Академический Документы
Профессиональный Документы
Культура Документы
Partie 1
Module O.T.A
laudit
Intrus
externe
Intrus
interne
Actifs de l'entreprise
Autorisations
incorrectes
Virus
Moindre
privilge
Surface d'attaque
minimise
Dfinition
Offre plusieurs niveaux de
protection contre les
menaces en plusieurs points
du rseau
Octroie un utilisateur ou
une ressource les privilges
ou autorisations minimaux
ncessaires
l'excution d'une tche
Rduit les points vulnrables
6
d'un rseau
Plan
Historique
Pour qui ?
Implantation
Outils et logiciels
quipements;
Politiques de gestion;
Ressources humaines;
Aspects juridiques.
1. Politique de scurit
2. Organisation de la scurit :
- organisation humaine, implication hirarchique,
- notion de propritaire dune information et mode de
classification,
- valuation des nouvelles informations,
- mode daccs aux informations par une tierce partie,
- Rpartition des responsabilits, groupes de travail,
11. Conformit:
- dispositions rglementaires
- dispositions lgales
- dispositions internes (Politique)
Couverture de la norme;
prouve;
Publique;
Internationale;
Image de marque associ la
qualit
volutive et souplesse (sadapter aux
contextes);
Disponibilit doutils et de support.
Conformit
Gestion de la
continuit
Intgrit
Confidentialit
Classification et
contrle des actifs
Information
Dveloppement
et maintenance
Contrle des
accs
Disponibilit
Scurit du
personnel
Scurit physique et
environnementale
Gestion des
Communications
et oprations
1. Politique de
scurit
2. Scurit de
lorganisation
3. Classification et
contrle des
actifs
7. Contrle des
accs
10. Conformit
4. Scurit du personnel
8. Dveloppement
et maintenance
Oprationnel
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)
5. Scurit physique et
environnementale
6. Gestion des
communications et oprations
9. Gestion de la
continuit
Avril 2007
La norme ISO 17799 (partie 2), ISO 27001
Novembre 2005
Septembre 2002
Nouvelle version de BS 7799-2
revue et corrige
2001
Dcembre 2000
1999
1998
1995
Rvision de BS 7799-2
ISO/IEC 17799:2000
BS 7799 Partie 1
35 %
Autres : 9 %
18 %
23 %
6%
Fujitsu Limited;
Insight Consulting Limited;
KPMG ;
Marconi Secure Systems ;
Samsung Electronics Co Ltd;
Sony Bank inc. ;
Symantec Security Services ;
Toshiba IS Corporate
Avantages
Se conformer aux rgles de
gouvernance en matire de gestion
du risque.
Une meilleure protection de
linformation confidentielle de
lentreprise ;
Une rduction des risques dattaques ;
Une rcupration des oprations plus
rapidement et plus facilement lors
dattaques ;
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)
Avantages (suite)
Une mthodologie de scurit
structure et reconnue
internationalement ;
Une confiance mutuelle accrue entre
partenaires ;
Une diminution potentielle des primes
dassurance contre les risques
informatiques ;
Une amlioration des pratiques sur la
vie prive et une conformit aux lois
sur les renseignements personnels.
Description
Initiation du projet
Dfinition du SGSI
(Systme de gestion de la
scurit de linformation)
Description
Traitement de risque
Formation et sensibilisation
Prparation laudit
Audit
Amlioration continue
Obstacles potentiels
Facteur de succs
Crainte, rsistance au
changement;
Augmentation des
cots;
Connaissances
inadquates pour
lapproche
slectionne;
Tche apparemment
insurmontable.
Ressources et personnel
ddis;
Expertise externe;
Bonne comprhension des
fonctionnements (gestion) et
des processus (oprations) de
gestion du risque;
Communications frquentes;
Sensibilisation des
gestionnaires et des employs
Engagement de la direction
suprieure;
Structure de lapproche.
Rfrences
Dfinition
46
47
48
manire uniforme
49
Les " tests d'intrusion " ou " tests intrusifs " font partie de cette
catgorie d'audit.
50
51
52
Audit Niveau 1
Avoir une vue globale de ltat de scurit du systme
dinformation et didentifier les risques potentiels
(environ tous les deux ans)
Audit Niveau 2
Concerne les composants du systme dinformation :
validation dune architecture de scurit, test de
vulnrabilits internes et/ou externes (intrusifs) ,
validation du code (failles dans une application web,
contrle daccs trivial...), etc
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)
53
54
55
Audit Organisationnel et
Physique
3 Com
Fin du cycle
dAudit Normal
Test Intrusif
Identification des
vulnrabilits depuis
lextrieur
Identification des
vulnrabilits dordre
organisationnel et physique
valuation des risques
Dtection rgulire et
automatise des
vulnrabilits et des
failles potentielles
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)
Audit Technique
56
57
58
59
Dtail de la Dmarche
Etude Cas Pratique
Audit Niveau 1 (AOP,AR)
Audit Niveau 2 (AT)
60
Audit Niveau 1
61
Objectif
62
63
64
65
Contenu de la prsentation
66
67
Droulement de ltape :
Laudit technique sera ralis selon une succession de
phases respectant une approche mthodique allant de la
dcouverte et la reconnaissance du rseau audit jusqu la
ralisation des scnarios dattaques expertes.
