HSC
Cabinet de consultants en sécurité informatique depuis 1989 - Spécialisé sur Unix, Windows, TCP/IP et Internet
Mode texte : accès au contenu de la page
Hervé Schauer Consultants
Vous êtes ici : Accueil > Ressources > Veille technologique >
Accéder au : Site HSC des formations
Télécharger le catalogue des formations
Recherche :  
English version
   Services   
o Domaines de compétences
o Conseil & Expertise
o Prestations ISO 27001
o Audit & Évaluation
o Tests d'intrusion
o Tests de vulnérabilités (TSAR)
o Analyse Forensique
o Certification ARJEL
o Formations
o E-learning
   Conférences   
o Agenda
o Interventions passées
o Tutoriels
   Ressources   
o Index thématique
o Brèves
o Présentations
o Cours
o Articles
o Outils (téléchargement)
o Veille en vulnérabilité
   Société   
o Hervé Schauer
o Equipe
o Offres d'emploi
o Références
o Historique
o Partenariats
o Associations
   Presse et
 communication
 
 
o Newsletter HSC
o Bulletin juridique HSC
o Revue de presse
o Communiqués de presse
o Publications
   Contacts   
o Coordonnées
o Requêtes particulières
o Accès à nos locaux
o Hôtels proches de nos locaux
|>|  
> Accès au contenu HTML Début du rapport  
> Description Compte-rendu de la Journée de la Sécurité des Systèmes d'Information (JSSI 2002) organisée par l' OSSIR  
> Contexte & Dates Rapport réalisé pour notre service de veille en actualité .
La différence entre la date de rédaction et la date d'envoi est généralement due aux corrections et relectures par les différentes personnes ayant participé à la conférence.
13 avril 2002 - Rédaction du compte-rendu
10 mai 2002 - Envoi aux abonnés de la veille en actualité
13 juin 2003 - Publication sur le site web d'HSC  
> Auteur Denis Ducamp  
> Langue et Nature  
> Résumé &
Table des matières
1) Contrôle et audit : la problématique de la supervision par Olivier Carpentier (Thales Secure Solutions)
2) Quel audit de sécurité dans quel contexte ? par Hervé Morizot (Solucom)
3) Sécurisation de base de Windows 2000 Server et Windows XP Professionnel par Cyril Voisin (Microsoft)
4) Quelles nouveautés dans la sécurité de Windows XP ? par Nicolas Ruff (Edelweb)
5) La configuration d'un réseau face aux dénis de services par Nicolas Fischbach (Colt / securite.org)
6) Réseaux switchés : véritable protection contre l'analyse de trames ? par Guillaume Prigent (Enib / LI2)
7) Comment auditer de gros réseaux avec Nessus 1.2 ? par Renaud Deraison (Nessus project)
8) Description de la sécurisation d'un réseau local dans le monde universitaire. par Joël Marchand (CNRS)  
> Documents liés
> Droits d'auteur © 2002, Hervé Schauer Consultants, tous droits réservés.

 


1) Contrôle et audit : la problématique de la supervision par Olivier Carpentier (Thales Secure Solutions)

Cette présentation a décrit la supervision de sites ainsi que les outils, les problématiques et les méthodes nécessaires pour des petits sites et des multi-sites.

Avant de conclure que la supervision doit respecter de nombreuses contraintes afin d'être réussie, le pourquoi et le comment de son externalisation sont décrits, celle-ci pouvant souvent être couplée à une télé-administration.

http://www.ossir.org/jssi/jssi2002/Presentations_JSSI2002/1A%20-%20Audit%20-%20TSS.pdf


2) Quel audit de sécurité dans quel contexte ? par Hervé Morizot (Solucom)

Cette présentation a décrit les différents types d'audits de sécurité. Pour chaque type, périmètre, méthode, outils, moyens et compétences sont listés.

Les méthodes "globales" (Mehari, EBIOS, Marion, Melisa, etc) ont été décriées par le fait quelles sont lourdes à mettre en place et d'un gain peu important dans bien des cas.

