Upload
alphorm
View
7.087
Download
60
Embed Size (px)
Citation preview
FormationCompTIA Security+
(SY0-401)
Une formation
Hamza KONDAH
Une formation
Introduction
Validation indépendante des constructeurs et éditeurs
Validation des connaissances
Identifier les risques, proposer des solutions et maintenir un niveau de sécurité adéquat
ISO 17024
Une formation
Plan de la formation
Introduction
1. Menaces et Vulnérabilités
2. Contrôle d'accès, Authentification et Autorisation
3. Hôte, données et sécurité applicative
4. Cryptographie
5. Administration Sécurisé
6. Disaster Recovery and Incident Response
7. Sécurité Opérationnelle
Conclusion
Une formation
Public concerné
Administrateur (Réseau ou Système)
Technicien
Ingénieur informatique
Consultant IT
Responsable SI
Une formation
Prérequis
Avoir une connaissance de base de la pile TCP/IP
Savoir configurer les paramètres IP d'une machine
Avoir une première expérience dans le domaine IT
Formation Comptia Security+ (1/2)
Une formation
Prérequis
Formation Comptia Security+ (1/2)
Introduction aux Vulnérabilités Applicatives
Une formation
Hamza KONDAH
Une formation
Introduction
Chapitre très important
Applications Web et Desktop
Concepts
Surface d’attaque
Meilleures défenses
Merci
Architecture des applications Web
Une formation
Hamza KONDAH
Une formation
Architecture
DVWA
WebGoat
Lab : Mise en situation
Plan
Une formation
Architecture
Une formation
DVWA
Damn Vulnerable Web ApplicationApplication web vulnérableTrès pédagogiqueVulnérabilités de baseExcellente pour commencer
Une formation
WebGoat
Application vulnérable, aussi ☺Ecrite en J2EESensibilisation du public aux problèmes de sécuritéProjet de l’OWASPPlus avancée que DVWA
Une formation
Lab : Mise en situation
Merci
Cross Site Scripting
Une formation
Hamza KONDAH
Une formation
Définition
Reflected XSS
Stored XSS
DOM Based XSS
Lab : XSS
Plan
Une formation
Définition
Injection de code
Problématique des INPUT
JS, VBScript, HTML, FLASH
Session Hijacking
Vol d’informations
Contrôle total ☺
Une formation
Reflected XSS
(1) Envoi d’un lien piégé
Pirate
(4) Exécution du code
Victime
Site Web Ciblé
(5) Envoi de données
(3) Page demandée contenant le code injecté dans l’URL par le hacker
(2) Clique sur le lien
Une formation
Stored XSS
(2) Visite de la page piégée
(3) Page demandée contenant le code injecté par le hacker
(1) Injection du code nocif dans un site vulnérable
Pirate
Victime
(5) Envoi de données
Site web ciblé
(4) Exécution du code
Une formation
DOM Based XSS
Script
Client Side
Accès aux paramètres URL
Remote Code Execution
Bypass la SandBox
Une formation
Lab : XSS
Merci
Cross Site Request Forgery
Une formation
Hamza KONDAH
Une formation
Définition
Lab : CSRF
Plan
Une formation
Définition
Faille CSRF
1.L’administrateur rédige un article
http://www.blog.fr/create.php?id=1
Serveur : blog.fr
2.Le pirate envoie un lien exploitablehttp://www.blog.fr/del.php?id=1
3.L’administrateur clique sur le lien du pirate et supprime son propre article
Une formation
Lab : CSRF
Merci
SQL Injection
Une formation
Hamza KONDAH
Une formation
Introduction
Ce qu’on pourra faire
Scénario
Lab : SQLi
Plan
Une formation
Introduction
Vecteur d’attaque le plus critique
Modifier une requête SQL
Input mal filtré
Exécution (Injection) de requête malveillante
Une formation
Ce qu’on pourra faire
Bypasser l’authentification
Exposition d’informations
Compromission de l’intégrité
