[email protected] stage « sécuriser un réseau»
TRANSCRIPT
PROGRAMME
• Sécurité au niveau des clients.
• Sécurité au niveau architecture.
• Sécurité au niveau des serveurs.
Sécurité au niveau des clients
• Reconstruction d’un poste :– Rembo.
– Ghost + WinDrvExpert.
– Ghost réseau.
• Sauvegarde de la base de registre :– Sous DOS.
– ERU.
– ScanReg.
Sécurité au niveau des clients
• Protection d’un poste :– Contre les virus (Antivirus).
– Contre les spywares (Ad-Aware).
– Contre les attaques : (Firewall personnel).
• Personnalisation de l’environnement : Scripts
– Lecteurs réseaux.
– Lancement d’un programme.
Sécurité au niveau des clients
• Configuration d’un poste :– Local : Poledit, Tweak, WindConf.
– Distant : Stratégie et Scripts (.reg).
– Cacher le chemin d’un logiciel (CallProlog).
• Limiter l’accès à Internet :– Proxy (Wingate, Squid).
– Black Lists.
– Permettre ou interdire l’accès à Internet(web_oui.bat et web_non.bat)
Sécurité au niveau architecture
• Serveur d’antivirus– Symantec Antivirus Corporate.
• Firewall :– Machine dédiée avec 2 cartes réseau et un logiciel de
routage : WinRoute, Symantec Enterprise Firewall
– Kwartz.
• Exemple de câblage :
Sécurité au niveau des serveurs
• Système d ’exploitation :– Différents droits sous Kwartz.
– Permissions sur les partages et sur la sécurité sous NT.
• Matériel :– Onduleur.
– RAID.
– Serveur de secours.
Sécurité au niveau des serveurs• Sauvegarde déportée :
– NT : Logiciel AbeBackup, Commandes AT.
– Kwartz : Tâches planifiées.
La base de registre
Ce registre est en fait constitué de deux fichiers qui se trouvent dans le répertoire Windows : USER.DAT (HKU) et SYSTEM.DAT (HKCR, HKLM)
•HKEY_LOCAL_MACHINE : votre équipement
Ne pas modifier manuellement.•HKEY_CURRENT_USER : les paramètres de l'utilisateur
La plupart de ces paramètres se modifient aisément sous Windows•HKEY_CLASSES_ROOT : les classes et les objets
Contient les paramètres les plus importants des programmes.•HKEY_USERS : aperçu de tous les utilisateurs
Décrit un environnement de système d'exploitation par défautet contient une clé pour chaque utilisateur ayant ouvert
une session locale ou via une connexion réseau.•HKEY_CURRENT_CONFIG : la configuration actuelle
Contient des informations sur le profil matériel utilisépar l'ordinateur local au démarrage.
La base de registre
•Une HKEY (clé racine) contient des clés.•Une clé contient des valeurs.•Une donnée est affectée à chaque valeur.
– Valeur Chaîne.– Valeur Binaire.– Valeur DWORD (4 octets).
•On peut rechercher une clé.•On peut modifier une clé.•On peut créer une clé.•On peut exporter la totalité ou une branche du registre.
Sauvegarde de la base de registresous DOS
attrib c:\windows\user.dat -h -s -r xcopy c:\windows\user.dat c:\sauvegarde\user.dat attrib c:\windows\system.dat -h -s -r xcopy c:\windows\system.dat c:\sauvegarde\system.dat attrib c:\windows\win.ini -h -s -r xcopy c:\windows\win.ini c:\sauvegarde\win.ini attrib c:\windows\user.dat +h +s +r attrib c:\windows\sytem.dat +h +s +r attrib c:\windows\win.ini +h +s +r
Les virus
•les virus de secteur d'amorce(remplacent le code de l'amorce d'un disque par leur propre code)
•Les virus d'applications(copient un EXE et ajoute l'extension .COM)
•Les virus macro(infectent uniquement des documents Word, Excel...)
•les virus de mail (vers)
Certains virus sont polymorphes (ou mutants) : Ces virus ont la capacité de modifier leur aspect à chaque nouvelle contamination d'un fichier.
Les spywares
Un spyware, "espiogiciel" ou "logiciel espion", est un programme ou un sous-programme conçu dans le but de collecter des données personnelles sur ses utilisateurs et de les envoyer à son concepteur ou à un tiers via internet ou tout autre réseau informatique, sans avoir obtenu au préalable une autorisation explicite et éclairée desdits utilisateurs.
Les spywares peuvent être intégrés ou externalisés.
Ils sont parfois visibles ou ce sont des mouchards.Exemple : Gator, New.net, SaveNow, TopText, Alexa, Webhancer, Radiate, Cydoor, Conducent, Onflow, Web300, KaZaA, Babylon Translator, GetRight, Go!Zilla, Download Accelerator, Cute FTP, PKZip, iMesh.
Protections : Ad-Aware, Firewall.
Les attaques
Par Courrier Electronique
•Le spamming désigne l'action d'envoyer un message non souhaité et dérangeant - appelé "spam" - à une personne ou à un groupe de personnes, généralement dans un but promotionnel ou publicitaire.
