Audit de la Sécurité Informatique - Institut supérieur de l`éducation et

Transcription

Audit de la Sécurité Informatique
Cours présenté par
Dr. Ala eddine BAROUNI
[email protected]
Dr. Ala eddine BAROUNI ( [email protected])
1
Partie 1
Module O.T.A
 Pourquoi sécuriser un réseau ?
 Principes de sécurité importants
 Rappel sur les normes utiles en sécurité réseau
 Introduction à l’Audit Sécurité
 Démarche de réalisation d’une mission d’Audit Sécurité
 Approches d’Audit Sécurité
 Les étapes d’Audit Sécurité (Audit Niveau 1, Audit Niveau 2)
 Description détaillée des phases de l’Audit Niveau 2 (Audit
Technique)
 Livrables de la phase d’audit niveau 2 (présentation d’un modèle type
d’un rapport d’audit technique)
2
Partie 2 : Outils et logiciels utilisés lors de
l’audit
niveau 2 (principalement de l’Open Source)
 Les outils utilisés pour chaque phase d’audit technique
 Outils et logiciels utilisés lors de la phase 1 de l’Audit Technique :
Audit de l’architecture du système
 Audit de la résistance du système face aux failles connues, via une analyse
automatisée des vulnérabilités
 Audit de l’architecture de sécurité existante
 Description détaillée des tests de sécurité à réaliser au cours de la
l’audit technique
3
Partie 3: Outils de protection réseau (principalement
de l’Open Source)
 Prototype d’une architecture de sécurité basé sur
des outils du monde des logiciels libres (firewalls,
détection d’intrusions, contrôle d’intégrité, etc..)
 Présentation des solutions de corrélation de
vulnérabilités
4
Pourquoi sécuriser un réseau ?
Intrus
externe
Intrus
interne
Actifs de l'entreprise
Autorisations
incorrectes
Virus
Une conception de sécurité réseau protège les actifs des
menaces et vulnérabilités de façon organisée
Pour élaborer une conception de sécurité, analysez les risques
pesant sur vos actifs et créez des réponses
5
Principes de sécurité importants
Principe
Défense en
profondeur
Moindre
privilège
Surface d'attaque
minimisée
Définition
Offre plusieurs niveaux de
protection contre les
menaces en plusieurs points
du réseau
Octroie à un utilisateur ou
une ressource les privilèges
ou autorisations minimaux
nécessaires
à l'exécution d'une tâche
Réduit les points vulnérables
6
d'un réseau
Les normes de sécurité
informatique
BS 7799 / ISO 17799, ISO 27002 ,
ISO 27001, BS 7799-2
Plan
•
Sécurité des informations, normes
BS 7799, ISO 17799, ISO 27001
•
Normes BS 7799, ISO 17799 et ISO 27002
•
Qualités de BS 7799 / ISO 17799
•
Les dix contextes clés de ISO 17799
•
Normes ISO 27001, BS 7799-2
•
Approche de gestion (Modèle PDCA)
•
Historique
•
Pour qui ?
•
Implantation
•
Outils et logiciels
Les normes de Sécurité Informatique
.
Sécurité des informations, normes
BS 7799, ISO 17799, ISO 27001
• Plusieurs normes, méthodes et
référentiels de bonnes pratiques en
matière de sécurité des systèmes
d’information sont disponibles. Elles
constituent des guides
méthodologiques ainsi que le moyen
de fournir l'assurance d'une démarche
de sécurité cohérente.
Les normes de Sécurité Informatique
• L’ISO a entrepris un vaste effort de rationalisation
des travaux existants donnant naissance à la série
des ISO 27000. Certaines sont obligatoires pour
obtenir une certification (27001 et 27006), les autres
ne sont que des guides :
• l'ISO 17799 sera renommé en 27002, le 1er avril
2007.
• l'ISO 27006 est en cours de fabrication -sortie
prévue fin novembre.
• l'ISO 27004 et l'ISO 27005 sont à l'état de drafts
avancés.
Normes BS 7799, ISO 17799 et ISO 27002 ?
• Un ensemble de contrôles basés sur
les meilleures pratiques en sécurité des
informations;
• Standard international qui couvre tous
les aspects de la sécurité informatique:
–
–
–
–
Équipements;
Politiques de gestion;
Ressources humaines;
Aspects juridiques.
• ISO 17799 (partie 1) se veut un guide contenant des
conseils et des recommandations permettant d’assurer la
sécurité des informations d’une entreprise.
.
• La norme ISO 17799 (partie 2 :2005), prochainement
renommée 27002, est directement tirée de la BS 7799-1
(créée par le BSI British Standard Institute).
Elle correspond à un niveau de détail plus fin que la
27001 et spécifie une Poltique de la Sécurité des
Systèmes d'Information. C'est une liste détaillée et
commentée de mesures de sécurité. Cette norme est un
guide de Bonnes Pratiques (Best Practices)
Pour maîtriser la sécurité d'un système d'information.
plusieurs versions de la BS 7799 ont été élaborées
depuis le début des années 1990 et la dernière est
devenue la norme ISO/IEC 17799.
Schématiquement, la démarche de sécurisation du
système d'information doit passer par 4 étapes de
définition :
1. périmètre à protéger (liste des biens sensibles),
2. nature des menaces,
3. impact sur le système d'information,
4. mesures de protection à mettre en place.
• L’ ISO 17799 donne des exemples et des indications
sur les niveaux 1 à 3, mais ne traite vraiment que le
niveau 4 (et en partie seulement), en listant ce qui est
nécessaire de mettre en place, sans toutefois préciser
en détail comment.
• La norme ISO 17799 comporte 39 catégories de
contrôle et 133 points de vérification répartis en 11
domaines :
•
1. Politique de sécurité
•
2. Organisation de la sécurité :