Compromission de la disponibilité
Remote Code Execution
Une formation
Scénario
Une formation
Scénario
Une formation
Lab : SQLiLab : SQli
Merci
Injection LDAP
Une formation
Hamza KONDAH
Une formation
Définition
Validation des inputs
Server Side
Accès complet à la BDD
Modification
Métacaractères
Merci
Injection XML
Une formation
Hamza KONDAH
Une formation
Introduction
Lab : XML Injection
Plan
Une formation
Introduction
Injection de Tags XML
Modification de la structure XML
Modification de données de paiement
Authentification non autorisé
Une formation
Lab : XML Injection
Merci
Command Injection et Directory Traversal
Une formation
Hamza KONDAH
Une formation
Command Injection
Directory Traversal
Lab : Exploitation
Plan
Une formation
L’injection de commandes
Injection similaire à la SQLi
Injection de commandes systèmes
Contrôle total
Shell Système
Une formation
Directory Traversal
Problème de validation
Remonter la ponte � ../
Gain d’accès
Fichiers sensibles
Une formation
Lab : Exploitation
Merci
La segmentation mémoire
Une formation
Hamza KONDAH
Une formation
Plan
Introduction
Segments mémoire
Amélioration continue
Une formation
Introduction
Exécution d’une application
Mémoire
Chargement d’un ensemble d’éléments
Instruction
Une formation
Introduction
Un programme gère :
Ses variables
Ses instructions
Variables des différentes fonctions
Une formation
Segments mémoire
Pile
Tas
(données non initialisées)
Bss
Données
Code
Une formation
Amélioration continue
Une formation
Amélioration continue
Merci
Buffer Overflow
Une formation
Hamza KONDAH
Une formation
Définition
Exploitation courantes
Lab : Buffer Overflow
Plan
Une formation
Définition
Buffer : Zone de mémoire
Overflow : Dépassement
Mémoire allouée initialement lors de l’exécution d’un programme
Crash
Une formation
Exploitation courantes
Stack Overflow
Shellcode
Dépassement de capacité
DoS
Une formation
Lab : Buffer Overflow
Merci
Integer Overflow
Une formation
Hamza KONDAH
Une formation
Définition
Merci
0 Day
Une formation
Hamza KONDAH
Une formation
Définition
Vulnérabilité comme les autres
Pas de correctif connu
Daknet
Un cauchemar ☺
Une formation
Définition
Merci
Les Cookies
Une formation
Hamza KONDAH
Une formation
Cookies
Fichier texte
Web experience
Historique
Customisation
Risque
Merci
Local Shared Object
Une formation
Hamza KONDAH
Une formation
Introduction
Local Shared ObjectFlash CookieAdobe FlashStockage de donnéesJeux FlashMenaces
Merci
Add-Ons Malicieux
Une formation
Hamza KONDAH
Une formation
Introduction
Add-ons
Risque toujours existant
Intentionnel ou accidentel
Java Applet : La catastrophe ☺
Java-enabled
Secure Coding
Merci
Introduction au Scanning et à la reconnaissance
Une formation
Hamza KONDAH
Une formation
Introduction
Phases de Reconnaissance
Open Source intelligence
Ce qu’il faut chercher
Méthodologie
Lab : Reconnaissance
Plan
Une formation
Introduction
La tâche la plus importante
La tremplin ☺
Récolte de vulnérabilités
Surface d’attaque
Phase d’attaque
Une formation
Phases de Reconnaissance
Passive reconnaissance
Normal interaction
Active reconnaissance
Une formation
Open Source intelligence
Première phase d’un pentesteur
Sources publiques
Utilisé par la plupart des services secrets et militaires
Organisation des ressources
Une formation
Ce qu’il faut chercher
Localisation géographique
Employés
Historique
Erreur de manipulation
IP et sous réseaux
Social engineering
Une formation
Méthodologie