Les évaluations/certifications n'ont pas été plus recommandées, seuls des organismes agréés et accrédités pouvant les mener à bien.

Les méthodes "propriétaires" sont les plus souvent utilisées, faisant plus appel à la technique qu'à une méthode bien préétablie. Celles-ci sont souvent très efficaces, mais ne permettent pas au client de se l'approprier.

Les auto évaluations ont la préférence du présentateur, celles-ci permettant au client de conduire lui même de façon récurrente ses propres audits, et ceci avec délégation à des responsables régionaux lorsque les sites sont répartis sur plusieurs régions, pays ou continents. Les points positifs supplémentaires sont une bonne sensibilisation et une implication des intéressés. Le principal défaut étant que les milieux hétérogènes requièrent plusieurs référentiels différents.

Les outils sont découpés en groupes suivant leurs buts :

  • tests de configuration : s'ils sont non intrusifs, non perturbateurs, modulaires et progressifs, ils requièrent une forte expertise pour leur configuration.
  • tests de vulnérabilités : basés sur des bases de vulnérabilités, ils indiquent les vulnérabilités potentielles détectées au travers du réseau. Ils peuvent se révéler intrusifs et requièrent une expertise.
  • tests de vulnérabilités en ligne (mode ASP) : s'il est limité à une vision externe, il permet de tester la réactivité des équipes. Si les bases sont plus à jour, les rapports sont généralement trop automatisés et requièrent donc des prestations complémentaires.

http://www.ossir.org/jssi/jssi2002/Presentations_JSSI2002/1B%20-%20Audit%20-%20Solucom.pdf


3) Sécurisation de base de Windows 2000 Server et Windows XP Professionnel par Cyril Voisin (Microsoft)

Cette présentation a décrit les offres de Microsoft afin de permettre une meilleure sécurisation de ses produits.

hfnetchk : compare une base xml des correctifs de sécurité avec les clés de registre, les fichiers et leurs numéros de version pour indiquer les correctifs manquant avec leurs bulletins et fiches techniques.

qchain : permet l'installation de plusieurs correctifs en n'effectuant qu'un seul redémarrage.

La stratégie de groupe permet aussi via Active Directory de spécifier des options pour des machines et des utilisateurs. Plusieurs modèles de stratégies de groupes existent. Ils possèdent tout de même une grosse partie commune à adapter au cas par cas : stations de travail, contrôleur de domaine, serveur web, etc, avec un niveau "normal" ou "élevé" de sécurité.

Un serveur Windows 2000 sera à installer sans serveur web, ni FTP, NNTP et SMTP. Si IIS 5 doit être installé alors il est nécessaire de supprimer les exemples d'applications, les répertoires virtuels, les associations de scripts inutilisés (.htr, .idc, etc) et désactiver NetBIOS. Le durcissement d'IIS est ensuite présenté avec entre autre l'utilisation du modèle de sécurité hisecweb.inf. IIS Lockdown permet d'effectuer certaines de ces tâches.

URLScan, intégré dans IIS Lockdown 2.1, est un filtre ISAPI permettant de rejeter les requêtes jugées dangereuses. Il permet d'effectuer sur le serveur ce qui est normalement effectué sur un relais inverse.

Personal Security Advisor : permet la vérification d'un certain nombre de points tels que les mots de passe et les configurations d'IE, d'Outlook Express et des Macros Office.

Stratégie de restriction logicielle (Windows XP) : permet de limiter les processus ayant le droit d'être exécutés via différents moyens dont des sommes de contrôle SHA-1 et MD5.

http://www.ossir.org/jssi/jssi2002/Presentations_JSSI2002/2A%20-%20Secu%20Windows%20-%20Microsoft.pdf


4) Quelles nouveautés dans la sécurité de Windows XP ? par Nicolas Ruff (Edelweb)

Cette présentation, ciblant Windows XP Pro 32 bits, a listé les avantages de Windows XP sur Windows 2000 d'un point de vue sécurité et les points faibles subsistant.