- organisation humaine, implication hiérarchique,
- notion de propriétaire d’une information et mode de
classification,
- évaluation des nouvelles informations,
- mode d’accès aux informations par une tierce partie,
- Répartition des responsabilités, groupes de travail, …
3. Classification et contrôle des biens
- Identifications des actifs, Classification de l’information
• 4. Sécurité du personnel
- contrats de travail, Sensibilisation à la sécurité,
implication dans la sécurité
• 5. Sécurité physique
- organisation des locaux et des accès,
- protection contre les risques physiques (incendies,
inondations...)
- systèmes de surveillance et d’alerte,
- sécurité des locaux ouverts et des documents
circulant.
• 6. Communication et exploitation:
- Gestion des incidents,
- Gestion du réseau
- prise en compte de la sécurité dans les procédures
de l’entreprise,
- mise en oeuvre des systèmes de sécurisation (antivirus, alarmes..),
• 7. Contrôle d'accès:
- Utilisateurs
- Définition des niveaux d’utilisateurs et de leur droit
d’accès,
- Gestion dans le temps des droits,
- Réseau
- Système d’exploitation
- Application
• 8. Acquisition, développement et maintenance des
systèmes
- Contrôles cryptographiques
- Sécurité des fichiers
- Chevaux de Troie
• 9. Gestion des incidents
•
10. Management de la continuité de service
-Planification , test, réévaluation
•
11. Conformité:
- dispositions réglementaires
- dispositions légales
- dispositions internes (Politique)
•
La norme n'impose pas d'autre formalisme que la mise en place
d'une organisation qui garantit un bon niveau de sécurité au fil du
temps.
•
Elle est orientée processus et déborde de ce fait des simples
aspects de technique informatique. Elle s'intéresse à l'organisation
du personnel ainsi qu'aux problèmes de sécurité physique (accès,
locaux...).
Qualités de BS 7799 / ISO 17799
•
•
•
•
•
Couverture de la norme;
Éprouvée;
Publique;
Internationale;
Image de marque associé à « la
qualité »
• Évolutive et souplesse (s’adapter aux
contextes);
• Disponibilité d’outils et de support.
Politique de
sécurité
Sécurité de
L’organisation
Conformité
Gestion de la
continuité
Intégrité
Confidentialité
Classification et
contrôle des actifs
Information
Développement
et maintenance
Contrôle des
accès
Disponibilité
Sécurité du
personnel
Sécurité physique et
environnementale
Gestion des
Communications
et opérations
Organisationnel
1. Politique de
sécurité
2. Sécurité de
l’organisation
3. Classification et
contrôle des
actifs
7. Contrôle des
accès
10. Conformité
4. Sécurité du personnel
8. Développement
et maintenance
Opérationnel
5. Sécurité physique et
environnementale
6. Gestion des
communications et opérations
9. Gestion de la
continuité
• La norme ISO 27001, publiée en Novembre 2005,
définit la Politique du Management de la Sécurité
des SI au sein d'une entreprise. Elle est issue de la
BS 7799-2:1999 Specification for information
security management systems qui définit les
exigences à respecter pour créer un ISMS
(Information Security Management System). Elle
spécifie en annexe certains contrôles de sécurité,
tirés de la 17799, dont la mise en oeuvre est
obligatoire.
• La norme ISO 27001 comprend 6 domaines de
processus :
1. Définir une politique de la sécurité des
informations,
2. Définir le périmètre du Système de Management
de la sécurité de l'information,
3. Réaliser une évaluation des risques liés à la
sécurité,
4. Gérer les risques identifiés,
5. Choisir et mettre en oeuvre les contrôles.
Préparer un SoA ( "statement of applicability").
• Comme ISO 9000, l’ISO 27001 porte moins sur
l’efficacité des dispositions mises en place, que sur
leur existence, et la mise en place d’une boucle
d’amélioration (PDCA).
• BS 7799 (partie 2) propose des recommandations
afin d’établir un cadre de gestion de la sécurité de
l'information efficace. BS 7799-2 permet d’établir un
système de gestion de sécurité de l’information
(SGSI).
Complémentarité avec d’autres normes ISO
Complémentarité avec d’autres normes ISO
Code de bonnes pratiques pour la gestion
de la sécurité de l’information
ISO 17799
Produits et systèmes certifiés
par ISO 15408(CC)
Guide de gestion de la sécurité
de la technologie de l’information
ISO13335 (GMITS)
History and Development
Historique of ISMS
La norme ISO 17799 (partie 2 :2005)
renommée 27002
Avril 2007
La norme ISO 17799 (partie 2), ISO 27001
Novembre 2005
Septembre 2002
Nouvelle version de BS 7799-2
revue et corrigée
2001
Décembre 2000
1999
1998
1995
Révision de BS 7799-2
ISO/IEC 17799:2000
Standards suédois SS 62 77 99 Partie 1 et 2
Nouvelle version de BS 7799 Partie 1 et 2
BS 7799 Partie 2
BS 7799 Partie 1
Pour qui les normes?
• Les normes BS 7799/ISO 17799, …
peuvent être utilisée par tout
organisme ou entreprise. Il suffit qu’une
organisation utilise des systèmes
informatiques, à l’interne ou à
l’externe, qu’elle possède des
données confidentielles, qu’elle
dépende de systèmes d’informations
dans le cadre de ses activités
commerciales ou encore qu’elle
désire adopter un niveau élevé de
sécurité tout en se conformant à une
norme.
Achat en ligne du standard ISO 17799
(% par région)
9%
35 %
Autres : 9 %
18 %
23 %
6%
Audit et certification BS 7799 / ISO 17799
