5 jours sécurité Windows (+ sécurité réseau) 3 jours VPN pour Windows (slides = suite de sécurité Windows) 2 jours ISA 2 jours Wifi

3 parties:

• introduction à la sécurité
• comment MS a mis en oeuvre la sécurité dans Windows (= modèle sécurité)
• mise en oeuvre, pratique, sécurity template, NTFS et GPO sous l'aspect sécurité, tracking et auditing.

2 jours: introduction + modèle

• planning
• user - security hole
• Windows et Linux: c'est pareil point de vue sécurité

SAP = hors propos?

Matin: analytique

1er fort théorique: iso…

• rien d'obligatoire (sauf les acteurs finianciers, aux Etats-Unis pour les sociétes en bourse)

2e “plus commercial”

• cobit (développé par l'ISACA): modèle global de sécurité (pour les grandes structures), il couvre les normes iso → on peut prendre qu'une partie

3e plus concret

PM: applicative

• où on en est?
• open source ou
• directeur informatique: plusieurs aspects: connectivité, DB, fichiers, applications de production, de gestion

SAP: importe à l'administrateur délégué, plus que email, etc.

Qu'est-ce que les produits (SAP) ont prévu?
On l'intègre ou pas à [[LDAP]] de la société? important point de vue sécurité: à part ou pas?
la manière dont ERP conçu = similaire à un OS point de vue de sécurité

• continuité des opérations de l'entreprise
• perte de données
• disponibilité des systèmes
• confidentialité
• recovery
• intégrité

Comment le formateur a été mis en contact avec la sécurité?

• job d'étudiant à la BBL (réconciliation)
• briefing: topo + sécurité: OK confidentialité, blabla
  • le formateur entre le matin, il ne voit pas le papier qui traîne et continue
  • la secrétaire qui arrive ne le voit pas → elle chute
  • > sécurité = gestion du risque

Le formateur va à l'université en 1990. L'année précédente: il y a eu une bombe qui a explosé dans un auditoire: Risque: cartable qui traîne.

En 1996, les cartables traînent à nouveau.

→ grand malheur: on fait attention. Tout va bien, on oublie.

Le formateur, pendant ses études, fait le job de réviseur. 10 jours de cours:

• réviseur: signe un rapport qui dit que les comptes reflètent l'image de la société (ex: Lernaut & Hauspie)
• quand il signe, il faut s'assurer que c'est vrai: impossible de tout contrôler →il y a risque (problème de sécurité)
• understanding the business: 1 à 2 heures: lire l'information
  • comprendre le fonctionnement essentiel de la boîte → voir le risque

ex: stock dans une boîte pharmaceutique: 40% périmé: vaut zéro (non, revendu hors Europe)

• 900 barriques manquantes dans une firme de nourriture pour animaux
• 1 million qui disparaît et puis réapparaît dans une banque: pas grave: sous le “gage”: sous x EUR, on s'en fout

Construit sur 3 attributs:

• confidentialité
• intégrité
• disponibilité

+ non répudiation

Informatique: permet de faire tourner la machine. Sécurité: s'assure que ça continue à tourner. Personne d'interne ou d'externe ne puisse mettre la société dans un état instable (volontairement ou involontairement).

N.B: il n'y a pas UN livre de sécurité qui fait le tour de la question.

75% des gens qui font des attaques ne savent pas ce qu'ils font (ex: soft gratuit pour tester son serveur, qui attaquait d'autres machines).

cracker vs hacker:

• hacker: améliorer le système: repérer les failles
• cracker: exploiter les failles

Pour faire un audit, il faut connaître les attaques, bidouillages.

Windows 9x pas sécurisé (login: escape), Windows NT sécurisé (pas d'espace).

Dis-moi qui tu es, je te dirai ce que tu peux faire.

