5 jours sécurité Windows (+ sécurité réseau) 3 jours VPN pour Windows (slides = suite de sécurité Windows) 2 jours ISA 2 jours Wifi
3 parties:
2 jours: introduction + modèle
SAP = hors propos?
Matin: analytique
1er fort théorique: iso…
2e “plus commercial”
3e plus concret
PM: applicative
SAP: importe à l'administrateur délégué, plus que email, etc.
Qu'est-ce que les produits (SAP) ont prévu? On l'intègre ou pas à [[LDAP]] de la société? important point de vue sécurité: à part ou pas? la manière dont ERP conçu = similaire à un OS point de vue de sécurité
Comment le formateur a été mis en contact avec la sécurité?
Le formateur va à l'université en 1990. L'année précédente: il y a eu une bombe qui a explosé dans un auditoire: Risque: cartable qui traîne.
En 1996, les cartables traînent à nouveau.
→ grand malheur: on fait attention. Tout va bien, on oublie.
Le formateur, pendant ses études, fait le job de réviseur. 10 jours de cours:
ex: stock dans une boîte pharmaceutique: 40% périmé: vaut zéro (non, revendu hors Europe)
Construit sur 3 attributs:
+ non répudiation
Informatique: permet de faire tourner la machine. Sécurité: s'assure que ça continue à tourner. Personne d'interne ou d'externe ne puisse mettre la société dans un état instable (volontairement ou involontairement).
N.B: il n'y a pas UN livre de sécurité qui fait le tour de la question.
75% des gens qui font des attaques ne savent pas ce qu'ils font (ex: soft gratuit pour tester son serveur, qui attaquait d'autres machines).
cracker vs hacker:
Pour faire un audit, il faut connaître les attaques, bidouillages.
Windows 9x pas sécurisé (login: escape), Windows NT sécurisé (pas d'espace).
Dis-moi qui tu es, je te dirai ce que tu peux faire.
Dans Windows 9x, pas d'authentification, pas d'accès réseau (shares). Seul vrai intérêt.
cf. biblio Roberta Braggs
j'ai tout fait, je suis blindé: c'est bon, j'ai fini → non: demain, tout change (gens, processus, applications)
audit = logs. Plus on loggue, plus on va devoir analyser -> time consuming -> programme d'analyse comportementale des logs. Exemple: logon toto à 8:00 OK - 10:00: 2 essais ratés de logon; pareil le lendemain -> qu'est-ce qui se passe? quelqu'un qui n'est pas toto esssaie de se logguer comme toto monitoring actif (logs) firewall d'un client (MCG): si port scan: j'arrête tout? non - si tous les jours même heure: ports différents scannés par la même IP -> attention: risque IDS: système qui analyse les événements: aide à l'audit
catégories (exemple, si compromis, problèmes de quel type)
KBLux: 3 informaticiens dehors: fichier clients: numéro de compte, code, montant → donné au fisc: directeurs en prison
marché pour la défense US: les gens qui font l'offre sont triés sur le volet - Boeing a fait de l'espionnage industriel, copié l'idée et puis proposé pareil à 10% moins cher que Lockheed.
GM fait une plateforme pour produire une voiture beaucoup plus vite que la moyenne; VW engage qqn du [[R]] & D de ce projet -> fait pareil que GM -> avantage concurrentiel
sécurité et popularité ne font pas bon ménage. surface d'attaque: tous les éléments sur lesquels on pourrait lancer une attaque
Systemes Windows les plus utilisés:
cf. vols des golfs il y a quelques années: populaire: revente facile
Rouler vite en voiture qui prend le plus de risque?
assurance = prime de risque
Risque = probabilité de survenance d'un événement calculé en pourcents
Difficile de mettre un chiffre. Il existe des tables.
Classifier:
En plus, il faut chiffrer la valeur.
Exemple: pneu crevé:
Faire la somme coût direct et coût indirect.
