2014 Défense & Supervision qdcri BONNET Louis FABRE Clément FRYDMAN Réouven GARRIDO Guillaume JACQUEMIN Thibaut LEROY Arnaud 3A SI
Sommaire I- Introduction... 3 1.1. Présentation du projet... 3 1.2. Les équipes... 3 II- Cahier des charges... 5 2.1. Contexte... 5 2.2. Répartition des tâches... 5 2.3. Planification... 6 III- Choix opérés... 8 3.1. Schéma d architecture... 8 3.2. VLAN... 9 3.3. Adressage IP... 10 3.4. Equipements physiques... 11 3.4.1. Routeurs... 11 3.4.2. Pare-feu... 12 3.4.3. Commutateur... 12 3.4.4. Borne Wifi... 13 3.4.5. Serveur... 13 3.5. Eléments de l architecture... 14 3.5.1. Partie interne... 14 3.5.2. Partie interne et externe... 17 3.5.3. Partie externe... 17 3.6. Machines virtuelles... 18 3.6.1. Serveur AD / DNS / NTP... 18 3.6.2. Serveur DHCP... 20 3.6.3. Serveur Nagios / Nessus... 21 3.6.4. Serveur IIS interne / externe... 30 3.6.5. Serveur Exchange... 31 Page 1
3.6.6. Serveur Radius... 32 3.6.7. Proxy... 33 3.7. Supervision... 34 IV- Plan d exécution et déroulement du projet... 35 4.1. Plan d exécution... 35 4.2. Déroulement du projet... 38 V- Phases du projet... 39 5.1. Analyse du projet... 39 5.2. Analyse des risques... 39 5.3. Répartition des tâches... 41 5.4. Analyse des outils et solutions techniques... 41 5.5. Mise en place de solutions... 42 5.6. Confrontations... 42 5.7. Analyse et correction des failles... 42 VI- Partie financière... 43 VII Conclusion... 49 Page 2
I- Introduction 1.1. Présentation du projet Dans le cadre de notre 3eme année à l ESGI, nous devons réaliser un projet annuel. Dans ce projet, trois équipes ont été formées et chaque équipe à un but précis. L équipe défense va devoir mettre en place l architecture et la superviser, l équipe supervision va devoir superviser cette architecture et l équipe attaque va devoir attaquer cette architecture. Lors d une première soutenance, nous avons défini une architecture prévisionnelle. Cette architecture a évoluée et nous l avons présenté lors d une deuxième soutenance. Les attaquants ce sont alors attaqués à l architecture mise en place à l école. Nous avons par la suite réalisé une nouvelle confrontation entre nous afin de donner le temps aux attaquants d affûter leurs attaques. L ensemble des confrontations ont pu révéler des failles et des incohérences, que nous avons par la suite corrigées. 1.2. Les équipes Les équipes mobilisées lors de ce projet annuel sont : L équipe Défense o BONNET Louis o GARRIDO Guillaume o JACQUEMIN Thibaut o LEROY Arnaud Page 3
L équipe Supervision o FABRE Clément o FRYDMAN Réouven L équipe Attaque o GRAU Alexandre o EBENE Axel o RANANJASON Kévin o WAN Anthony Page 4
II- Cahier des charges 2.1. Contexte Lors de ce projet annuel nous allons devoir réaliser une architecture pour l entreprise qdcri (Direction Centrale du Renseignement Intérieur). Nous allons présenter notre architecture ainsi que son évolution à travers le temps et à travers les différentes confrontations lors d une soutenance finale. La nature même du projet est de mettre en place une politique de sécurité au sein d une architecture de type professionnelle, de la superviser et la tester grâce à des tentatives d intrusions et de dénis de services. Un jury présidé par Mr. Hennou présidera la soutenance durant laquelle les attaques devront tenter de pénétrer dans le SI qdcri supervisé par l équipe supervision. 2.2. Répartition des tâches La répartition des tâches s est faite naturellement selon les affinités et l expérience de chacun via à vis des technologies utilisés. Les membres de l équipe défense et supervision ont travaillé ensemble afin de mettre en place l architecture a plus aboutie et la plus sécurisée possible tout en respectant le modèle CIA (Confidentiality Integrity Availability). Nous avons tous participé à la configuration générale du réseau mais nous avons chacun définit un périmètre et des responsabilités. Arnaud & Louis étaient en charge de la partie Firewall, Proxy et Switching. Thibaut était en charge de la partie Radius et Wifi. Guillaume était en charge de la partie routage, switching et DHCP. Page 5
Les autres services du réseau ont été mis en place et gérés par l ensemble du groupe. Clément & Réouven se sont occupés de la partie Nagios et IDS (Nessus). L équipe attaque était en charge de la conception de scripts et des audits de sécurité. 2.3. Planification Voici les dates des différentes soutenances et confrontations effectuées au court de l année : 1 ère soutenance : 02 décembre 2013 1 ère confrontation : 11 janvier 2014 2 ème soutenance : 13 février 2014 2 ème confrontation : 23 mai 2014 Soutenance finale : 11 juillet 2014 Page 6
Voici le diagramme de Gantt selon lequel l équipe QDCRI s est organisée : Page 7
III- Choix opérés 3.1. Schéma d architecture Voici le schéma d architecture logique mis en place. Page 8
Voici le schéma d architecture physique mis en place. 3.2. VLAN L architecture utilise les réseaux privés virtuels, ils sont définis ainsi : Page 9
3.3. Adressage IP Adressage IP des serveurs internes : Adressage du serveur DMZ : Page 10
Adressage des utilisateurs : 3.4. Equipements physiques Nous avons décidés de privilégiés les équipements physiques aux équipements virtuels. Notre architecture n utilise que des équipements Cisco. 3.4.1. Routeurs Nous disposons de deux routeurs Cisco : Cisco 887 GW Cisco 881 Un routeur jouera le rôle du routeur opérateur, l autre routeur jouera le rôle du routeur qdcri interne. Le routeur qdcri interne fait du routage inter-vlan, du routage statique et des ACL. Le routeur opérateur ne fait que du routage statique. Page 11
