PROJET SÉCURITÉ. Equipe Défense. Pôle Services : Guillaume COTTIN Youri JEAN-MARIUS. Pôle Interconnexion : Ilias DJOUAI Fabien PEYRONNET

PROJET SÉCURITÉ Equipe Pôle Interconnexion : Ilias DJOUAI Fabien PEYRONNET Pôle Services : Guillaume COTTIN Youri JEAN-MARIUS Pôle Utilisateurs : Philippe BEAUGENDRE Vincent LARRIBAU Pôle Communication : Emmanuelle DANG Cécile FOSSEN 21 Décembre 2006

SOMMAIRE PRESENTATION DE LA GESTION DE PROJET PHASE 0 : Le déploiement PHASE 1 : Après la 1 ère attaque PHASE 2 : Après la 2 ème attaque PHASE 3 : Après la 3 ème attaque BILAN - 2 -

La Gestion du Projet - 3 -

LA GESTION DE PROJET (1/3) Gestion des équipes Décomposition en 4 pôles : Pôle Utilisateurs Pôle Services Pôle Interconnexion Pôle Communication - 4 -

LA GESTION DE PROJET (2/3) Gestion des étapes Concertation avec l équipe «Attaque» pour convenir des attaques Rappel aux différents pôles de l avancement du projet Communication avec l équipe «Audit» - 5 -

LA GESTION DE PROJET (3/3) Gestion du planning Définition d un planning au départ 1 Planning final 2 3 4 5 3 1 2-6 -

Phase 0 Le déploiement de l architecture - 7 -

PHASE 0 (1/9) Pôle Interconnexion Mise en place du matériel : Mise en place du routeur Mise à jour de l IOS Sécurisation des accès Telnet et console par mot de passe (AES) Mise en place d un mot de passe sur le routeur (AES) - 8 -

PHASE 0 (2/9) Pôle Interconnexion Faux réseau public FE0/0 WAN IP nat outside Vlan 117 Parc serveurs FE0/1.1 10.10.10.0/24 Ip nat inside Vlan 118 Parc clients FE0/1.2 10.20.20.0/24 Ip nat inside Vlan 3 Admin Switch FE0/1.3 172.16.0.8-9 -

PHASE 0 (3/9) Pôle Services Les besoins : Un serveur WEB Un serveur de base de données Un serveur DNS Un serveur de messagerie Un serveur VPN - 10 -

PHASE 0 (4/9) Pôle Services Titan Linux Debian Dyonisos Linux Debian Iris W2k3 server - 11 -

PHASE 0 (5/9) Pôle Services Titan, le serveur VPN : OpenVPN Certificat commun aux utilisateurs Translation d adresse Dyonisos, le serveur LAMP + DNS : Apache2 + PHP4 + MySLQ4 + PhpMyAdmin Bind9; domaine : candide-sa.com Iris, le serveur de messagerie : Difficulté de configuration et de liaison avec le contrôleur de domaine - 12 -

PHASE 0 (6/9) Pôle Utilisateurs Les besoins : Un serveur de domaine Active Directory Un client XP «sécurisé», SP2 Un client XP non sécurisé, sans SP2 ni patchs - 13 -

PHASE 0 (7/9) Pôle Utilisateurs Installation des postes : Contrôleur de domaine sous Windows 2003 Server Deux clients Windows XP professionnel - 14 -

PHASE 0 (8/9) Pôle Utilisateurs Intégration des postes dans le domaine Aspects sécurité : Politique de sécurité de mots de passe Désactivation du «boot» sur CD et disquette Mot de passe pour le BIOS - 15 -

PHASE 0 (9/9) Rapport Audit Bilan de sécurité n 1 : Recommandation : consulter les logs d apache Action effectuée : transfert des logs sur la machine audit Bilan de sécurité n 2 : Pas besoin de mettre une sécurité supplémentaire - 16 -

Phase 1 Après la 1ère attaque du 5 novembre - 17 -

PHASE 1 (1/8) Rapport Audit Bilan de sécurité n 3 : Actions de l attaque détectées : Attaques sur le serveur web Exploitation SSL DNS spoofing Pas de recommandation - 18 -

PHASE 1 (2/8) Pôle Interconnexion Access-list entre le parc serveur et client Inspection des flux du port mirroring Mise en place de mesure anti-spoofing - 19 -

PHASE 1 (3/8) Pôle Interconnexion Faux réseau public Vlan 117 Parc serveurs FE0/1.1 10.10.10.0/24 Ip nat inside PAT Redirection www Redirection DNS Redirection SSH Redirection OVPN Access-List ANY vers clients (8080, SMTP, POP3, IMAP) 10.10.10.2:all -> 10.20.20.2:all 10.10.10.2:all -> 10.20.20.2:5901 10.10.10.3:all -> 10.20.20.2:80 Vlan 3 Admin Switch FE0/1.3 172.16.0.8 Vlan 118 Parc clients FE0/1.2 10.20.20.0/24 Ip nat inside - 20 -

