Audit

Audit de la Scurit Informatique
Cours prsent par
Dr. Ala eddine BAROUNI

abarouni@yahoo.com
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)
Partie 1
Module O.T.A
Pourquoi scuriser un rseau ?

Principes de scurit importants
Rappel sur les normes utiles en scurit rseau
Introduction lAudit Scurit
Dmarche de ralisation dune mission dAudit Scurit
Approches dAudit Scurit
Les tapes dAudit Scurit (Audit Niveau 1, Audit Niveau 2)
Description dtaille des phases de lAudit Niveau 2 (Audit
Technique)
Livrables de la phase daudit niveau 2 (prsentation dun modle type
dun rapport daudit technique)
Partie 2 : Outils et logiciels utiliss lors de
laudit
niveau 2 (principalement de lOpen Source)

Les outils utiliss pour chaque phase daudit technique
Outils et logiciels utiliss lors de la phase 1 de lAudit Technique :
Audit de larchitecture du systme

Audit de la rsistance du systme face aux failles connues, via une analyse
automatise des vulnrabilits

Audit de larchitecture de scurit existante
Description dtaille des tests de scurit raliser au cours de la

laudit technique
Partie 3: Outils de protection rseau (principalement

de lOpen Source)
Prototype dune architecture de scurit bas sur

des outils du monde des logiciels libres (firewalls,
dtection dintrusions, contrle dintgrit, etc..)
Prsentation des solutions de corrlation de
vulnrabilits
Pourquoi scuriser un rseau ?
Intrus
externe
Intrus
interne
Actifs de l'entreprise
Autorisations
incorrectes
Virus
Une conception de scurit rseau protge les actifs des

menaces et vulnrabilits de faon organise
Pour laborer une conception de scurit, analysez les risques
pesant sur vos actifs et crez des rponses
Principes de scurit importants

Principe
Dfense en
profondeur
Moindre
privilge
Surface d'attaque
minimise
Dfinition
Offre plusieurs niveaux de
protection contre les
menaces en plusieurs points
du rseau
Octroie un utilisateur ou
une ressource les privilges
ou autorisations minimaux
ncessaires
l'excution d'une tche
Rduit les points vulnrables
6
d'un rseau
Les normes de scurit

informatique
BS 7799 / ISO 17799, ISO 27002 ,
ISO 27001, BS 7799-2
Plan
Scurit des informations, normes

BS 7799, ISO 17799, ISO 27001
Normes BS 7799, ISO 17799 et ISO 27002
Qualits de BS 7799 / ISO 17799
Les dix contextes cls de ISO 17799
Normes ISO 27001, BS 7799-2
Approche de gestion (Modle PDCA)
Historique
Pour qui ?
Implantation
Outils et logiciels
Les normes de Scurit Informatique

.
Scurit des informations, normes

BS 7799, ISO 17799, ISO 27001
Plusieurs normes, mthodes et
rfrentiels de bonnes pratiques en
matire de scurit des systmes
dinformation sont disponibles. Elles
constituent des guides
mthodologiques ainsi que le moyen
de fournir l'assurance d'une dmarche
de scurit cohrente.
Les normes de Scurit Informatique

LISO a entrepris un vaste effort de rationalisation
des travaux existants donnant naissance la srie
des ISO 27000. Certaines sont obligatoires pour
obtenir une certification (27001 et 27006), les autres
ne sont que des guides :
l'ISO 17799 sera renomm en 27002, le 1er avril
2007.
l'ISO 27006 est en cours de fabrication -sortie
prvue fin novembre.
l'ISO 27004 et l'ISO 27005 sont l'tat de drafts
avancs.
Normes BS 7799, ISO 17799 et ISO 27002 ?
Un ensemble de contrles bass sur

les meilleures pratiques en scurit des
informations;
Standard international qui couvre tous
les aspects de la scurit informatique:
quipements;
Politiques de gestion;
Ressources humaines;
Aspects juridiques.

ISO 17799 (partie 1) se veut un guide contenant des
conseils et des recommandations permettant dassurer la
scurit des informations dune entreprise.
.
La norme ISO 17799 (partie 2 :2005), prochainement

renomme 27002, est directement tire de la BS 7799-1
(cre par le BSI British Standard Institute).
Elle correspond un niveau de dtail plus fin que la
27001 et spcifie une Poltique de la Scurit des
Systmes d'Information. C'est une liste dtaille et
commente de mesures de scurit. Cette norme est un
guide de Bonnes Pratiques (Best Practices)

Pour matriser la scurit d'un systme d'information.
plusieurs versions de la BS 7799 ont t labores
depuis le dbut des annes 1990 et la dernire est
devenue la norme ISO/IEC 17799.
Schmatiquement, la dmarche de scurisation du
systme d'information doit passer par 4 tapes de
dfinition :
1. primtre protger (liste des biens sensibles),
2. nature des menaces,
3. impact sur le systme d'information,
4. mesures de protection mettre en place.

