|
ETUDE DES VULNERABILITES D’UN GRAND réseau D’ENTREPRISE ET SOLUTIONS DE SECURITE
- étude THEORIQUE - - Capitaine Marc BOGET - - Gendarmerie Nationale –
Mastère SIO - 2003
Version 3.7 |
3 - Présentation du secrétariat général pour l’Administration :
3.1.1 - Attributions et rôle du secrétaire général pour l'administration :
3.1.2 - Organisation du secrétariat général pour l'administration :
3.2 - Le service des moyens généraux (SMG) :
3.2.1 - La sous-direction du soutien logistique de l'administration centrale est chargée :
3.2.2 - La sous-direction du soutien administratif est chargée :
3.2.3 - La sous-direction de l'informatique :
3.2.4 - Le centre automobile de la défense (CAD) a pour mission :
4 - Presentation du cadre de l’étude :
4.2.1 - Réseau interne de la société ACME (réf. 1) :
4.2.2 - Réseau partenaires (réf. 2) :
4.2.3 - Réseau filiales (réf. 3) :
4.2.4 - Réseau d’accès filiales/partenaires (réf. 4) :
4.2.5 - Réseau d’administration (réf. 5) :
4.2.6 - Réseau d’hébergement d’application (réf. 6) :
4.2.7 - Réseau d’accès aux applications (réf. 7) :
4.2.8 - Réseau des utilisateurs nomades (réf. 8) :
4.2.9 - Réseau d’accès des utilisateurs nomades (réf. 9) :
4.2.10 - Réseau d’accès au réseau Internet (réf. 10) :
4.2.11 - Réseau Internet (réf. 11) :
4.2.12 - Réseau d’administration sécurité (réf. 12) :
4.2.13 - Réseau clients (réf. 13) :
4.3 - Les dialogues utilisateurs et applicatifs :
5.1 - Les grands types de menace :
5.1.1 - Les manœuvres en vue d’obtenir des informations :
5.1.1.A - L’écoute du réseau :
5.1.1.B - Le principe du balayage du système d’informations :
5.1.1.C - La fouille informatique :
5.1.2 - Les manœuvres en vue d’obtenir des droits :
5.1.2.A - L’usurpation d’identité :
5.1.2.B - L’usurpation de machines :
5.1.3 - Les manœuvres visant à perturber ou à détruire :
5.1.3.A - Les virus, vers et chevaux de Troie :
5.1.3.B - Les attaques en déni de service :
5.1.4 - Les manœuvres visant à détourner les systèmes de sécurité :
5.1.4.A - Les portes dérobées :
5.1.4.B.1 - Les différents types de « spyware » :
5.1.4.B.2 - Fonctionnement d’un spyware :
5.1.4.C - Le principe d’asynchronisme :
5.1.5 - Un scénario d’intrusion type :
5.2 - Le modèle de sécurité Windows :
5.2.2 - Acteurs et concepts du modèle :
5.2.2.A - Acteurs principaux :
5.2.2.D - Relations d’approbation :
5.2.3 - L’établissement d’une session d’un acteur Windows :
5.2.3.A - Phase d’authentification :
5.2.3.B - Attributs d’autorisation :
5.2.3.C - Session de connexion :
5.2.4 - Les mécanismes d’autorisation :
5.2.4.A - Le contrôle d’accès :
5.2.4.B - La gestion des permissions :
5.2.4.C - Descripteur de sécurité :
5.2.4.E - Algorithme du contrôle d’accès Windows :
5.2.4.F - Origine des descripteurs de sécurité :
5.2.4.G - Les privilèges sous Windows :
5.2.5 - Audit des systèmes Windows :
5.2.5.A.1 - Administration et exploitation de l’audit :
5.3 - Le modèle de sécurité UNIX :
5.3.1 - La gestion des utilisateurs :
5.3.1.A - Contrôle et droits d’accès :
5.3.1.A.1 - Contrôle d’accès discrétionnaire :
5.3.1.A.2 - Contrôle d’accès mandaté :
5.3.1.B.1 - Les identificateurs de login :