PHASE 1 (4/8) Pôle Services Observations de l attaque : Saturation du livre d or DNS Spoofing Impacts : Impressions réelles noyées Récupération des accès au site de nos partenaires - 21 -

PHASE 1 (5/8) Pôle Services Sécurisation après 1 ère attaque : Sécurisation du serveur WEB mod-security Sécurisation du serveur DNS limitation des requêtes extérieures Édition de politique de sécurité consignes du bon navigateur sur Internet Développement d un espace restreint - 22 -

PHASE 1 (6/8) Pôle Utilisateurs Manipulations pour l attaque : Navigation sur le site : stri.net avec les clients XP Authentification sur le site DNS Spoofing : site pirate Impacts : Les clients se retrouvent sur un site pirate L attaque a pu récupérer les logins et mots de passe pour l accès au vrai site stri.net - 23 -

PHASE 1 (7/8) Pôle Utilisateurs Installation d un serveur de mails sur le contrôleur de domaine : Installation d Outlook Création des boîtes aux lettres à partir comptes de domaine Mise en place d un service DHCP : Plage de 10.20.20.3 à 10.20.20.5-24 -

PHASE 1 (8/8) Pôle Utilisateurs Problèmes rencontrés : Problèmes hardware sur le client XP sans SP2 Tentative d installation d Exchange dans la DMZ infructueuse - 25 -

Phase 2 Après la 2ème attaque du 20 novembre? - 26 -

PHASE 2 (1/7) Pôle Interconnexion Désactivation des services inutiles Protection de l'équipement : Prévenir les sessions orphelines Empêcher de bloquer le port console par trop de log Cacher les mots de passes dans les fichiers de configuration Protection des plantages ou blocage de process En cas de crash : envoi d un DUMP sur un serveur FTP - 27 -

PHASE 2 (2/7) Pôle Interconnexion Gestion des droits d accès : Déclaration des users avec mot de passe crypté Activation du modèle sécurisé AAA Changement des mots de passe - 28 -

PHASE 2 (3/7) Pôle Services Observations de l attaque : Redirection du livre d or sur un site de l attaque Impacts : Impossibilité d affichage du livre d or Risque pour l internaute de piratage - 29 -

PHASE 2 (4/7) Pôle Services Evolutions après l attaque : Sécurisation du code PHP et de la BD modification des types des champs dans la BD Mise à jour des systèmes Création d images de sauvegarde - 30 -

PHASE 2 (5/7) Pôle Utilisateurs Observations de l attaque : Mail bombing sur la boite de l administrateur de domaine par défaut Impacts : Faibles : ~3500 mails avec pièce jointe à supprimer - 31 -

PHASE 2 (6/7) Mise en place de Kiwisyslog : Pôle Utilisateurs Logs redirigés sur le poste de l audit Ghost des postes clients XP Sécurisation du DHCP : Attribution des IP en fonction de l adresse MAC Réduction de la plage à 2 adresses Désactivation du compte administrateur de domaine par défaut - 32 -

PHASE 2 (7/7) Pôle Utilisateurs Problèmes rencontrés : Ghost du serveur de domaine impossible avec notre version de Norton - 33 -

Phase 3 Après la dernière attaque du 7 décembre... - 34 -

PHASE 3 (1/3) Rapport Audit Bilan de sécurité n 4 : Plusieurs recommandations, par exemple : désactivation du démon telnet sur l'interface extérieure du routeur installation d'un antivirus sur les postes Windows, passage d'un scan pas de phpmyadmin en http (les mots de passe en clair seront récupérables sur le LAN) passage du serveur exchange du LAN à la DMZ - 35 -

PHASE 3 (2/3) Pôle Services Observations de l attaque : Paralysie totale de l accès aux serveurs et aux services Modification du site WEB Impacts : Paralysie totale de la société Candide-SA Perte de la crédibilité de la société - 36 -

PHASE 3 (3/3) Pôle Services Réparations après attaque finale : Récupération de la main sur les machines Récupération des logs Remise en état des machines - 37 -

Le Bilan du Projet - 38 -

BILAN (1/3) Au sein de l équipe Pas de problème d entente Entraide toujours présente Du point de vue pôle Communication : «difficulté» de diriger des personnes que l on connait anticipation sur les rapports - 39 -

BILAN (2/3) Avec les autres équipes Favoriser le travail de chaque équipe Se synchroniser avec les équipes Pas de problème de communication Une bonne entente en général - 40 -

BILAN (3/3) Bilan général Un tel projet : permet d avoir une meilleure vision du travail en équipe nous montre l approche gestion de projet favorise la communication et les échanges - 41 -

QUESTIONS - 42 -