Rapport - Site du laboratoire
Contents
1. HAAN i WHI Il IN HN WH HA HH I HH Mi HANI Hi all HU Hii LU fl A st TN A TAH if ll HY ih il ll Ht A GN IA A i ANAM HA A A A AA eee O wl HIN LL aA HAMAR nt Hii init nt Hh Il HA TERT2. Figure 1 VMware nous avertis bien qu il est possible que le syst me ne s installe pas car la compatibilit n est pas assur e et nous fournit le lien pour v rifier les pr requis cit s pr c demment Appuyez sur Continue T i ni op 7 ilb n
3. E S 10 2 3 120 SERVERO1DC Ports scanned 1024 of 1024 opened 9 dosed 1015 Open ports 9 H g Closed ports 1015 Jardon el Hiny Noureddine 4 amp User Configuration MRS File Action View Help e alr B BE a 1 Policies b Software Settings 4 Windows Settings p D Name Resolution Policy Scripts Startup Shutdown 4 B Security Settings b S Account Policies Local Policies Event Log L Restricted Groups La System Services La Registry La File System T Wired Network IEEE 802 3 Polic 5 Windows Firewall with Advance A ay Windows Firewall with Advat 3 Inbound Rules E3 Outbound Rules Bmw Connection Security Rule LT Network List Manager Policies p al Wireless Network IEEE 802 11 P p gt 1 Public Key Policies bp Software Restriction Policies p L Network Access Protection bp Application Control Policies gt amp IP Security Policies on Active Dir p Advanced Audit Policy Configur b gly Policy based QoS b L Administrative Templates Policy defini p L Preferences BUS eee ee Se p Policies b 5 Preferences ms gt 2013 2014 Name potas Active Directory Domain Controlle Active Directory Domain Controller Active Directory Domain Controller Active Directory Domain Controller 4 aicmp any amp any Certification Authority Enrollment core Networking Destination Unr DFS Management SMB In File and Printer Shar
4. e Connecting to smb 10 2 3 120 _ Cet ordinateur ne faisant pas parti du domaine il lui est impossible de se connecter aux partages Jardon el Hiny Noureddine 2013 2014 29 Test num ro 6 Quels sont les ports du serveur visible pour un ordinateur hors domaine Firewall OFF 3 Advanced Port Scanner v1 3 File Options Help paz g an Select IP 10 2 3 120 QF Userange Scan Use group of ranges Select ports range fa 65535 F Use default ports list M Use ports ranges list 0 1023 RADMIN remote control software fast secure affordable Add Delete Update Save E S 10 2 3 120 SERVERO1DC Ports scanned 1024 of 1024 opened 10 dosed 1014 Load l efault po i l es ox File Action View Help e 5 4 1 Policies b 5 Software Settings 4 1 Windows Settings b D Name Resolution Policy Scripts Startup Shutdown 4 B Security Settings gt 53a Account Policies b ci Local Policies b gi Event Log b L amp Restricted Groups gt CA System Services gt D amp Registry gt D File System b En Wired Network IEEE 802 3 Polic 4 _ Windows Firewall with Advancel E Network List Manager Policies b iaf Wireless Network IEEE 802 11 P b J Public Key Policies 4 Windows Firewall with Advat EX Inbound Rules E3 Outbound Rules Ba Connection Security Rule p gt C Software Restriction Policies p L 1 Network Access Protection b L 1 Application Co
5. Logon GUID 8dc3f625 fdcc 8bf1 83a6 014485d5f7dc Service Information Service Name SERVEROIDCS Service ID ITBSSPRO SERVEROIDCS Network Information Client Address affff 10 2 2 6 Client Port 49380 Additional Information Ticket Options 0x40800000 Ticket Encryption Type Ox12 Failure Code 0x0 Transited Services Log Name Security Source Microsoft Windows security Logged 28 03 2014 18 07 28 Event ID 4769 Task Category Kerberos Service Ticket Operations Level Information Keywords Audit Success User N A Computer Server01DC itbsspro com OpCode Info More Information Event Log Online Help Informations importantes Nom d utilisateur Adresse IP de l ordinateur Test num ro 1 2 Logoff de l utilisateur Security ID ITBSSPRO secretaire Account Name i Account Domain Logon ID This event is generated when a logon session is destroyed It may be positively correlated with a logon event using the Logon ID value Logon IDs are only unique between reboots on the same computer Log Name Security Source Microsoft Windows security Logged 28 03 2014 18 09 39 Event ID 4634 Task Category Level Information Keywords Audit Success User N A Computer Server01DC itbsspro com OpCode Info More Information Event Log Online Help Jardon el Hiny Noureddine 2013 2014 26 Test num ro 1 3 Echec de l authentification General Details Kerberos pre authentication f
6. Microsoft MS DOS terminated Recent Tasks Name Target cs Des _ figure 4 Pour le Network laissez par d faut Pour la cr ation du disque virtuelle entrez la taille de disque souhaiter Puis faire finish Nous avons donc pu configurer notre machine virtuelle mais le syst me d exploitation n y est pas encore pr sent Nous allons passer son installation Nous devons faire en sorte que la machine virtuelle boot sur le lecteur CD Pour cela proc dez comme tel Ins rez le disque d installation de Windows dans le serveur Dans vSphere Client clique droit sur notre machine virtuelle puis edit settings O22 66 File Edit View Inventory Administration Plug ins Help A Home gt sg Ta D ii 2 Inventory u gt o O mec k Windows Server 2012 DC 4B Windows other dns op Windows Server 2012 Backup i a Summary Resource Allocation Performance Events Cq LB Windows Server 2012 DC Power gt chine Guest gt software computer that like a Snapshot gt ns an operating system and Open Console ating system installed on a virtual fas Edit Sees uest operating system Add Permission Ctri P machine is an isolated computing use virtual machines as desktop or Report Performance ents as testing environments or to Rename plications Open in New Window Ctri Alt N on hosts The same host can run Remove from Inventory Delete from Disk Basic
7. SAM Select IP 10 2 3 120 To Userange f Sean E Scripts Startup Shutdown Active Directory Domain Controller SAM Use group of ranges 2 Security Settings Baicmp Select ports range jo 65535 F Use default ports list b ai Account Poanes any F Use ports ranges list p di Local Policies a 0 1023 x lus Certification Authority Enrollment and Mai p D System Services core Networking Destination Unreachabl DFS Management SMB In Add Delete Update Save Load efault po gt CA Registry 1 i p I File System File and Printer Sharing Echo Request ICI gt ig Wired Network IEEE 802 3 Polic File and Printer Sharing NB Datagram In 4 2 Windows Firewall with Advance V1 File and Printer Sharing NB Name In r Windows Firewall with Advat File and Printer Sharing NB Session In E3 Inbound Rules File Server Remote Management SMB In E3 Outbound Rules Netlogon Service NP In Fa Connection Security Rule Network Discovery NB Datagram In 5 Network List Manager Policies Network Discovery NB Name In gt gaff Wireless Network IEEE 802 11 P Remote Event Log Management NP In gt Public Key Policies oO Remote Service Management NP In p E Software Restriction Policies Virtual Machine Monitoring Echo Request p 11 Network Access Protection Active Directory Domain Controller Echo b 21 Application Control Policies Active Directory Domain Controller LDAP b amp
8. curit En effet une politique de s curit trop restrictive peut limiter les fonctionnalit s offertes 1 8 Analyse des risques Comme nous l avons dit pr c demment notre r seau est un intranet Nous n avons pas d acc s depuis l ext rieur Dans notre sc nario nous supposons que notre serveur de fichiers et le contr leur de domaine sont hors d atteintes d attaques physiques En effet celui ci est situ dans un local prot g dont seuls les administrateurs ont acces Nous nous occuperons donc notamment de tous les probl mes de s curit s li s aux ordinateurs des clients aux acces distants sur le serveur aux contr les d acc s sur le r seau sur les fichiers et la configuration des comptes et des droits des utilisateurs par le biais de GPOs En effet il est important de g rer les comptes efficacement pour viter que des comptes ne se retrouve avec des droits ou des privil ges trop lev s viter que des utilisateurs peuvent se connecter au r seau sans autorisation ou modifier la configuration des ordinateurs Mettre en place un syst me afin d viter le sniffing des paquets par un chiffrement des donn es entre le client et le serveur eavesdropping man in the middle afin d viter la fuite d information L eavesdopping consiste a se connecter sur le r seau et d couter les diff rents changes de paquets entre les machines sans alt rer leur contenu Il est difficile de d tecter ce genre d att