• Il n’existe pas de certification ISO 17799 pour le
moment.
• Une entreprise peut se conformer à ISO 17799
et ensuite se certifier BS 7799-2 : 2002, ISO
27001.
• Une démarche d’audit peut être appuyée:
– Vérification interne
– Vérification externe (lettre d’opinion)
– Bureau de registraire du BSI (certification officielle)
Liste d’entreprises certifiés
• Plus de 80 000 entreprises se
conforment à BS 7799/ISO 17799 à
travers le monde dont:
•
•
•
•
•
•
•
•
Fujitsu Limited;
Insight Consulting Limited;
KPMG ;
Marconi Secure Systems ;
Samsung Electronics Co Ltd;
Sony Bank inc. ;
Symantec Security Services ;
Toshiba IS Corporate
Avantages
• Se conformer aux règles de
gouvernance en matière de gestion
du risque.
• Une meilleure protection de
l’information confidentielle de
l’entreprise ;
• Une réduction des risques d’attaques ;
• Une récupération des opérations plus
rapidement et plus facilement lors
d’attaques ;
Avantages (suite)
• Une méthodologie de sécurité
structurée et reconnue
internationalement ;
• Une confiance mutuelle accrue entre
partenaires ;
• Une diminution potentielle des primes
d’assurance contre les risques
informatiques ;
• Une amélioration des pratiques sur la
vie privée et une conformité aux lois
sur les renseignements personnels.
Méthodologie et cycle d’implantation
Étape de la
méthodologie
du cycle
d’implantation
de la norme
Description
Initiation du projet
•Inciter l’engagement de la haute direction;
•Sélectionner et former les membres de l’équipe initiale du
projet.
Définition du SGSI
L’identification de la portée et des limites du cadre de
gestion de la sécurité de l’information est déterminante pour
la bonne conduite du projet.
(Système de gestion de la
sécurité de l’information)
Évaluation des risques
•Identifier et évaluer les menaces et vulnérabilités;
•Calculer une valeur de risque associée;
•Diagnostiquer le niveau de conformité ISO 17799;
•Inventorier et évaluer les actifs à protéger.
Méthodologie et cycle d’implantation (suite)
Étape de la
méthodologie
du cycle
d’implantation
de la norme
Description
Traitement de risque
Vous comprendrez comment la sélection et l’implantation
des contrôles vous permettront de réduire les risques à un
niveau acceptable pour l’organisation.
Formation et sensibilisation
Vos employés peuvent être le maillon faible dans la chaîne
de sécurité de votre organisation.
Préparation à l’audit
Apprenez comment valider votre cadre de gestion et ce
qu’il faut faire avant la venue d’un auditeur externe pour la
certification BS 7799-2 ou ISO27000.
Audit
Apprenez-en davantage sur les étapes réalisées par les
auditeurs externes et sur les organismes de certification
accrédités BS 7799-2 ou ou ISO27000.
Amélioration continue
Livrables – ISO 17799
Obstacles potentiels
Facteur de succès
• Crainte, résistance au
changement;
• Augmentation des
coûts;
• Connaissances
inadéquates pour
l’approche
sélectionnée;
• Tâche apparemment
insurmontable.
•
•
•
•
•
•
•
Ressources et personnel
dédiés;
Expertise externe;
Bonne compréhension des
fonctionnements (gestion) et
des processus (opérations) de
gestion du risque;
Communications fréquentes;
Sensibilisation des
gestionnaires et des employés
Engagement de la direction
supérieure;
Structure de l’approche.
Implantation – ISO 17799
Références
•
Documents BSI (www.bsi.org.uk/index.xhtml)
•
Information Security Management: An Introduction
(PD3000)
Fournit une vue d'ensemble du fonctionnement pour
la certification accréditée et forme une préface utile
aux autres guides.
•
Guide to BS7799 Risk Assessment and Risk
Management (PD3002)
Décrit les concepts sous-jacents à l'évaluation de
risque de BS 7799, y compris la terminologie, le
processus d'évaluation et la gestion de risque.
•
ISO/IEC Guidelines for the Management of IT Security
(GMITS)
•
Selecting BS7799 Controls (PD3005)
Décrit le processus de sélection des commandes
appropriées.
Introduction à l’Audit Sécurité
Définition
 L’Audit Sécurité est une mission d'évaluation de
conformité par rapport à une politique de
sécurité ou à défaut par rapport à un ensemble
de règles de sécurité
46
Objectif Principal d’une mission d’Audit
Sécurité
 Répondre aux préoccupations concrètes de
l’entreprise , notamment de ses besoins en
sécurité, en :
 Déterminant les déviations par rapport aux bonnes
pratiques
 Proposant des actions d'améliorations du niveau de
sécurité de l’ infrastructure informatique
47
Démarche de réalisation d’une mission d’Audit Sécurité
 Approches d’Audit Sécurité
 Définir les étapes / les phases de la mission d’Audit
 Le Cycle d’Audit
48
Approches d’Audit Sécurité
 Une approche " boîte blanche " :
Un audit plus homogène, l'évaluation possède une caractéristique d'analyse " en
complétude " et les aspects techniques et organisationnels sont traités de
manière uniforme
49
 Une approche " boîte noire " :
Un audit avec une vue plus parcellaire, révélant plutôt des lacunes
ciblées à forte orientation technique.
Les " tests d'intrusion " ou " tests intrusifs " font partie de cette
catégorie d'audit.
50
Définir les étapes / les phases de la mission
d’Audit Sécurité
 Cette étape permet de :
 Mettre en œuvre l’audit sécurité en définissant les
champs d’étude et les périmètres de la mission