Voir où on peut baisser: risque ou coût.
sur l'heure du midi
Risque: la probabilité qu'un effet spécifique se produise dans une période donnée ou dans des circonstances déterminées risque = dommage x fréquence. 1))
Soit une activité (un comptable indépendant), qui possède un portable avec un OS (Windows XP) et un programme de comptabilité rien d'autre d'installé). Chez lui, il se connecte à ADSL de temps en temps (email + browsing)
Evaluer la probabilité, les coûts direct et indirects, et le total.
N.B: pas donner de solution.
Hardware: 6750 + 2500 + 1600 = 10850 + infini (confiance) + infini (intégrité)
Internet: 12000 + infini (confiance) + infini (intégrité)
Après:
Donc pour 900 EUR, on passe de 25000 EUR à 1800 EUR (et l'infini en confidentialité) Il ne faut pas aller plus loin.
Ici, on a calculé un coût d'opportunité: avec la sécurité, je peux peut-être décrocher des nouveaux clients.
26/04/05
Approche risque vs méthodologie plus classique:
Quand on est capable d'identifier les risques, on voit les solutions se profiler.
Risque du comptable = risque brut
Bonnes pratiques → risque résiduel: est-on prêt à l'accepter? oui → OK; non → faire autre chose.
Partir de ISO 17799, faire de gap analysis:
→ gap = risque résiduel
Avec le comptable, on a fait le contraire:
Premier cas: on part de l'existant: niveau à atteindre est imposé.
Si on part de rien (nouvelle entité), on peut choisir le niveau de sécurité optimal.
Exemple: virus I love you Techniques commerciales:
Erreur humaine lors d'une configuration, d'une mise en production, etc. On peut les diminuer, mais pas les éliminer.
En fait: menaces exogènes: aucune prise dessus. Ex:
Isoler les serveurs physiquement. Accès physique au réseau
80% du travail: organisation 20% du travail: outils, techniques
Souvent, on fait la police, on l'applique, on déploie. Puis on est attaqué: qu'est-ce qu'on fait? (réaction)
Central Security Policy (CSP):
Utilisateurs: le plus difficile à enforcer:
Mission: faire un règlement disciplinaire Parallèle: les banlieues:
→ participation universelle des utilisateurs à la création des procédures → accepté plus facilement
cf. cercles de qualité (automobilises japonaises)
avec une authentification réussie, la phase suivante est d'élever son niveau d'accès (passer en administrateur)
attaque dictionnaire: avec des mots de passe traditionnels: on compare le mot de passe encrypté avec le mot du dictionnaire passé dans l'agorithme attaque brute force: essaie toutes les combinaisons * authentification machine à machine: trusted systems (basé sur le fait qu'on fait confiance à une machine sur base de son IP) * spoofing: prendre IP d'une autre machine: impossible: s'introduire dans une session TCP existante (on n'initie pas la connexion parce qu'il faut l'IP source pour pouvoir répondre au SYN / ACK) bombarder la machine pour qu'elle exécute des instructions * session hijacking: vol de session: on vire la machine qui a initié la session et on prend sa place * man-in-the-middle: on fait croire au serveur qu'on est le client et au client qu'on est le serveur et tout le trafic passe par notre machine * DNS cache poison: un serveur a une cache * si pour une requête la réponse est dans la cache, c'est ça que le serveur répond * TTL déterminer par le DNS primaire
Exercice: Soit un domaine Windows 2000 (tf3.be) avec DC (+ Active Directory) et workstations et un member server qui est DNS (dynamique) pour le domaine. Le domaine est protégé de l'extérieur par un firewall. Le member server est aussi DNS pour le monde extérieur pour le domaine tf3.be (www.tf3.be pointe vers l'IP du serveur web de tf3.be). Le port 53 du firewall est ouvert dans les 2 sens et de l'extérieur, il y a un port forwarding vers le member server DNS.
Quels sont les problèmes de sécurité?
nslookup> set q=a tf3.be
Solution: splitbrain: une partie privée pour tf3.be et une partie publique → faire une DMZ. On met un autre DNS dans une zone séparée (entre 2 firewalls) qui est statique qui répond à www et ne répond pas aux requêtes récursives.
Par défaut, c'est mauvais (postulat).