9. de temps ou de connaissance la s curit informatique est un des piliers fondamental pour assurer la p rennit d une entreprise mais cet l ment reste souvent peu ou mal g r Un des plus grands challenge est de pouvoir r fl chir aux diff rents probl mes de s curit et de pouvoir en limit les cons quences d de mauvaises conceptions ou de configurations Il convient de noter que de nos jours les syst mes d informations deviennent de plus en plus complexes Nous pouvons constater la pr sence d un grand nombre de logiciels de services sur un serveur d une grande quantit de donn es et de logiciels de gestions et de s curit s Au final cette complexit augmente le risque de possibilit s de failles dans notre systeme En effet a chaque logiciel d install une faille peut tre rajout e Il en est de m me pour les logiciels de s curit en eux m mes Une mauvaise configuration de ce dernier entrave la s curit que ce logiciel est cens apporter Le pire nous pensons tre prot g mais cela n est pas le cas Le risque 0 malgr les moyens mis en place ne peuvent assurer une s curit sans failles Mais il y a certains l ments de bases en mati re de s curit et de managment qu il faut prendre en compte La notion de s curit est vague En effet nous pouvons parler de s curit physique contr le d acc s aux salles serveurs aux ordinateurs de s curit logique n cessitant l utilis
10. ICH9 NVIDIA MCP55 Installation d ESXi Ins rez le disque contenant ESXi Booter sur le disque Un menu apparaitra S lectionnez ESXi 5 5 standard installer et patienter durant le chargement Une fois le SHELL termin PS RAR ENTRER sur quel disque installer a 2c a Disk to Instal ip bet it lon a IS
11. IP Security Policies on Active Dir p 5 Advanced Audit Policy Configur gt gly Policy based QoS p 5 Administrative Templates Policy defini Active Directory Domain Controller LDAP Active Directory Domain Controller LDAP Active Directory Domain Controller Secur fl CS Active Directory Domain Controller Secur 4 th User Configuration Active Directory Domain Controller W327 gt I Policies Active Directory Domain Controller RPC Active Directory Domain Controller RPC E ae iwe Directone Weh Services TCP In lt mi gt lt ul afar amp Pr p L Preferences 1 Test num ro 9 Est il possible de lire un CD Search Computer Organize AutoPlay Eject Properties System properties Uninstall or change a program gt z gt CI Jr Favorites 4 Hard Disk Drives 1 BR Desktop Windows C ig Downloads aor 283 GB free of 298 GB Li Recent Places 4 Devices with Removable Storage 1 Libraries DVD RW Drive D Disque sans titre a Music Eon nr Pictures 4 Network Location 1 HE Videos ___ Labo SERVERO1DC Z SS mic ai 30 7 GB free of 39 6 GB omputer Location is not available Network ii D is not accessible Access is denied A DVD RW Drive D Disque sans titre Space free 0 bytes File system UDF toi CD Drive Total size 693 MB Jardon el Hiny Noureddine 2013 2014 31 Test num ro 10 L l vation de privil ges est e
12. Mat riel n cessaire Pour ce travail voici la liste du mat riel 1 ordinateur avec ESXi d install 1 ordinteur avec un client Windows 7 1 ordinateur avec un client Windows 8 1 1 NAS avec le Datastore de ESXi 1 switch netgear GS724T 1 10 Pourquoi un Hyperviseur Pour commencer nous allons utiliser pour contenir les serveurs Windows une architecture virtualis e gr ce un hyperviseur ESXi 5 5 L hyperviseur nous permettra d avoir un grand nombre de machines virtuelles en assurant un cout de fonctionnement minimal et un meilleur rendement lectricit ESXi fait partie de la virtualisation de type 1 assurant performance conomie d nergie consolidation des serveurs s curit cloisonnement entre les machines et possibilit s de prendre des snapshots permettant de revenir un tat pr c dant lors de tests L administration se fera partir d un client poss dant le logiciel vSphere Client 5 5 offrant une connexion s curis e vers l hyperviseur en GUI avec SSL L installation de ESXi reste ais e Mais il faut faire attention aux possibles probl mes de compatibilit Si cette partie vous int resse la proc dure d installation et de configuration d taill e se trouve en annexe Jardon el Hiny Noureddine 2013 2014 8 I1 Windows Server 2012 Datacenter Edition 2 1 Administration et protection des comptes utilisateurs Dans cette premi re partie nous allons nous int resser aux diff rents l
13. confidentialit des donn es et l int grit de ces derni res doit s assurer que tous les syst mes communiquant r pondent un certain niveau de s curit En effet si les ordinateurs ne peuvent n goci les param tres de s curit IPSec pour le partage des donn es ils ne r pondent donc pas au pr requis fixer par la soci t et repr sente donc un risque qu une machine commence changer des donn es de mani re non s curis es ou dans le cadre d un pirate intercepte des donn es non s curis es Les protocoles utilis s seront Ah et ESP afin de garantir un maximum de protection AH nous permettra de v rifier l int grit des donn es et l authentification des syst mes communicants mais n offre pas de syst me cryptographique Il est donc important de rajouter ESP dans un mode transport Dans ce mode il n y a pas d authentification des syst mes mais offre une int grit partielle des donn es et un service de chiffrement 2 4 4 2 Configuration IPSec Ces deux protocoles sont compl mentaires et seront donc utilis s conjointement Les algorithmes suivants seront utilis s pour l change des clefs et la protection des donn es Int grit SHA 384 int grit Chiffrement AEC CBC 256 Echange des clefs DH24 Authentification Kerberos V5 bas sur les comptes ordinateurs ou utilisateurs Une nouvelle clef sera cr e apres 100 Mbytes ou 60 minutes afin de pouvoir limiter les inte
14. dossiers Enregistrement des acc s sur ces dossiers Authentification utilisateur pour l acc s au r seau 802 1x Authentification par certificats client Certificats r cup rable par IS http 10 2 3 120 certsrv Controle d int grit et chiffrement des donn es transmises sur le r seau par IPSec IPSec optionnel pour toutes communications request security Jardon el Hiny Noureddine 2013 2014 4 IPSec obligatoire pour les connections aux dossiers partag s require security Gestion centralis e du firewall 1 6 Probl matique Comme nous pouvons le constater aujourd hui gr ce au partage de connaissances il devient ais de monter un serveur ou de mettre en place un r seau ou des services avec de simples fonctionnalit s Nous pouvons mettre en places des infrastructures simples telles que des serveurs web dns ftp chez soi ou en entreprise avec de moins en moins de connaissances Cela apporte donc des probl mes de s curit m me si il s agit d un intranet comme dans notre cas aussi bien pour les particuliers que pour les petites entreprises qui sont la recherche parfois d une mise en service rapide pouvant r pondre leurs besoins Les pirates informatiques en sont bien conscients et profitent de cet essor de services Aujourd hui nombreux sont les probl mes dans le monde de l informatique notamment en mati re de s curit Que se soit pour des raisons financi res un manquement de ressource
15. garder une trace Des questions sont se poser Qui s est connect sur les machines Y a t il eu des modifications concernant les comptes utilisateurs A t on essayer de se connecter sur un compte pr alablement bloquer 2 2 1 El ments de configurations Voici une liste des diff rents elements a prendre en compte Audit account logon events Audit account and user account management Audit SAM database access Audit File Share access Ces diff rentes politiques doivent tre activ es sur toutes les machines du r seau aussi bien pour les tentatives r ussies que celles qui ont chou s Jardon el Hiny Noureddine 2013 2014 12 2 2 2 Sc nario Nous pouvons imaginer en cas de probl me la situation suivante un utilisateur distrait oublie de fermer sa session durant une pause Il s ensuit qu un utilisateur ind licat prend son poste et vole des donn es Grace aux politiques d audit il sera possible de voir qu une activit suspecte a eu lieu L utilisateur l gitime de la machine sera interpell mais celui ci niera toute implication m me d avoir oublier de verrouiller sa session Grace au log nous pouvons voir effectivement que durant ce vol de donn e ni l ordinateur ni le serveur de log n aura enregistrer une action de verrouillage de session avant le vol et m me quelles donn es ont t prises La responsabilit incombe l utilisateur et des sanctions peuvent tre prise