OSINT , passive reconnaissance
Interaction host detection ,
port scans
Operating system,
services …
Vulnerabilityscanning
Une formation
Lab : Reconnaissance
Merci
NMAP : Introduction
Une formation
Hamza KONDAH
Une formation
Introduction
Lab : Nmap
Plan
Une formation
Introduction
Scanner de ports open source
Ports ouverts, services hébergés et informations sur l’OS
La référence
Version graphique : Zenmap
Une formation
Lab : Nmap
Merci
NMAP : Techniques de Scanning
Une formation
Hamza KONDAH
Une formation
TCP SYN Scan
Stealth Scan
TCP XMAS Scan
TCP ACK Scan
Lab : Scanning avancé
Plan
Une formation
TCP SYN ScanTCP SYN scan : port ouvert
SYN
SYN/ACK
TCP SYN scan : port fermé
SYN
RST/ACK
Une formation
TCP Connect ScanTCP SYN scan : port ouvert
SYN
SYN/ACK
TCP SYN scan : port fermé
SYN
RST/ACK
ACK
Une formation
Stealth ScanStealth scan : port ouvert
FIN
Stealth scan : port fermé
FIN
RST/ACK
Pas de réponse
Une formation
TCP XMAS ScanTCP XMAS scan : port ouvert
Pas de Réponse
TCP XMAS scan : port fermé
URG/PUSH/FIN
RST/ACK
URG/PUSH/FIN
Une formation
TCP ACK ScanTCP ACK scan : port non filtré
TCP ACK scan : port filtré
RST
ACK
Pas de Réponse
ACK
Une formation
Lab : Scanning avancé
Merci
Nessus
Une formation
Hamza KONDAH
Une formation
Introduction
Lab : Nessus
Plan
Une formation
Introduction
Scanner de vulnérabilités
Services, Passwords, Serveur, Config…
Incluant le DoS
Très complet
Version communautaire
Une formation
Lab : Nessus
Merci
OpenVAS
Une formation
Hamza KONDAH
Une formation
Introduction
Lab : OpenVas
Plan
Une formation
Introduction
Un Fork de Nessus
Développement libre
Vulnerability Scanning
Vulnerability Management
Une formation
Lab : OpenVas
Merci
Vulnerability Assessment
Une formation
Hamza KONDAH
Une formation
Définition
Processus d’évaluation
Sécurité interne et externe
Identification des vulnérabilités
Contremesures
Tout sauf un test d’intrusion
Merci
Déterminer une surface d'attaque
Une formation
Hamza KONDAH
Une formation
Définition
Types
Importance
Analyse
Plan
Une formation
Définition
Systèmes d’informations
Points de terminaison
Communication Externe
Tout ce qui est en interaction
Exposition
Une formation
Types
Surface d’attaque physique
Surface d’attaque physique
Surface d’attaque
réseau
Surface d’attaque
réseau
Surface d’attaque logiciel
Surface d’attaque logiciel
Surface d’attaque humaine
Surface d’attaque humaine
Une formation
Importance
L’étendu de la surface d’attaque reflète son degré d’expositionPlus une surface d’attaque est étendue � Sécurisation en profondeur
Une formation
Analyse
IP 192.168.7.114Service Apache2.2.24
Application 1 Drupal
Application 2 Webmin
Formulaire de contact
Upload de fichier
Saisie d’article
Formulaire de saisie
Envoie de commande Linux
Port 80
Merci
Exploitation de vulnérabilités
Une formation
Hamza KONDAH
Une formation
Méthodologie
Rappel : Metasploit
Plan
Une formation
Méthodologie
Reconnaissance Scanning Analyse de
vulnérabilités Exploitation
Méthodologie Post
Exploitation
Une formation
Metasploit
Framework Sécurité Informatique
Modulaire
Modules auxiliaires
Coding d’exploits
Automatisation
Merci
Le Durcissement Système et Réseau
Une formation
Hamza KONDAH
Une formation
Définition
Implication du Hardenning
Méthodologie
Plan
Une formation
Définition
Hardenning ou Durcissement
Rendre un système plus résistant
Mauvaise exploitation
Système Réseau ApplicationAccès
physique
Réduire la surface d’attaque !