Définir un planning de réalisation de la mission

D’élaborer d’une batterie de questionnaires par rapport
à un référentiel défini à partir des exigences et des
attentes des responsables du site audité.
51
 Principalement, la mission sera subdivisée en
deux volets :
 Audit Niveau 1 : Audit Organisationnel &
Physique , Analyse de Risque
 Audit Niveau 2 : Audit Technique
52
 Audit Niveau 1
Avoir une vue globale de l´état de sécurité du système
dínformation et dídentifier les risques potentiels
(environ tous les deux ans)
 Audit Niveau 2
Concerne les composants du système dínformation :
validation d’une architecture de sécurité, test de
vulnérabilités internes et/ou externes (intrusifs) ,
validation du code (failles dans une application web,
contrôle dáccès trivial...), etc…
53
L’audit Technique d’un périmètre de sécurité est préconisé
dans les situations typiques suivantes ( d’une manière
récurrente) :
 Validation de la sécurité d’un nouveau périmètre, par exemple d’un
Firewall, d’un site eBusiness
eBusiness,, d’un Extranet, d’un accès Internet, d’un
système VPN…
 Analyse préalable d’un site pour l’installation d’une nouvelle
infrastructure.
54
Le cycle de l’audit sécurité
La mission d’audit de sécurité informatique est effectuée
selon un processus cyclique permettant d’étudie le niveau
de sécurité du système d’information d’un point de vue :
 Technique (les points d’entrées sur le réseau, les équipements de
sécurité, les protocoles mis en œuvre, etc…)
 Organisationnel (étude des procédures de définition, de mise en
place et de suivi de la politique de sécurité, etc...)
55
Système d’information du réseau
audité selon une modélisation
d’audit formelle
Audit Organisationnel et
Physique
3 Com
Fin du cycle
d’Audit Normal
Test Intrusif
Identification des
vulnérabilités depuis
l’extérieur
Identification des
vulnérabilités d’ordre
organisationnel et physique
Évaluation des risques
Détection régulière et
automatisée des
vulnérabilités et des
failles potentielles
Audit Technique
56
La phase finale du processus d’Audit Sécurité est consacrée
à la rédaction des rapports de synthèse :
 Recueil des principales vulnérabilités et insuffisances
décelées
 Synthèse des recommandations de mise en œuvre
(organisationnels,physiques et techniques)
 Synthèse des solutions et outils de sécurité proposés
 Esquisse d’un plan d’action sécurité (Estimation des
budgets à allouer pour la mise en œuvre des mesures
recommandées )
57
 La mission d’audit sécurité constitue le point de
démarrage du projet de sécurisation d’un site.
Audit Sécurité du Site
Architecture & Solution de
Sécurité proposées
Mise en place de la
solution de sécurité
Tests & Validations du
système de sécurité implantée
58
Phase récurrente d’Audit Sécurité
59
Détail de la Démarche
Etude Cas Pratique
• Audit Niveau 1 (AOP,AR)
• Audit Niveau 2 (AT)
60
Audit Niveau 1
 Audit Organisationnel & Physique (AOP), Analyse
de Risque
 Objectif
 Déroulement de l’audit niveau 1
 Étude Cas – Évaluation du niveau de sécurité d’un SI
 Analyse de Risque
 Délivrables de la phase d’AOP
61
Objectif
Cette première phase de l’audit sécurité permet :
 D’avoir une vision qualitative et quantitative des
différents facteurs de la sécurité informatique du site
audité
 Dídentifier les points critiques du système dínformation
62
Déroulement de l’audit des aspects Organisationnels et
Physiques
 Définir un référentiel sécurité (dépend des exigences et
attentes des responsables du site audité, type d’audit)
 Élaboration d’un questionnaire d’audit sécurité à partir
du référentiel défini précédemment et des objectifs de la
mission
 Planification des entretiens et information des personnes
impliqués avant le déclenchement de l’audit OP
63
Facteurs clés de succès de cette étape :
 Comprendre la démarche d'observation : niveau global
puis niveau spécifique
 Présenter les objectifs de la démarche d’audit sécurité avant
les entretiens
 Instaurer un climat de confiance , éviter la culpabilité
64
Délivrables de la phase d’AOP
Les rapports livrés à la fin de cette phase seront constitués des parties
suivantes :
Rapports d'audit couvrant les aspects suivants :