16. ments de configurations importants concernant la gestion des comptes et l audit de ces derniers Il faut prot ger les ordinateurs et les serveurs contre des tentatives de login non autoris es En effet en cas de probl me il est important de pouvoir garder une trace des diff rentes actions li es aux comptes En effet sans contr le nous augmentons les risques d une attaque qui ne serait que tardivement d tect e Toutes ces donn es seront stock es dans les logs du serveur Grace au fait que nous sommes dans un domaine Windows il sera plus facile de pouvoir g rer la s curit et ce de mani re centralis e gr ce aux GPOs Nous allons mettre en place des r gles de s curit s en ce qui concerne les mots de passes et les login des utilisateurs aussi bien sur les postes clients que sur le serveur pour les comptes locaux et les comptes du domaine I existe toute une myriade d l ments de configurations pour la protection des comptes utilisateurs ceux ci sont heureusement configurables partir de notre serveur Active Directory Nous pouvons prendre exemple d une soci t qui souhaite avoir une politique stricte en mati re de s curit sur le contr le des comptes notamment sur les mots de passes afin d viter tout login non autoris 2 1 1 El ments de configuration Des l ments simples tels que Un blocage des comptes apr s un certains nombres de login 5x Un blocage limi
17. s aux dossiers Les utilisateurs peuvent cr er modifier supprimer les informations dans leurs partages Les utilisateurs ne peuvent pas voir ou modifier les attributs et les permissions faire un changement de propri taire Jardon el Hiny Noureddine 2013 2014 16 Nous assurons ici un confinement des informations et des comptes Encore une fois en utilisant les GPO nous allons contr ler certains des acc s aux syst mes et aux fichiers Nous allons voir certains l ments de configurations permettant de d ployer ces politiques partir du serveur Active Directory 2 3 2 Contr le des moyens de connections sur les machines Voici quelques l ments voir Allow logon localy pour le serveur seul les administrateurs sont autoris s Pour les postes clients les administrateurs et les utilisateurs du domaine sont autoris s Access this computer from network nous avons un serveur de fichier il est donc important de laisser les administrateurs et les utilisateurs du domaine la possibilit de se connecter sur le serveur Deny logon through RDP Nous n autorisons aucun acc s a distance sur les machines avec RDP Do not allow enumeration of SAM Database and shares nous interdisons a tous les utilisateurs anonymes de pouvoir lister les ressources enregistrer sur le contr leur de domaines tels que les partages Do not display user info when session is locked and do not display last username C
18. utilisateur n a plus qu installer le certificat puis l utiliser lors de la demande de connextion Ill Test Maintenant que nous avons pu mettre en place nos diff rentes politiques de s curit il est important de pouvoir tester si tout est correct par le biais des informations enregistr es dans les logs de type s curit du serveur Nous allons voir 1 Tests d authentification de l utilisateur v rification logs 1 1 Login 1 2 Logoff 1 3 Echec 2 Test d acc s au partage v rification logs 2 1 R ussi 2 2 Echec Que se passe il si nous d sactivons un compte utilisateur Que se passe il si nous d sactivons un compte machine Que se passe t il si un client n a pas la bonne configuration IPsec Firewall Quels sont les ports du serveur visible pour un ordinateur hors domaine Firewall OFF 7 Quels sont les ports du serveur visible avec Firewall pour un ordinateur hors domaine Firewall ON Any incoming traffic allowed 8 Quels sont les ports du serveur visible avec Firewall pour un ordinateur hors domaine Firewall ON 9 Est il possible de lire un CD 10 L l vation de privil ge est elle possible PN UE e Jardon el Hiny Noureddine 2013 2014 25 Test num ro 1 1 logon de l utilisateur r ussi utilisateur secr taire General Details A Kerberos service ticket was requested Account Information Account Name secretaire ITBSSPRO COM Account Domain ITBSSPRO COM
19. 4 Lorsque nous prenons une machine nous avons toujours des comptes locaux pr d finis bien connus qui sont la cible des attaques Le compte administrateur ainsi que le compte invit Tr s souvent le compte administrateur est activ avec le nom administrateur et nous renseigne tout de suite sur le niveau de privil ge Il est important d effectuer les changements suivants Changer le nom Mettre un mot de passe fort D sactiver ces comptes locaux 2 2 Mise en place des politiques d audit et de surveillance Nous avons pr c demment mis en place un moyen de prot ger les comptes utilisateurs mais avons nous r ellement la preuve de son fonctionnement Sommes nous vraiment prot g et avons nous un moyen de v rifier I est vident qu une soci t aimerait pouvoir s assurer de r ellement poss der le contr le de ses comptes Il est essentiel de pouvoir voir si il y a eu des tentatives de connections qui ont chou s Nous allons donc mettre en place des politiques d audit afin de pouvoir inscrire dans les logs des v nements susceptible de montrer des acc s non autoris s que se soit au niveau des comptes des acc s aux ressources etc lorsque nous sommes dans une entreprises beaucoup de choses peuvent se passer mauvais login acc s a des ressources non autoris es cr ation d utilisateurs ou de groupes Il est important de pouvoir savoir ce qu il se passe et surtout d en
20. Directory ESXi 5 5 hosting Kerberos DNS Server 2012 File Server Radius Server IP X Log Server IP 10 2 3 124 DNS 10 2 3 120 GW 10 2 0 1 Sp Name NASO1 IP 10 2 3 66 16 IP 10 2 3 120 16 DNS 10 2 3 120 DNS 127 0 0 1 GW 10 2 0 1 GW 10 2 0 1 Name server01dc Hidden Shares 10 2 3 120 labo 10 2 3 120 secretariat Caching disabled IPSec Link Users Administrator Physical Ethernet labo l Connection IPSec Wndows 7 secretaire Integrity SHA 384 IP 10 2 3 122 16 Groups Q Confidentiality AES CBC 256 DNS 10 2 3 120 laboG Key Exchange DH24 GW 10 2 0 1 secretariatG Windows Firewall Authentication Kerberos Name PC02 Figure 1 Sch ma du r seau 1 2 Descriptif Cette tude propos e par l tudiant concerne la bonne configuration s curitaire d un intranet bas sur des produits Microsoft Server 2012 et Windows 7 Une m thode par raffinements successifs est conseill e incluant les divers tests unitaires Cadre du projet e Domaine Windows e Serveur de fichiers e Authentification 802 1x et avec jeton e Utilisation de l hyperviseur ESXi 5 5 pour faciliter les tests snapshot Jardon el Hiny Noureddine 2013 2014 3 1 3 Travail demand Cette tude comprend les tapes suivantes 1 Recherche des documents utiles manuel d installation best practices 2 Sp cification des tapes Tenir compte des d pendances Analyse des risques Validation par le prof 3 Confi
21. HAH WAH TA D ii I mit i il QUIL M Figure 2 il LL Acceptez le contrat de License F11 Accept and Continu S lectionnez le disque sur lequel l installer Confirmez la suppression de donn es sur le disque Ins rez un mot de passe fort HEpia10 et attendez la fin de l installation Jardon el Hiny Noureddine 2013 2014 35 6 3 Configuration Nous allons maintenant proc der la configuration IP du serveur Allez dans la console appuyer sur F2 deux fois et entrez le login S lectionnez configure Managment Network puis IP Configuration puis set static IP address and network configuration IP 10 2 3 66 SM 255 255 0 0 GW 10 2 0 1 Retourner au menu pr c dent et s lectionner DNS configuration Entrez comme serveur primaire 10 2 3 120 et secondaire 10 2 3 121 Hostname ESXi Une fois l installation et la configuration de base termin e aller sur un poste client et ouvrez une page internet Ins rer l adresse IP de ESXi afficher sur la console pour t l charger le logiciel de control vSphere https 10 2 3 66 Acceptez l erreur de certificat Sur la page WEB cliquez sur Download vSphere Client et proc dez a l installation Un raccourci sera cr e sur le bureau 6 4 Pr paration l installation de Windows Serveur 2012 Maintenant nous allons proc der l installation de Windows Server en passant par l hyperviseur Ouvrir VMware vSphere Client IP Address 10 2 3 66 Usernam
22. MEL Hes Haute cole du paysage d ing nierie et d architecture de Gen ve SECURITE DES SYSTEMES D INFORMATION INTRANET SECURISE BASE SUR LES PRODUITS MICROSOFT Jardon el Hiny Noureddine Projet de semestre Hepia 2014 Fili re ITI 3 Jardon el Hiny Noureddine 2013 2014 1 Table of Contents PAL mat a LE DO Le dE DE tte ter En peter srt treater ere E 3 SR Cee ee A ee eee 3 ADECCO te ee nenee A ere ee een ree er ee er eee ee eee 3 LES A M se LUE UK 6 110 LE PR E A A eer nee eee rere eee eee eer 4 COR cca eg cst nsec ce ect cn se ene cats cnc un EE x eign eset EE E AE EE 4 LS CARE LCG CHARS ee cena 4 LOI Prope mMa aTe ten tere e taesecnent E sty erreer naar er ort eereC mea ne pert octet een ne merce cere 5 1 7 Les notions abord es seront les suivantes inner 6 1 8 Analyse des risques sise 6 1 9 Materiel 1 CCOS SAR nine ee ne eme ets 8 1 10 Pourquoi un Hyperviseur eeesseseesseseecsessseeeeseseseseeseaeasseassseseseneseiseeacacaeasasesesenseneneacaees 8 11 Windows Server 2012 Datacenter Edition 9 2 1 Administration et protection des comptes utilisateurs ss 9 DAD Elements de COMPIG UT GOI ramener en AAE AR 9 LL 2 RCO CONS E D D D ti is 10 2 1 3 Tableau de r sistance d attaques mms 11 2 2 Mise en place des politiques d audit et de surveillance 12 2 1 Elemen OC CON MO AIO ia cess nets pele pees 12 OO cea A even detectors eee etary 13 2 2 EX DUCOUONS ee ere a Me te ie 13 2 3 Protection des acc s