Une formation
Implication du Hardenning
Renforcement de la sécurité
Méthodologie différente
Pas de Copy / Past
Connaissances requises
Étude de l’existant !
Une formation
Méthodologie
Security Hardening
Remove
Default
Accounts
ClosedUnusedNetwork
Port
Enforce
Password
Compexity
Remove Unneeded
Services
Patch Known
Vulnerability
Configure And
Manage User
Privileges
Merci
Sécurisation des réseaux
Une formation
Hamza KONDAH
Une formation
Plan
Introduction
PDCA
Postures Défensives
Durcissement
Une formation
Introduction
Sécurité offensive � Points faibles
Analyse des surfaces d’attaque
Amélioration continue � PDCA
Mise en pratique
Une formation
PDCA
Une formation
Postures Défensives
DMZFirewallProxy
IDS/IPS
DurcissementSécurité
sans fils
Contrôle d’accès
Une formation
Durcissement
Meilleurs pratiques
hôteSSH Serveur Web
Serveur FTP Serveur DNS Serveur DHCP
Merci
Shodan
Une formation
Hamza KONDAH
Une formation
Plan
Définition
Lab : Shodan
Une formation
Définition
Moteur de recherche
Répertorie tout les systèmes
Connectés
Scan de services et ports
API de développement
Une formation
Lab : Shodan
Merci
SIEM
Une formation
Hamza KONDAH
Une formation
Plan
Définition
Rôles
Lab : SIEM
Une formation
Définition
Security Event Information Management
Gérer et corréler les logs
Moteurs de corrélation
Relier plusieurs évènements à une même cause
Une formation
Rôles
la collecte l'agrégationla
normalisation
la corrélation le reporting l'archivage
le rejeu des évènements
Une formation
Lab : SIEM
Merci
Méthodologies d’audit
Une formation
Hamza KONDAH
Une formation
Plan
Introduction
EBIOS
MEHARI
ISO 27000
Une formation
Introduction
Méthodologie de test
Normes
Customisation nécessaire
Etude du besoin
Contrôle continue
Une formation
EBIOS
Evaluation du risque
DCSSI
ANSSI (2009)
Risques de sécurité des SI
Vulnérabilités, attaques, menaces…
Une formation
MEHARI
Méthode harmonisée d’analyse des risques (MEHARI)Gestion de risque de sécurité
CLUSIF
Révision 2016
Une formation
ISO 2700x
Famille de normes
Sécurité de l’information
Recommandation
SMSI
Merci
Patch Management
Une formation
Hamza KONDAH
Une formation
Définition
Processus
Lab : Patch Management
Plan
Une formation
Définition
Processus
Gestion des correctifs de sécurité
Déploiement
Vulnérabilités � Correctifs ou Patchs
Méthodologie
Une formation
Processus Inventaire
Veille
Plannifier
Déploiement
Post déploiement
Gestion du risque
Amélioration Continue
Une formation
Lab : Patch Management
Merci
Le Reporting
Une formation
Hamza KONDAH
Une formation
Introduction
Le point le plus primordial
Reflète vos trouvailles
Plusieurs méthodologies
Le plus granulaire possible
Screenshot
Annexe
Merci
Introduction aux contrôles d'accès
Une formation
Hamza KONDAH
Une formation
Définition
Identification et Authentification
Système d’authentification
Méthodologie de contrôle d’accès
Plan
Une formation
Définition
Permettre l’accès à un utilisateur autorisé
Filtrage
Outils et Technologies
Ensemble de procédures
Une formation
Identification et Authentification
Trouver l’identité d’une entité
Mécanisme de vérification de l’identification
L’identification est la revendicationd’une identité ☺
Une formation
Système d’authentification
Something you knowSomething you haveSomething you areSomething you doSomething you are
Une formation
SFA
Single Factor Authentication
La plus basique d’entre toutes
Un seul type d’authentification
Username/Password
Mutual Authentication
Une formation
Illustration
Login : Administrator
Password :
Logon or Security Server
Une formation
Multifactor Authentication
Deux méthodes ou plus
Password + SMS
Une formation
NAC
Network Access Control
Contrôle d’accès
Opérations journalières
Méthodologie
Analyse des besoins et des exigences
Une formation
NAC
Opérations journalières
Topologie et connexions
Partie tierce
Vulnérabilité
Hardware + Software
Une formation
Token
Similaire aux certificats
Identification et authentification
Token : Data (Informations sur le user)
Générer à chaque moment
Une formation
Fédération