3.4.2. Pare-feu Le pare-feu utilisé est un pare-feu Cisco PIX 515 E, son rôle est de filtrer tous les paquets entrant et sortant à travers ses 3 interfaces : Interface Interne (vers le LAN) Interface Externe (vers le WAN) Interface DMZ Son rôle est essentiel dans la politique de sécurité de l entreprise. Le PIX fait également une partie du routage. 3.4.3. Commutateur Le commutateur utilisé est un commutateur Cisco 2960, son rôle est de commuter les paquets vers les bonnes machines tout en respectant les VLAN. Nous avons configuré une interface par VLAN, les administrateurs ayant accès à une interface qui laisse passer le VLAN 1 permettant l accès à tous les VLAN. Page 12
3.4.4. Borne Wifi La borne wifi est une borne Cisco 1242AG. 3.4.5. Serveur Le serveur est un serveur Dell PowerEdge. Page 13
Le serveur héberge les VM et possède 8 CPU et 20 Go de RAM. Voici ses caractéristiques détaillées : 3.5. Eléments de l architecture 3.5.1. Partie interne Serveur Exchange 2010 : Pour le serveur de messagerie, nous avons décidé de mettre en place un serveur Exchange 2010. DNS : Le DNS a été intégré à notre Active Directory afin de prendre en charge l inscription des contrôleurs de domaine dans notre espace de noms de domaines DNS. De plus, cela permettra de stocker et répliquer nos zones, et une fois les zones intégrées à Page 14
l annuaire, nous pourrons profiter au mieux des nouvelles fonctionnalités, telles que les mises à jour dynamiques sécurisées et les fonctions de nettoyage des enregistrements. Contrôleur de domaine/ad : Le choix du contrôleur de domaine fût rapide. En effet, par soucis de facilité et de connaissance du bon fonctionnement et de l utilisation dans beaucoup d entreprises, on a opté pour Windows Server 2008 R2. DHCP : Le DHCP est un service de l Active Directory que l on a configuré selon 5 pools d adresses afin de bien différencier les VLANs. Wifi : Nous avons décidé d installer un serveur RADIUS pour sécuriser l authentification Wifi. Au niveau de l Access Point, nous avons choisi un AP Cisco 1242 AG. Il y aura 2 VLANs : un guest et un nomade. Nagios : Le moniteur de supervision Nagios se fera en version 3.5. Il va nous permettre de surveiller les machines, ainsi que les services qui sont dans notre réseau. Cela permettra d éviter beaucoup d intrusions. Serveur IIS : Le serveur IIS comprend les différents services suivants : http / HTTPS / FTP /FTPD. Page 15
Serveur de temps (NTP) : Le serveur de temps (NTP) est un service directement installé sur l Active Directory afin de synchroniser tous les serveurs à la même horloge. Serveur de password : Ce serveur stockera les mots de passes grâce à une base keepass. Serveur RADIUS : Le serveur RADIUS est implémenté sur une VM Windows Server 2008. Page 16
3.5.2. Partie interne et externe Firewall : Après avoir beaucoup hésité entre Stonesoft, Junifer, ou les Iptables de Linux, nous avons décidé d opter pour un Cisco PIX. IPS : Nous avons opté pour une solution Nessus. VPN : Nous avons opté pour de l IPsec Remote Access. 3.5.3. Partie externe Proxy : Nous avons implémenté un proxy Bluecoat mais notre licence ayant expiré et n ayant pas de possibilité de renouvellement (autre que le paiement de la licence extrêmement cher), nous avons mis en place un proxy squid sur un VM Debian. Serveur IIS : Un serveur IIS comprenant FTP / FTPS / HTTP / HTTPS est implémenté en externe. Page 17
3.6. Machines virtuelles 3.6.1. Serveur AD / DNS / NTP Une machine virtuelle comprend les services Active Directory, DNS et NTP. Le service Active Directory (propriétaire Microsoft) permet un service d identification et d authentification centralisé. Les serveurs et les utilisateurs appartiennent au domaine qdcri.fr. Active Directory permet également d appliquer des stratégies, de distribuer des logiciels ou de réaliser des manipulations en tant qu administrateur du domaine sur n importe quel équipement faisant partit du domaine. Toutes les informations sont stockées dans la base de données Active Directory. Voici un screenshot du service Active Directory du serveur : Page 18
Le service DNS (Domaine Name System) permet de traduire une adresse IP en nom de domaine et inversement. Des zones de recherches directes et des zones de recherches inversées ont été définis, voici les screenshots des fonctionnalités : Le service NTP (Network Time Protocol) permet de synchroniser le réseau informatique avec l horloge locale des ordinateurs. Page 19
3.6.2. Serveur DHCP Dynamic Host Configuration Protocol (DHCP) est un protocole réseau dont le rôle est d assurer la configuration automatique des paramètres IP d une station, notamment en lui affectant automatiquement une adresse IP et un masque de sous-réseau. DHCP peut aussi configurer l adresse de la passerelle par défaut, des serveurs de noms DNS et des serveurs de noms NBNS (connus sous le nom de serveurs WINS sur les réseaux de la société Microsoft). Il distribuera des adresses en fonction du VLAN (vlan utilisateur & WIFI) Page 20