23. P source Quel dossier partag on tente d acc der Test num ro 3 d sactivation d un compte utilisateur puis utilisation de ce compte labo General Details A user account was disabled Subject Security ID ITBSSPRO administrator Account Name administrator Account Domain ITBSSPRO Logon ID 0x49161 Target Account Security ID ITBSSPRO labo Account Name labo Account Domain ITBSSPRO Log Name Security Source Microsoft Windows security Logged 28 03 2014 18 26 01 Event ID 4725 Task Category User Account Management Level Information Keywords Audit Success User N A Computer Server01DC itbsspro com OpCode Info More Information Event Log Online Help Jardon el Hiny Noureddine 2013 2014 28 Informations importantes Quel compte a t d sactiv labo Par qui administrator Message sur poste client this user account was disabled Test num ro 4 d sactivation d un compte machine puis utilisation de ce compte Information importante Le poste client est averti que le compte machine n existe pas sur le serveur Aucun utilisateur peut se logger en utilisant la machine M me un administrateur Test numero 5 Cons quences d une mauvaise configuration IPSec There was a problem connecting to the server 10 2 3 120 Check the server name or IP address and then try again If you continue to have problems contact your system administrator
24. Tasks BB Shut down the virtual machine EE Suspend the virtual machine i Edit virtual machine settings Recent Tasks Name Name Target Status Details Initiated by Requested Start Ti Figure 5 Dans l onglet Hardware s lectionnez le lecteur CD et configurez telle que l image Cela permettra de connecter le lecteur CD la machine virtuelle et de booter dessus Jardon el Hiny Noureddine 2013 2014 37 Sees File Edit View Inventory Administration Plug ins Help Windows Server 2012 DC Virtual Machine Properties Hardware Options Resources Virtual Machine Version 8 m Device Status a 10 2 3 66 M Show All Devices are Remove hee D Mae sa A rare En T F Connect at power on E Windows Server 2 Memory 4096 MB CPUs 2 Video card Video card VMCI device Restricted SCSI controller 0 LSI Logic SAS CD DVD drive 1 ivmfs devices cdrom Hard disk1 Virtual Disk Floppy drive 1 Client Device Network adapter 1 VM Network Device Type Client Device Virtual Device Node IDE 1 0 CD DVD drive 1 Figure 6 S lectionnez la machine virtuelle puis appuyer sur le bouton en vert Power on Jardon el Hiny Noureddine 2013 2014 38
25. ailed Account Information Account Name secretaire Service Information Service Name krbtgt ITBSSPRO Network Information Client Port 49413 Additional Information Ticket Options 0x40810010 Failure Code 0x18 Pre Authentication Type 2 Certificate Information Certificate Issuer Name Certificate Serial Number Certificate Thumbprint Log Name Security Source Microsoft Windows security Event ID 4771 Level Information User N A OpCode Info More Information Event Log Online Help Client Address affff 10 2 2 6 Security ID ITBSSPRO secretaire Logged 28 03 2014 18 12 20 Task Category Kerberos Authentication Service Keywords Audit Failure Computer Server01DC itbsspro com Informations importantes Echec Nom d utilisateur Adresse IP de l ordinateur Test num ro 2 acc s au dossier partag dossier labo utilisateur labo r ussi General Details Subject Account Name labo Account Domain ITBSSPRO Logon ID OxF4E1B Network Information Object Type File Source Address 10 2 2 6 Source Port 49421 Share Information Access Request Information Access Mask 0x100081 More Information Event Log Online Help A network share object was checked to see whether client can be granted desired access Security ID ITBSSPRO labo Share Name Labo Share Path 7 C Users Administrator Documents Drive Labo Relative Target Name Ac
26. alement pour l l ment en question surveiller configurer les regles d audit A partir de la des enregistrements d acc s seront effectu es dans les logs Nous pouvons par exemple pour les utilisateurs classiques sp cifier l enregistrement concernant la lecture ou la modification d un fichier A partir de la la soci t a une preuve crite inscrite dans les logs de toute action sur les ressources Il est difficile pour un utilisateur de nier avoir falsifier modifier supprim ou voler le fichier Tout est enregistr e Voici la page suivante le principe de fonctionnement d un syst me le logging Toutes les machines enverront au contr leur de domaine des events qui seront inscrit dans ses logs en fonction de la configuration que nous avons vu ci dessus Jardon el Hiny Noureddine 2013 2014 14 DOMAIN ITBSSPRO COM Event Logging Windows Server 2012 R2 Datacenter Edition ESXi 5 5 hosting Server 2012 Log Server Login and access to shares actions are logged and stored to the AD Server IP 10 2 3 120 16 DNS 127 0 0 1 GW 10 2 0 1 Name server01dc IP 10 2 3 66 16 DNS 10 2 3 120 GW 10 2 0 1 Windows 7 IP 10 2 3 121 16 DNS 10 2 3 120 GW 10 2 0 1 Name PC01 Wndows 7 IP 10 2 3 122 16 DNS 10 2 3 120 GW 10 2 0 1 Name PCO2 Figure 5 Event Logging Et voici un exemple d inscription dans les logs d v nement concernant les logon El Ev
27. aques Ce genre d attaques est plus difficile a mettre en uvre lors de l utilisation de switch mais toujours possibles Jardon el Hiny Noureddine 2013 2014 6 Exemple d eavesdropping ID Victim assword Secret gt J File Server ID Victim Password Secret ID Victim Password Secret W Web Server Attacker Database Server Figure 2 Eavesdropping Dans le cadre des man in the midde attacks elles restent sophistiqu es et nous pouvons aller de la simple coute de paquets linterception puis la modification ou dans l impersonation afin de remplacer un des protagonistes lors de la communication dans le but de voler des informations tels que des documents logins mots de passes Man in the middle attack A Original connection gt ion a connection Man in the middie Phisher or annonymous proxy http Avww computerhope com Figure 3 man in the middle attack 1 https www owasp org images 4 48 Eavesdropping jpg 2 http www computerhope com jargon m maninthemiddleattack jpg Jardon el Hiny Noureddine 2013 2014 7 Nous nous pencherons donc sur les points suivants Administration des comptes utilisateurs Monitoring des comptes Administration des contr les d acc s des fichiers et monitoring Controle d acc s au r seau IP 802 1x et chiffrement Configuration d un firewall et ouverture des ports 1 9
28. ation de logiciels antivirus firewall Il y a galement des aspects de gestion des utilisateurs De mani re centralis e cela facilitera le travail de l administrateur non seulement pour l ajout ou la suppression de comptes mais galement pour la gestion des acc s Dans le cadre de ce projet nous nous concentrerons sur les aspects de gestions des utilisateurs et des ressources en g n ral par le biais de Active Directory En effet de petites failles de s curit ou de simples mauvaises configurations peuvent avoir des cons quences allant de la simple g ne la fermeture de l entreprise Jardon el Hiny Noureddine 2013 2014 5 1 7 Les notions abord es seront les suivantes Mise en uvre d un syst me de gestion des utilisateurs Active Directory Mise en uvre d un serveur de fichiers avec contr le d acc s Utilisation de certificats pour l authentification Authentification avec 802 1x Configuration d un Switch supportant le 802 1x Quand nous parlons ici de configuration il s agit non seulement de mettre en place les diff rentes fonctionnalit s mais galement de la s curit En effet l installation et la configuration de base ou simple d un quipement ou d un logiciel admet un bon nombre de fonctionnalit avec une s curit en g n ral peu satisfaisante Il convient l utilisateur de faire le compromis entre fonctionnalit s et niveau de s