L ISO 17799 donne des exemples et des indications
sur les niveaux 1 3, mais ne traite vraiment que le
niveau 4 (et en partie seulement), en listant ce qui est
ncessaire de mettre en place, sans toutefois prciser
en dtail comment.
La norme ISO 17799 comporte 39 catgories de
contrle et 133 points de vrification rpartis en 11
domaines :
1. Politique de scurit
2. Organisation de la scurit :
- organisation humaine, implication hirarchique,
- notion de propritaire dune information et mode de
classification,
- valuation des nouvelles informations,
- mode daccs aux informations par une tierce partie,
- Rpartition des responsabilits, groupes de travail,
3. Classification et contrle des biens

- Identifications des actifs, Classification de linformation

4. Scurit du personnel
- contrats de travail, Sensibilisation la scurit,
implication dans la scurit
5. Scurit physique
- organisation des locaux et des accs,
- protection contre les risques physiques (incendies,
inondations...)
- systmes de surveillance et dalerte,
- scurit des locaux ouverts et des documents
circulant.

6. Communication et exploitation:
- Gestion des incidents,
- Gestion du rseau
- prise en compte de la scurit dans les procdures
de lentreprise,
- mise en oeuvre des systmes de scurisation (antivirus, alarmes..),
7. Contrle d'accs:
- Utilisateurs
- Dfinition des niveaux dutilisateurs et de leur droit
daccs,

- Gestion dans le temps des droits,
- Rseau
- Systme dexploitation
- Application
8. Acquisition, dveloppement et maintenance des
systmes
- Contrles cryptographiques
- Scurit des fichiers
- Chevaux de Troie
9. Gestion des incidents
10. Management de la continuit de service

-Planification , test, rvaluation
11. Conformit:
- dispositions rglementaires
- dispositions lgales
- dispositions internes (Politique)
La norme n'impose pas d'autre formalisme que la mise en place

d'une organisation qui garantit un bon niveau de scurit au fil du
temps.
Elle est oriente processus et dborde de ce fait des simples

aspects de technique informatique. Elle s'intresse l'organisation
du personnel ainsi qu'aux problmes de scurit physique (accs,
locaux...).
Qualits de BS 7799 / ISO 17799
Couverture de la norme;
prouve;
Publique;
Internationale;
Image de marque associ la
qualit
volutive et souplesse (sadapter aux
contextes);
Disponibilit doutils et de support.

Politique de
scurit
Scurit de
Lorganisation
Conformit
Gestion de la
continuit
Intgrit
Confidentialit
Classification et
contrle des actifs
Information
Dveloppement
et maintenance
Contrle des
accs
Disponibilit
Scurit du
personnel
Scurit physique et
environnementale
Gestion des
Communications
et oprations

Organisationnel
1. Politique de
scurit
2. Scurit de
lorganisation
3. Classification et
contrle des
actifs
7. Contrle des
accs
10. Conformit
4. Scurit du personnel
8. Dveloppement
et maintenance
Oprationnel
5. Scurit physique et
environnementale
6. Gestion des
communications et oprations
9. Gestion de la
continuit

La norme ISO 27001, publie en Novembre 2005,
dfinit la Politique du Management de la Scurit
des SI au sein d'une entreprise. Elle est issue de la
BS 7799-2:1999 Specification for information
security management systems qui dfinit les
exigences respecter pour crer un ISMS
(Information Security Management System). Elle
spcifie en annexe certains contrles de scurit,
tirs de la 17799, dont la mise en oeuvre est
obligatoire.

La norme ISO 27001 comprend 6 domaines de
processus :
1. Dfinir une politique de la scurit des
informations,
2. Dfinir le primtre du Systme de Management
de la scurit de l'information,
3. Raliser une valuation des risques lis la
scurit,
4. Grer les risques identifis,
5. Choisir et mettre en oeuvre les contrles.
Prparer un SoA ( "statement of applicability").

Comme ISO 9000, lISO 27001 porte moins sur
lefficacit des dispositions mises en place, que sur
leur existence, et la mise en place dune boucle
damlioration (PDCA).
BS 7799 (partie 2) propose des recommandations
afin dtablir un cadre de gestion de la scurit de
l'information efficace. BS 7799-2 permet dtablir un
systme de gestion de scurit de linformation
(SGSI).
Complmentarit avec dautres normes ISO

Complmentarit avec dautres normes ISO
Code de bonnes pratiques pour la gestion
de la scurit de linformation
ISO 17799
Produits et systmes certifis
par ISO 15408(CC)
Guide de gestion de la scurit
de la technologie de linformation
ISO13335 (GMITS)
History and Development

Historique of ISMS
La norme ISO 17799 (partie 2 :2005)
renomme 27002
Avril 2007
La norme ISO 17799 (partie 2), ISO 27001
Novembre 2005
Septembre 2002
Nouvelle version de BS 7799-2
revue et corrige
2001
Dcembre 2000
1999
1998
1995
Rvision de BS 7799-2
ISO/IEC 17799:2000
Standards sudois SS 62 77 99 Partie 1 et 2

Nouvelle version de BS 7799 Partie 1 et 2
BS 7799 Partie 2
BS 7799 Partie 1
Pour qui les normes?