Voici une capture d écran de la configuration de notre serveur DHCP : 3.6.3. Serveur Nagios / Nessus NAGIOS Nagios (anciennement appelé Netsaint) est une application permettant la surveillance système et réseau. Elle surveille les hôtes et services spécifiés, alertant lorsque les systèmes ont des dysfonctionnements et quand ils repassent en fonctionnement normal. C'est un logiciel libre sous licence GPL.C'est un programme modulaire qui se décompose en trois parties : 1. Le moteur de l'application qui vient ordonnancer les tâches de supervision. 2. L'interface web, qui permet d'avoir une vue d'ensemble du système d'information et des possibles anomalies. 3. Les sondes (appelées greffons ou plugins), une centaine de mini programmes que l'on peut compléter en fonction des besoins de chacun pour superviser chaque service ou ressource disponible sur l'ensemble des ordinateurs ou éléments réseaux du SI. Page 21
Dans un second temps nous utiliserons le l outil Nessus, celui-ci nous permettra de voir les machines affectées par d éventuels attaques. Nessus est un outil de sécurité informatique. Il signale les faiblesses potentielles ou avérées sur les machines testées. Ceci inclut, entre autres : o o o o o o les services vulnérables à des attaques permettant la prise de contrôle de la machine, l'accès à des informations sensibles (lecture de fichiers confidentiels par exemple), des dénis de service... les fautes de configuration (relais de messagerie ouvert par exemple) les patchs de sécurité non appliqués, que les failles corrigées soient exploitables ou non dans la configuration testée les mots de passe par défaut, quelques mots de passe communs, et l'absence de mots de passe sur certains comptes systèmes. Nessus peut aussi appeler le programme externe Hydra pour attaquer les mots de passe à l'aide d'un dictionnaire. les services jugés faibles (on suggère par exemple de remplacer Telnet par SSH) les dénis de service contre la pile TCP/IP Page 22
Notre Nagios : Pour créer un hôte supplémentaire: Page 23
L ajout de services : Maintenant, afin de pourvoir superviser les hôtes et certaines caractéristiques spécifiques, comme vérifier si les différents rôles du serveur (DNS et WEB dans notre cas) ne sont pas tombés, nous avons créé des services adaptés à chaque besoin. Page 24
Ou alors créer une partie cliente afin d analyser la version du NSClient installés sur les hôtes, ou bien voir la charge CPU sur chacun d eux, etc... NSCLIENT++ Nous avons du bien évidemment procéder à l installation de l agent NSClient++ : NSClient++ est un agent ou service spécialement dédié à la supervision pour des environnements exclusivement Windows. Il tourne donc sur les machines Windows et permet de remonter diverses informations. Il se base sur une architecture Client/Serveur, ce qui veut dire qu il fonctionne avec une partie serveur qui sera un plugin Nagios. Il fonctionne également avec différents protocoles qui vont dépendre de votre utilisation. En mode fonctionnement NSClient, le serveur va venir interroger le client sur la machine à superviser, afin de récupérer l information souhaitée. Page 25
Voici un Schéma décrivant son fonctionnement : Supervision des serveurs et de leurs services via Nagios : Afin de pouvoir suivre en temps réel l activité des équipements et leur(s) problème(s), nous disposons de: - l interface Nagios, située sur http://adresseipdenagios/nagios Page 26
Voici ci-dessous les différents services, ainsi que quelques-uns des équipements à superviser : Page 27
Dans chacun des cas ci-dessus, nous pouvons voir (et même classer) différentes caractéristiques : - le nom de l hôte - le service correspondant - son statut (OK, Attention, Inconnu ou Critique) - depuis quand le statut est-il dans l état décrit ci-dessus - la date et l heure du dernier contrôle - le nombre de contrôles effectués ou qu il reste à faire - les informations sur le service NESSUS : Nessus est le scanner de vulnérabilité réseaux de Tenable Network Security. Par rapport aux autres scanners de vulnérabilité, Nessus a la particularité d'être basé sur une architecture client/serveur et d'être compatible avec Windows et Linux. En plus, Nessus stocke et gère toutes ses failles de sécurité grâce à un système de plugins. Nessus est capable de scanner un équipement (machine ou matériel réseau), un ensemble d'équipements (à partir d'un fichier ou d'une plage IP) ou encore un réseau entier. Page 28
Le résultat du scan fournira : - la liste des vulnérabilités par niveaux de criticité - une description des vulnérabilités - la méthode ou un lien pour solutionner le problème. Mais surtout Nessus est un logiciel qui effectue de réelles attaques et présente le résultat de ces attaques sous forme de rapport. Son utilisation peut donc être à double tranchant. D'un côté, une équipe sécurité peut l'utiliser pour scanner son réseau dans le but de prévenir les intrusions et les dénis de service. D'un autre côté, un hacker peut l'utiliser à des fins malhonnêtes et en profiter pour exploiter les vulnérabilités déclarées. Afin de pouvoir utiliser le logiciel Nessus nous devons avoir les droits administrateurs. Nessus se divise en deux parties : nessusd qui est un daemon (serveur) exécutant les requêtes ainsi que la communication avec la cible, et nessus, une application client qui récupère les données et affiche le résultat. Ce découpage est classique, le daemon tournant avec des privilèges élevés (root) alors que l'interface graphique, plus complexe et donc vulnérable, tourne sous l'identité d'un utilisateur non privilégié. Les tests sont joués par des greffons (ou plugins). Le serveur nessus (et ses greffons) ne se suffit pas à lui même dans le sens où il n'est pas possible de lancer un scan en ligne de commande. Il est indispensable d'installer une interface graphique pour 'piloter' nessusd. Par contre, il est tout à fait envisageable d'installer la partie serveur sur une machine et l'interface graphique sur une autre. Page 29