68
69
70
Principales phases :
71
72
73
74
75
76
77
78
Sondage Rseau
Le sondage des services rseau est une tape qui permet de savoir
quelles sont les ports ouverts sur les machines du rseau audit (ouverts,
ferms ou filtrs), et galement permet danalyser le trafic , reconnatre
les protocoles et les services prdominant au niveau du rseau auditer, le
taux dutilisation , les flux inter-stations et plusieurs autres informations.
79
Test par les outils de balayage systmatique (services/ports) , nous avons pu cerner la liste des ports
ouverts sur les stations en activit.
(Scripts bass sur les outils NMAP, Netcat , Nsat)
[root@consultingAudit ]# scan_script -v -g53 -sS -P0 -O -oN Serveur_
Serveur_ORASERVER
ORASERVER .log 172.16.203.13
Port
State
Service
22/tcp
open
ssh
80/tcp
open
http
111/tcp
open
sunrpc
139/tcp
open
netbios-ssn
443/tcp
open
https
3306/tcp open
mysql
6000/tcp open
X11
10000/tcp open
snet-sensor-mgmt
22273/tcp open
wnn6
22289/tcp open
wnn6_Cn
22305/tcp open
wnn6_Kr
80
81
82
83
84
Le sondage des ports avec les vulnrabilits associes est prsent comme suit :
o ftp (21/tcp) (Vulnrabilit dordre grave)
o chargen (19/tcp) (Vulnrabilit dordre moyenne)
o daytime (13/tcp) (Vulnrabilit dordre moyenne)
o http (80/tcp) (Vulnrabilit dordre grave)
o finger (79/tcp) (Vulnrabilit dordre moyenne)
o oracle (1521/tcp) (Vulnrabilit dordre grave)
o x11 (6000/tcp) (Vulnrabilit dordre moyenne)
o dtspc (6112/tcp) (Vulnrabilit dordre grave)
o font-service (7100/tcp) (Vulnrabilit dordre grave)
o sometimes-rpc13 (32775/tcp) (Vulnrabilit dordre grave)
o sometimes-rpc11 (32774/tcp) (Vulnrabilit dordre grave)
o sometimes-rpc9 (32773/tcp) (Vulnrabilit dordre grave)
o sometimes-rpc21 (32779/tcp) (Vulnrabilit dordre grave)
o snmp (161/udp) (Vulnrabilit dordre grave)
o xdmcp (177/udp) (Vulnrabilit dordre moyenne)
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)
85
ias
86
ftp> cd /etc
/etc
ftp> ls
227 Entering Passive Mode (172,20,50,11,134,123)
150 ASCII data connection for /bin/ls (172.20.20.201,1083) (0 bytes).
total 502
drwxrwxr-x 37 root
sys
drwxr-xr-x 33 root
root
drwxrwxr-x 10 root
sys
-r-------- 1 root
sys
-rw-r--r-- 1 root
sys
-rw-r--r-- 1 root
other
-r--r--r-- 1 root
sys
-r--r--r-- 1 root
other
-r--r--r-- 1 root
other
-rw-r--r-- 1 root
sys
-rw-r--r-- 1 root
other
87
Vulnrabilits NFS
Le type le plus courant de vulnrabilit NFS est li une erreur de
configuration qui exporte le systme de fichiers vers everyone (nimporte
quel utilisateur distant pourra accder un systme de fichier sans
authentification).
En interrogeant le mappeur des ports (portmappeur), nous avons constat
que mountd et le serveur nfs sont excuts, ce qui rvle que le serveur
cible est peut tre en train dexporter un ou plusieurs systmes de fichiers.
[root@audit-pc]# showmount e 172.20.50.11
Export list for 172.20.50.11
/ (everyone)
/ sunpartage (everyone)
les rsultats de showmount indiquent que la totalit des systmes de fichiers / et /usr
sont exports vers lextrieur , ce qui prsente un risque norme la scurit. Il suffit
quun utilisateur distant excute mount pour accder la totalit du systme de fichier
/ et /usr .
88
Nombre de vulnrabilits
dordre grave : 146
Nombre de vulnrabilits
dordre moyenne : 215
Nombre de vulnrabilits
dordre minime : 193
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)
89
90
91
92
tude Cas :
Audit des Firewalls et Rgles de Filtrage
93
94
95
96
97
98
99
100
101
102
103
104