•Le mailbombing est une technique d'attaque basique qui consiste à envoyer des centaines, des milliers voire des dizaines de milliers de messages appelés "mailbombs" à un unique destinataire, dans un but évidemment malveillant.
Protections : ne pas répondre, prévenir le serveur SMTP du spammeur à [email protected] ou [email protected], Firewall.
Les attaques
Par un Troyen
Le cheval de Troie (ou Trojan Horse) est un programme qui effectue certaines actions à votre insu comme ouvrir une porte dérobée, permettant alors à n'importe qui de prendre le contrôle de votre ordinateur. Il peut également collecter des informations (documents, login, mot de passe), écrire ou effacer des fichiers.
Protections :
•Ne pas laisser de partages sans mot de passe.
•Antivirus à jour.
•The Cleaner.
•Firewall
Les attaques
Attaque directe : Nuke
Le nuking consiste à faire parvenir à un client un flots d’informations envoyées par paquet (IP) en essayant d'utiliser une faille du système d'exploitation concerné. Un ordinateur non protégé contre le torpillage subira des conséquences visibles de son utilisateur. Parfois, selon le genre de torpille lancée, Windows 9x ou Windows NT (les systèmes les plus concernés par ce problème mais ce ne sont pas les seuls) plantera en affichant le fameux écran bleu de la mort (Blue Screen Of the Death - BSOD), restera totalement figé, ou certaines des applications que vous utilisiez seront déconnectées.
Protection :
•Firewall
Firewall Personnel
Zone Alarm
Un firewall permet de filtrer les données IP entrantes et sortantes en examinant les données de contrôle des paquets IP.
La philosophie est la suivante :
Tout ce qui n’est pas expressément autorisé est interdit.
Il convient simplement de configurer au préalable le firewall, afin de lui dire ce qu'il doit laisser passer et ce qu'il doit bloquer :
Ce sont les règles de filtrage.
On fait la différence entre le réseau local et Internet
Script
rem Logon basique
rem --- contenu originel du script logon.bat ---
rem @echo off
net time \\%server% /set /yes
net use h: /home /yes
net use p: \\%server%\programmes
if exist %0\..\%user%.bat call %0\..\%user%.bat
rem ---------------------------------------------
if exist %0\..\%group%.bat call %0\..\%groupr%.bat
Script
rem ------------------ pour BCDI et Butinage 2 ----------
net use W: \\%server%\progrw
rem -------------------------------------------------------
rem ---pour faciliter l'accès aux dossiers public et commun du groupe, et tour_cd--
net use U: \\%server%\public
net use Q: \\%server%\commun
net use I: \\Tour_cd\images.iso
rem les lecteurs I, T et U seront accessibles dans le poste de travail
Script
rem ------------------------------------------------------
rem ---pour l'acces internet-----------------------
rem ---installation du client kwartz---------------
\\%server%\programmes\kwartz\kwartz-auth.exe
rem -----------------------------------------------
rem ---test du type de machine-----
if %arch%==Win2K goto Win2K
rem sinon ...continuer pour win9598...
Script
rem -------------------------------
rem ---section pour windows 95/98
rem ---pour pouvoir utiliser regedit afin de lancer des fichiers *.reg---
if exist C:\windows\regedit.exe goto suite3
copy \\%server%\netlogon\regedit.exe c:\windows\regedit.exe
:suite3
rem -----------------------------------------------------
rem ---cacher les lecteurs P et W (dans le poste de travail) -----
REM regedit /s \\%server%\netlogon\cacherpw.reg
Fichier cacherpw.reg
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=hex:95,00,00,00
"NoDrives"=dword:00408000
; ZY XWVU TSRQ PONM LKJI HGFE DCBA
; 0000 0100 0000 1000 0000 0000 0000
; 0 4 0 8 0 0 0
; ou en décimal A=1, B=2, C=4, D=8… P=32768… Q=4194304
; total P + Q = 4227072
Fichier bride.regREGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDrives"=dword:0001800D Cacher disques
"NoFind"=dword:00000001 Rechercher
"NoStartMenuSubFolders"=dword:00000001 Au dessus de démarrer
"NoRun"=dword:00000001 Exécuter
"NofavoritesMenu"=dword:00000001 Favoris
"NoSetFolders"=dword:00000001 Panneau de configuration
"NoWindowsUpdate"=dword:00000001 Windows Update
"NoSetActiveDesktop"=dword:00000001 Active Desktop
"NoRecentDocsMenu"=dword:00000001 Documents
"NoFileMenu"=dword:00000000 Menu Fichier dans les barres de menu
"NoViewContextMenu"=dword:00000001 Pas de clic droit
"NoSetTaskBar"=dword:00000001 Barre des tâches et menu démarrer
"NoFolderOptions"=dword:00000001 Option des dossiers
"NoSaveSettings"=hex:01,00,00,00 Ne pas enregistrer en quittant
"ClearRecentDocsOnExit"=hex:01,00,00,00 Effacer documents récents
REGEDIT 4
[HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel]
"HomePage"=dword:00000001 Ne pas modifier la page d ’accueil
Script
rem -----------------------------------------------------
rem ---pour l'acces internet-----------------------
rem ---activation et parametrage du proxy de kwartz, en 172.16.0.253:3128 par defaut
call %0\..\web_oui.bat
rem -----------------------------------------------
rem -----création des répertoires disciplines dans travail-------
xcopy \\%server%\netlogon\reps h:\travail /E
xcopy \\%server%\netlogon\reps \\%server%\commun /E
pause
Fichier web_oui.reg
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000001
"ProxyServer"="192.168.1.254:3128"
"ProxyOverride"="<local>"
Script
rem -----------------------------------------------
rem ---section pour Windows XP et Windows 2000 pro-
:Win2K
rem ---fin de section XP et Windows 2000 pro ---
rem ---nouvelle section commune ---
:suitepourtous
rem ------------------------------------------------------
rem ---fin de nouvelle section commune ---
Proxy
Un proxy masque à l'Internet toutes les adresses IP du réseau local, il doit donc masquer l'adresse d'expéditeur des paquets de données circulant via Internet.
