Audit Sécurité .....

[bugsy]

Hello,

Je dois analyser tout mon réseaux et boucher s'il y a lieu les trous je n'ai aucune limitation si ce n'est le temps…. tout dois être prêt mardi matin .... j'ai envie d'hurler mais bon je vais m'abstenir... je ne suis pas spécialiste sécu j'ai des notions de base qui ne sont pas si mal mais sa reste de la base....

J'aimerais savoir si vous avez quelques outil ou encore quelques documentations qui pourrais m'être utile.

Je vous remercie beaucoup.

@++

[fabien7]

galére alors ...

un bon document pour partir sur le bon pied :
http://www.k-otik.com/papers/security_wp1_brand.pdf

Aprés vu que c'est préssé et que tu vas pas pouvoir tout tester a la main tu peux essayer ça, ca peut peu etre te donner des resultats intéressants :

https://www.securite.org/ressources/lie ... %2Fsara%2F
ou
http://www.wwdsi.com/saint/

ca va te permettre d'eclaircir un peu tout ça ...

[svart]

Salut,

J'ai trouvé ça récemment, c'est un outil qui a l'air pas mal. Il recense beaucoup de failles et te permet des les tester en deux modes : vérification et exploit (attention quand même avec l'exploit, ça peut faire tomber ta cible !). C'est open source, et le but est justement de faire des audits de vulnérabilité.
http://www.computec.ch/projekte/atk/

Tu peux éventuellement croiser ça avec des outils de port-scan en ligne (type nmap, ça existe aussi pour windows) ou comme celui de shields-up : http://www.grc.com (tu cliques sur shields up!)

Si les serveurs sont windows tu peux aussi essayer le Baseline Security Analyser, dispo sur le site de krosoft :
http://www.microsoft.com/technet/securi ... ahome.mspx

Voilà pour quelques pistes,

Bon courage,

S.

[braouazou]

Exoscan peut également te permettre de te faire une idée :
http://www.secuobs.com/news/03022004exoscan.html
(pour un test depuis l'extérieur)

Sinon, Nessus (sur lequel est basé exoscan) est un excellent outil : http://www.nessus.org/

@++

[bugsy]

Merci beaucoup pour votre aide mais si j'ai bien compris nessus tourne sur linux ou unix non ?

[fabien7]

Nessus tourne sous linux, sous unix je presume aussi, et windows....

[jdh]

Une semaine pour comprendre comment fonctionnent les outils, lancer l'analyse, analyser le retour et agir ! Serais tu stagiaire ? (excuses moi si ce n'est pas le cas)

Décidement, la sécurité est affaire de "spécialistes" !!!

Sinon je confirme que les quelques outils open source nmap, nessus, ou autres peuvent faire un début.

[svart]

... on te donne des outils comme ça, histoire de te founir quelques logiciels pour auditer ton réseau, mais on ne sait pas ce que se trouve dessus, pour ce genre de demande il est opportun de donner quelques infos : quel genre d'entreprise, à quoi sert le réseau, ce qu'il y a dessus, comme serveurs, comme stations... a mon estime la sécurité, ça commence par les règles simples : des OS à jour, avec les patchs qui vont bien, antivirus, firewall en entrée de réseau, proxy si nécessaire, et puis des tests spécifiques pour les serveurs, surtout s'il sont accessibles depuis internet. Ne pas oublier les mots de passe, les changer régulièrement, et s'il s'agit d'une entreprise, proposer une charte d'utilisation pour les utilisateurs, ce qui est permis, ce qui est interdit, car en cas de problème, l'aspect légal des choses n'est pas à occulter.

C'est du boulot, une semaine c'est suffisant pour obtenir et présenter une évaluation des problèmes rencontrés, mais si tu dois intervenir, ça peut prendre du temps. Surtout ne pas avancer à la légère dans un système en production. Je serais toi, vis-à-vis de mes supérieurs, qui souvent ne connaissent pas trop l'informatique et font trop confiance en la technique, je séparerais bien, lors de mes résultats, la phase d'audit de la phase de correction, qui demande (peut-être) plus de temps.

A plus, bon courage !
S

[lembal]

Nessus tourne sous linux, sous unix je presume aussi, et windows....