5.3.1.B.2 - Les mots de passe :
5.3.1.B.2.a - Le chiffrement des mots de passe :
5.3.1.B.2.b - La gestion des mots de passe :
5.3.1.B.3 - La gestion des utilisateurs :
5.3.1.B.3.a - Les utilisateurs usuels :
5.3.1.B.3.b - L’administrateur du système :
5.3.1.B.4 - La gestion des groupes d’utilisateurs :
5.3.1.B.4.a - Les groupes usuels :
5.3.1.C - Les modules PAM (Pluggable Authentification Modules) :
5.3.1.C.1 - Description des modules PAM :
5.3.2 - Le système de fichiers UNIX :
5.3.2.A - Organisation du système de fichiers :
5.3.2.B - La gestion des fichiers et des permissions associées :
5.3.2.B.1 - Les différents droits possibles :
5.3.2.B.1.a - Le droit en lecture (r) :
5.3.2.B.1.b - Le droit en écriture (w) :
5.3.2.B.1.c - Le droit en exécution (x) :
5.3.2.B.2 - Les droits particuliers : SUID, SGID et Sticky Bit
5.3.2.B.3 - La modification des droits :
5.4 - Le modèle de sécurité MacOS :
5.4.2 - Description du système d’exploitation :
5.4.3 - Le modèle de sécurité :
6 - Etudes des vulnérabilités :
6.1 - Etude des différents systèmes d’exploitation :
6.1.1 - Les systèmes d’exploitation Microsoft :
6.1.1.A - Les systèmes d’exploitation Windows 95/98/Me :
6.1.1.A.1 - Attaques à distance :
6.1.1.A.1.a - Connexion directe aux ressources partagées :
6.1.1.A.1.b - Chevaux de Troie :
6.1.1.A.1.c - Déni de service :
6.1.1.A.2 - Attaques locales :
6.1.1.A.2.a - Redémarrage du système :
6.1.1.A.2.b - Lancement automatique d’un programme sur CD-ROM :
6.1.1.A.2.c - Faiblesse de la protection de l’économiseur d’écran :
6.1.1.A.2.d - Stockage des mots de passe en mémoire :
6.1.1.A.2.e - Stockage des mots de passe :
6.1.1.B - Le système d’exploitation Windows NT4:
6.1.1.B.1 - L’obtention du statut d’administrateur :
6.1.1.B.1.a - La recherche des mots de passe usuels :
6.1.1.B.1.b - La transmission des valeurs de hachage :
6.1.1.B.1.c - L’augmentation des droits d’un utilisateur :
6.1.1.B.2 - Les dénis de service :
6.1.1.B.2.a - Débordement de tampon :
6.1.1.B.2.b - Déni de service :
6.1.1.B.3 - Recherche d’informations présentes sur d’autres serveurs :
6.1.1.B.3.a - Décryptage des comptes de sécurité :
6.1.1.B.3.b - Analyse de la base de registre :
6.1.1.B.3.c - La recherche de mots de passe transitant sur le réseau :
6.1.1.B.3.d - Chevaux de Troie :
6.1.1.B.3.e - Réacheminement de port :
6.1.1.B.4 - L’effacement des traces d’effraction :
6.1.1.C - Le système d’exploitation Windows 2000 :
6.1.1.C.1 - Découverte des mots de passe :
6.1.1.C.1.a - Espionnage des mots de passe transitant sur le réseau :
6.1.1.C.1.b - Obtention des mots de passe :
6.1.1.C.1.c - Analyse de la base de registre :
6.1.1.C.3 - L’effacement des traces d’effraction :
6.1.2 - Les systèmes d’exploitation Unix :
6.1.2.A - Les vulnérabilités accessibles via un accès à distance :
6.1.2.A.1 - Attaque par force brute :
6.1.2.A.2 - Vulnérabilités du serveur X :
6.1.2.A.3 - Vulnérabilité du service d’impression : Lpr
6.1.2.A.4 - Telnet inversé et canaux retour :
6.1.2.A.5 - Les services RPC :
6.1.2.B - Les vulnérabilités accessibles via un accès local :