Pas de vérification de l'input des données → buffer overflow, sql injection
Installer ce qu'on connaît. Si je connais pas → formation, puis analyse, approche risque.
Relay: relais de messages du domaine interne dont on ne connaît pas le destinaire. Open relay: relais qui ne devrait pas être autorisé
Serveur mail avec SMTP, une machine interne, un télé-travailleur, un étranger au réseau sur internet.
Considéré comme open relay:
Considéré comme relay:
Trojan: installation d'un logiciel à l'insu de l'utilisateur Backdoor: accès à la machine à l'insu de l'utilisateur
Open source: personne ne vérifie le code source des applications
Par définition, pas sécurisé.
Si accès physique, facile de prendre le contrôle de la machine
Responsabilité des programmeurs
Opt in et Opt out: vient du monde économique: ceux qui veulent joindre l'Europe, bienvenue.
Adopter optique opt out: de base, on ne prend rien. Si ça marche pas, on ajoute au fur et à mesure.
Anti-virus, anti-spam… ou les installer? (client? serveurs?) que protéger? (fichiers? email?) MISES A JOUR
Cryptologie = cryptographie + cryptanalyse
–décrypter–: fonction d'encryption est non-réversible (à sens unique), donc décrypter est un abus de langage.
cypertext: le message encrypté
Pour passer d'un cyphertext lisible à un texte lisible, il faut une cryptovariable:
Le chiffrement de César: décalé de 3 positions l'alphabet: très bien à l'époque car très peu de lettrés.
Le bâton des spartes (scytale): autour d'un bâton, on enroule un papier. On écrivait le message et on déroulait: cryptovariable: diamètre du bâton. En plus, on ajoutait de l'information pour brouiller les pistes.
Quand on encrypte, on alourdit l'information.
Clef qui ouvre et ferme le coffre. Il faut la clef (session key, shared secret key) pour ouvrir ou fermer. Algorithme faible: grande quantité d'information encryptée rapidement. On utilise des clefs symétriques pour un intervalle de temps limité (session key).
Utilisés en EFS, TLS, SSL, IPSec
Clef + serrure de sécurité
Encrypte avec clef privée et décrypte avec clef publique (qui est diffusée).
Hashing: fonction résultante (cf. 2 check digits du numéro de compte en banque).
Pour mettre à disposition les clefs publiques, on utilise un PKI infrastructure à clefs publiques. Ce PKI peut être un logiciel, il peut être interne uniquement.
Nécessite beaucoup de processing, mais plus sûr.
UPS: onduleur (écrète)
Taux de compression: 1.3 Exchange: 16 Go → backup: 36 Go (2 x 16 + 4 pour les transaction files)
Backup se base sur l'état du bit archive. Backup full: reset du bit d'archive Backup differentiel: si bit à 1, je backup, mais je change pas le bit Backup incrémentiel: backup et change le bit
A considérer (= capacity planning):
Type de media:
8 tapes Ultrium: 8000-9000 EUR HTVA
Durée de vie d'un média:
Ex: 1 DAT utilisé 1 x par semaine → 11 mois
Logiciels:
Les 2 sont bien, mais différentes interfaces.
Cataloguer une tape = le contenu de la bande
Si serveur crashe:
→ 2 à 4 heures
Solution:
Disaster recovery backup solution: en 15 min, c'est fait.
Chez HP: pousser le bouton au boot → restore tout (partition)
9/11:
IR: jusqu'à 4 m Laser: plusieurs kilomètres
Plan catastrophe
Qu'est-ce que je fais le jour où:
Procédure pré-établie:
Par écrit → on y a réfléchi
Le directeur informatique n'est pas prêt à payer ça: 2-3 jours. Pourquoi faire un audit? Parce qu'il y a eu un problème → plus confiance en administrateur Il veut être rassuré.
Comment faire?
SHA-1 a été craqué (février 2005): 5)
Archives: données morte (coût par giga élevé) - après un certain temps, on doit les détruire (ex: papiers finances sociétés: 10 ans) backup: copie d'une donnée vivante, utilisée exceptionnellement (coût par giga faible)