Ce projet effectué dans le cadre d un projet annuel nous a permis de comprendre les concepts de la supervision dans un système d information et de mettre en évidence l utilisation des outils Nagios et Nessus. L utilisation de l outil Nagios nous a permis de se mettre en situation réel en s imaginant dans un contexte professionnel. Ce logiciel mature et simple d utilisation très utilisé dans le monde professionnel nous a permis de consolider nos bases en Supervision des systèmes informatiques. Nous pensons que ce projet nous aidera Supervision. 3.6.4. Serveur IIS interne / externe Internet Information Services (IIS, anciennement Internet Information Server ) est un serveur web créé par Microsoft pour une utilisation avec Windows NT. IIS prend en charge HTTP,HTTPS, FTP, FTPS, SMTP et NNTP. IL a été une partie intégrante de la famille Windows NT depuis Windows NT 4.0, mais il peut être absent de certaines éditions (par exemple Windows XP édition Accueil). Dans notre infrastructure ce serveur servira aux utilisateurs de se connecter à l intranet. Les utilisateurs disposeront d une navigation sécurisé grâce au certificat fournis par notre service IIS (HTTPS). Page 30
Voici une capture d écran de la configuration de notre serveur IIS : 3.6.5. Serveur Exchange Microsoft Exchange Server est un logiciel de groupe de travail pour serveur de messagerie électronique créé par Microsoft, pour concurrencer Lotus Domino d'ibm. Microsoft Exchange est très utilisé dans les entreprises, 52 % du marché des platesformes de messagerie et de collaboration d'entreprise en 2008. C'est un produit de la gamme des serveurs Microsoft, conçu pour la messagerie électronique, mais aussi pour la gestion d'agenda, de contacts et de tâches, qui assure le stockage des informations et permet des accès à partir de clients mobiles (Outlook Mobile Access, Exchange Active Server Sync) et de clients Web (navigateurs tels que Internet Explorer, Mozilla Firefox, Safari(Apple)). Les utilisateurs disposeront d une boite mail nominatif liée à leur compte utilisateur du domaine QDCRI. Page 31
3.6.6. Serveur Radius RADIUS (Remote Authentication Dial-In User Service) est un protocole clientserveur permettant de centraliser des données d'authentification. Le protocole RADIUS a été inventé et développé en 1991 par la société Livingston, qui fabriquait des serveurs d'accès au réseau pour des matériels uniquement équipés d'interfaces série, il a fait ultérieurement l'objet d'une normalisation par l'ietf. Dans le cas de notre infrastructure, les utilisateurs se connectant aux ressources de l entreprise pourront naviguer sans soucis grâce au serveur radius. Voici une capture d écran de la configuration du serveur RADIUS : Page 32
3.6.7. Proxy La solution que nous avons retenue est un proxy SQUID sous unix. Squid est un serveur mandataire, en anglais un proxy, entièrement libre et très performant. Il est capable de gérer les protocoles FTP, HTTP, HTTPS et Gopher. Il est généralement utilisé dans certaines entreprises et universités pour des fonctions de filtrage d'url ou en tant que tampon. Les pages Internet sont stockées localement ce qui évite d'aller les recharger plusieurs fois et permet d'économiser la bande passante Internet. Page 33
3.7. Supervision La supervision est la «surveillance du bon fonctionnement d un système ou d une activité». Elle permet de surveiller, rapporter et alerter les fonctionnements normaux et anormaux des systèmes informatiques. Elle répond aux préoccupations suivantes : technique : surveillance du réseau, de l infrastructure et des machines ; applicative : surveillance des applications et des processus métiers ; contrat de service : surveillance du respect des indicateurs contractuels ; métier : surveillance des processus métiers de l entreprise. On ajoutera les actions réflexes à cette surveillance du système. Ce sont les réactions automatisées en fonctions d alertes définies. En cas de dysfonctionnement, le système de supervision permet d'envoyer des messages sur la console de supervision, ou bien d'envoyer un courriel à l'opérateur. Mais si le dysfonctionnement se produit en dehors des heures de bureau, et en l'absence de système approprié, l'alerte n'est pas reçue par l'opérateur, et les utilisateurs des applications ne sont pas prévenus du dysfonctionnement. C'est pourquoi il peut être utile de compléter le superviseur par un logiciel de gestion des alertes, qui envoie automatiquement un courriel, un SMS, ou un appel téléphonique à un opérateur sous astreinte. Dans le cadre de notre projet annuel, l équipe de supervision va être un élément clé. En effet, elle aura pour but d analyser chaque fait et geste de l attaque et rapporter immédiatement les éventuelles failles que seuls les superviseurs voient via leur dashboard. Afin de pouvoir effectuer cette supervision nous allons nous servir de l outil de supervision Nagios dans un premier temps. Page 34
