsentation du systme initial
Services:
Serveur principal: Debian 5.0
- DNS: Bind
- Mail: Postfix + SquirrelMail (Webmail)
- Web: Apache2 (HTTP/HTTPS)
- SFTP: Vsftp
Powerpoint Templates Page 40
- SFTP: Vsftp
- SSH: OpenSSH
-
Prsentation du systme initial
Services:
Quelques politiques et configurations:
- DNS: -> Rsolution interne
-> Zone interne: aerodefense.stri
-> Transfert des requtes externes lautorit suprieure
-> Configuration dun nom de domaine HTTP
-> Configuration dun nom de domaine Mail
- Mail: -> Accs la messagerie par Webmail
Powerpoint Templates Page 41
- Mail: -> Accs la messagerie par Webmail
- Web: -> Accs par les protocoles HTTP et HTTPS
-> Affichage du site Internet
-> Connexion espace scuris
-
Prsentation du systme initial
Services:
Quelques politiques et configurations:
- SFTP: -> Connexion limite aux comptes locaux
-> Connexion impossible en Super-utilisateur
-> Connexion impossible en Anonymous
-> Chroot des utilisateurs dans leur rpertoire
- SSH: -> Connexion limite aux comptes locaux
Powerpoint Templates Page 42
- SSH: -> Connexion limite aux comptes locaux
-> Connexion impossible en Super-utilisateur
-
1re confrontation
Les besoins spcifis par le groupe Attaque:
Sur le serveur de services :
- Service FTP disponible
- Service Web disponible avec espace scuris
Sur les postes de travail :
Powerpoint Templates Page 43
-
1re confrontation
Evolutions du systme:
Sur le serveur de services :
- Mise en place dune sauvegarde: SystemImager
Sur le parc informatique:
Powerpoint Templates Page 44
- Installation des outils demands
-
1re confrontation
Les attaques survenues
DNS Spoofing :
- Accs Internet impossible
- Redirection des requtes HTTP
Powerpoint Templates Page 45
-
1re confrontation
Les attaques survenues
Infection par code malveillant:
- Demande dexcution dun programme malveillant
- Saturation charge systme poste client
Powerpoint Templates Page 46
-
1re confrontation
Les attaques survenues
Infection par code malveillant:
Powerpoint Templates Page 47
-
1re confrontation
Rflexion sur les attaques survenues
DNS Spoofing:
- Rendre le numro didentification des requtes difficilement prdictible
--> Solution trop contraignante techniquement, dlai insuffisant
- Chiffrage des flux DNS laide de loutil DNSSec
Powerpoint Templates Page 48
--> Ncessite linstallation de DNSSec sur lautorit suprieure
Mesures de protection contraignantes
-
1re confrontation
Rflexion sur les attaques survenues
Infection par code malveillant:
Mesures de protection satisfaisante
- Attaque identifie et prvenue par les outils de protection
Powerpoint Templates Page 49
-
2me confrontation
Les besoins spcifis par le groupe Attaque:
Sur le serveur de services :
- Service Web avec affichage de news dynamique
Sur les postes de travail :
- Internet Explorer 6 ou 7
Powerpoint Templates Page 50
- Internet Explorer 6 ou 7
- Adobe Reader 9.4
- QuickTime 7.6.7
-
2me confrontation
Evolutions du systme
Sur le serveur de services :
- Mise en place de loutil Fail2Ban: protection contre le brute-force
Sur le parc informatique:
- Virtualisation des clients: VirtualBox
Powerpoint Templates Page 51
- Virtualisation des clients: VirtualBox
- Service DHCP sur le contrleur de domaine
- Installation des logiciels demands par le groupe Attaque
-
2me confrontation
Les attaques survenues
DNS Spoofing
Intrusion dans le systme de base de donnes:
- Accs et intrusion au service MySQL
- Ecriture dans la base de donnes
- Gnration de news sur le site Aerodef
Powerpoint Templates Page 52
Excution dun lien corrompu:
- Gnration de news sur le site Aerodef
- Saturation de la mmoire physique des clients
-
2me confrontation
Rflexion sur les attaques survenues
Intrusion dans le systme de base de donnes:
Excution dun lien corrompu:
- Hypothse: faille de scurit dans loutil MySQL
Mise jour gnrale du systme
Powerpoint Templates Page 53
Excution dun lien corrompu:
Infection dtecte et prvenue par les outils de dfense
-
3me confrontation
Evolutions du systme
Sur le serveur de services :
- Mise jour gnrale du systme et des paquets
Sur le parc informatique:
- Dploiement du service Terminal Server: Accs distance
Powerpoint Templates Page 54
- Dploiement du service Terminal Server: Accs distance
-
3me confrontation
Les attaques survenues
DNS Spoofing DNS Spoofing
Intrusion gnrale dans le systme:
- Accs et intrusion sur le serveur principal
- Accs et intrusion sur le contrleur de domaine
- Modification de fichiers relatifs au site de lentreprise
- Accs certains comptes de messagerie
Powerpoint Templates Page 55
- Accs certains comptes de messagerie
- Modification des accs sur les quipements et comptes e-mail
Situation catastrophique !
-
3me confrontation
Les attaques survenues
Intrusion gnrale dans le systme:
- Accs aux comptes mails du personnel Aerodef
- Prsence dun compte utilisateur suspect sur le serveur
- Reprise du contrle du serveur laide de Knoppix:
rinitialisation des comptes
Powerpoint Templates Page 56
rinitialisation des comptes
- Pas de sauvegarde pour le contrleur de domaine
solution de sauvegarde Windows trop contraignante
-
3me confrontation
Les attaques survenues
Au sujet de laccs aux comptes mails AerodefAu sujet de laccs aux comptes mails Aerodef
- Dtournement observ tardivement
- Changement de mot de passe inefficace
Appropriation de messagerie puis transferts de mails
Powerpoint Templates Page 57
Solution
- Utilisation de messagerie signe et chiffre
- Prendre davantage de prudence
-
Bilan technique
Robustesse des quipements de dtection et de prvention dintrusion
Solutions difficiles contre certaines attaques : DNS Spoofing
Difficults de prvenir les failles de scurit du systme et des outils
Systme de sauvegarde / reprise intressant : Systemimager
Boite outils de secours ncessaire: Knoppix
Facilit pour mettre un systme en fonctionnement, difficults pour
Powerpoint Templates Page 58
Facilit pour mettre un systme en fonctionnement, difficults pour
le dfendre !
-
Bilan personnel
Projet trs enrichissant car:
Simulation du fonctionnement dune entreprise
Simulation dun contexte critique
Gestion de projets, responsabilits (responsables dquipe)
Apports techniques: solutions pour dtecter et prvenir certaines
attaques
Apports relationnel: relations interpersonnel, hirarchiques
Powerpoint Templates Page 59
Apports relationnel: relations interpersonnel, hirarchiques
-
En conclusion
Grand intrt pour ce projet
Projet compos : Projet compos :
o dorganisation (rpartition des tches)o de technique (systme dinformation complet)
Mise en conditions relles :
o trois confrontations
Powerpoint Templates Page 60
o trois confrontations
Une exprience en scurit concrte et
enrichissante !
-
Mer
Powerpoint Templates Page 61
Des questions ?Des questions ?Merci de votre attention !
top related