Dans Windows 9x, pas d'authentification, pas d'accès réseau (shares). Seul vrai intérêt.

cf. biblio Roberta Braggs

• Authentification (Kerberos, biométrie, tokens)
• Autorisation: droits, rwx
• Audit: évaluation permanente de la sécurité

j'ai tout fait, je suis blindé: c'est bon, j'ai fini → non: demain, tout change (gens, processus, applications)

  audit = logs. Plus on loggue, plus on va devoir analyser -> time consuming -> programme d'analyse comportementale des logs. Exemple:
    logon toto à 8:00 OK - 10:00: 2 essais ratés de logon; pareil le lendemain -> qu'est-ce qui se passe?
    quelqu'un qui n'est pas toto esssaie de se logguer comme toto
    monitoring actif (logs) firewall d'un client (MCG): si port scan: j'arrête tout? non - si tous les jours même heure: ports différents scannés  par la même IP -> attention: risque
    IDS: système qui analyse les événements: aide à l'audit

catégories (exemple, si compromis, problèmes de quel type)

• publiques: site web → prestige, confiance, revenus (exemple: défaçage du site de J-P Graphé)
• internes: marketing → opérations, fonctionnement interne
• confidentielles: fiches de salaire → opérations, confiance interne (si fiches de salaires divulguées, c'est la catastrophe)

KBLux: 3 informaticiens dehors: fichier clients: numéro de compte, code, montant → donné au fisc: directeurs en prison

• secrètes: secrets de fabrication (protection assets “propriété intellectuelle” : brevet, secret) → R & D, propriété intellectuelle

marché pour la défense US: les gens qui font l'offre sont triés sur le volet - Boeing a fait de l'espionnage industriel, copié l'idée et puis proposé pareil à 10% moins cher que Lockheed.

GM fait une plateforme pour produire une voiture beaucoup plus vite que la moyenne; VW engage qqn du [[R]] & D de ce projet -> fait pareil que GM -> avantage concurrentiel

• ressources bloquées (server root DNS, page web qui s'affiche en 30 s.)
• dégradation de performance
• perte de service

sécurité et popularité ne font pas bon ménage. surface d'attaque: tous les éléments sur lesquels on pourrait lancer une attaque

Systemes Windows les plus utilisés:

• 45% serveurs en administration décentralisée
• 90% clients

cf. vols des golfs il y a quelques années: populaire: revente facile

Rouler vite en voiture qui prend le plus de risque?

• dépend de la voiture
• dépend du conducteur

• aversion au risque
  • gens qui roulent sans assurance vs ceux qui ont toutes les assurances

assurance = prime de risque

Risque = probabilité de survenance d'un événement calculé en pourcents

Difficile de mettre un chiffre. Il existe des tables.

Classifier:

• très élevé: 10%
• élevé: 1-10%
• faible: < 1%

En plus, il faut chiffrer la valeur.

Exemple: pneu crevé:

• 15O EUR
• 3/4 d'heure de boulot
• coût indirect (ex: pas décroché le contrat à cause
• risque (probabilité que ça arrive) x coût = risque encouru

Faire la somme coût direct et coût indirect.

Voir où on peut baisser: risque ou coût.

sur l'heure du midi

Risque: la probabilité qu'un effet spécifique se produise dans une période donnée ou dans des circonstances déterminées risque = dommage x fréquence. ¹⁾)

• ²⁾), 17/05/04
• ³⁾, 12/04/05
• ⁴⁾, 11/2002

Soit une activité (un comptable indépendant), qui possède un portable avec un OS (Windows XP) et un programme de comptabilité rien d'autre d'installé). Chez lui, il se connecte à ADSL de temps en temps (email + browsing)

Evaluer la probabilité, les coûts direct et indirects, et le total.

N.B: pas donner de solution.