IV- Plan d exécution et déroulement du projet 4.1. Plan d exécution Réouven : Au cours de ce projet, je vais en priorité mettre en place Nagios afin de superviser tous les équipements de notre infrastructure (Serveurs, Switchs, Routeur, ). Nous avons aussi décidé avec toute l équipe de mettre en place Nessus pour un monitoring plus complet et plus précis, surtout au niveau du scanning. De plus, j apporte mon aide et mes connaissances sur l architecture matérielle de ce projet. Arnaud : Dans ce projet, je vais devoir mettre en place le firewall. Pour cela, nous sommes partis sur un firewall IPTABLES, mais un membre de notre groupe a pu récupérer un firewall Cisco PIX, nous avons donc décidé d utiliser un Cisco PIX en utilisant l ASDM. Pour le proxy, nous avons d abord implémenté un Bluecoat mais la licence étant onéreuse, nous avons mis en place un proxy Squid. La partie switching a consisté à configurer les bons VLAN sur les bons ports. Clément : Pour ma part, j ai fait Nagios en étroite collaboration avec Reouven. Il nous a été très utile lors des différentes confrontations, notamment pour relever une faille simple, qui aurait pu nous être fatale mais qui a été immédiatement corrigée par la défense. Page 35
Louis : De mon côté, je m occupe de la partie firewall avec Arnaud, la solution finale retenue est un Cisco PIX via la console ASDM. Je vais m occuper notamment de la mise en place du serveur NTP synchronisé avec l Active Directory Comme le dit Arnaud, pour la solution du Proxy nous allons mettre en place une solution Microsoft. Ma tâche est aussi de mettre en place des GPO sur le controleur de domaine pour sécuriser l accès aux utilisateurs du domaine. Guillaume : Je m occupe de la mise en place de la partie VPN, pour les utilisateurs faisant du télétravail. J ai décidé d utiliser un VPN IPsec, implémenté de base sur les routeurs Cisco récents, il est très facile à mettre en place et son utilisation est rapide. Les utilisateurs nécessitant un accès VPN seront ajoutés au groupe AD VPN et recevrons via GPO le logiciel Cisco Vpn Client, ainsi que le fichier de configuration qui leur permettront de se connecter directement au routeur et le trafic sera routé vers le VLAN interne pour qu ils puissent utiliser les ressources de l entreprise tout en étant dehors. Pour le FTP je n ai pas encore totalement définis la solution que je vais retenir, en effet la solution microsoft ne permet pas dans la version que j utilise de faire du SFTP mais uniquement du FTPS. Je vais analyser plus en détail les différences entre ces deux solutions. De plus je m occuperais de la configuration du switch afin de le segmenter en plusieurs VLANs. Thibaut : Je m occupe de la partie wifi du réseau qdcri. Ce dernier permettant l accès aux réseaux de différentes façons à travers les bornes. En effet, nous avons à ce jour constitué deux types d utilisateurs et donc deux réseaux, le réseau GUEST et le réseau Nomade, chacun caractérisé par un vlan. Et nous avons ciblé le matériel Page 36
que nous utiliserons, un Access point Cisco Aironet qui nous permettra cette gestion par vlan, un serveur Radius sur un windows server 2008, et l AD. L importance est de limiter l accès aux données sensibles que possède l entreprise. Donc une sécurité Logique : en effet, le réseau GUEST permet à ce jour d accéder à Internet par notre réseau. Alors que le réseau Nomade est plus complexe. A travers l implémentation d un serveur Radius, qui, avec des autorisations de groupes liés à la base Active directory gérée par Réouven, nous voulons donner l accès aux données de l entreprise de manière logique aux utilisateurs. Ce serveur sera monté via un système Windows Server 2008 R2, et se situera dans la partie serveur Interne de l entreprise en VLAN 150. De plus, la mise en place d un serveur TFTP qui sera mutualisé avec le service FTP fait partie des tâches à effectuer. Alexandre : Suite à nos confrontations, une cartographie de l'infrastructure et divers scanners ont pu être effectués. Ainsi, nous avons pu mettre en évidence les points faibles sur lesquels l'équipe défense devait se pencher (extrait de rapport fourni : mieux segmenter les VLAN, configuration firewall entre DMZ et LAN, résistance au DOS, filtrage proxy,...). Aucune faille critique n'a été relevée compte tenu du temps dont nous avons disposé ainsi que la taille de l'infrastructure lors de la réalisation de l'audit. Ainsi, quelques questions subsistent quant au déroulement de la réelle confrontation... Anthony : Je m occupe de mettre en place le site web externe. Celui-ci fonctionne sur le système d exploitation Ubuntu avec apache HTTP Server. Apache est un serveur web permettant de partager des pages web stockées localement à des utilisateurs connectés : des clients. La configuration d'un tel serveur peut paraître fastidieuse puisqu'elle demande quelques connaissances de base de Linux et Ubuntu. Page 37