 Rapport sur l’Étude de la situation existante en terme de sécurité
au niveau du site audité
 Rapport d’audit organisationnel et physique, couvrant les composantes
organisationnelles, physiques et les éventuelles vulnérabilités de gestion
des composantes du système (réseau, systèmes, applications, outils de
sécurité, centre de calcul, Plans de continuité) et les recommandations
correspondantes pour la politique de sécurité de l'administration Central.
65
Audit Niveau 2 – (AT)
Contenu de la présentation
 Audit Technique (AT)
 Définition des phases de l’étape d’AT
 Audit de l’architecture du système
 Reconnaissance du réseau et du plan d’adressage
 Sondage des Systèmes
 Sondage des Services réseau
 Audit des applications
66
 Analyse des Vulnérabilités (intrusif interne)
 Analyse des vulnérabilités des serveurs en exploitation
 Analyse des vulnérabilités des postes de travail
 Analyse des Vulnérabilités (intrusif externe)
 Audit de l’Architecture de Sécurité existante
67
Venant en suite logique à l’audit de niveau 1, l’audit de
niveau 2 ou l’audit technique s’attache à identifier les
vulnérabilités techniques présentes sur les systèmes
informatiques critiques du site audité.
Déroulement de l’étape :
 L’audit technique sera réalisé selon une succession de
phases respectant une approche méthodique allant de la
découverte et la reconnaissance du réseau audité jusqu’à la
réalisation des scénarios d’attaques expertes.
68
L’audit technique permet la détection des types de
vulnérabilités suivantes, à savoir :
 Les erreurs de programmation et erreurs d’architecture.
 Les erreurs de configurations des composants logiques
installés tels que les services (ports) ouverts sur les
machines, la présence de fichiers de configuration installés
par défaut, l’utilisation de comptes utilisateurs par défaut.
 Les problèmes au niveau de trafic réseau (flux ou trafic
non répertoriés, écoute réseau, etc …).
 Les problèmes de configuration des équipements d’interconnexion et
de contrôle d’accès réseau
69
Cet audit s’applique aux environnements suivants :
 Réseau d’accès Internet, réseau d’interconnexion intersites (Frame Relay , X25, Faisceau Hertzien, etc..).
 Serveurs internes du site audité et les postes sensibles du LAN.
 Systèmes critiques spécifiques.
 Composants et équipements actifs de l’infrastructure
réseau du site audité (firewalls, routeurs filtrants, commutateurs
niveau 3, etc…)
70
Principales phases :
 Phase 1 : Audit de l’architecture du système
 Reconnaissance du réseau et du plan d’adressage
 Sondage des Systèmes
 Sondage Réseau
 Audit des applications
71
 Phase 2 : Analyse des Vulnérabilités (intrusif interne)
 Analyse des vulnérabilités des serveurs en exploitation
 Analyse des vulnérabilités des postes de travail
 Phase 3 : Analyse des Vulnérabilités (intrusif externe)
72
 Phase 4 : Audit de l’architecture de sécurité existante
 Audit des Firewalls et Règles de Filtrage
 Audit des routeurs et des ACLs (Liste de Contrôle d'Accès )
 Audit des Sondes et des passerelles antivirales
 Audit des stations proxy/Reverseproxy
 Audit des serveurs DNS, d’authentification
73
 Audit de la zone d’administration de l’architecture de sécurité existante
 Audit des commutateurs (switchs) et de la configuration en VLANs
 Audit de la politique d’usage de mots de passe
 Audit de la solidité du système, face aux essais d’interception des flux
 Audit de la résistance aux attaques de déni de service
74
Détail des phases :
 Audit de l’architecture du système
 Reconnaissance du réseau et du plan d’adressage
L'inspection du réseau est un point de départ, lors duquel la topologie,
ainsi que les hôtes et les équipements réseau seront identifiés.
Cette étape consiste à utilisation de multiples traçages du réseau et
des passerelles, interrogation des serveurs DNS, afin de détecter les
stations, repérer les équipements de contrôle d’accès sur les frontières
externes du réseau.
75
Utilisation de l’outil Networkview à l’intérieur du
réseau audité
76
Utilisation de l’outil Networkview sur les périmètres
externes du réseau audité
77
 Sondage des Systèmes
Elle consiste à auditer les stations, par l’inspection des moyens