29. au serveur de fichiers et syst me de partage et de stockage 16 23 1 Configuration des partages Cl ACLs manon i 16 2 3 2 Contr le des moyens de connections sur les machines ns 17 29 23 Empecher la copie de donne oS sereias aae ua ae ini nee 17 2 3 4 Emp cher l l vation de privil ges Ann 18 2 4 Gestion des connexions entre les serveurs et les clients 19 24 1 Signature et GIT OO CAO en aa 19 A FA NCCT a E E A T E E E T E 20 2 4 3 Utilisation du pare feu Windows avanC ssss ssssssssrrssrressrensnrnnrrennnnnnnnnnenrnnnnrnnnnnnrnnnnnnnnnnns 21 2 4 4 Utilisation de IPSecurity avec le pare feu Windows rennes 22 FE TROIS EIA E I A E E A AA N E A E A eaten 24 D TOSE PR AEAEE EEA EENE ERE 25 IV Probl mes rencontr s ccccccccccccccccccsccecccccecceccsscescsccescescscsccscescescescesseese 32 A VMWARE acetone etn EEOSE E EEE AOE AEA fase ester EEEE 32 A 5X0 8 ore onr aee CPS E 32 RAR A EA ENAN E A A N O O E E 32 Adi ASE EE E EAD 33 ER e E E E E ee 33 w CON eira a E EEEE E ERES 34 W ANNEE eapi rT 34 C Pregeo E E E E E EEE EERE E 34 62 TA Ora he o E EN 35 63 O16 000524802 16 0 Cee eee eee eee eee Se ee eee 36 6 4 Pr paration l installation de Windows Serveur 2012 36 Jardon el Hiny Noureddine 2013 2014 2 I Introduction 1 1 Sch ma DOMAIN ITBSSPRO COM NAS Hosting Server 2012 virtual disks RAID 1 ave R Windows Server 2012 R2 Datacenter Edition Client Radius 802 1x Active
30. auvais login n tait pas enregistr Jardon el Hiny Noureddine 2013 2014 32 4 4 Firewall et IPSec I m a t impossible d activer le log du firewall La configuration s effa ait chaque fois I m est arriv d appliquer la configuration du firewall ou de l IPSec en premier au serveur ce qui emp chait le client de r cup rer la configuration et donc il fallait d sactiver la politique et d abord la d ployer au client I m est arriv d appliquer le require security au client et cette fonctionnalit ne fonctionnant pas correctement il m est arriv de l appliquer en premier au client ce qui le bloquait d finitivement I m tait impossible d effacer la configuration du client et la machine n tait plus utilisable Les communications taient bloqu es car elles n cessitaient un chiffrement et une authentification Il ma fallu beaucoup de temps afin de diagnostiquer les probl mes li s au require security En effet une fois activ les machines ne semblaient pas pouvoir communiquer pour l change des donn es concernant l authentification et le chiffrement et les machines ne pouvaient plus communiquer Mais parfois cela fonctionnait tout de m me Je n ai trouv aucune explication ce sujet qui m a valu de perdre plusieurs jours de travail pour les diagnostiques et les tests Cette solution a t abandonn e et remplac e par le request security Toujours appliquer la configuration au client d ab
31. cesses SYNCHRONIZE ReadData or ListDirectory ReadAttributes Log Name Security Source Microsoft Windows security Logged 28 03 2014 18 15 37 Event ID 5145 Task Category Detailed File Share Level Information Keywords User N A Computer Server01DC itbsspro com OpCode Info e el Conv Informations importantes R ussie Nom d utilisateur Jardon el Hiny Noureddine 2013 2014 27 IP source Quel dossier partag est acc d Test Num ro 2 2 acc s au dossier partager dossier labo utilisateur secr taire chec General Details A network share object was checked to see whether client can be granted desired access Subject Security ID ITBSSPRO secretaire Account Name secretaire Account Domain ITBSSPRO Logon ID OxFCC2A Network Information Object Type File Source Address 10 2 2 6 Source Port 49444 Share Information Share Name WMLabos Share Path 7 C Users Administrator Documents Drive Labo Relative Target Name Access Request Information Access Mask 0x30 Accesses ReadAttributes Access Check Results A Log Name Security Source Microsoft Windows security Logged 28 03 2014 18 17 32 Event ID 5145 Task Category Detailed File Share Level Information Keywords Audit Failure User N A Computer Server01DC itbsspro com OpCode Info More Information Event Log Online Help Informations importantes Echec Utilisateur I
32. dius Authentification par certificat client uniquement EAP TLS Login autoris de 8h 20h Service NPS de Microsoft Le service NPS Network Policy Server nous permet de mettre en place les politiques de connexions Nous pouvons par exemple y sp cifier quelles sont les heures de connexions autoris es quel m canisme d authentification partir de quel client RADIUS la demande d authentification peut se faire etc La configuration compl te du service NPS se trouve sur ce site http blog meigh eu 2013 01 16 email post aspx Client Client serveur RADIUS RADIUS EAP Start EAP Request Identity EAP Response Identity RADIUS Access Request EAP Request Authentication RADIUS Access Challenge EAP Response Authentication RADIUS Access Request EAP Success RADIUS Access Accept EAP Failure T RADIUS Access Reject Figure 10 m canisme 7 http www igm univ mlv fr dr XPOSE2007 jgauth02_RADIUS img connect png Jardon el Hiny Noureddine 2013 2014 24 D livrance du certificat Par souci de simplicit dans se laboratoire la d livrance de certificat se fait par le biais du serveur http 10 2 3 120 certsrv Il serait possible de mettre en place un syst me de d livrance automatique mais cela n est pas utile dans notre Cas Pour rentrer sur le site il faut etre un utilisateur autoris authentification par username password Le certificat sera cr e en fonction de ces informations L
33. e root Password HEpia10 Faire un clique droit sur l IP repr sentant notre ESXi et s lectionnez New Virtual Machine E 10 2 3 66 vSphere i File Edit View Inventory Administration Plug ins Help bs E2 A Home p Ej Inventory p Ep Inventory at Mware ESXi 5 5 0 1331820 Evaluation 21 days remaining nmary Virtual Machines ResourceAllocation Performance Configuration Local Users amp Groups Events Permissions uter that uses virtualization software such ermission to run virtual machines Hosts provide the e gt y resources that virtual machines use and 4 ines access to storage and network 2 ing a virtual appliance Open in New Window Ctrl Alt N to add a virtual machine is to deploy a virtual appliance A virtual appliance is a pre built virtual irtual machine to a host by creating a new machine with an operating system and software already a SS installed A new virtual machine will need an operating system installed on it such as Windows or Linux Basic Tasks 5 Deploy from VA Marketplace at Create anew virtual niatie Le Learn about vSphere v Recent Tasks Name Target or Status contains Clear Details Initiated by Requested Start Ti Start Time Completed Time ZA Tasks Evaluation Mode 21 davs remainina root Figure 3 S lectionnez Typical dans la configuration Nom de la machine virtuelle Windows Server 2012 DC Dans la part
34. ela nous permettra d viter qu un pirate recense les noms des utilisateurs Nous venons de limiter les possibilit s de login sur les machines en fonction des risques de s curit s En effet un utilisateur lambda ne doit pas pouvoir se connecter physiquement sur un serveur de fichier ou distance en utilisant RDP 2 3 3 Emp cher la copie de donn es Les soci t s sont en g n ral tr s sensibles au vol d informations Mais que pouvons nous faire contre cela Pouvons nous emp cher un utilisateur lambda d ins rer une clef USB dans une machine pour voler des informations ou de propager un virus par le biais de cette clef La r ponse est oui On refuse cat goriquement l utilisation du floppy du lecteur CD et de clefs USB tout le personnel Jardon el Hiny Noureddine 2013 2014 17 Voici les l ments importants Floppy drives deny execute read write CD and DVD deny execute read write Removalbe disks deny execute read write All removale storage deny execute read write Ces politiques configurable dans les GPO permet de sp cifier un blocage total de tous les lecteurs amovibles et d viter par le biais de ce mat riel une copie non autoris e Nous pouvons bien sur sp cifier des exceptions pour le directeur par exemple 2 3 4 Emp cher l l vation de privil ges Mais maintenant que la plupart de ces politiques sont sp cifi s pour les utilisateurs qu en est il des administrateurs Nou
35. ent Viewer Hi Application Log W Security Log M System Log M Directory Service 8 DNS Server 8 File Replication Service 4 http technet microsoft com en us library Bb742435 lgeven03_big l en us gif f Success Audit Ed Success Audit gf Success Audit of Success Audit cess Audit of Success Audit gf Success Audit of Success Audit of Success Audit f Success Audit gf Success Audit f Success Audit f Success Audit gf Success Audit of Success Audit of Success Audit of Success Audit gf Success Audit 4 10 10 2000 10 10 2000 10 10 2000 10 10 2000 10 10 2000 10 10 2000 10 10 2000 10 10 2000 10 10 2000 10 10 2000 10 10 2000 10 10 2000 10 10 2000 10 10 2000 10 10 2000 10 10 2000 10 10 2000 10 10 2000 10 10 2000 11 47 51 AM 11 47 51 AM 11 47 51 AM 11 47 51 AM 11 47 51 AM 11 46 08 AM 11 45 58 AM 11 45 53 AM 11 45 54 AM 11 45 53 AM 11 45 53 AM 11 45 44 AM 11 45 44 AM 11 45 44 AM 11 45 43 AM 11 45 43 AM 11 45 43 AM 11 45 43 AM 11 45 43 AM Hi 1i Figure 6 Event Logging logon Jardon el Hiny Noureddine 2013 2014 15 2 3 Protection des acc s au serveur de fichiers et syst me de partage et de stockage Qui a le droit de se logger localement sur le serveur de fichier D effectuer des connections sur le file serveur et d acc der aux fichiers et dossiers partag s A t on le droit d utiliser le lecteur CD ou une clef USB Est il possible de faire une l vation de pri