Ensemble de ressources
Même standard d’opération
Messagerie instantanée
Faciliter la communication
Notion d’identité fédérée
Une formation
Authentification via Token
Token
1 Challenge
2 Response
3 Token Device Challenge
4 Valid Certificate
5 Authentication AuthenticationServer
Client PC
4 Token Device Answers3
Une formation
Incidents potentiels
Deux méthodes ou plus
Password + SMS
Domain A Domain B Domain CDomain A Domain B Domain C
UserUserCan Be
granted access
Can’t Be
granted access
RessourceRessource
Figure 1 : Transitive trust and Nontransitive trusts
Transitive Trust Transitive TrustNontransitive Trust Nontransitive Trust
Merci
Accès à distance
Une formation
Hamza KONDAH
Une formation
Introduction
Protocole Point-to-Point
Protocoles de Tunneling
Radius
(X)TACACS/TACACS+
SAML
Lab: Accès à distance
Plan
Une formation
Introduction
L’habilité de se connecter
Processus plus facile et plus sécurisé
Protocoles utilisés pour faciliter l’accès à distance
Une formation
Protocole Point-to-Point
PPP – 1994
Supporte plusieurs protocoles
AppleTalk, IPX et DECnet
Pas de sécurité de la data
Authentification � CHAP
Une formation
Point-to-Point Protocol
Encapsulation de trafic
Network Control Protocol – NCP
Link Control Protocol – lCP
Connection au réseau
Comme si vous y étiez ☺
Une formation
Protocoles de Tunneling
Création de tunnel entre des réseaux
Sécurité
Confidentialité
Encapsulation
VPN
Attention à la configuration par default
Une formation
Protocoles de Tunneling
Point to point tunneling
protocol –pptp
Layer 2 Forwarding –
2LF
Layer 2 Tunneling
Protocol – L2TP
Secure Shell -SSH
Internet Protocol
Security - IPSEC
Une formation
Radius
Client Radius Client Radius Server
Server ValidatingRequest
Request
Authorization
Large NetworkISP
Une formation
(X)TACACS/TACACS+
Terminal Access Controller
Access Control System
Client/Server
Similaire à radius
Une formation
(X)TACACS/TACACS+
Extented TACAS – XTACACS
Authentification + Autorisation
Traçabilité
TACAS +
Plusieurs manières de gestion
Cisco � TACACS +
Alternative RADIUS
Une formation
SAML
Security Assertion Markup Language
Standard basé sur XML
Authentification + Autorisation
Identité
SAML v2.0
Une formation
Lab : Accès à distance
Merci
Les Services d'authentification
Une formation
Hamza KONDAH
Une formation
Introduction
LDAP
Kerberos
Single Sign On
Plan
Une formation
Introduction
Spécifique à une technologie
LDAP et Kerberos
Internet Authentication Service – IAS
Central Authentication Service – CAS
Single Sign-on
Une formation
LDAP
Lightweight Directory Access Protocol
Protocol d’accès
Annuaires
Bases d’informations
Port 389
LDAPS
Une formation
Kerberos
Une formation
Single Sign On
User
User ADSecurity
App Server
Email Server
DB Server
Merci
Les Contrôles d’accès
Une formation
Hamza KONDAH
Une formation
MAC
DAC
RBAC (role & rule)
Plan
Une formation
MAC
Une formation
DAC
Une formation
RBAC
Une formation
RBAC
Merci
Rappel sur le Durcissement
Une formation
Hamza KONDAH
Une formation
Définition
Durcissement ou « Hardening »
Sécurisation
Peut concerner plusieurs couches
Réduction de la surface d’attaque
Une nécessité
Merci
Durcissement applicatif
Une formation
Hamza KONDAH
Une formation
Introduction
Base de données
SAN
Plan
Une formation
Introduction
Vérification
Mise à jour
Protocoles nécessaires uniquement
Applications et services
Particulièrement vulnérable
Une formation
Base de données
One-TierModel
Two-Tier Model
Three-Tier Model
Une formation
Base de données
Une formation
SAN
Storage Area Network
Réseau Séparé
Front end tant que serveur
Sécurité similaire aux serveurs traditionnels
Fibre très rapide iSCSI
Firewall, IDS …
Merci
Le Fuzzing
Une formation
Hamza KONDAH
Une formation
Définition
Lab : Le Fuzzing
Plan
Une formation
Définition
Technique de test d’applications
Injection de data aléatoires
Inputs
Bug � Défauts à corriger
Web, logiciels etc…
Une formation
Lab : Le Fuzzing
Merci
Le développement sécurisé
Une formation
Hamza KONDAH
Une formation
Introduction
Que coûte une faille ?