6.1.2.C - Les vulnérabilités permettant la modification du système :
6.1.3 - Les systèmes d’exploitation Apple :
6.2 - Etude des mécanismes d’authentification des utilisateurs :
6.2.1 - Un domaine local Windows NT :
6.2.1.A - Les domaines Windows NT :
6.2.1.B - Les serveurs de domaine NT4 :
6.2.1.C - Authentification d’un utilisateur au sein d’un domaine NT4 :
6.2.2 - Un domaine Windows 2000 :
6.2.2.A - Présentation d’Active Directory :
6.2.2.A.1 - Structure logique d’Active Directory :
6.2.2.A.1.a - Les domaines Active Directory :
6.2.2.A.1.b - Les arbres d’un domaine Active Directory :
6.2.2.A.1.c - Les forêts d’arbres d’un domaine Active Directory :
6.2.2.A.1.d - Les unités organisationnelles (OU) Active Directory :
6.2.2.A.1.e - Les contrôleurs de domaine Active Directory :
6.2.2.B - Authentification Kerberos intégrée :
6.2.2.C - Protocole Kerberos et autorisation Windows 2000 :
6.2.2.D - Exploitation de Kerberos dans les réseaux Windows 2000 :
6.2.3 - L’authentification des utilisateurs via un annuaire distant :
6.2.3.A.1 - Faiblesse de NIS :
6.2.3.B - Les annuaires basés sur le protocole LDAP :
6.3 - Etude des vulnérabilités des principaux serveurs applicatifs :
6.3.1 - Le partage des fichiers :
6.3.1.A - Les serveurs de fichiers Microsoft :
6.3.1.B - Les serveurs de fichiers UNIX :
6.3.1.B.1.a - Problèmes de sécurité :
6.3.1.C - Les serveurs Netware :
6.3.2 - Le serveur de résolution de noms de machines :
6.3.3.A - Les aspects protocolaires :
6.3.3.A.1 - Risques du protocole :
6.3.3.B.1 - La vulnérabilité par validation d’entrée :
6.3.3.C - Le serveur Internet Information Server (IIS) version 5 :
6.3.3.C.1 - Mécanismes et protocoles de sécurité supportés par IIS 5 :
6.3.3.C.1.a - Authentification des utilisateurs :
6.3.3.C.1.b - Utilisation de certificats :
6.3.3.C.1.c - Contrôle d’accès :
6.3.3.C.1.d - Chiffrement des données :
6.3.3.C.1.e - Audit des activités :
6.3.3.D - Comparaison Apache / Internet Information Server :
6.3.4 - Les serveurs de messagerie :
6.3.4.A - Les aspects protocolaires :
6.3.4.B - Le serveur SENDMAIL :
6.3.4.C - Le serveur POSTFIX :
6.3.4.C.1 - Principe du moindre privilège :
6.3.4.C.2 - Cloisonnement des processus :
6.3.4.C.3 - Environnement contrôlé :
6.3.4.C.3.a - Mécanisme Set-uid :
6.3.4.C.4 - Gestion de la confiance dans le contenu des fichiers :
6.3.4.C.5 - Gestion de grands volumes de données :
6.3.4.C.6 - Autres défenses mises en place par Postfix :
6.3.4.D - Le serveur Exchange 2000 :
6.3.4.D.1 - Utilisation de la sécurité Windows :
6.3.4.D.2 - Mécanisme de protection contre les attaques de dénis de service :
6.3.4.D.3 - Sécurisation des accès clients :
6.3.4.D.3.a - Sécurisation des liaisons clients/serveur :
6.3.4.D.3.b - Sécurité des liaisons applicatives clients/serveur :
6.3.4.D.4 - Sécurisation des messages échangés :
6.3.4.E - Le serveur Lotus Notes :
6.3.5 - Les serveurs de transfert de fichiers :
6.3.5.A - Le cas du serveur TFTP :
6.3.5.B - Le cas du serveur FTP :
6.4 - Etude des réseaux locaux :
6.4.1 - L’architecture physique :
6.4.1.A - Présentation des réseaux locaux de type Ethernet :
6.4.1.B - Présentation des réseaux locaux de type radio : le Wi-FI