36. guration et tests sur PCs du labo 4 Analyse des r sultats avec recommandations pour r alisation en entreprise 1 4 Contexte Le but de ce projet est la mise en place d une architecture s curis e r seau serveurs syst mes de gestion dans une salle de laboratoire avec diff rents quipements Je vais mettre en place les Best Practices en ce qui concerne des notions de s curit pour un fonctionnement optimal Un r seau a part sera mis en place pour les tests et les d ploiements des syst mes et logiciels Ce travail sera une simulation en laboratoire et ne repr sente pas un r seau d une entreprise existante Ce travail d velopp sur un nombre faibles de machine aura pour but de montrer et de mettre en place des notions de s curit et de permettre son int gration dans des r seaux existants plus importants 1 5 Cahier des charges Dans ce laboratoire je vais simuler une soci t qui demande pouvoir s curiser au mieux son infrastructure en interne contre les acc s non autoris s au serveur de fichier aux donn es et aux comptes utilisateurs Les services demand s par cette soci t sont les suivants Active directory Serveur de fichier 2 utilisateurs labo et secr taire 2 dossiers partag s visible en tant que partage r seau labo accessible uniquement par l utilisateur labo et secr tariat uniquement accessible par l utilisateur secr taire ACL _ L administrateur n a aucun acc s ces
37. hines connect es Parois m me sans que nous sachions v ritablement qui s est connect au r seau Plusieurs m thodes peuvent tre mise en place afin de limiter ces probl mes Nous parlerons ici des m thodes int gr es de Windows pour assurer une protection des communications par le biais du chiffrement de la signature et de l authentification des connections et des protagonistes fonctionnalit s natives IPSEC Kerberos ainsi que de l acc s au r seau par le biais d une autorit d authentification d acc s RADIUS 2 4 1 Signature et chiffrement natif Windows integre heureusement pour tous les membres du domaine deux fonctionnalit s activ es par d faut Digitally sign communications Digitally encrypt or sign secure channel Ces politiques forcent les ordinateurs et serveurs du r seau appartement au domaine a signer les paquets SMB par exemple et chiffrer les sessions de communications Ils ne pourront pas communiquer ensemble si cette politique n est pas respect e Cela permettra d viter des attaques telles que le man in the middle dans le cadre de modification de donn es ou server or user impersonation En effet un pirate pourrait intercepter ou modifier des paquets SMB ou impersonifier un syst me afin d avoir acc s aux ressources du serveur Lors de l tablissement de telles sessions les informations des comptes utilisateurs et d ordinateurs sont utilis es Cela nous permett
38. ie Storage s lectionnez le Datastore La machine virtuelle y sera stock e Jardon el Hiny Noureddine 2013 2014 36 Pour le guest operating system s lectionnez Windows et dans la liste prenez Microsoft Windows Server 2012 64 bit ogMe ol x a NE AE File Edit View Inventory Administration amp Create New Virtual Machine j lt B A Home p J Inventory Guest Operating System Specify the guest operating system to use with this virtual machine A 10 2 3 66 Windows other dns Configuration i Guest Operating System Windows Server 2012 Backup Name and Location E Windows Server 2012 DC Storage Windows x Guest Operating System Neima C Linux etwork Create a Disk Other Ready to Complete Virtual Machine Version 8 Version Microsoft Windows Server 2008 R2 64 bit v ppropriate defaults for Microsoft Windows Server 2008 64 bit Microsoft Windows Server 2008 32 bit Microsoft Windows Server 2003 64 bit Microsoft Windows Server 2003 32 bit Microsoft Windows 8 64 bit Microsoft Windows 8 32 bit Microsoft Windows 7 64 bit Microsoft Windows 7 32 bit Microsoft Windows Vista 64 bit Microsoft Windows Vista 32 bit Microsoft Windows XP Professional 64 bit Microsoft Windows XP Professional 32 bit Microsoft Windows 2000 Microsoft Windows NT terminated Microsoft Windows 98 terminated Microsoft Windows 95 terminated Microsoft Windows 3 1 terminated
39. ing Echo Requ File and Printer Sharing NB Datagr File and Printer Sharing NB Name File and Printer Sharing NB Sessio File Server Remote Management S Netlogon Service NP In Network Discovery NB Datagram Network Discovery NB Name In iv Remote Event Log Management N Remote Service Management NP virtual Machine Monitoring Echo Active Directory Domain Controller Active Directory Domain Controller Active Directory Domain Controller Active Directory Domain Controller Active Directory Domain Controller Active Directory Domain Controller Active Directory Domain Controller Active Directory Domain Controller Active Directory Domain Controller tive Directone Weh Services TCE lt il 30 Dans cette situation le firewall laisse entrer tout le trafic mais une exception Le port SMB n est plus visible car celui ci n cessite une utilisation d IPSec pour l tre Test numero 8 Quels sont les ports du serveur visible avec Firewall pour un ordinateur hors domaine Firewall ON 8 Advanced Port Scanner v1 3 15 x Acti Vi Hel a ile on View p Dale e alr b Bm 4 Policies A Name R D M N gt E Software Settings amp Active Directory Domain Controller Echo glise Ras 4 E Windows Settings Active Directory Domain Controller NetBl fast secure affordable p ii Name Resolution Policy Active Directory Domain Controller
40. it s Il aura fallu passer du simple contr le des comptes utilisateurs et machines l authentification de ces derniers par la mise en place d une PKI et d un syst me 802 1x mettre en place un syst me d audit ainsi qu un chiffrement et un contr le d int grit des connections et des donn es chang es IPSec Mais avec un plus haut niveau de s curit ne nuisons nous pas aux fonctionnalit s et aux interop rabilit s VI Annexe 6 1 Pr requis Voici une liste de pr requis non exhaustive pour ESXi selon le fabricant Nous nous int resserons aux aspects les plus importants le processeur la m moire le r seau et le stockage Processeur 64 bit x86 CPUs 2 c urs au minimum Pour supporter des machines virtuelles 64 bit il faut activer la virtualisation mat riel sur le processeur Intel VT x ou AMD RVI RAM 4GBauminimum Recommande 8 GB pour b n ficier de performances optimales R seau Il faut v rifier avec la base de donn e de VMware la compatibilit des cartes r seaux En effet Avec une infrastructure virtualis e de type 1 les drivers disponibles sont moins nombreux qu avec une de type 2 Stockage Disques SCSI Disques SATA connect s avec un contr leur SAS compatible ou un contr leur SATA int gr Jardon el Hiny Noureddine 2013 2014 34 Contr leur SAS et SATA compatibles LSI1068E IBM ServerRAID 8K Smart Array P400 256 DELL PERC 5 0 1 Intel
41. lle possible etes C Program Files Google Chrome Application chrome exe This program is blocked by group policy For more information contact your system administrator En ex cutant un programme en tant que run as administrator le lancement de l application n est pas possible IV Probl mes rencontr s Il n y aurait malheureusement pas assez de temps pour expliquer tous les probl mes rencontr s mais j en listerais quelques un 4 1 VMWARE Lorsque je suis arriv la fin de la p riode d valuation d ESXi il m a fallu le r installer et relier le HDD virtuel une nouvelle configuration virtuelle de serveur 2012 Malgr la prise de snapshots il m a t impossible de continuer le projet d une corruption de la base AD lors de l op ration et il m a fallu tout recommencer 4 2 Application des GPOs I a fallu de nombreux red marrages ou de logoff pour appliquer correctement les politiques de s curit s En effet celles ci n taient pas toujours prises en compte directement surtout lorsque la configuration s appliquait aux machines et il ne faut pas oublier de sp cifier sur quels utilisateurs ou machines la GPO doit s appliquer Ne jamais configurer une GPO pour toutes les fonctionnalit s mais toujours une par domaine d application 4 3 Audit Les logs ne fonctionnaient pas toujours au d but du une mauvaise configuration de ma part oubli d avoir affecter la GPO au serveur Un m