Côté authentification, certaines restrictions ont été opérées telles que l'interdiction d'accès depuis le réseau à un compte sans mot de passe. Par contre plusieurs fonctionnalités peuvent poser problèmes telles que "credential manager" qui gère les mots de passe saisis par l'utilisateur ou la disquette de "password recovery" qui permet à elle seule de réinitialiser le mot de passe d'un compte local.

Côté réseau, un nouveau "firewall" est disponible : ICF (Internet Connexion Firewall). Il ne filtre que les connexions entrantes et ne protège donc pas des chevaux de Troie.

Le support sans-fil peut poser problème sur les ordinateurs portables quand celui-ci n'est pas utilisé dans l'entreprise car il peut devenir une porte d'accès depuis l'extérieur.

Des accès Internet permanents sont effectués par Windows XP : WPA (Windows Product Activation), mises à jour automatiques, rapports d'erreurs, fonctions de recherche, applications MSN Messenger et Windows Media, etc. Dans plusieurs cas ceci doit permettre à Microsoft d'obtenir des informations plus ou moins sensibles.

Côté Stratégie de groupe, de nombreux paramètres ont été ajoutés.

La restriction d'exécution pour les applications est toujours présente, mais elle ne fait toujours pas la relation entre nom de fichier et somme de contrôle et donc tout fichier ayant une somme de contrôle autorisée peut être exécuté.

Plusieurs systèmes de protection des exécutables sont présents :

  • Side by side DLLs : les DLLs utilisées par chaque application doivent être listées par l'éditeur, actuellement peu l'utilisent.
  • System Restore : effectue une sauvegarde des fichiers systèmes
  • Device Drive Rollback : en cas de problème avec une nouvelle version il est possible de revenir à l'ancienne.

Côté services, il existe aujourd'hui 3 comptes : system, service local et service réseau. Ces 2 nouveaux comptes ont des mots de passe de 15 caractères gérés par le système et possèdent que peu de privilèges.

Côté support, 2 fonctionnalités permettent de se connecter à distance :

  • remote assistance : un jeton d'assistance est généré lors d'une demande d'assistance et utilisé pour se connecter à la session de l'utilisateur via un compte "caché". Il est important que ce mot de passe soit protégé par un mot de passe.
  • remote desktop : un terminal server personnel basé sur RDP 5.1

Universal Plug&Play est un outil de découverte automatique des nouveaux périphériques réseaux. Il est fortement conseillé de le désactiver.

Si Windows XP possède de nouvelles options de sécurité intéressantes, de nouvelles fonctions peu sécurisées sont actives par défaut ainsi que des accès Internet fréquents non maîtrisés par l'utilisateur.

http://www.ossir.org/jssi/jssi2002/Presentations_JSSI2002/2B%20-%20Secu%20Windows%20-%20Edelweb.pdf


5) La configuration d'un réseau face aux dénis de services par Nicolas Fischbach (Colt / securite.org)

Cette présentation, après avoir décrit les attaques en dénis de service et les vers, montre comment les détecter et s'en protéger.

Les méthodes de détection décrites, si elle sont généralement simples, demandent du développement spécifique, comme les détections basées sur les répartitions de fréquences (de paquets fragmentés, des tailles de paquets, des charges de lignes, des processeurs, des mémoires) ou des statistiques plus avancées du trafic. Au niveau système il s'agit d'exploiter ce qui existe déjà comme les journaux des pare-feu, des IDS, les tables d'état des sessions TCP, etc. Ensuite de la corrélation est possible entre ces différentes sources comme par exemple le détecteur de scan réseau et les requêtes DNS refusées, mais ce domaine basé sur de l'intelligence artificielle est encore en cours de recherche.

Retrouver la source d'une attaque peut se faire soit par analyse de journaux mal nettoyés par l'attaquant soit par des traces réseaux, mais ces dernières arrivent généralement trop tard.

Pour se protéger il faut savoir si l'attaquant est 'proche' ou 'éloigné' au sens réseau. Si la source est éloignée (plusieurs sauts) alors il n'est souvent possible que de subir.