• Hardware
  • vol: 40%: 1500 EUR (nouveau portable) + 1200 + 2 jours
  • panne
    • disque dur: matériel 70 heures par semaine, prévu pour 20 heures par semaine: 20%: 200 EUR (disque) + 300 EUR (réinstall) + 3 semaines x 80 heures x 50 EUR = 12500 + infini (confiance) + infini (intégrité)
    • le reste: 10%: 3 semaines d'indisponibilité (à 72 h semaine et 50 EUR l'heure): 10800 EUR + infini (confiance du client perdue)
• Software:
  • OS ne boote plus: < 1%
  • corruption des données: < 1%: pareil que HD sauf pas payer HD: 12000 EUR + infini (confiance) + infini (intégrité)
  • internet:
    • virus ou autre malware: intégrité données: 100%: pareil que HD sauf pas payer HD: 12000 EUR + infini (confiance) + infini (intégrité)
    • virus forwarde email avec attachement: confidentialité: 100%: 12000 EUR + infini (confiance) + infini (intégrité)
    • prise de contrôle: 100%: 12000 EUR + infini (confiance) + infini (intégrité)
  • logiciel comptable: bug: intégrité des données: < 1%: 12000 EUR + infini (confiance) + infini (intégrité)

Hardware: 6750 + 2500 + 1600 = 10850 + infini (confiance) + infini (intégrité)

Internet: 12000 + infini (confiance) + infini (intégrité)

• portable “professionnel”: 2000-2500 EUR → améliore le taux de panne: panne: 20% → 5%
• garantie sur site: 100 EUR → délai de remplacement en cas de panne non HD: 15% → 1% et 10800 → 600
• système de backup sur bande: 200 EUR → délai de remplacement en cas de panne HD: 12200 → 1400
• avec ça: vol: 13500 EUR → 1400 EUR + 2500 EUR
• Norton security: 75 EUR

Après:

• Hardware: 1800 EUR + infini (confidentialité)
• Software: clopinettes
• internet: les probabilités passent à 1% et les valeurs à 1400 EUR + infini (confidentialité)

Donc pour 900 EUR, on passe de 25000 EUR à 1800 EUR (et l'infini en confidentialité) Il ne faut pas aller plus loin.

Ici, on a calculé un coût d'opportunité: avec la sécurité, je peux peut-être décrocher des nouveaux clients.

26/04/05

Approche risque vs méthodologie plus classique:

• approche risque n'apporte pas les solutions
  • trouver les risques
  • chiffrer les risques
• menaces internes, externes: autre approche

Quand on est capable d'identifier les risques, on voit les solutions se profiler.

Risque du comptable = risque brut

Bonnes pratiques → risque résiduel: est-on prêt à l'accepter? oui → OK; non → faire autre chose.

Partir de ISO 17799, faire de gap analysis:

• process existant
• comparer à ISO (= le niveau à atteindre)

→ gap = risque résiduel

Avec le comptable, on a fait le contraire:

• on est parti de l'existant
• on a repoussé le niveau de sécurité jusqu'à un niveau acceptable

Premier cas: on part de l'existant: niveau à atteindre est imposé.

Si on part de rien (nouvelle entité), on peut choisir le niveau de sécurité optimal.

• presque toutes les entreprises sont connectées à internet
• mobilité: je viens avec mon portable au bureau: le portable s'est connecté à l'extérieur
• les gens à l'intérieur connaissent les procédures de sécurité (logon = j.doe)
  • ils ont accès facilement (accès physique): ex: qqn qui ajoute une borne wifi sans activer l'encryption
  • il ne faut pas les sous-estimer

Exemple: virus I love you Techniques commerciales:

• cracker: qqn entre, demande un téléphone interne, dis qu'il est du helpdesk et demande login et passwd
• commercial: fin de journée, demande un téléphone interne, appelle n'importe qui et lui demande le numéro du directeur informatique

Erreur humaine lors d'une configuration, d'une mise en production, etc. On peut les diminuer, mais pas les éliminer.

En fait: menaces exogènes: aucune prise dessus. Ex:

• tsunami: on peut pas l'éviter.
• attentats

Isoler les serveurs physiquement. Accès physique au réseau

• les gens montrent leur user, password, etc.
• vol

• internet: ~DoS
  • basé sur les connaissances de ~TCP/IP
  • basé sur des bugs (OS par exemple)
• attaques par téléphone (phone bomb): essaie les numéros internes de la boîte jusqu'à trouver un modem → accès direct (out of band?) au serveur)
• garder un oeil sur les concurrents

80% du travail: organisation 20% du travail: outils, techniques

Souvent, on fait la police, on l'applique, on déploie. Puis on est attaqué: qu'est-ce qu'on fait? (réaction)

Central Security Policy (CSP):

• évaluer les risques
• évaluer les menaces
• établir une police de sécurité
• mettre en place la police
• éduquer les utilisateurs
• audit: évaluation permanente de la sécurité: je logge, j'évalue, est-ce qu'on est toujours au niveau optimal aujourd'hui? est-ce que les gens appliquent les politiques de sécurité?