Les normes BS 7799/ISO 17799,
peuvent tre utilise par tout
organisme ou entreprise. Il suffit quune
organisation utilise des systmes
informatiques, linterne ou
lexterne, quelle possde des
donnes confidentielles, quelle
dpende de systmes dinformations
dans le cadre de ses activits
commerciales ou encore quelle
dsire adopter un niveau lev de
scurit tout en se conformant une
norme.
Achat en ligne du standard ISO 17799

(% par rgion)
9%
35 %
Autres : 9 %
18 %
23 %
6%
Audit et certification BS 7799 / ISO 17799

Il nexiste pas de certification ISO 17799 pour le
moment.
Une entreprise peut se conformer ISO 17799
et ensuite se certifier BS 7799-2 : 2002, ISO
27001.
Une dmarche daudit peut tre appuye:
Vrification interne
Vrification externe (lettre dopinion)
Bureau de registraire du BSI (certification officielle)
Liste dentreprises certifis

Plus de 80 000 entreprises se
conforment BS 7799/ISO 17799
travers le monde dont:
Fujitsu Limited;
Insight Consulting Limited;
KPMG ;
Marconi Secure Systems ;
Samsung Electronics Co Ltd;
Sony Bank inc. ;
Symantec Security Services ;
Toshiba IS Corporate
Avantages
Se conformer aux rgles de
gouvernance en matire de gestion
du risque.
Une meilleure protection de
linformation confidentielle de
lentreprise ;
Une rduction des risques dattaques ;
Une rcupration des oprations plus
rapidement et plus facilement lors
dattaques ;
Avantages (suite)
Une mthodologie de scurit
structure et reconnue
internationalement ;
Une confiance mutuelle accrue entre
partenaires ;
Une diminution potentielle des primes
dassurance contre les risques
informatiques ;
Une amlioration des pratiques sur la
vie prive et une conformit aux lois
sur les renseignements personnels.
Mthodologie et cycle dimplantation

tape de la
mthodologie
du cycle
dimplantation
de la norme
Description
Initiation du projet
Inciter lengagement de la haute direction;

Slectionner et former les membres de lquipe initiale du
projet.
Dfinition du SGSI
Lidentification de la porte et des limites du cadre de

gestion de la scurit de linformation est dterminante pour
la bonne conduite du projet.
(Systme de gestion de la
scurit de linformation)
valuation des risques
Identifier et valuer les menaces et vulnrabilits;

Calculer une valeur de risque associe;
Diagnostiquer le niveau de conformit ISO 17799;
Inventorier et valuer les actifs protger.
Mthodologie et cycle dimplantation (suite)

tape de la
mthodologie
du cycle
dimplantation
de la norme
Description
Traitement de risque
Vous comprendrez comment la slection et limplantation

des contrles vous permettront de rduire les risques un
niveau acceptable pour lorganisation.
Formation et sensibilisation
Vos employs peuvent tre le maillon faible dans la chane

de scurit de votre organisation.
Prparation laudit
Apprenez comment valider votre cadre de gestion et ce

quil faut faire avant la venue dun auditeur externe pour la
certification BS 7799-2 ou ISO27000.
Audit
Apprenez-en davantage sur les tapes ralises par les

auditeurs externes et sur les organismes de certification
accrdits BS 7799-2 ou ou ISO27000.
Amlioration continue
Livrables ISO 17799
Obstacles potentiels
Facteur de succs
Crainte, rsistance au
changement;
Augmentation des
cots;
Connaissances
inadquates pour
lapproche
slectionne;
Tche apparemment
insurmontable.
Ressources et personnel
ddis;
Expertise externe;
Bonne comprhension des
fonctionnements (gestion) et
des processus (oprations) de
gestion du risque;
Communications frquentes;
Sensibilisation des
gestionnaires et des employs
Engagement de la direction
suprieure;
Structure de lapproche.
Implantation ISO 17799
Rfrences
Documents BSI (www.bsi.org.uk/index.xhtml)
Information Security Management: An Introduction

(PD3000)
Fournit une vue d'ensemble du fonctionnement pour
la certification accrdite et forme une prface utile
aux autres guides.
Guide to BS7799 Risk Assessment and Risk

Management (PD3002)
Dcrit les concepts sous-jacents l'valuation de
risque de BS 7799, y compris la terminologie, le
processus d'valuation et la gestion de risque.
ISO/IEC Guidelines for the Management of IT Security

(GMITS)
Selecting BS7799 Controls (PD3005)