Une réponse automatique à une attaque signée peut se révéler dramatique en complexifiant la situation. Il est préférable de n'intervenir que sur des commutateurs, routeurs, etc afin de filtrer les attaques.

Lors d'inondations, il est possible de limiter la bande passante par type de paquet (icmp, udp, paquet SYN) : sur une ligne à 1Mb/s il est inutile d'avoir plus de 64Kb/s de flux ICMP. Le filtrage des adresses non routables sur Internet est également utile, comme ses propres adresses en adresses sources depuis Internet.

Dans certains cas, un second FAI permet d'accéder à distance de façon différente aux systèmes attaqués afin de les protéger.

Le filtrage peut se révéler dans certains cas problématique : interdiction d'accès de caches HTTP d'ISP ou perte des traces qui auraient permit une analyse.

Des propositions techniques de protocoles permettraient de remonter à la source de certaines attaques : ICMP traceback (itrace), MULTOPS (Multi-Level Tree for Online Packet Statistics), IDIP (Intruder Detection and Isolation Protocol), SPIE (Source Path Isolation Engine), IP Traceback, Caller Identification System in the Internet Environment, HIP (Host Identity Payload/Protocol), Pushback, et CenterTrack. Mais aucun d'entre eux n'a aujourd'hui prouvé une réelle efficacité ni surtout n'est implémenté dans les principaux routeurs.

En conclusion, les attaques sont décrites comme étant souvent produites sur le coup de l'émotion et sont peu réfléchies donc faciles à analyser et stopper. De même les vers aujourd'hui sont peu intelligents et sont donc facilement repérables, identifiables et filtrables. La façon à long terme de venir à bout de ce genre de problème est que chacun sécurise son propre réseau.

http://www.ossir.org/jssi/jssi2002/Presentations_JSSI2002/3A%20-%20Configuration%20reseau%20-%20Colt.pdf


6) Réseaux switchés : véritable protection contre l'analyse de trames ? par Guillaume Prigent (Enib / LI2)

Cette présentation a décrit des attaques sur les réseaux locaux permettant de rendre caduque la commutation de paquets comme protection contre l'écoute de trames.

Après description du protocole ARP et des techniques d'attaque permettant de se faire passer pour quelqu'un d'autre, des exemples de capture de mots de passe sont montrés.

Par défaut tous les commutateurs sont vulnérables à de telles attaques, mais il est possible de s'en prémunir grâce à différentes méthodes soit sur les commutateurs, soit au niveau applicatif en utilisant de la cryptographie. Il est également possible de détecter de telles attaques par différentes méthodes utilisées par plusieurs logiciels.

http://www.ossir.org/jssi/jssi2002/Presentations_JSSI2002/3B%20-%20Configuration%20reseau%20-%20Enib.pdf


7) Comment auditer de gros réseaux avec Nessus 1.2 ? par Renaud Deraison (Nessus project)

Cette présentation a décrit toutes les nouvelles fonctionnalités du logiciel nessus, un scanner de vulnérabilités réseau. La nouvelle version 1.2 représente deux ans de travail afin de combler les défauts de la version 1.0.

safe check : les tests dangereux, c'est-à-dire ceux qui peuvent faire planter un service, sont remplacés par une analyse de bannière ou désactivés si cela n'est pas possible.

Optimisations : permet de n'effectuer un test que sur le service pour lequel il a été écrit, par exemple les tests IIS ne seront pas réalisés contre un serveur apache. Ceci permet d'éliminer la majorité des fausses alertes, mais ne permettra pas de trouver un problème sur un service peu testé par d'autres.

Il est possible de spécifier que les ports non-scannés sont fermés, permettant ainsi d'accélérer le test en cas de firewall, mais surtout d'éviter de tester certains services non-stables risquant de planter.

Généricité : plusieurs fonctionnalités permettent de limiter les données à fournir au scanner à propos des différents systèmes: le support SSL est transparent pour tous les services, nessus peut récupérer des données en se connectant à un domaine NT, et les serveurs web peuvent être recopiés localement.

Réseaux DHCP : nessus supporte maintenant de scanner des réseaux locaux en DHCP, les données étant associées à l'adresse MAC et non pas à l'adresse IP.