Je mets également en place des attaques constituées de logiciels déjà développés par des utilisateurs tiers. Ce sont des outils de piratage mais par la même occasion des logiciels d audit. Ils concernent avant tout la numérisation du réseau. Ils permettent aussi le scannage des ports pour trouver les failles dans le système. Enfin, il existe aussi un logiciel pour pouvoir décrypter les mots de passe cryptés. 4.2. Déroulement du projet L équipe défense prévoit toutes les attaques envisageables afin de protéger son réseau dans toutes les situations. Afin de contrer et de repousser l attaque jusqu au bout, la défense aura besoin de l équipe de supervision qui est chargée de produire des audits et des rapports qui permettront d analyser les trames et de pouvoir combler les failles plus facilement. Afin de bien sécuriser notre réseau nous avons et continuons d analyser les différentes failles des services que nous allons mettre en place, ce qui nous orientera premièrement vers un choix succin de fournisseurs. Une fois la partie test / audit de solutions finie, le choix final sera réalisé avec l équipe au complet. Nous pourrons alors commencer à organiser et déployer en toute sécurité les différentes solutions choisies. Pour une meilleure tolérance aux pannes, nous avons d ores et déjà conclu et décidé que nous aurons une architecture en miroir, c est-à-dire que les services, firewall, routeurs et commutateurs seront tous en redondance, ce qui nous permettra une continuité de services qui est importante pour notre entreprise. Les deux parties seront reliées via un cluster de firewalls ou bien par routeur et dans un sous-réseau différent. Une fois la mise en place de quelques services, et une fois le script de l attaquant terminé, des pentests auront lieu afin de voir éventuellement les failles que nous aurions laissées et pouvoir ainsi les corriger avant la présentation. Page 38
V- Phases du projet 5.1. Analyse du projet Nous avons chacun fait une analyse juste après le lancement du projet pour essayer d anticiper les taches qui nous seraient éventuellement attribué à l avenir. 5.2. Analyse des risques Au cours de ce projet, les risques probables sont les suivants : Changements à opérer au cours du projet Manque d expertise de la maîtrise d œuvre Conflits entre utilisateurs Mauvaise installation Délais insuffisants Fuite d information Insécurité du système d'information 1) Changements à opérer au cours du projet : Traitement envisageable : La probabilité que des changements opèrent au cours du projet est assez élevée. En effet, il se peut que notre architecture change face à une attaque qui sera sans pitié. Des améliorations devront aussi être faites après plusieurs audits de sécurité, ainsi qu une supervision. Nous n aurons pas d autres choix que de diminuer le risque en faisant plusieurs modifications techniques. 2) Manque d expertise de la maîtrise d œuvre : Traitement envisageable : La réalisation de ce projet nécessite de nombreuses connaissances en sécurité informatique. Nous devrons réaliser un cahier des charges nécessitant beaucoup de ressources. De ce fait, il est possible que nous ayons parfois du mal à structurer Page 39
notre système d information comme un administrateur réseau dans une entreprise l aurait fait. Chaque personne de l équipe à au moins une tâche à réaliser, mais il n est pas contraint d être toujours autonome, et pourra donc transférer son risque vers une autre personne de l équipe plus apte à la réaliser afin de ne pas laisser de failles. 3) Conflits entre utilisateurs : Traitement envisageable : Un projet est avant tout composé de ressources humaines. Il est bien connu que la plus grosse vulnérabilité du système d information est l être humain lui-même. Ainsi, des conflits entre utilisateurs de la même équipe peuvent éclater, notamment dû à des incompréhensions internes. Il faut donc impérativement, dans ce cas-là, éliminer l activité qui amène au risque et trouver un autre moyen de faire. 4) Mauvaise installation : Traitement envisageable : Beaucoup de machines virtuelles seront déployées sur un ESX au cours de ce projet afin de minimiser les coûts au maximum. De ce fait, une mauvaise installation peut amener à des failles de sécurité assez conséquentes et peut même en venir à endommager notre SI. Nous devrons réduire le risque si on ne veut pas subir un grand nombre d attaques. 5) Délais insuffisants : Traitement envisageable : Un bon projet se constitue d une certaine qualité, de coûts, et surtout de délais à respecter. En effet, les délais de ce projet sont faits sur l année scolaire, mais quelques soutenances doivent être rendues au cours de cette année, nous nous devons donc de les respecter en conservant le risque tel quel. Page 40
6) Fuite d informations : Traitement envisageable : Comme dit précédemment, le plus gros risque dans un projet de sécurité informatique est l erreur humaine. Il suffit d une fuite d informations et la situation est directement renversée. Nous devons être très prudents sur notre façon de communiquer, nos échanges, ainsi que sur notre façon de penser en se mettant souvent à la place des attaquants : c est le seul moyen de ne pas subir d attaques trop lourdes et de diminuer le risque. 7) Insécurité du système d information : Traitement envisageable : La première chose à faire après avoir créé nos serveurs est de les sécuriser. Pour cela, nous avons mis en place un firewall, un proxy, un serveur antivirus, un VPN pour un accès interne de l extérieur sécurisé, un serveur RADIUS pour une authentification sécurisée, et plusieurs audits de sécurité seront faits afin de pouvoir combler une insécurité dans le cas où il y en aurait une sur notre système d information, ce qui mènerait à une élimination de l activité qui amène au risque. 5.3. Répartition des tâches Nous avons commencé par lister les tâches à effectuer. Nous nous sommes répartis les tâches en fonction de nos compétences professionnelles et de nos préférences. 5.4. Analyse des outils et solutions techniques Un point sur les outils et solutions à mettre en place au sein de notre projet était nécessaire, nous avons donc tous réfléchis aux éventuels outils pour mettre en place une architecture réseau et la sécuriser un minimum tout en les associant à nos tâches. Page 41