Dcrit le processus de slection des commandes
appropries.
Introduction lAudit Scurit
Dfinition
LAudit Scurit est une mission d'valuation de
conformit par rapport une politique de

scurit ou dfaut par rapport un ensemble
de rgles de scurit
46
Objectif Principal dune mission dAudit

Scurit
Rpondre aux proccupations concrtes de
lentreprise , notamment de ses besoins en

scurit, en :
Dterminant les dviations par rapport aux bonnes
pratiques
Proposant des actions d'amliorations du niveau de
scurit de l infrastructure informatique
47
Dmarche de ralisation dune mission dAudit Scurit

Dfinir les tapes / les phases de la mission dAudit
Le Cycle dAudit
48
Une approche " bote blanche " :
Un audit plus homogne, l'valuation possde une caractristique d'analyse " en
compltude " et les aspects techniques et organisationnels sont traits de
manire uniforme
49
Une approche " bote noire " :

Un audit avec une vue plus parcellaire, rvlant plutt des lacunes
cibles forte orientation technique.
Les " tests d'intrusion " ou " tests intrusifs " font partie de cette
catgorie d'audit.
50
Dfinir les tapes / les phases de la mission

dAudit Scurit
Cette tape permet de :
Mettre en uvre laudit scurit en dfinissant les
champs dtude et les primtres de la mission
Dfinir un planning de ralisation de la mission
Dlaborer dune batterie de questionnaires par rapport

un rfrentiel dfini partir des exigences et des
attentes des responsables du site audit.
51
Principalement, la mission sera subdivise en

deux volets :
Audit Niveau 1 : Audit Organisationnel &
Physique , Analyse de Risque
Audit Niveau 2 : Audit Technique
52
Audit Niveau 1
Avoir une vue globale de ltat de scurit du systme
dinformation et didentifier les risques potentiels
(environ tous les deux ans)
Audit Niveau 2
Concerne les composants du systme dinformation :
validation dune architecture de scurit, test de
vulnrabilits internes et/ou externes (intrusifs) ,
validation du code (failles dans une application web,
contrle daccs trivial...), etc
53
Laudit Technique dun primtre de scurit est prconis

dans les situations typiques suivantes ( dune manire
rcurrente) :
Validation de la scurit dun nouveau primtre, par exemple dun
Firewall, dun site eBusiness
eBusiness,, dun Extranet, dun accs Internet, dun
systme VPN
Analyse pralable dun site pour linstallation dune nouvelle

infrastructure.
54
Le cycle de laudit scurit
La mission daudit de scurit informatique est effectue

selon un processus cyclique permettant dtudie le niveau
de scurit du systme dinformation dun point de vue :
Technique (les points dentres sur le rseau, les quipements de
scurit, les protocoles mis en uvre, etc)
Organisationnel (tude des procdures de dfinition, de mise en

place et de suivi de la politique de scurit, etc...)
55
Systme dinformation du rseau

audit selon une modlisation
daudit formelle
Audit Organisationnel et
Physique
3 Com
Fin du cycle
dAudit Normal
Test Intrusif
Identification des
vulnrabilits depuis
lextrieur
Identification des
vulnrabilits dordre
organisationnel et physique
valuation des risques
Dtection rgulire et
automatise des
vulnrabilits et des
failles potentielles
Audit Technique
56
La phase finale du processus dAudit Scurit est consacre

la rdaction des rapports de synthse :
Recueil des principales vulnrabilits et insuffisances
dceles
Synthse des recommandations de mise en uvre
(organisationnels,physiques et techniques)
Synthse des solutions et outils de scurit proposs
Esquisse dun plan daction scurit (Estimation des
budgets allouer pour la mise en uvre des mesures
recommandes )
57
La mission daudit scurit constitue le point de

dmarrage du projet de scurisation dun site.
Audit Scurit du Site

Architecture & Solution de
Scurit proposes
Mise en place de la
solution de scurit
Tests & Validations du
systme de scurit implante
58
Phase rcurrente dAudit Scurit
59
Dtail de la Dmarche
Etude Cas Pratique
Audit Niveau 1 (AOP,AR)
Audit Niveau 2 (AT)
60
Audit Niveau 1
Audit Organisationnel & Physique (AOP), Analyse

de Risque
Objectif
Droulement de laudit niveau 1
tude Cas valuation du niveau de scurit dun SI
Analyse de Risque
Dlivrables de la phase dAOP
61
Objectif
Cette premire phase de laudit scurit permet :
Davoir une vision qualitative et quantitative des

diffrents facteurs de la scurit informatique du site
audit
Didentifier les points critiques du systme dinformation
62
Droulement de laudit des aspects Organisationnels et

Physiques
Dfinir un rfrentiel scurit (dpend des exigences et

attentes des responsables du site audit, type daudit)
laboration dun questionnaire daudit scurit partir

du rfrentiel dfini prcdemment et des objectifs de la
mission
Planification des entretiens et information des personnes
impliqus avant le dclenchement de laudit OP
63
Facteurs cls de succs de cette tape :