Tous les clients du réseau local doivent passer par le proxy pour accéder à Internet ce qui permet :
•De filtrer les accès à certains sites.
•De filtrer les accès en fonction des utilisateurs.
•De filtrer les accès en fonction de l ’heure.
•D ’enregistrer un journal des connexions.
•De mettre en cache les pages visitées.
Les serveurs Proxy sont orientés application, c'est-à-dire tributaires d'un protocole (http, ftp, smtp…).
Symantec AntiVirus™ Corporate •Contrôle et protection antivirus professionnel à partir d'une seule console de gestion
•Gestion des politiques antivirus sur plates-formes hétérogènes
•Gestion centralisée et évolutive construite sur une technologie leader du marché
•Protection antivirus automatique et déploiement rapide grâce à une taille réduite de fichiers de définitions virales et à un déploiement de serveurs multi-thread
•Gestion de groupes logiques pour les postes de travail et les serveurs, et protection renforcée des paramètres de configuration
•Protection à jour des postes de travail itinérants via une nouvelle fonction de "roaming" (connexion dynamique vers un serveur parent) des mises à jour de définitions de virus
Firewall
Un firewall est essentiellement un dispositif de protection qui constitue un filtre entre un réseau local et un autre réseau non sûr tel que l’Internet ou un autre réseau local.
Un coupe-feu est l’assemblage d’une partie matérielle (un ordinateur) et d’un logiciel installé sur celui-ci.
FirewallLe filtrage se fait les données de contrôle des paquets :
types de paquets (TCP, UDP, …) adresse IP d’origine adresse IP de destination le port de destination (TCP, UDP, …)
Filtrage Applicatif
Les Firewalls d'application (Application level Firewalls) permettent un contrôle d'accès beaucoup plus précis. Il est réalisé par l’examen de ports de services Telnet ou FTP par exemple.
Filtrage Utilisateur
Les Firewalls de réseau (Network level Firewalls), proches du matériel, permettent une protection au niveau de l’utilisateur. Ce filtrage permet d’autoriser ou de filtrer des plages horaires ou jours précis, sur certains sites particuliers définis sous forme IP ou DNS de l’Internet.
Firewall
Firewall avec routeur de filtrage
La solution Firewall la plus simple, mais aussi la moins sûre, se borne au réseau. On l'obtient en configurant le routeur qui assure la connexion avec l’Internet. Le routeur de filtrage contient les autorisations d'accès basées exclusivement sur les adresses IP et les numéros de port.
Firewall
Passerelle double - Le réseau bastion
Il s'agit d'un ordinateur inclus à la fois dans les deux réseaux Internet et Intranet. Cette machine doit être équipée de deux cartes réseau. La passerelle double n'autorise aucun trafic IP entre les réseaux. On l'appelle également réseau bastion, car il contrôle tous les services accessibles de l'extérieur comme de l'intérieur du réseau interne tels que les serveurs Web, FTP et Mail. Un serveur Proxy supplémentaire est également configuré pour permettre aux utilisateurs du réseau interne d'accéder à Internet.
Firewall
Firewalls avec réseau de filtrage
La combinaison des deux méthodes est plus sûre et efficace. Au niveau du réseau, un routeur sous écran est configuré de façon à n'autoriser les accès de l'extérieur et de l'intérieur que par l'intermédiaire du réseau bastion. Un serveur Proxy supplémentaire est également configuré pour permettre aux utilisateurs du réseau interne d'accéder à Internet.
Black Lists
Adresses pour la gestion des listes noires avec Kwartz
TeleDanmark.no ftp://ftp.teledanmark.no/pub/www/proxy/squidGuard/contrib/blacklists.tar.gzhttp://ftp.teledanmark.no/pub/www/proxy/squidGuard/contrib/blacklists.tar.gz
Université de Toulouseftp://ftp.univ-lse1.fr/pub/unix/reseau/cache/SquidGuard/contrib/blacklists.tar.gzftp://ftp.univ-tlse1.fr/pub/unix/reseau/cache/squidguard_contrib/blacklists.tar.gz
Académie de Lilleftp://ftp.ac-lille.fr/kwartz/BlackLists/blacklists.tar.gz