5.5. Mise en place de solutions Nous avons commencé la mise en place des outils choisis lors de l analyse sur nos machines virtuelles (pour les serveurs) puis nous faisons un point assez souvent lors de nos semaines de cours pour visualiser les outils tous ensemble. 5.6. Confrontations Voici les différents éléments qui ont retenus notre attention : Mise en évidence de points faibles Segmentation des VLAN Configuration FW entre DMZ et LAN Résistance au DOS Filtrage proxy (dût au fait que le proxy n était pas encore configuré) Absence de faille critique Cependant, la confrontation a eu lieu sur une architecture non définitive et l équipe attaque a eu peu de temps pour se préparer. La deuxième confrontation a relevé des failles au niveau du DHCP et du DNS, nous avons fait notre maximum pour combler les failles. 5.7. Analyse et correction des failles Une fois nos outils mis en place, il fallait penser aux potentiels failles de nos systèmes/matériaux et aux éventuelles intrusions malveillantes. Grâces aux confrontations nous avons pu nous faire une idée de l analyse à avoir pour parer ces failles, cela a permis aussi d analyser nos points les plus faibles Page 42
VI- Partie financière Tout au long de ce projet, nous avons dû faire des dépenses dans le but d assurer la haute disponibilité du service et sa performance maximale. Afin de choisir le meilleur rapport qualité/prix, nous avons fait quelques études de benchmarking. Pour le serveur, qui a été notre plus gros achat, nous avons fait le benchmark suivant : - Performances en écriture - Performances en lecture - Performances en effacement - Performances des I/O Cependant, nous avons dû faire face aux problèmes financiers qu un tel projet pouvait engendrer : c est pour cela que nous avons choisis d investir dans un serveur Dell-Poweredge 1950, afin de pouvoir continuer en toute sérénité nos différentes tâches liées à ce projet. Nous estimons avoir travaillé 120h (20h * 6 personnes) pour la réalisation de notre projet, nous avons rencontré des difficultés qui ont causé des heures supplémentaires. Voici un tableau récapitulant nos besoins matériels : Page 43
Voici un schéma type d un plan financier sur lequel un projet de ce type doit se baser : D après un sondage, pour 1/3 des PME, le manque de ressources est un frein majeur à leurs investissements. Selon l étude, les entreprises n ont pas encore l habitude de recourir à des tiers pour lever les contraintes financières liées aux fonds propres et ainsi débloquer le lancement de leur projet. Elles ne remettent pas forcément en cause le coût d utilisation de leurs fonds propres et le manque de flexibilité de cette solution d investissement. Nous avons au début hésité pour l achat du serveur ou la location : un de nous a dû avancer le serveur pour toute l équipe. Néanmoins, si 68% des PME françaises préfèrent en premier choix recourir à leurs fonds propres, 61% d entre-elles ont déjà utilisé un financement externe. Elles y voient de nombreux avantages comme la possibilité de lisser dans le temps la charge financière et la flexibilité apportée. Les principaux bénéfices du financement externe cités : - la transparence et le contrôle des coûts pour 90% ; - éviter les investissements lourds lors du lancement du projet pour 87% ; - anticiper des paiements abordables et prévisibles pour 80% ; Page 44
- libérer les ressources financières internes pour 72% ; - Aligner le flux des paiements sur les bénéfices attendus du projet pour 71%. Les projets informatiques sont des projets particuliers au sein d une entreprise car ils touchent aussi à l immatériel (services informatiques, logiciels). Les moyennes entreprises le savent et près de 50 % d entre elles perçoivent comme un atout, le recours aux services de financement de leur prestataire informatique mieux à même de les accompagner. La gestion d une PME se trouve confrontée notamment aux préoccupations suivantes : Le suivi des projets informatiques, car tout dépassement de temps se répercute très rapidement sur les résultats du projet. La nécessité d une analyse permanente de la rentabilité, d autant plus indispensable compte tenu de l importance de chacun des projets. La pluri-annualité des projets, en décalage avec les exercices comptables. Le pilotage opérationnel est assuré pour chaque projet par : La mise en œuvre de modèle d ordonnancement avec décomposition des projets, (en étapes, puis en phases et enfin en tâches), Un suivi de la réalisation via des fiches de suivi, des réunions périodiques L ajustement éventuel des plannings initiaux en temps ou en affectations de ressources. Cependant, le suivi des charges correspondantes n est pas effectué dans ce cadre. Chacune des phases du projet fait l objet d une «recette» par le client. Ce dernier vérifie que l état d avancement du projet correspond bien à ce qui avait été prévu par le contrat. L entreprise a recours à une procédure budgétaire classique avec établissement des prévisions, analyse des écarts entre prévisions et réalisations. Cependant, dans le cadre de la procédure budgétaire, le budget n est pas détaillé par projet, car les caractéristiques des projets sont encore majoritairement inconnues au moment de l élaboration des budgets. Page 45