de contrôle d’accès et de leur stratégie d’administration ainsi que
l’inspection des traces, enregistrés par leur logs et les mesures de
protection anti-viral.
78
 Sondage Réseau
Le sondage des services réseau est une étape qui permet de savoir
quelles sont les ports ouverts sur les machines du réseau audité (ouverts,
fermés ou filtrés), et également permet d’analyser le trafic , reconnaître
les protocoles et les services prédominant au niveau du réseau auditer, le
taux d’utilisation , les flux inter-stations et plusieurs autres informations.
79
Test par les outils de balayage systématique (services/ports) , nous avons pu cerner la liste des ports
ouverts sur les stations en activité.
(Scripts basés sur les outils NMAP, Netcat , Nsat)
[root@consultingAudit ]# scan_script -v -g53 -sS -P0 -O -oN Serveur_
Serveur_ORASERVER
ORASERVER .log 172.16.203.13
Port
State
Service
22/tcp
open
ssh
80/tcp
open
http
111/tcp
open
sunrpc
139/tcp
open
netbios-ssn
443/tcp
open
https
3306/tcp open
mysql
6000/tcp open
X11
10000/tcp open
snet-sensor-mgmt
22273/tcp open
wnn6
22289/tcp open
wnn6_Cn
22305/tcp open
wnn6_Kr
80
Audit des Flux réseau, trafic inter-station :
Présentation du pourcentage d’utilisation des protocoles TCP et UDP :
81
 Audit des applications
Cette étape de l’audit technique ne représente pas un audit détaillé des
applications.
Toutefois, il s’agit de déceler certaines anomalies au niveau
opérationnelle des applications au sein de l’environnement du travail du
client.
82
Analyse des Vulnérabilités (intrusif interne)
L’analyse des vulnérabilités au niveau de tous les composantes du réseau
auditer sera réalisée, via un ensemble d’outils de scan automatique par
l’édification d’une analyse experte et ciblée du réseau et des systèmes
audités, permettant la mise au point d’une démarche efficace et experte.
Audit de vulnérabilités intrusif interne
Permet de mesurer les vulnérabilités des parties les plus sensibles du réseau
local en opérant à partir d’une station de travail standard, dans des conditions
analogues à celles dont disposerait une personne mal-intentionnée travaillant
sur site (prestataires, collaborateurs, visiteurs, ...).
83
 Analyse des vulnérabilités des serveurs en exploitation
Test intrusif interne : Utilisation des scanners de vulnérabilités (Nessus, Sara, ISS) :
Le schéma suivant présente la répartition des Degrés de Vulnérabilités au
niveau d’un Serveur UNIX (Solaris) –
Outil de Test: Nessus
84
Le sondage des ports avec les vulnérabilités associées est présenté comme suit :
o ftp (21/tcp) (Vulnérabilité d’ordre grave)
o chargen (19/tcp) (Vulnérabilité d’ordre moyenne)
o daytime (13/tcp) (Vulnérabilité d’ordre moyenne)
o http (80/tcp) (Vulnérabilité d’ordre grave)
o finger (79/tcp) (Vulnérabilité d’ordre moyenne)
o oracle (1521/tcp) (Vulnérabilité d’ordre grave)
o x11 (6000/tcp) (Vulnérabilité d’ordre moyenne)
o dtspc (6112/tcp) (Vulnérabilité d’ordre grave)
o font-service (7100/tcp) (Vulnérabilité d’ordre grave)
o sometimes-rpc13 (32775/tcp) (Vulnérabilité d’ordre grave)
o snmp (161/udp) (Vulnérabilité d’ordre grave)
o xdmcp (177/udp) (Vulnérabilité d’ordre moyenne)
85
Étude Cas 1 : Exploitation des failles au niveau du Serveur Sun Solaris
[root@audit-pc]# ftp 172.20.50.11
Connected to 172.20.50.11.
220 cmf02 FTP server (SunOS 5.7) ready.
500 'AUTH GSSAPI': command not understood.
500 'AUTH KERBEROS_V4': command not understood.
KERBEROS_V4 rejected as an authentication type
Name (172.20.50.11:root):
ias
331 Password required for ias.
Password:
230 User ias logged in.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
86
ftp> cd /etc
/etc
ftp> ls
227 Entering Passive Mode (172,20,50,11,134,123)
150 ASCII data connection for /bin/ls (172.20.20.201,1083) (0 bytes).
total 502
drwxrwxr-x 37 root
sys
3584 f?v 24 14:22 .
drwxr-xr-x 33 root
root
1024 mar 11 12:54 ..
drwxrwxr-x 10 root
sys
-r-------- 1 root
sys
-rw-r--r-- 1 root
sys
-rw-r--r-- 1 root
other
-r--r--r-- 1 root
512 avr 14 2000 opt
482 mai 8 2000 oshadow
1742 f?v 29 2000 pam.conf
680 f?v 19 2001 part19022001
sys
1110 jun 10 2003 passwd
-r--r--r-- 1 root
other
3640 jun 3 2002 path_to_inst
-r--r--r-- 1 root
other
3640 jun 3 2002 path_to_inst.old
