Bonjour à tous,
 
Je souhaite (dans le cadre d'une formation) procéder à un audit de la sécurité de notre parc et de notre réseau.
 
Seulement je ne sais pas trop comment m'y prendre ni par où commencer....
 
Le but pour moi, serait à terme , de pouvoir présenter un état de lieux actuel, et de mettre face aux éventuelles failles découvertes, une solution.
 
 
J'aimerais faire un tour d'horizon des techniques et produits qui me permettraient de mettre en évidences ces failles.
 
 
auriez vous des éléments (outils, tests, tuto, etc etc) qui pourraient me permettre d'avancer?
 
peut être des conseils de la part de ceux qui l'aurait déjà fait?
 
 
merci d'avance!!

le clusif semble recommander une méthode "mehari"... je fais étudier cela, si vous avez des éléments ou des conseils je suis preneur !!

apres quelques recherches plus approfondies, je pense partir sur du nagios pour faire l'état des lieux initial.
 
pensez vous que je prenne le probleme dans le bon sens ?

Nagios c'est un outil de supervision.
 
Ensuite effectivement il te faut d'abord une démarche, il me semble que des organismes français (liés à la défense) fournissent gratuitement ce type de livre blanc.

nessus et son/ses successeurs peuvent etre un excellent point de départ.

je m'attaque à ça des demain !!  
 
j'ai trouvé un site (http://www.lestutosdenico.com/) qui fait un tour d'horizon des outils qui existent.

 
Exact, j'ai utilisé cela pendant des années avec les audits de controle fait en banque.

mehari c'est un tres bon outil pour l'analyse des risques (de tout type) c'est precis et complet, pas forcement technique.
les outils de supervision en reseau c'est assez important pour detecter certaine faille aussi.
apres faut voir ce que tu veux tester. faire un audit en boite blanche, en boite noir.
tu veux aller jusqu'où?
des compils d'outils de test de reseau sont disponible comme backtrack (BT5 actuellement), à manier avec precautions, connaissances et dissernement.
tu peux aussi recolter les nom de tes equipements et voir leur differentes failles sur le net. parfois les gosts validés à mettre en place sur les machines sont tres en retard niveau patch de securité aussi (mais est ce que c'est encore du reseau?).

Il y a un livre blanc sur itespresso.fr. Je ne sais pas ce que ça vaut:
http://livreblanc.itespresso.fr/?m [...] y=66&id=73

Pour le moment j'ai procédé à quelques relevés d'informations via nessus.
 
nous disposons de plusieurs Vlan en fonction des populations d'utilisateurs, donc dans un premier temps, je vais me glisser dans la peau de l'utilisateur lambda (peut etre mal intentionné), qui se connecte avec un poste. ainsi je verrai à quoi il a acces, et quelles failles il peut voir.
 
ensuite je reproduirai l'experience depuis le réseau du personnel etc etc etc.
 
pensez vous que la démarche soit la bonne? le but est de voir qui peut faire quoi depuis où.

Exact, une connaissance bossant dans une boite de sécurité m'avait expliqué sa démarche.
En gros il arrive dans un service et explique qu'il vient pour réparer un ordi, ou qu'il est stagiaire et qu'il veut un poste info pour bosser.
Il teste par le biais du social engineering si le personnel est bien formé aux différentes procédures de sécurité info.

un audit en boite grise/blanche, alors.
Dans ton cas il peut etre interressant de bosser avec la personne qui delivre les droits (si tu est plus reseau).
enfin faudrait reunir tout les acteurs de la securité autour de cela.
pour un audit en boite noire (genre une personne exterieur a l'entreprise qui essaye de soutirer des infos ou autre), tu peux te mettre dans la peau d'une personne exterieur, mais tu est peut etre connu dans cette boite, ou tu fais appel carrement a une societer externe pour le faire. (le mieux est de se faire passer pour un agent d'entretient ou un instalateur/depaneur de photocop).
 
Dans tout les cas, mais surtout dans le cas d'un audit en boite noir, il faut vraiment que tu es des papier signé, par un superieur (RSI, PdG mm ou autre hierarchie haut placée), qui t'autorise et fixe les limite de cet audit. ça te couvrira en cas :  
- que tu sois demasquer en boite noire et pas incarséré pour espionnage.
- que tu plante la prod (ça peut etre un objectif meme).
- de casse materiel ou logiciel (accidentelle ou pas): suite a la decouverte d'une faille peut etre pourrait tu planter le super progiciel a 15M$ avec toutes les bases clients dedans perdue.  
-juste pour bien couvrir tes arrieres.
te lance pas tout seul la dedans sans prevenir personne.
 
pour l'audit de code il y a des outil comme RATS, Splint ou flawfinder.
 
pour un etat des lieu, l'audit en boite blanche est le meilleurs a mon sens pour commencer, c'est a dire tt les acteur de la secu autour d'une table... tu regarde mehari, vous corrigez vos pb obvious qui peuvent arrivés, et apres avoir vous une idée de votre secu, vous faites un audit en boite grise ou noire.