Comprendre la dmarche d'observation : niveau global
puis niveau spcifique
Prsenter les objectifs de la dmarche daudit scurit avant

les entretiens
Instaurer un climat de confiance , viter la culpabilit
64
Dlivrables de la phase dAOP

Les rapports livrs la fin de cette phase seront constitus des parties
suivantes :
Rapports d'audit couvrant les aspects suivants :
Rapport sur ltude de la situation existante en terme de scurit
au niveau du site audit
Rapport daudit organisationnel et physique, couvrant les composantes
organisationnelles, physiques et les ventuelles vulnrabilits de gestion
des composantes du systme (rseau, systmes, applications, outils de
scurit, centre de calcul, Plans de continuit) et les recommandations
correspondantes pour la politique de scurit de l'administration Central.
65
Audit Niveau 2 (AT)
Contenu de la prsentation
Audit Technique (AT)

Dfinition des phases de ltape dAT
Reconnaissance du rseau et du plan dadressage

Sondage des Systmes
Sondage des Services rseau
Audit des applications
66
Analyse des Vulnrabilits (intrusif interne)
Analyse des vulnrabilits des serveurs en exploitation

Analyse des vulnrabilits des postes de travail
Analyse des Vulnrabilits (intrusif externe)
Audit de lArchitecture de Scurit existante
67
Venant en suite logique laudit de niveau 1, laudit de

niveau 2 ou laudit technique sattache identifier les
vulnrabilits techniques prsentes sur les systmes
informatiques critiques du site audit.
Droulement de ltape :
Laudit technique sera ralis selon une succession de
phases respectant une approche mthodique allant de la
dcouverte et la reconnaissance du rseau audit jusqu la
ralisation des scnarios dattaques expertes.
68
Laudit technique permet la dtection des types de

vulnrabilits suivantes, savoir :
Les erreurs de programmation et erreurs darchitecture.
Les erreurs de configurations des composants logiques
installs tels que les services (ports) ouverts sur les
machines, la prsence de fichiers de configuration installs
par dfaut, lutilisation de comptes utilisateurs par dfaut.
Les problmes au niveau de trafic rseau (flux ou trafic
non rpertoris, coute rseau, etc ).
Les problmes de configuration des quipements dinterconnexion et
de contrle daccs rseau
69
Cet audit sapplique aux environnements suivants :

Rseau daccs Internet, rseau dinterconnexion intersites (Frame Relay , X25, Faisceau Hertzien, etc..).
Serveurs internes du site audit et les postes sensibles du LAN.
Systmes critiques spcifiques.
Composants et quipements actifs de linfrastructure
rseau du site audit (firewalls, routeurs filtrants, commutateurs
niveau 3, etc)
70
Principales phases :
Phase 1 : Audit de larchitecture du systme

Sondage des Systmes
Sondage Rseau
71
Phase 2 : Analyse des Vulnrabilits (intrusif interne)

Phase 3 : Analyse des Vulnrabilits (intrusif externe)
72
Phase 4 : Audit de larchitecture de scurit existante
Audit des Firewalls et Rgles de Filtrage

Audit des routeurs et des ACLs (Liste de Contrle d'Accs )
Audit des Sondes et des passerelles antivirales
Audit des stations proxy/Reverseproxy
Audit des serveurs DNS, dauthentification
73
Audit de la zone dadministration de larchitecture de scurit existante

Audit des commutateurs (switchs) et de la configuration en VLANs
Audit de la politique dusage de mots de passe
Audit de la solidit du systme, face aux essais dinterception des flux
Audit de la rsistance aux attaques de dni de service
74
Dtail des phases :

L'inspection du rseau est un point de dpart, lors duquel la topologie,
ainsi que les htes et les quipements rseau seront identifis.
Cette tape consiste utilisation de multiples traages du rseau et
des passerelles, interrogation des serveurs DNS, afin de dtecter les
stations, reprer les quipements de contrle daccs sur les frontires
externes du rseau.
75
Utilisation de loutil Networkview lintrieur du