-rw-r--r-- 1 root
sys
-rw-r--r-- 1 root
other
960 f?v 28 2000 power.conf
239 mar 23 2000 printers.conf
87
Vulnérabilités NFS
Le type le plus courant de vulnérabilité NFS est lié à une erreur de
configuration qui exporte le système de fichiers vers everyone (n’importe
quel utilisateur distant pourra accéder à un système de fichier sans
authentification).
En interrogeant le mappeur des ports (portmappeur), nous avons constaté
que mountd et le serveur nfs sont exécutés, ce qui révèle que le serveur
cible est peut être en train d’exporter un ou plusieurs systèmes de fichiers.
[root@audit-pc]# showmount –e 172.20.50.11
Export list for 172.20.50.11
/ (everyone)
/ sunpartage (everyone)
les résultats de showmount indiquent que la totalité des systèmes de fichiers / et /usr
sont exportés vers l’extérieur , ce qui présente un risque énorme à la sécurité. Il suffit
qu’un utilisateur distant exécute mount pour accéder à la totalité du système de fichier
/ et /usr .
88
 Analyse des vulnérabilités des postes de travail
Cette analyse de vulnérabilité ciblant l’ensemble des postes utilisateurs du
réseau audité a permis de dégager le taux global moyen suivant :
Nombre de vulnérabilités
d’ordre grave : 146
d’ordre moyenne : 215
d’ordre minime : 193
89
 Analyse des Vulnérabilités (intrusif externe)
 Audit de vulnérabilités intrusif externe avec connaissance partielle
ou totale
Le but de cet audit est de mettre à l’épreuve l’architecture technique en opérant dans des
conditions analogues à celles dont disposerait une personne mal
mal--intentionnée ayant une
bonne voire très bonne connaissance du système d’information.
 Audit de vulnérabilités intrusif externe sans aucune connaissance
préalable
Cette opération est réalisée depuis le réseau externe du site audité (avec autorisation :
Une simulation de ces attaques pourra être réalisée à la demande) à partir de postes de
travail positionnés sur le réseau public (Internet) ou sur le réseau téléphonique dans
les mêmes conditions que celles dont pourrait disposer un pirate informatique.
90
Test de l’opacité du réseau depuis l’extérieur :
Examen et test des possibilités offertes à un attaquant
de récupérer, depuis l’extérieur les informations
suivantes :
- Topologie du réseau et adresses IP des serveurs et
éléments actifs du réseau.
- Protocoles applicatifs et de routage utilisés.
- Les services actifs.
- Les mécanismes de sécurité supportés.
91
 Audit de l’architecture de sécurité existante
L’objectif est d’expertiser l’architecture technique déployée et de
mesurer la conformité des configurations équipements réseaux, parefeu, autocommutateur privé, sondes , etc. avec la politique de sécurité
définie et les règles de l’art en la matière.
92
Étude Cas :
 Audit des Firewalls et Règles de Filtrage
La démarche adoptée consiste à :
- Vérifier la configuration, les failles renfermées par la version installée, les
mises à jour
- Audit des règles de filtrage (TCP/UDP filtering, Firewalking)
- Audit des mécanismes de log
93
 Audit des Routeurs
- Vérifier le type du routeur et sa configuration, ainsi que les failles
éventuelle de version
- Test de la conformité des ACLs envers la politique de la sécurité
du site (Audit des ACLs)
- Test de la résistance des routeurs contre les attaques DDOS
94
 Audit des des Commutateurs (switchs) et de la Configurations en
VLANs - la solidité du système, face aux essais d’interception des
flux
- Réaliser des simulations par des essais d’attaques par des outils d’écoute
réseaux (sniffers) au niveau des différents segments de la configuration en
VLANs
- Vérifier de la résistance des commutateurs(switch) contre les attaques
expertes de type MAC Flood et ARP poisoning (Arpspoof)
- Réaliser des simulations par des essais d’attaques par des outils
d’interception de flux évolués (interception du contenu des flux http, smtp,
pop)
95
Audit du Système de Détection d'intrusion (IDS)
- Tester par des scans et méthodes d’attaques diversifiés et des essais de
simulation (par flood , fausses attaques simultanées, fragmentation, scans
lents) afin de réduire les possibilités de l’IDS à détecter les attaques
- Vérifier les mécanismes de journalisation (log) de la Sonde