Le système spécifique pour le pilotage financier des projets a pour objectif de permettre, au cours de la réalisation du projet : Le suivi financier mensuel des projets, avec une analyse par projet (c est-à-dire pour chaque contrat signé avec le client.) Une analyse financière des en-cours. Afin de mieux suivre la rentabilité des projets en cours de réalisation, on a cherché à déterminer quelle est la part de la prestation effectivement réalisée (produite) et par conséquent potentiellement «facturable». Il s agit du nombre de jours «produits». Finalement, la méthode adoptée pour déterminer ce nombre de jours «produits» est une méthode indirecte. Il est en effet demandé aux responsables de projet de déterminer d abord le temps nécessaire pour terminer le projet ou «reste à faire». Le nombre de jours «produits» est ensuite calculé en faisant la différence entre le nombre de jours prévus par le contrat et le nombre de jours restant à faire pour mener à bien le projet. Nombre de jours «produits» = nombre de jours prévus pour le projet - nombre de jours «restant à faire» Ce nombre est à comparer au nombre de jours-hommes consommés. La question de la fiabilité des données de départ conditionne la qualité des informations. Les données concernant les conditions de vente sont attestées par un document juridique. Cependant, ces données sont le résultat à la fois des prévisions initiales et de la négociation avec le client. Ainsi, le résultat du projet dépend en grande partie de la qualité de ces prévisions initiales. Le nombre de nombre de jours consommés fait l objet d une vérification par le contrôleur de gestion. L estimation du temps nécessaire pour terminer le projet est la donnée la plus délicate. Page 46
La fiabilité de cette information est toutefois confortée par : la relation avec le client qui conduit à des vérifications périodiques de l état d avancement des travaux, l expérience professionnelle des responsables de projet les «retours d expérience» des projets réalisés antérieurement. Le traitement des informations pose la question de la pertinence des méthodes d approximation telles que la valorisation avec un coût moyen calculé à partir de la totalité des charges sur une période de six mois. La nécessité d obtenir rapidement des informations a conduit à adopter cette solution. L usage a ensuite contribué à son maintien. Car les écarts constatés ensuite étaient acceptables. Au plan informatique, toute la réalisation, le traitement et la diffusion sont effectués à partir d un tableur et ne relèvent pas d un système informatique intégré. Pour l ensemble des données et des informations diffusées, le contrôleur de gestion vérifient leur cohérence avec : les données et informations de la comptabilité générale tel que le total des charges, les données et informations de la comptabilité analytique. La diffusion des informations relatives au pilotage financier des projets s effectue via un tableau de bord mensuel transmis à la direction générale et aux directeurs de projet. Les informations présentées ici ne représentent qu une partie des informations de ce tableau de bord. Nous avons choisi les informations les plus utilisées au regard de la gestion de projet De fait, la pertinence des informations ainsi obtenues se mesure au regard de l utilisation qui en est faite. Or, ces informations ont été jugées utiles pour : anticiper des dérives en termes de jours de réalisation et en termes financiers. prendre les mesures éventuellement nécessaires : alerter les équipes qui travaillent sur le projet, renégocier certains aspects du contrat, Page 47
avoir une estimation plus précise du résultat en cours d année, une estimation financière de la valeur des en-cours, notamment dans le cas particulier des en-cours de la société rachetée. Page 48
VII Conclusion Le projet se décompose en plusieurs phases qui ont marqué cette année : - La 1 ère soutenance qui nous a permis de mieux se focaliser sur ce que l on devait faire au cours de ce projet. Elle nous a aussi donné la possibilité de nous recadrer quant au travail à fournir et les différentes tâches à réaliser. - La 1 ère confrontation qui nous a montrés que l attaque était bel et bien capable de trouver des failles, et c est ce qu elle a parfaitement exécuté. Elle nous a rapporté les failles et les vulnérabilités à combler pour être prêt pour les prochaines confrontations, et principalement la confrontation finale. - La 2 ème soutenance nous impose une architecture définitive qui nous sert à se focaliser sur un modèle bien précis. On a pu changer à nouveau complètement notre vision des choses et faire une topologie plus adaptée à la sécurité et aux besoins d une entreprise. - La 2 ème confrontation est de loin la plus grosse frayeur engendrée depuis le début. Quelques attaques comme l usurpation d adresse IP ou le scan de notre réseau interne ont réussi à se faufiler au sein de notre défense. On a donc décidé, après cette confrontation, de combler ces failles. Le travail en équipe est réellement intéressant : on exploite au maximum les qualités de chacun en allant les chercher au plus profond d eux-mêmes. Cela révèle parfois des surprises et c est aussi cela qui rend un projet meilleur. Page 49