rseau audit
76
Utilisation de loutil Networkview sur les primtres

externes du rseau audit
77
Sondage des Systmes

Elle consiste auditer les stations, par linspection des moyens
de contrle daccs et de leur stratgie dadministration ainsi que
linspection des traces, enregistrs par leur logs et les mesures de
protection anti-viral.
78
Sondage Rseau
Le sondage des services rseau est une tape qui permet de savoir
quelles sont les ports ouverts sur les machines du rseau audit (ouverts,
ferms ou filtrs), et galement permet danalyser le trafic , reconnatre
les protocoles et les services prdominant au niveau du rseau auditer, le
taux dutilisation , les flux inter-stations et plusieurs autres informations.
79
Test par les outils de balayage systmatique (services/ports) , nous avons pu cerner la liste des ports
ouverts sur les stations en activit.
(Scripts bass sur les outils NMAP, Netcat , Nsat)
[root@consultingAudit ]# scan_script -v -g53 -sS -P0 -O -oN Serveur_
Serveur_ORASERVER
ORASERVER .log 172.16.203.13
Port
State
Service
22/tcp
open
ssh
80/tcp
open
http
111/tcp
open
sunrpc
139/tcp
open
netbios-ssn
443/tcp
open
https
3306/tcp open
mysql
6000/tcp open
X11
10000/tcp open
snet-sensor-mgmt
22273/tcp open
wnn6
22289/tcp open
wnn6_Cn
22305/tcp open
wnn6_Kr
80
Audit des Flux rseau, trafic inter-station :

Prsentation du pourcentage dutilisation des protocoles TCP et UDP :
81

Cette tape de laudit technique ne reprsente pas un audit dtaill des
applications.
Toutefois, il sagit de dceler certaines anomalies au niveau
oprationnelle des applications au sein de lenvironnement du travail du
client.
82
Analyse des Vulnrabilits (intrusif interne)

Lanalyse des vulnrabilits au niveau de tous les composantes du rseau
auditer sera ralise, via un ensemble doutils de scan automatique par
ldification dune analyse experte et cible du rseau et des systmes
audits, permettant la mise au point dune dmarche efficace et experte.
Audit de vulnrabilits intrusif interne

Permet de mesurer les vulnrabilits des parties les plus sensibles du rseau
local en oprant partir dune station de travail standard, dans des conditions
analogues celles dont disposerait une personne mal-intentionne travaillant
sur site (prestataires, collaborateurs, visiteurs, ...).
83

Test intrusif interne : Utilisation des scanners de vulnrabilits (Nessus, Sara, ISS) :
Le schma suivant prsente la rpartition des Degrs de Vulnrabilits au
niveau dun Serveur UNIX (Solaris)
Outil de Test: Nessus
84
Le sondage des ports avec les vulnrabilits associes est prsent comme suit :
o ftp (21/tcp) (Vulnrabilit dordre grave)
o chargen (19/tcp) (Vulnrabilit dordre moyenne)
o daytime (13/tcp) (Vulnrabilit dordre moyenne)
o http (80/tcp) (Vulnrabilit dordre grave)
o finger (79/tcp) (Vulnrabilit dordre moyenne)
o oracle (1521/tcp) (Vulnrabilit dordre grave)
o x11 (6000/tcp) (Vulnrabilit dordre moyenne)
o dtspc (6112/tcp) (Vulnrabilit dordre grave)
o font-service (7100/tcp) (Vulnrabilit dordre grave)
o sometimes-rpc13 (32775/tcp) (Vulnrabilit dordre grave)
o snmp (161/udp) (Vulnrabilit dordre grave)
o xdmcp (177/udp) (Vulnrabilit dordre moyenne)
85
tude Cas 1 : Exploitation des failles au niveau du Serveur Sun Solaris

[root@audit-pc]# ftp 172.20.50.11
Connected to 172.20.50.11.
220 cmf02 FTP server (SunOS 5.7) ready.
500 'AUTH GSSAPI': command not understood.
500 'AUTH KERBEROS_V4': command not understood.
KERBEROS_V4 rejected as an authentication type
Name (172.20.50.11:root):
ias
331 Password required for ias.

Password:
230 User ias logged in.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
86
ftp> cd /etc
/etc
ftp> ls
227 Entering Passive Mode (172,20,50,11,134,123)
150 ASCII data connection for /bin/ls (172.20.20.201,1083) (0 bytes).
total 502
drwxrwxr-x 37 root
sys
3584 f?v 24 14:22 .
drwxr-xr-x 33 root
root
1024 mar 11 12:54 ..
drwxrwxr-x 10 root
sys
-r-------- 1 root
sys
-rw-r--r-- 1 root
sys
-rw-r--r-- 1 root
other
-r--r--r-- 1 root
512 avr 14 2000 opt

482 mai 8 2000 oshadow
1742 f?v 29 2000 pam.conf
680 f?v 19 2001 part19022001
sys
1110 jun 10 2003 passwd
-r--r--r-- 1 root
other
3640 jun 3 2002 path_to_inst
-r--r--r-- 1 root
other
3640 jun 3 2002 path_to_inst.old
-rw-r--r-- 1 root
sys
-rw-r--r-- 1 root
other
960 f?v 28 2000 power.conf