Cycle de développement
OWASP
CERT
Plan
Une formation
Plan
PCI
CWE
Méthodologie
Zones à Risques
Une formation
Introduction
Attaques de plus en plus sophistiquées
Hardening non suffisant : Combler les trous n’est jamais une solution
Une faille cache une autre
Sécurité par le développement
Une formation
Que coûte une faille ?
Par enregistrement volé : 150$
Par brèche 3,79 M$
23% d’augmentation depuis 2013
60 à 70 % lié à de mauvaises pratiques en coding
Une formation
Cycle de développement
Création de modèle conceptuel
Mauvaises pratiques en développement
Déploiement non approprié
Maintenance et mise à jour
Une formation
Cycle de développement
Association à des informations
OS
Base de données
Applications partagées
Client Side
Une formation
OWASP
Open Web Application Security Project
Applications web
Recommandation sécurité
Outils
Guides
Une formation
CERT
Software Engineering Institute (SEI)
Cyber sécurité
Software
Participatif
Gouvernement
FBI
Une formation
PCI
Payement Card Industry
PCI SSC
PCI DSS
Recommandations
Une formation
CWE
Common Weakness Enumeration
Vulnérabilités
MITRE
NCSD
Département de sécurité intérieur US
Une formation
Méthodologie
SDLC
Planning
Defining
Designing
Building
Testing
Deployment
Une formation
Méthodologie
Une formation
Zones à Risques
Validation des entrées
Déclaration et initialisation
Expressions
Api
Librairies
Merci
Sécurité de l'hôte
Une formation
Hamza KONDAH
Une formation
Permissions
ACL
Anti-Malware
Lab : Host Security
Plan
Une formation
Permissions
Aspect le plus basique
Privilèges moindres
Granularité
Full Control
ModifyRead and Execute
Read
Write
Une formation
ACL
Access Control List
Qui peut accéder à quoi
Peut être interne à l’OS
ACL Physique
White et Black List
Une formation
Anti-Malware
Anti Virus Anti SpamAnti
Spyware
Pop up blocker
Host basedfirewalls
Host basedIDSs
Une formation
Lab : Host Security
Merci
Protection de données
Une formation
Hamza KONDAH
Une formation
Backups
RAID
Types de RAID
Clustering
Load Balancing
Plan
Une formation
Backups
Niveau basique
Tolérance de pannes � Backups
Archivage périodique
Plusieurs types de backups
Full Differential Incremental
Une formation
RAID
Rendundant Array of Independent Disks
Plus d’un HD
Fonctionnement sans interruption
Une formation
Types de RAID
RAID 0 RAID 1RAID 3 et
4
RAID 5 RAID 6RAID 1+0 (ou 10 )
RAID 0+1
Une formation
Clustering
Parallélisme
Performance
Disponibilité
Redondance
Une formation
Load Balancing
Merci