Utilisateurs: le plus difficile à enforcer:

• on vient avec un règlement et on l'impose → mal perçu

Mission: faire un règlement disciplinaire Parallèle: les banlieues:

• on fait des bancs, des parcs, etc. → tout détruit
• on a dit aux gens d'aider à construire → plus détruit

→ participation universelle des utilisateurs à la création des procédures → accepté plus facilement

cf. cercles de qualité (automobilises japonaises)

• authentification: si usurpe l'identitié de qqn, on aura ses droits

avec une authentification réussie, la phase suivante est d'élever son niveau d'accès (passer en administrateur)

  attaque dictionnaire: avec des mots de passe traditionnels: on compare le mot de passe encrypté avec le mot du dictionnaire passé dans l'agorithme
  attaque brute force: essaie toutes les combinaisons
* authentification machine à machine: trusted systems (basé sur le fait qu'on fait confiance à une machine sur base de son IP)
  * spoofing: prendre IP d'une autre machine: impossible:
    s'introduire dans une session TCP existante (on n'initie pas la connexion parce qu'il faut l'IP source pour pouvoir répondre au SYN / ACK)
    bombarder la machine pour qu'elle exécute des instructions
  * session hijacking: vol de session: on vire la machine qui a initié la session et on prend sa place
  * man-in-the-middle: on fait croire au serveur qu'on est le client et au client qu'on est le serveur et tout le trafic passe par notre machine
  * DNS cache poison: un serveur a une cache
    * si pour une requête la réponse est dans la cache, c'est ça que le serveur répond
    * TTL déterminer par le DNS primaire

Exercice: Soit un domaine Windows 2000 (tf3.be) avec DC (+ Active Directory) et workstations et un member server qui est DNS (dynamique) pour le domaine. Le domaine est protégé de l'extérieur par un firewall. Le member server est aussi DNS pour le monde extérieur pour le domaine tf3.be (www.tf3.be pointe vers l'IP du serveur web de tf3.be). Le port 53 du firewall est ouvert dans les 2 sens et de l'extérieur, il y a un port forwarding vers le member server DNS.

Quels sont les problèmes de sécurité?

• dynamic DNS: avec une machine Windows: s'enregistre comme www → plusieurs IP pour www.tf3.be
  • round-robin: à la première requête, il renvoie IP1 et IP2, à la 2e, il envoie IP2 et IP1

• nslookup> set q=a
  tf3.be

  • on reçoit toute la structure interne du réseau (= foot printing)
• open DNS: les requêtes recursives venant de l'extérieur sont exécutées (on peut surcharger le serveur)

Solution: splitbrain: une partie privée pour tf3.be et une partie publique → faire une DMZ. On met un autre DNS dans une zone séparée (entre 2 firewalls) qui est statique qui répond à www et ne répond pas aux requêtes récursives.

Par défaut, c'est mauvais (postulat).

• SNMP
• SMB et CIFS: protocole pour le système de partage de fichier file sharing (NFS est l'équivalent dans
  • C$ et D$ sont partagés par défaut, logon=administrator a accès
  • bindings: tous les ports sont actifs sur toutes les interfaces réseaux par défaut
  • solutions: désactiver des bindings, désactiver netbios over TCP / IP (services MS concernant SMB: netbios, server, workstation), désactiver les services inutiles pour réduire la surface d'attaque (cf. deployment guides MS)

Pas de vérification de l'input des données → buffer overflow, sql injection

Installer ce qu'on connaît. Si je connais pas → formation, puis analyse, approche risque.