239 mar 23 2000 printers.conf
87
Vulnrabilits NFS
Le type le plus courant de vulnrabilit NFS est li une erreur de
configuration qui exporte le systme de fichiers vers everyone (nimporte
quel utilisateur distant pourra accder un systme de fichier sans
authentification).
En interrogeant le mappeur des ports (portmappeur), nous avons constat
que mountd et le serveur nfs sont excuts, ce qui rvle que le serveur
cible est peut tre en train dexporter un ou plusieurs systmes de fichiers.
[root@audit-pc]# showmount e 172.20.50.11
Export list for 172.20.50.11
/ (everyone)
/ sunpartage (everyone)
les rsultats de showmount indiquent que la totalit des systmes de fichiers / et /usr
sont exports vers lextrieur , ce qui prsente un risque norme la scurit. Il suffit
quun utilisateur distant excute mount pour accder la totalit du systme de fichier
/ et /usr .
88

Cette analyse de vulnrabilit ciblant lensemble des postes utilisateurs du
rseau audit a permis de dgager le taux global moyen suivant :
Nombre de vulnrabilits
dordre grave : 146
dordre moyenne : 215
dordre minime : 193
89
Analyse des Vulnrabilits (intrusif externe)

Audit de vulnrabilits intrusif externe avec connaissance partielle
ou totale
Le but de cet audit est de mettre lpreuve larchitecture technique en oprant dans des
conditions analogues celles dont disposerait une personne mal
mal--intentionne ayant une
bonne voire trs bonne connaissance du systme dinformation.
Audit de vulnrabilits intrusif externe sans aucune connaissance

pralable
Cette opration est ralise depuis le rseau externe du site audit (avec autorisation :
Une simulation de ces attaques pourra tre ralise la demande) partir de postes de
travail positionns sur le rseau public (Internet) ou sur le rseau tlphonique dans
les mmes conditions que celles dont pourrait disposer un pirate informatique.
90
Test de lopacit du rseau depuis lextrieur :

Examen et test des possibilits offertes un attaquant
de rcuprer, depuis lextrieur les informations
suivantes :
- Topologie du rseau et adresses IP des serveurs et
lments actifs du rseau.
- Protocoles applicatifs et de routage utiliss.
- Les services actifs.
- Les mcanismes de scurit supports.
91
Audit de larchitecture de scurit existante
Lobjectif est dexpertiser larchitecture technique dploye et de

mesurer la conformit des configurations quipements rseaux, parefeu, autocommutateur priv, sondes , etc. avec la politique de scurit
dfinie et les rgles de lart en la matire.
92
tude Cas :
Audit des Firewalls et Rgles de Filtrage
La dmarche adopte consiste :

- Vrifier la configuration, les failles renfermes par la version installe, les
mises jour
- Audit des rgles de filtrage (TCP/UDP filtering, Firewalking)
- Audit des mcanismes de log
93
Audit des Routeurs

- Vrifier le type du routeur et sa configuration, ainsi que les failles
ventuelle de version
- Test de la conformit des ACLs envers la politique de la scurit
du site (Audit des ACLs)
- Test de la rsistance des routeurs contre les attaques DDOS
94
Audit des des Commutateurs (switchs) et de la Configurations en

VLANs - la solidit du systme, face aux essais dinterception des
flux

- Raliser des simulations par des essais dattaques par des outils dcoute
rseaux (sniffers) au niveau des diffrents segments de la configuration en
VLANs
- Vrifier de la rsistance des commutateurs(switch) contre les attaques
expertes de type MAC Flood et ARP poisoning (Arpspoof)
- Raliser des simulations par des essais dattaques par des outils
dinterception de flux volus (interception du contenu des flux http, smtp,
pop)
95
Audit du Systme de Dtection d'intrusion (IDS)
- Tester par des scans et mthodes dattaques diversifis et des essais de

simulation (par flood , fausses attaques simultanes, fragmentation, scans
lents) afin de rduire les possibilits de lIDS dtecter les attaques
- Vrifier les mcanismes de journalisation (log) de la Sonde
- Vrifier les performances de la sonde
96
Dlivrables de la phase dAudit Technique :

Rapport d'Audit technique du systme dinformation, prsentant les
vulnrabilits dceles (voir le modle en ce qui suit)
Rapports de synthse :
Synthse globale et exhaustif des vulnrabilits et des insuffisances.
Synthse des solutions et outils de scurit proposs.
Synthse des recommandations de mise en oeuvre
Esquisse dun Plan daction scurit informatique du site audit (contenant
une estimation des budgets allouer pour la mise en uvre des mesures
recommandes
97
Modle dun rapport daudit technique

Rapport d'Audit de larchitecture rseau et systme
Contient les tests de scurit qui ont t raliss ,les interprtations
ainsi quun ensemble de recommandations techniques (cas des
anomalies et failles au niveau de larchitecture rseau existante,
vulnrabilits dceles sur les serveurs et postes sensibles, etc..).
98
Esquisse du rapport d Audit de larchitecture Rseau &

Systme :
A-1 Topologie du rseau - Site Audit
A-1-1 Cartographie du rseau
A-1-2 Cloisonnement du rseau
A-2 Sondage systme