Nessus fonctionne en mode client/serveur sur UNIX/Linux... la providence veut que l'on trouve Nessus entier sur des CD bootables comme Knoppix STD.

[jdh]

Svart a écrit assez bien ce que je pense et qui était, en ellipse, dans mon message.

Les outils cités permettent de connaitre les ports ouverts, les OS, l'adressage, ...
A partir de ces infos, il faut identifier les serveurs, les stations, les routeurs, ... Il faut se demander si chaque service présent est justifié, comment l'arreter si ce n'est pas le cas, ...
Il faut bien sur s'assurer que chaque OS est à jour, que l'antivirus est à jour et fonctionne, et ainsi de suite.

Premier temps : faire le relevé (identification)et un rapport de relevé : Ok en une semaine
Deuxième temps : faire le diagnostic : telle chose est ouverte et c'est Ok, telle chose est ouverte et ce n'est pas Ok : Pourquoi pas dans la même semaine, mais cela exige une expertise qui se paye.
Troisième temps : agir : cela demande surement plus de temps !

Les conseils de svart me paraissent en conséquence tout à fait justifiés. Un audit ça se fait faire par un expert. Ca exige beaucoup d'expérience. Et ce serait une grave erreur de se croire couvert par un audit fait en interne par quelqu'un qui apprend seulement les outils.

Bon chance quand même ....

[ImoThep]

Dsl je sors un peu du sujet...

@jdh:
audit & sécurité, tu parles d'une expertise qui se paye:

Un admin qui gère son réseau dans les règles. qui patch ses systèmes et logiciels selon les besoins, qui anticipe les besoins du SI et qui utilise des outils de test pour mettre ses systèmes à l'epreuve.
Malgré ca, a t il encore besoin de faire un audit à 10000 $ la journée ? ... a part pour rassurer son supérieur ? En gros si un admin fait bien son boulot, a quoi sert un audit ?

Sinon l'admin idéal décrit au dessus, le cherchez pas c moi ... et un petit coup de promo, je cherche du boulot...

A.

[jdh]

Ok ImoThep. Moi aussi je cherche du boulot !

Depuis plus de 10 ans, j'installe des serveurs (Novell, Win NT, W2000, Linux), je définis et gère des réseaux (nationaux et internationaux). Mon parc, c'est 50 serveurs et autres machines répartis sur l'Europe. Auparavant, j'ai pas mal programmé et géré des parcs micros.

Le job d'un administrateur, c'est bien de sizer, installer, configurer, mettre à jour, restaurer des serveurs.

Pas seulement ! Comment appliquer les bonnes techniques quand on ne connait pas tout ? (Car on ne peut pas tout connaitre).

C'est aussi de faire de la veille sur les technos qui pourraient aporter quelque chose. Comprendre les techniques en jeu. C'est de passer du "je dépanne" à "j'anticipe", et suffisamment tôt, suffisamment avant. Veille + pro-actifs. C'est aussi d'apporter la sécurité avant qu'arrive une application, tant aux collègues des études que des utilisateurs.

A titre perso, j'ai fait réaliser plusieurs audits. Et bien j'ai appris des trucs. J'ai rencontré des tas de gens qui m'ont appris des choses ... qui me servent aujourd'hui. Et j'ai gagné du temps. Et j'ai accru mon expertise.

Y a longtemps que je sais faire un nmap, un nessus, un arpwatch. Mais au dela de comprendre le pb, il faut aussi la connaissance pour résoudre définitivement le pb. Regarde la stupidité de la question de l'automatisation de l'update qui traine depuis qq jours.

Un (vieil) exemple, sur un NT4, il y a les services "TCP simples" par défaut. Sais tu pourquoi il fallait les supprimer ? Sais-tu que certains des mêmes services sont encore actifs par défaut sur une Debian ?

Un bon souvenir, c'est de mettre en une demi-journée un MRTG opérationnel après des mois de $%#&! sur un réseau avec le fournisseur, parce que, faché, lassé, j'ai décidé de prendre les choses en mains.

Un bon souvenir, c'est quand un AP me montre une procédure stockée sur SQL serveur. En une demi-heure, je lui propose 2 améliorations. La première réduit le temps de 3h à 8'. La deuxième pourrait gagner encore 3'.