42. ntrol Policies b amp IP Security Policies on Active Din Overview Domain Profile Windows Firewall is off Private Profile Windows Firewall is off Public Profile amp Windows Firewall is off E Windows Firewall Properties Getting Started Authenticate communications Create connection security rules to specify protected by using Intemet Protocol secur E Connection Security Rules View and create firewall rule Create firewall rules to allow or block conn it is authenticated or if it comes from an at blocked unless they match a rule that allo b Advanced Audit Policy Configur b gly Policy based QoS p Administrative Templates Policy defini p Preferences 4 User Configuration p 5 Policies p D Preferences blocks them E Inbound Rules gt Outbound Rules ES FB Remarque on observe que le port pour le SMB est ouvert 445 Test num ro 7 Quels sont les ports du serveur visible avec Firewall pour un ordinateur hors domaine Firewall ON Any incoming traffic allowed 3 Advanced Port Scanner v1 3 E ol x File Options Help pja e Fa RADMIN remote control software fast secure affordable Select IP 10 2 3 120 FO Userange Sean F Use group of ranges jo 65535 F Use default ports list M Use ports ranges list Select ports range 0 1023 Add Delete Update Save Load efault po
43. on Security Rules Nous allons cr er une r gle que Microsoft appel l isolation Grace a cela nous pouvons restreindre les communications selon certains crit res Il est vident que nous voulons refuser un utilisateur lambda de simplement brancher sa machine en r seau puis de pouvoir commencer se connecter aux autres machines C est pour cela nous allons demander ce que le trafic entre toutes les machines soit authentifier si possible Cela s appel request security Ce que nous appelons ici authentification du trafic est li l algorithme d authentification que nous allons utiliser dans la configuration IPSec que nous allons voir au point suivant Jardon el Hiny Noureddine 2013 2014 21 2 4 4 Utilisation de IPSecurity avec le pare feu Windows Il est important de noter que Microsoft a int gr IPSec dans le module du pare feu Cette version d IPSec est d ailleurs am lior et prend en charge un plus grand nombre d algorithmes 2 4 4 1 Niveau de s curit impl menter Dans ce travail nous utiliserons IPsec pour toutes les communications entre les machines Il est important de noter que nous allons rendre l utilisation de IPSec optionnelle pour toutes les communications sauf pour les connections aux dossiers partag s par le biais des politiques de s curit pour toutes les machines du domaine ne soci t qui n cessite un niveau de protection important en ce qui concerne la
44. ons entre contr leur de domaines partage de fichiers ou autre le trafic est automatiquement autoris car des r gles d exceptions se mettent en place automatiquement notre insu Bien sur cela repr sente galement un probl me de s curit Dans le cadre ou certains services syst mes sont activ s notre insu par un hacker par une application ou autre le trafic est automatiquement autoris Un logiciel malveillant s installe De forte chance il y a que le syst me laisse passer le trafic Il est vident que dans le cadre de ce travail seul des services Microsoft ont t utilis s il est donc fort possible qu il soit normal que ces fonctionnalit s soient automatiquement autoris es a travers le firewall Mais qu en est il de programmes tiers Aurons nous une alerte qu un programme inconnu tente d tablir une connexion Ceci reste voir d autant que ce pare feu contr le aussi bien le trafic entrant que sortant Dans cette partie nous n allons pas traiter tout de suite les l ments concernant le trafic entrant ou sortant mais plut t la mise en place de r gles de communications d ployables sur les machines galement par le biais de GPO Activation du firewall Connection Security Rules IPSec Nous allons g rer ici qui a le droit de se connecter sur les systemes a partir de quels pr requis les connections se voient refus ou autoris Microsoft appel cela Connecti
45. ord puis au serveur En effet une politique appliqu e en premier un serveur peut emp cher plus tard le client de r cup rer la configuration et le bloque 4 5 Radius La version de 802 1x est bugg sur Windows 7 et peut ne pas fonctionner dans certains cas Plusieurs jours de travail ont t n cessaire pour le diagnostique et les tests Il est obligatoire d effectuer les mises jour du syst me et cela n a pas t fait J ai test toutes les combinaisons d algorithmes d authentifications mais il n a pas t possible de faire fonctionner 802 1x avec Windows 7 du laboratoire de HEPIA J ai donc utilis un MAC OSX pour tester RADIUS et cela fonctionne parfaitement Les codes d erreurs trouv s sur Wireshark ne donnaient aucune informations utilisables pour le diagnostique Jardon el Hiny Noureddine 2013 2014 33 V Conclusion Ce projet a t tres int ressant a mettre en uvre dans le cadre o il m a permis de mettre en pratique diff rentes notions de s curit s tudi es HEPIA d observer l effet des mauvaises configurations et des comportements inattendus Vu les menaces grandissantes en ce qui concerne les r seaux et les utilisateurs il est difficile de mettre en uvre un syst me de s curit fiable prenant en compte tous les param tres Le risque 0 n existe pas et la solution parfaite non plus Afin d assurer une s curit maximale il a t important d avoir plusieurs niveaux et normes de s cur
46. ra d assurer l int grit des donn es chang es le chiffrement et l authentification de l utilisateur et du poste client Voici donc ce que nous offre Windows dans le cadre de la protection des communications Il est vident que ceci n est pas suffisant Il est n cessaire de pouvoir assurer une communication compl tement s curis e Nous allons donc aborder IPSec afin de pouvoir prot ger nos communications internes avec Kerberos comme syst me pour l authentification Jardon el Hiny Noureddine 2013 2014 19 2 4 2 Kerberos Fonctionnement Le protocole Kerberos repose sur un syst me de cryptographie base de cl s secretes cl s sym triques ou cl s priv es Kerberos partage avec chaque client du r seau une cl secr te permettant de prouver l identit de l entit Le principe de fonctionnement de Kerberos repose sur la notion de tickets Afin d obtenir l autorisation d acc s un service un utilisateur distant doit envoyer son identifiant au serveur d authentification Le serveur d authentification v rifie que l identifiant existe et envoie un ticket initial au client distant chiffr avec la cl associ e au client Le ticket initial contient o une cl de session faisant office de mot de passe temporaire pour chiffrer les communications suivantes o un ticket d acc s au service de d livrement de ticket Le client distant d chiffre le ticket initial avec sa cl et obtient ain
47. rceptions de clefs et les replay attacks Nous aurons galement d active le PFS Perfect Forward Secrecy qui garantit que la d couverte par un adversaire de la cl priv e d un correspondant a long terme ne compromet pas la confidentialit des communications pass es Ces algorithmes sont dits ressources intensive et peuvent cr er des ralentissements au niveau CPU Jardon el Hiny Noureddine 2013 2014 22 Voici l int gration de IPSec dans le pare feu Windows Windows Firewall with Advanced Security 3 authentication authentication Tamea ur an frere ee 7 encryption authentication authentication 7 encryption Figure 9 format des trames IPSec 6 http wwwconference org proceedings www9 249 ipsec1 gif Jardon el Hiny Noureddine 2013 2014 23 2 4 5 Radius Comme m canisme de protection pour l acc s au r seau j ai d cid d impl menter RADIUS avec l utilisation de certificats comme moyen d authentification Jusque la nous avons prot g les acc s aux ressources du serveur mais nous devons mettre en place une protection plus proche de l utilisateur donc au niveau du switch Bien qu il existe d autres l ments de s curit s tels que le Port Security Un utilisateur non authentifi n aura aucun acc s au r seau et donc aucun contact avec le serveur ou les autres clients Configuration Le serveur AD est le serveur Radius Le Switch Netgear est le client Ra
48. s a son encontre 2 2 3 Explications Nous pouvons ici faire en sorte de pouvoir enregistrer toutes tentatives de login afin de savoir qui s est connect sur quel machine et quand Un v nement sera g n r chaque fois que l ordinateur validera une authentification Nous pourrons voir pour quel utilisateur l authentification aura t effectu e Des l ments suppl mentaire peuvent tre logger tels que Logon Logoff Session lockout Access to locked account La gestion des comptes est galement un l ment enregistrer Un v nement sera g n rer et enregistrer dans ces conditions Cr ation modification de comptes ou de groupes Suppression d sactivation et activation d un compte Blocage d blocage Changement de SID Changement de mot de passe Il est tr s important de sp cifier une telle politique En effet gr ce cela nous pouvons garder une trace sur l activit des comptes d ordinateurs Un pirate informatique ou un ancien employ pourrait trouver un moyen de r activer son compte apr s avoir quitt e la soci t et donc avoir un acc s non autoris Il en est de m me pour un pirate informatique Un cas de probl mes tels que l apparition non l gitime d un compte pirate la r activation non autoris d un compte seront pris en compte Dans un environnement avec beaucoup d utilisateurs ou les gens ne se connaissent pas comment savoir si c est utilisateur es