A-2-1 Identification et Mise jour des systmes dexploitation
A-2-2 Mise jour des applications
A-2-3 Scurisation des postes de travail (contrle dintgrit, protection antivirale)
A-2-4 Scurisation des Serveurs
99
A-3 Sondage des Flux et services rseau

A-3-1 Sondage Rseau ( ports , services, applications associes)
A-3-2 Flux rseaux observs
A-3-3 Situation des ressources et partages sur le rseau interne
A-3-4 Politique de gestion des mots de passe
A-3-5 Audit des applications
A-4 Audit de la gestion des dfaillances matrielles

A-4-1 Protection physique des disques durs
A-4-2 Stratgie de sauvegarde des donnes
100
Esquisse du Rapport dAudit des vulnrabilits rseau et

systme :
B-1 Audit des vulnrabilit des Serveurs en exploitation

B-1-1 Analyse des vulnrabilits des Serveurs de donnes &
dapplications
B-1-2 Analyse des vulnrabilits des Serveurs Internet/Intranet
B-2 Audit des vulnrabilit des postes de travail du rseau

audit
B-2-1 Analyse des vulnrabilits des postes de travail
B-2-2 Synthse des principales vulnrabilits dceles sur les postes
de travail du rseau
101
Esquisse du rapport daudit de larchitecture de scurit existante :
1- Audit & vrification des rgles de filtrage au niveau des Firewalls

A- Vrifier que le Firewall filtre correctement la circulation vers/depuis le rseau
local, relativement la politique de scurit ncessaire mettre en oeuvre.
B- Vrifier la rsistance du firewall contre le Firewalking
C- Vrifier les pntrations issues des scans inverss
102
2- Audit des Commutateurs (Switchs) et de la configuration en VLANs

A- Identification des vulnrabilits des switchs
B- Audit et vrification de la configuration en VLANs
3- Audit de la solidit du systme face aux essais d'interception de flux

A- Identification de la liste des services vulnrables une coute passive du
rseau
B- Inspection de la rsistance du rseau, concernant linterception de donnes
sensibles (mots-cls, donnes confidentielles)
103
2- Audit du Routeur et de la rsistance contre les attaques par dni de

service
A- Vrification du type du routeur et sa configuration, ainsi que les failles
ventuelle de version
B- Audit de la conformit des ACL envers la politique de la scurit du site
C- Vrification de la rponse des lments rseaux en connexion avec lextrieur
contre les attaques de dni de service (DDos, ).
D- Audit de la raction du rseau contre les surcharges des serveurs et du rseau
104

Audit

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Audit

Загружено:

Авторское право:

Доступные форматы

Audit de la Scurit Informatique

Cours prsent par

Dr. Ala eddine BAROUNI

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Pourquoi scuriser un rseau ?

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Partie 2 : Outils et logiciels utiliss lors de

niveau 2 (principalement de lOpen Source)

Outils et logiciels utiliss lors de la phase 2 de lAudit Technique :

Outils et logiciels utiliss lors de la phase 3 de lAudit Technique :

Description dtaille des tests de scurit raliser au cours de la

Partie 3: Outils de protection rseau (principalement

Prototype dune architecture de scurit bas sur

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Pourquoi scuriser un rseau ?

Une conception de scurit rseau protge les actifs des

Principes de scurit importants

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Les normes de scurit

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Scurit des informations, normes

Normes BS 7799, ISO 17799 et ISO 27002

Qualits de BS 7799 / ISO 17799

Les dix contextes cls de ISO 17799

Normes ISO 27001, BS 7799-2

Approche de gestion (Modle PDCA)

Les normes de Scurit Informatique

Scurit des informations, normes

Les normes de Scurit Informatique

Normes BS 7799, ISO 17799 et ISO 27002 ?

Un ensemble de contrles bass sur

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Normes BS 7799, ISO 17799 et ISO 27002

La norme ISO 17799 (partie 2 :2005), prochainement

Normes BS 7799, ISO 17799 et ISO 27002

Normes BS 7799, ISO 17799 et ISO 27002

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Normes BS 7799, ISO 17799 et ISO 27002

3. Classification et contrle des biens

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Normes BS 7799, ISO 17799 et ISO 27002

Normes BS 7799, ISO 17799 et ISO 27002

Normes BS 7799, ISO 17799 et ISO 27002

Normes BS 7799, ISO 17799 et ISO 27002

10. Management de la continuit de service

La norme n'impose pas d'autre formalisme que la mise en place

Elle est oriente processus et dborde de ce fait des simples

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Qualits de BS 7799 / ISO 17799

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Les dix contextes cls de ISO 17799

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Les dix contextes cls de ISO 17799

Normes ISO 27001, BS 7799-2

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Normes ISO 27001, BS 7799-2

Normes ISO 27001, BS 7799-2

Approche de gestion (Modle PDCA)

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Approche de gestion (Modle PDCA)

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Approche de gestion (Modle PDCA)

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)