Bonjour,
 
pour le moment j'ai axé ma réflexion selon 2 profil d'attaquants possibles:
 
1) l'attaquant extérieur à notre organisation, celui qui veut récupérer des infos et mettre le bronx sur le réseau
2) l'attaquant interne, qui en plus de vouloir récupérer des infos et mettre le bronx, dispose d'un compte utilisateur et d'un accès aux postes de chez nous
 
 
voici le scénario que j'ai imaginé avec les failles possibles:
- arrivée dans les locaux (contrôle de l'identité?)
- repérage des baies et structures informatiques (accès physique? serrures?)
- branchement au réseau avec un poste perso (repéré par la dsi? accès possible?)
- récupération d'infos sur l'architecture (vue globale des vlan ou vue partielle?)
- exploitation des données sniffées (failles sérieuses ou non?)
 
pour l'attaquant 2) qui est de chez nous, et qui dispose d'un compte sur notre AD, j'ai procédé de la même façon en ajoutant des éléments:
- voir assaillant 1)
- trouver le pass admin local (pass protégé? pass crypté?)
- trouver les pass des autres users (politique de MDP sécurisée ou non?)
- accéder à un poste en tant que qqn d'autre (plusieurs sessions avec un même login?)
- récupérer des données sensibles (protections autre que le login/mdp ?)
 
 
voila un peu ce à quoi j'ai pensé... voyez vous d'autres aspects de la question? d'autres étapes que j'aurais omises?
 
pour l'heure pas d'audit de code (n'étant pas très calé en dev) mais si je ne trouve pas suffisamment de contenu pour mon rapport final, il faudra bien que je rajoute des briques, donc à ce moment là peut être ^^

Tu pourrais rajouter le branchement de périphériques type USB et tout ce qui est lié à la propagation de virus. Tout ce qui est patchs OS/applicatifs aussi.

oui c'est vrai que ce sont des points a prendre en compte !! malgré la confiance que l'on peut avoir dans notre antivirus (qui me semble assez correcte...) il faut rester mefiant... il n'y a pas d'antivirus ultime ^^

Ne pas oublier une formation aux utilisateurs sur le social engineering et aux fichiers joints de son soit-disant fournisseur habituel...

oui: periferique de stockage: en lecture seule: pour eviter les fuite d'infos, avec des lecteurs cd qui font pas graveur. ^^
enfin ça c'est un axe possible, certain diront: parano, et pas cool a l'utilisation.
tu centre l'audit, sur une personne mal intentionnée, mais tu devrais lire MEHARI, car le risque peut tout aussi bien etre autre: risque naturel: en cas d'incendi: est ce que ma salle machine est inifugé, avec les bonbones de gaz antioxygene?risque pour le technicien qui bossait a ce moment?
si un avion veut atterir dans mon batiment, est ce que mes données sont dans un bunker? est ce qu'elle sont bien repliqué/sauvegardés/archivé sur un site distant? est ce que mes données stockées ailleurs sont fiables? en combien de temps je peut revenir a la normal?
bref y'a enormement d'interrogation autour de la secu, et pas que la personne malintentionnée.
 
sinon pour ton truc:
 
voici le scénario que j'ai imaginé avec les failles possibles:  
- arrivée dans les locaux (contrôle de l'identité?) --> social engeniering
- repérage des baies et structures informatiques (accès physique? serrures?) --->visibilité des appel d'offre? ---> social engeniering, en se fesant passer pour un commercial qui pose plein de question (bonjour, cstorage nous ont dit que vous avez des baies CXblabla, nous avons justement un produit... ah non vous avez des baie netapp, quel model?)
 
- branchement au réseau avec un poste perso (repéré par la dsi? accès possible?) si il y a une machine dans le bureau: avec des commande style "wake on lan" on doit pouvoir recuperer et spoofer une adresse MAC, parfois l'@IP est mm marqué sur les cable ou les machines.autre? plus d'info aussi avec un keyloger harware avec transmition radio (à placer entre le clavier et la tour: facil, vite posé, discret moyen).
 
- récupération d'infos sur l'architecture (vue globale des vlan ou vue partielle?) pas facil ça.a part voler des shemas au reseau. poser des keyloger harware avec transmition radio?!
 
- exploitation des données sniffées (failles sérieuses ou non?) brancher un ordi portable sur le parking qui sniff si possible, puis aller en reunion (commerciale) avec un autre, en snifant aussi (à l'interieur penser aussi a sniffer/attaquer les bluetooths (manager, commerciaux,...).
 
pour l'attaquant 2) qui est de chez nous, et qui dispose d'un compte sur notre AD, j'ai procédé de la même façon en ajoutant des éléments:  
- voir assaillant 1)  
- trouver le pass admin local (pass protégé? pass crypté?)  
keyloger harware avec transmition radio toujours entre clavier et tour, donc pas encore crypté. si crypté regarder le cryptage, mais c'est surement trop difficil ensuite.
- trouver les pass des autres users (politique de MDP sécurisée ou non?) a t on accès physique a l'ad, y a t il un serveur delivran un autre service alternatif en cas de perte de mot de passe? passer dans les bureau et regarder les post it ^^
 
- accéder à un poste en tant que qqn d'autre (plusieurs sessions avec un même login?) est ce que ça ne peut pas etre necessaire aussi d'avoir plusieurs sessions d'ouverte aussi?
 
- récupérer des données sensibles (protections autre que le login/mdp ?)
 
+1 sur rootshell sur la formation, et ne pas hesiter a en faire plusieurs regulierement.

merci pour ces precisions, je vais donc intégrer le coté prévention aupres des utilisateurs dans mes tests.
 
Le coté risque naturel sera peut etre traité si il me manque du contenu pour mon rapport final car je suis limité en pages... du coup je vais cibler mon étude sur la sécurité des postes et équipements en cas d'attaque humaine (par contre il est clair que si il me reste du temps, je me pencherai sur la question quitte à ce que se ne soit pas dans mon rapport d'examen ^^)
 
ce qu'il y a de bien dans la sécurité c'est qu'il y a toujours quelque chose à vérifier, l'inconvénient c'est que du coup ça demande beaucoup de temps...