Relay: relais de messages du domaine interne dont on ne connaît pas le destinaire. Open relay: relais qui ne devrait pas être autorisé

Serveur mail avec SMTP, une machine interne, un télé-travailleur, un étranger au réseau sur internet.

Considéré comme open relay:

• étranger qui envoie à un destinataire non local

Considéré comme relay:

• étranger qui envoie à un destinataire non local, télé-travailleur qui envoie à un destinataire non local, machine interne qui envoie à un destinataire non local

• ping of death (paquets trop long)
• un à un ou plusieurs à un (zombies)

Trojan: installation d'un logiciel à l'insu de l'utilisateur Backdoor: accès à la machine à l'insu de l'utilisateur

Open source: personne ne vérifie le code source des applications

Par définition, pas sécurisé.

Si accès physique, facile de prendre le contrôle de la machine

• authentification (au démarrage de la session) forte
  • exemple: mister cash: carte magnétique + code = quelque chose qu'on possède + quelque chose qu'on connaît
  • smartcard + code pin ou biométrie (avec pin en option)
• protection des données d'authentification
  • mot de passe de l'utilisateur encrypté
  • tickets (Kerberos)
• acces aux fichiers contenant les fichiers d'authentification

• securiser le DNS (cf. exercice plus haut)
• empêcher l'IP spoofing: firewall, filtres
• utiliser une authentification forte entre les machines (comme Kerberos)

• ne pas utiliser les configurations out-of-the-box
• si déjà installer, faire des coups de sonde

Responsabilité des programmeurs

• installer des applications certifiées Windows 2000
  • que du 32 bits (win32): problème
    • kernel mode
    • user mode: 4 sous-entités: sécurité, win32 bits, et 2 autres en 2000
      • win16: émulé: si crash application → crash OS +
  • toutes les DLLs dans le répertoire d'install du soft
    • sous NT4, après installation d'un soft, repasser avec service pack (pour remettre les DLLs de l'OS)
  • répertoires du programme que en read et exécute (r-x)
• installer les patches et les hotfixes

Opt in et Opt out: vient du monde économique: ceux qui veulent joindre l'Europe, bienvenue.

Adopter optique opt out: de base, on ne prend rien. Si ça marche pas, on ajoute au fur et à mesure.

• encrypter

• limites et timers
• opt-out
• patcher

Anti-virus, anti-spam… ou les installer? (client? serveurs?) que protéger? (fichiers? email?) MISES A JOUR

Cryptologie = cryptographie + cryptanalyse

–décrypter–: fonction d'encryption est non-réversible (à sens unique), donc décrypter est un abus de langage.

cypertext: le message encrypté

Pour passer d'un cyphertext lisible à un texte lisible, il faut une cryptovariable:

Le chiffrement de César: décalé de 3 positions l'alphabet: très bien à l'époque car très peu de lettrés.

Le bâton des spartes (scytale): autour d'un bâton, on enroule un papier. On écrivait le message et on déroulait: cryptovariable: diamètre du bâton. En plus, on ajoutait de l'information pour brouiller les pistes.

Quand on encrypte, on alourdit l'information.

Clef qui ouvre et ferme le coffre. Il faut la clef (session key, shared secret key) pour ouvrir ou fermer. Algorithme faible: grande quantité d'information encryptée rapidement. On utilise des clefs symétriques pour un intervalle de temps limité (session key).

Utilisés en EFS, TLS, SSL, IPSec

Clef + serrure de sécurité

Encrypte avec clef privée et décrypte avec clef publique (qui est diffusée).

Hashing: fonction résultante (cf. 2 check digits du numéro de compte en banque).

Pour mettre à disposition les clefs publiques, on utilise un PKI infrastructure à clefs publiques. Ce PKI peut être un logiciel, il peut être interne uniquement.

Nécessite beaucoup de processing, mais plus sûr.

• vol de système complet
• vol de composants
• accès à des périphériques
• hardware failure: clusters, RAID, DCs en rab, etc.