49. s pouvons imaginer que les administrateurs n ont pas ce genre de limitations Cela voudrait il dire que en cas d l vation de privil ge un simple utilisateur lambda pourrait outrepasser ces r gles Oui cela est possible C est pourquoi nous devons emp cher sur les machines clients les elevations de privil ges UAC Behavior of the elevation prompt for standard users automaticaly deny elevation requests Toute demande d l vation est impossible sur les postes clients Grace a cette politique nous emp chons toutes personnes l acc s a une l vation de privil ges lorsque un programme ou une fonction syst me nous demande des droits d administrateurs pour effectuer des modifications Group Policy Error You do not have permission to perform this operation Details Access is denied Figure 7 Privileges error Jardon el Hiny Noureddine 2013 2014 18 2 4 Gestion des connexions entre les serveurs et les clients Lorsque nous sommes dans un r seau d entreprise il est difficile de pouvoir g rer efficacement les communications Toutes nos communications sont elles l gitimes Est il possible qu un pirate se connecte sur notre r seau dans le but de voler des donn es Comment pouvons nous tre sur que nous communiquons bien avec la bonne personne Avec le bon serveur Pouvons nous mettre en place des moyens d authentification des participants En effet il peut y avoir beaucoup d utilisateurs ou de mac
50. si un ticket et une cl de session Gr ce son ticket et sa cl de session le client distant peut envoyer une requ te chiffr e au service de d livrement de ticket afin de demander l acc s un service L avantage de ce syst me est qu il permet une authentification mutuelle permettant d authentifier les deux parties communicants L authentification propos e par le serveur Kerberos a une dur e limit e dans le temps ce qui vite des attaques de type replay attacks Example Kerberos Exchange KDC TGS User runs kinit to request a TGT gives password AS verifies user and grants a TGT krbtgt EXAMPLE COM EXAMPLE COM User wishes to connect to server example com User sends TGT to the TGS requesting a ticket TGS verifies user TGT and grants a ticket host server example com EXAMPLE COM User sends ticket to server Server verifies user then verifies itself to the user I rv e Xvx OnM X S_ _ a 5 Communications established Figure 8 Kerberos Exchange 5 http community igniterealtime org servlet JiveServlet download 1060 8 1605 Example Kerberos Exchange png Jardon el Hiny Noureddine 2013 2014 20 2 4 3 Utilisation du pare feu Windows avanc Le pare feu Windows fait parti du syst me de protection int gr des syst mes Microsoft Il se trouve activ par d faut Ce qui est int ressant c est que lorsque nous activons des services tels que la r plication des informati
51. ssibilit de retenir un historique s curis version hash des mots de passes pour viter que l utilisateur reprenne un ancien mot de passe et grace au paragraphe pr c dent viter quil change souvent de mot de passe 1 jour minimum d intervalle pour retourner un ancien Avec la puissance de calcul des ordinateurs d aujourd hui il devient plus rapide de pouvoir pirater un compte utilisateur si il ne respecte pas une certaine complexit dont voici les caract ristiques Ne pas contenir le nom de l utilisateur Au moins 6 caract res Doit contenir majuscules minuscules chiffres et caract res sp ciaux Jardon el Hiny Noureddine 2013 2014 10 2 1 3 Tableau de r sistance d attaques Voici un tableau donnant un exemple de temps n cessaire pour une attaque bruteforce pour deviner un mot de passe en fonction de la complexit Nous observons bien que la complexit est un l ment fondamental La longueur d finie du mot de passe est 10 symboles Jours Ann es Mill naires Jours Ann es Mill naires 836 545 75 22034 2 29 Jours Ann es Mill naires 4 857 056 52 13 30 Jours Ann es Mill naires 251 382 207 31 688 25 L gende Figure 4 Tableau de r sistance R sistance a une attaque standard Resistance a une attaque concentr e R sistance a une attaque Deep Crack 3 http www tdeig ch ITI2_Secu CrypToolPresentation en pdf Jardon el Hiny Noureddine 2013 201
52. t dans le temps 15 min Une possibilit de d bloquer le compte automatiquement apres 15 minutes Forcer l utilisation de mots de passes forts Garder un historique des mots de passes pour viter la r utilisation d anciens mots de passes Forcer une dur e minimale et maximale pour les mots de passes Jardon el Hiny Noureddine 2013 2014 9 2 1 2 Explications En effet il est important de pouvoir bloquer les comptes lorsque trop de tentatives ont chou es Elles peuvent tre l uvre d un utilisateur distrait mais galement un signe avant coureur d attaques de type password guessing bruteforce ou dictionary attacks Le d blocage du compte pourra se faire manuellement par l administrateur ou automatiquement apr s une certaine p riode 15 minutes I est important en mati re de s curit de forcer l utilisateur choisir des mots de passes avec une longueur minimale de caract res En g n ral l utilisation de 7 caract res est suffisante Dans cette situation les attaques de type bruteforce ou dictionnary restent dangereuses mais prendront plus de temps Un mot de passe doit en g n ral avoir une date de validit for ant ainsi l utilisateur changer r guli rement sont mot de passe Nous pouvons avoir une dur e minimum 1 jour respecter avant de pouvoir changer un mot de passe ainsi qu une limite dans le temps 30 jours Windows int gre galement la po
53. t l gitime Qui a cr er ce compte Ou qui la r activ Et a quel moment Ce syst me permettra de r pondre ces questions Jardon el Hiny Noureddine 2013 2014 13 Sur les postes Windows il existe un fichier tr s sensible qui enregistre tous les comptes utilisateurs et leurs mots de passes hash s Il s agit du SAM Security Account Management Ceci concerne la base de donn e des comptes Il est important de surveiller ce fichier pour les checs afin d enregistrer les tentatives non autoris sur un fichier sensible Lorsque nous faisons partie d un domaine les comptes ne sont pas dans ce fichier mais dans la base de donn e du contr leur de domaine N anmoins il existe et peut tre copi il peut int resser un pirate car il existe un administrateur local Il convient donc de v rifier les acc s a ce fichier sensible pour Savoir quia tenter d acc der a ce fichier et sur quel machine Toujours pour les utilisateurs mais galement pour la protection des acc s aux donn es sur le serveur de fichier il est important de savoir Quia acc d quelle donn e Quel utilisateur A partir de quelle machine nom et IP Quelles ont t les manipulations faites sur ce fichier suppression modification Nous pourrons garder une trace des acces aux fichiers et dossiers partag s Ce systeme n cessite la mise en place du partage des dossiers et de regles de controle d acces ACL Il faut g
54. vileges afin d acc der certains documents sensible pr sent sur le serveur ou d effectuer des changement de configuration Cette gestion est importante pour viter tout vols de donn es En effet il faudrait viter que n importe quel utilisateur ne puisse se connecter sur n importe quel syst me localement ou distance copier lire modifier ou supprimer des informations que se soit sur un partage r seau ou a l aide de syst mes de stockage amovible Trop souvent un administrateur le pouvoir de tout faire mais dans les grandes soci t s les administrateurs n ont pas acc s aux documents sensibles pour viter des vols d informations Nous r glerons dans ce cas les ACL des fichiers dossiers et les acc s aux partages 2 3 1 Configuration des partages et ACL Configuration des partages Deux dossiers partag s un par groupe Acc s aux partages et aux informations que par les membres d un m me groupe Ces dossiers partag s sont invisibles sur le r seau grace a l utilisation du ala fin du partage Si on ne conna t pas le chemin du dossier partag alors on ne peut pas s y connecter Les administrateurs ont les acc s aux partages refus s Les mises en caches des documents sont interdites afin d assurer l int grit des documents et que en cas de changement de configuration des ACL cela soit tout de suite pris en compte Configuration des ACLs Les administrateurs n ont aucun acc
Download Pdf Manuals
Related Search