Un bon souvenir, c'est de trouver le truc pour connaitre le nb de pages imprimés de toutes les imprimantes en moins de 10' pour dire quelles imprimantes vont être mises au budget.

Un bon souvenir, c'est d'installer 3 types différents de firewall dans une entreprise.

Un bon souvenir, c'est d'annoncer 5 jours pour réaliser un VPN (et de s'y tenir) avec une extrémité que l'on ne connait pas bien alors que de l'autre côté, ils ont commandé la ligne permanente et qu'ils l'obtiendront en 2 mois et demi.

Un audit, ce n'est pas seulement fait pour rassurer mais aussi apprendre. Et ça se paye, oui ! Et le premier job d'un admin, c'est de (bien) choisir l'expert qui va faire le boulot. Enfin, un audit peut être fait avec ou sans ta connaissance de ton réseau. Un audit peut être périphérique ou interne. Y a un risque : qu'on t'apprenne une faille ou qu'on te dise qu'on a rien trouvé. Quel est le pire ?

Là où on sera d'accord tous les 2, c'est qu'un audit ça ne peut pas être fait par un stagiaire.

[ImoThep]

Ok ImoThep. Moi aussi je cherche du boulot !

Depuis plus de 10 ans, j'installe des serveurs (Novell, Win NT, W2000, Linux), je définis et gère des réseaux (nationaux et internationaux). Mon parc, c'est 50 serveurs et autres machines répartis sur l'Europe. Auparavant, j'ai pas mal programmé et géré des parcs micros.

Et bien je te souhaite bonne chance dans ta recherche.

Le job d'un administrateur, c'est bien de sizer, installer, configurer, mettre à jour, restaurer des serveurs.

Pas seulement ! Comment appliquer les bonnes techniques quand on ne connait pas tout ? (Car on ne peut pas tout connaitre).

C'est aussi de faire de la veille sur les technos qui pourraient aporter quelque chose. Comprendre les techniques en jeu. C'est de passer du "je dépanne" à "j'anticipe", et suffisamment tôt, suffisamment avant. Veille + pro-actifs. C'est aussi d'apporter la sécurité avant qu'arrive une application, tant aux collègues des études que des utilisateurs.

C'est une bonne nouvelle pour moi, j'ai la même définition. C'est ce que j'essaye d'atteindre quand je bosse. Et c'est ce que j'ai voulu dire, avec moins de réussite, dans mon message précédent.

Y a longtemps que je sais faire un nmap, un nessus, un arpwatch. Mais au dela de comprendre le pb, il faut aussi la connaissance pour résoudre définitivement le pb. Regarde la stupidité de la question de l'automatisation de l'update qui traine depuis qq jours.

Arf, ya bien quelques questions qui laissent parfois perplexe, mais concernant le reste on est toujours d'accord.

Un (vieil) exemple, sur un NT4, il y a les services "TCP simples" par défaut. Sais tu pourquoi il fallait les supprimer ? Sais-tu que certains des mêmes services sont encore actifs par défaut sur une Debian ?

non, je sais pas.

Un audit, ce n'est pas seulement fait pour rassurer mais aussi apprendre. Et ça se paye, oui ! Et le premier job d'un admin, c'est de (bien) choisir l'expert qui va faire le boulot. Enfin, un audit peut être fait avec ou sans ta connaissance de ton réseau. Un audit peut être périphérique ou interne.

Et moi qui voyais un "auditeur" comme un agent smith commandité par mon boss pour me mettre bancal... Je vais devoir reactualiser ma définition de l'audit.

Un audit peut être périphérique ou interne. Y a un risque : qu'on t'apprenne une faille ou qu'on te dise qu'on a rien trouvé. Quel est le pire ?

Qu'en pense les admins qui ont fait auditer leur SI?

Là où on sera d'accord tous les 2, c'est qu'un audit ça ne peut pas être fait par un stagiaire.

Je pense pouvoir dire qu'on était d'accord bien avant.
En tout cas bravo et merci. Je suis sûr qu'on est tout un tas de "junior" (comme ils disent dans les petites annonces) à avoir lu avec attention tes explications / temoignage.

A.