UPS: onduleur (écrète)

• online: batterie sous tension tout le temps → batterie plus chère
• offline: micro-coupure: batterie pas sous tension → prend le relais
• shutdown: SNMP prévient qu'il faut faire shutdown
• feu: gaz rare pour neutraliser l'oxygène: x secondes pour déguerpir en cas d'alame

• données
• système
• états

Taux de compression: 1.3 Exchange: 16 Go → backup: 36 Go (2 x 16 + 4 pour les transaction files)

Backup se base sur l'état du bit archive. Backup full: reset du bit d'archive Backup differentiel: si bit à 1, je backup, mais je change pas le bit Backup incrémentiel: backup et change le bit

A considérer (= capacity planning):

• taille
• media
• temps nécessaire au backup

Type de media:

• DAT, SDLT, Ultrium (le mieux: 400 Go natif, 800 Go en compressé)
• système multi-tape pour les rotations: entre 6 (5 + 1 cleaning) et 9 (7 + 1 cleaning + 1 pour le mois, la semaine) tapes

8 tapes Ultrium: 8000-9000 EUR HTVA

Durée de vie d'un média:

• dépend
• nombre de fois rembobiné
• nombre de bytes lus
• nombre de bytes écrits

Ex: 1 DAT utilisé 1 x par semaine → 11 mois

Logiciels:

• brightstore
• symantec backup exec < veritas backup exec < seagate < köhner

Les 2 sont bien, mais différentes interfaces.

Cataloguer une tape = le contenu de la bande

Si serveur crashe:

• nouveau disque
• installer OS
• installer driver tape
• installer le logiciel de backup
• patcher OS
• patcher logiciel
• cataloguer
• restore

→ 2 à 4 heures

Solution:

Disaster recovery backup solution: en 15 min, c'est fait.

Chez HP: pousser le bouton au boot → restore tout (partition)

9/11:

• boîtes ont disparu du jour au lendemain car pas d'autre site
• sous les tous, plus gros noeud internet de NYC → réseaux ISP coupés
  • > transmission laser sur le toit des tours

IR: jusqu'à 4 m Laser: plusieurs kilomètres

Plan catastrophe

Qu'est-ce que je fais le jour où:

• tous les disques crashent
• le serveur brûle

Procédure pré-établie:

• appelle IBM (numéro téléphone, numéro du contrat)
• OS (disque d'install, drivers)
• données

Par écrit → on y a réfléchi

• travailler sur base de zones de sécurité: 2 PCs relié entre eux:
  • PC 1
  • PC 2
  • câble
  • l'ensemble
• participation universelle
• security manager si nécessaire

• 150 pers
• 3 serveurs
• 1 firewall
• 1 service de mail
• 1 administrateur réseau

• faire une audit de sécurité
• combien de jours? 2-3 semaines
• coût à la journée: 1500 à 3000 EUR

Le directeur informatique n'est pas prêt à payer ça: 2-3 jours. Pourquoi faire un audit? Parce qu'il y a eu un problème → plus confiance en administrateur Il veut être rassuré.

Comment faire?

• 2 interviews:
  • directeur informatique (1/2 journée)
  • administrateur (1/2 journée)
    • le mettre à l'aise (1 heure)
    • a-t-il une approche sécurité?
      • s'il dit j'ai configuré mon firewall
• rapport: utiliser le conditionnel
  • définir le gap entre existant et sécurité optimale
  • conclusion: rassurer ou pas le directeur informatique
    • c'est pas parfait, il faut améliorer les points suivants
    • c'est la catastrophe
  • dimensionner la sécurité à vos besoin

SHA-1 a été craqué (février 2005): ⁵⁾

Archives: données morte (coût par giga élevé) - après un certain temps, on doit les détruire (ex: papiers finances sociétés: 10 ans) backup: copie d'une donnée vivante, utilisée exceptionnellement (coût par giga faible)

• Roberta Braggs: Windows 2000 Security, New Riders (2001): 3 A, crypto
• Cox & Sheldon (2001): Windows 2000 Security handbook: référence
• Frontenberry (2001): Windows 2000: VPN: comment faire un VPN en 3 clics
• Hacking Exposed: Windows 2000: bof