- Vérifier les performances de la sonde
96
 Délivrables de la phase d’Audit Technique :
 Rapport d'Audit technique du système d’information, présentant les
vulnérabilités décelées (voir le modèle en ce qui suit)
 Rapports de synthèse :
• Synthèse globale et exhaustif des vulnérabilités et des insuffisances.
• Synthèse des solutions et outils de sécurité proposés.
• Synthèse des recommandations de mise en oeuvre
• Esquisse d’un Plan d’action sécurité informatique du site audité (contenant
une estimation des budgets à allouer pour la mise en œuvre des mesures
recommandées
97
Modèle d’un rapport d’audit technique
•Rapport d'Audit de l’architecture réseau et système
Contient les tests de sécurité qui ont été réalisés ,les interprétations
ainsi qu’un ensemble de recommandations techniques (cas des
anomalies et failles au niveau de l’architecture réseau existante,
vulnérabilités décelées sur les serveurs et postes sensibles, etc..).
98
Esquisse du rapport d’ Audit de l’architecture Réseau &
Système :
A-1 Topologie du réseau - Site Audité
A-1-1 Cartographie du réseau
A-1-2 Cloisonnement du réseau
A-2 Sondage système
A-2-1 Identification et Mise à jour des systèmes d’exploitation
A-2-2 Mise à jour des applications
A-2-3 Sécurisation des postes de travail (contrôle d’intégrité, protection antivirale)
A-2-4 Sécurisation des Serveurs
99
A-3 Sondage des Flux et services réseau
A-3-1 Sondage Réseau ( ports , services, applications associées)
A-3-2 Flux réseaux observés
A-3-3 Situation des ressources et partages sur le réseau interne
A-3-4 Politique de gestion des mots de passe
A-3-5 Audit des applications
A-4 Audit de la gestion des défaillances matérielles
A-4-1 Protection physique des disques durs
A-4-2 Stratégie de sauvegarde des données
100
Esquisse du Rapport d’Audit des vulnérabilités réseau et
système :
B-1 Audit des vulnérabilité des Serveurs en exploitation
B-1-1 Analyse des vulnérabilités des Serveurs de données &
d’applications
B-1-2 Analyse des vulnérabilités des Serveurs Internet/Intranet
B-2 Audit des vulnérabilité des postes de travail du réseau
audité
B-2-1 Analyse des vulnérabilités des postes de travail
B-2-2 Synthèse des principales vulnérabilités décelées sur les postes
de travail du réseau
101
Esquisse du rapport d’audit de l’architecture de sécurité existante :
1- Audit & vérification des règles de filtrage au niveau des Firewalls
A- Vérifier que le Firewall filtre correctement la circulation vers/depuis le réseau
local, relativement à la politique de sécurité nécessaire à mettre en oeuvre.
B- Vérifier la résistance du firewall contre le Firewalking
C- Vérifier les pénétrations issues des scans inversés
102
2- Audit des Commutateurs (Switchs) et de la configuration en VLANs
A- Identification des vulnérabilités des switchs
B- Audit et vérification de la configuration en VLANs
3- Audit de la solidité du système face aux essais d'interception de flux
A- Identification de la liste des services vulnérables à une écoute passive du
réseau
B- Inspection de la résistance du réseau, concernant l’interception de données
sensibles (mots-clés, données confidentielles)
103
2- Audit du Routeur et de la résistance contre les attaques par déni de
service
A- Vérification du type du routeur et sa configuration, ainsi que les failles
éventuelle de version
B- Audit de la conformité des ACL envers la politique de la sécurité du site
C- Vérification de la réponse des éléments réseaux en connexion avec l’extérieur
contre les attaques de déni de service (DDos, …).
D- Audit de la réaction du réseau contre les surcharges des serveurs et du réseau
104

Audit de la Sécurité Informatique - Institut supérieur de l`éducation et

Transcription

Documents pareils

documentaire

HOTEL RAS EL AIN TOZEUR a été auditée par BUREAU VERITAS

Fiche métier Auditeur

ALA.NI - Théâtre de Cornouaille

Auditeur Interne Sécurité selon OHSAS 18001 v.2007

Avec Yahoo! Mail

Certification sécurité - formation auditeur interne OHSAS 18001

Energies POSITIF_Presentation Résidence du Val de Marne

Fiche technique : AUDITEUR QUALITE

Franck BOULITEAU Auditeur Certifié • ICA Qualité depuis 1998