Plusieurs améliorations font qu'il est possible de tester de très grands réseaux :

  • les données sont gardées sur disque et non plus en mémoire, celle-ci pouvant être réutilisées.
  • plusieurs tests peuvent être lancés simultanément contre une machine
  • un relais sera bientôt disponible pour effectuer des tests à distance, notamment pour éviter des problèmes de traduction d'adresse. Un relais pourra répartir les tests sur plusieurs serveurs nessus.

Scan éclair : les tests ne sont effectués qu'avec les données récoltées lors du dernier test. Nécessite le développement de plugins "offline" (en cours).

NessusWeb : interface web en php permettant de gérer des utilisateurs et de leur attribuer des droits. Ces utilisateurs peuvent alors lancer les tests qui leur sont autorisés sur les machines qui leur sont désignées. Il est possible d'analyser les résultats comme avec le client classique.

http://www.ossir.org/jssi/jssi2002/Presentations_JSSI2002/Nessus/index.html


8) Description de la sécurisation d'un réseau local dans le monde universitaire. par Joël Marchand (CNRS)

Cette présentation montre comment la sécurisation d'un réseau local en milieu universitaire et connecté à Internet, le piratage d'un serveur étant à la base de ce mouvement.

Les services comptes interactifs, FTP et POP regroupés sur un unique serveur sont petit à petit séparés sur différents serveurs.

Certains services sont petit à petit abandonnés comme telnet au profit de S/Key puis de ssh, FTP au profit de scp et webftp, et POP au profit de POP sur SSL ou ssh et de webmail. L'objectif que tous les mots de passe en clair disparaissent d'Internet est atteint.

Les différents populations sont petit à petit séparées sur 5 différents réseaux (VLAN) : les serveurs, les postes de gestion/secrétariat et les postes utilisateurs (3 catégories).

Pour chaque réseau tout est interdit depuis Internet, les autres réseaux étant considérés comme étrangers. Seuls 4 serveurs sont vus depuis Internet seulement sur les ports des applications prévues. Chaque service accessible d'Internet est durci en étant exécuté sous une identité non privilégiée différente des autres.

La sauvegarde des machines est également importante. Les serveurs sont sauvegardés vers le serveur NFS par rsync, scp ou smbtar et ce serveur NFS est archivé sur bandes toutes les nuits. Une sauvegarde des disques de ce serveur sur des disques IDE pas chers permet de pouvoir récupérer très rapidement des fichiers isolés.

Des méthodes basculement d'un service d'un serveur à un autre ou de restauration rapide d'un serveur ont été mis en place grâce à la création de scripts automatiques.

Les virus ne sont pas aujourd'hui une menace, le parc menacé étant relativement peu important. L'accès est mis sur la sensibilisation des utilisateurs responsables de la bonne marche de leur anti-virus personnel et de la sauvegarde de leurs données. Aucun anti-virus n'est pour l'instant positionné sur le serveur de messagerie.

À chaque étape il est important d'accompagner les utilisateurs dans le changement, pour cela de nombreuses pages Web ont été rédigées et des formations ont été dispensées sur le b-a-ba des réseaux, et ssh et les outils associés.

Différents outils de monitoring et de diagnostics sont utilisés pour surveiller ce qu'il se passe et ainsi détecter les problèmes : exploitation des journaux centralisés, utilisation de Big Brother, intégrité des exécutables des serveurs, passages périodiques de Nessus et John the Ripper, et surveillance de l'espace disque avec MRTG.

http://www.ossir.org/jssi/jssi2002/Presentations_JSSI2002/4B%20-%20Securisation%20reseau%20-%20CNRS.pdf

Cette journée était une nouveauté pour l'OSSIR, qui représente la composante de la sécurité technique en France. Celle-ci a fait le plein de participants, elle est une réussite.

    Denis Ducamp
Dernière modification le 13 juin 2003 à 10:17:59 CET - webmaster@hsc.fr
Mentions légales - Informations sur ce serveur - © 1989-2013 Hervé Schauer Consultants