6.4.1.B.1 - Evaluation générale des risques :
6.4.2 - Les protocoles réseaux :
6.4.2.A.1 - Le protocole IP version 4 :
6.4.2.A.1.a - Les faiblesses d’IP version 4 :
6.4.2.A.2 - Le protocole IP version 6 :
6.4.2.A.2.a - La sécurité d’IPv6 :
6.4.2.A.2.b - Les faiblesses d’IPv6 :
6.4.2.B.1 - Les objectifs de MPLS :
6.4.2.B.2 - Principes de base du protocole MPLS :
6.4.2.B.3 - Mécanismes de sécurité MPLS :
6.4.2.B.3.a - La sécurité induite par le fonctionnement intrinsèque du protocole MPLS :
6.4.2.C.1 - Les principes d’OSPF :
6.4.2.C.2 - Mécanisme de sécurité au sein d’OSPF :
6.4.2.E - Les autres protocoles :
6.4.3 - Les attaques possibles :
6.4.3.A - Les réseaux sans fil :
6.4.3.A.1 - Disponibilité d’un réseau sans fil :
6.4.3.A.2 - Intégrité des contenus face à des actes de malveillance :
6.4.3.A.2.b - Confidentialité des informations :
6.4.3.A.2.c - Usurpation d’identité :
6.4.3.D - Le détournement d’adresse IP (spoofing IP) :
6.4.3.D.1 - Le smart spoofing IP :
6.5 - Etude des liaisons d’interconnexion :
6.5.1 - Les liaisons téléphoniques :
6.5.1.B - Les liaisons RNIS (Réseau Numérique à Intégration de Services) :
6.5.1.B.1 - Mécanismes de fonctionnement d’un réseau RNIS :
6.5.1.B.1.a - Les canaux logiques RNIS :
6.5.1.B.2 - Différences entre les technologies RTC et RNIS :
6.5.1.B.3 - Les utilisations standard de la technologie RNIS :
6.5.1.B.3.a - Le raccordement de PABX :
6.5.1.B.3.b - Le partage d’accès et l’interconnexion réseau :
6.5.1.B.3.c - L’agrégat de canaux B :
6.5.1.B.3.d - L’établissement d’une ligne de secours :
6.5.1.B.3.e - La gestion de la surcharge de ligne (overload) :
6.5.1.B.3.f - Le raccordement d’utilisateurs distants :
6.5.2 - Les liaisons filaires :
6.5.2.A - Les liaisons TRANSPAC :
6.5.2.A.2 - Services de sécurité :
6.5.2.B - Les liaisons TRANSFIX :
7.1 - Les mécanismes et protocoles de sécurisation réseau :
7.1.1.A - Principe de fonctionnement des VPN :
7.1.1.B - Les différents protocoles utilisés pour l’établissement d’un VPN :
7.1.1.B.1 - Le protocole PPP :
7.1.1.B.1.a - Les protocoles de contrôle réseau (NCPs) :
7.1.1.B.1.b - Les différentes méthodes d’authentification PPP :
7.1.1.B.2 - Le protocole PPTP :
7.1.1.B.3 - Le protocole L2F :
7.1.1.B.4 - Le protocole L2TP (RFC 2661) :
7.1.1.B.4.a - Les concepts clés du protocole L2TP :
7.1.2.A - Le mode de fonctionnement du protocole IPSec :
7.1.2.B - Les deux modes de fonctionnement IPSec :
7.1.2.B.1 - Le mode transport :
7.1.2.C - Les protocoles d’authentification IPSec :
7.1.2.C.2 - Le protocole ESP :
7.2 - Les protocoles de sécurisation applicatifs :
7.2.1 - Les infrastructures de gestion de clés (IGC) :
7.2.1.A - Le chiffrement symétrique :
7.2.1.A.2 - Les différents algorithmes de chiffrement symétrique :
7.2.1.A.2.a - Le chiffre de César :
7.2.1.A.2.b - Le chiffre de Vigenère :
7.2.1.A.2.c - L’algorithme de Vernam :
7.2.1.A.2.d - L’algorithme DES :
7.2.1.A.2.e - L’algorithme Triple – DES :
7.2.1.A.2.f - L’algorithme AES :
7.2.1.A.3 - Les principaux inconvénients de chiffrement symétrique :
7.2.1.B - Le chiffrement asymétrique :
7.2.1.B.1 - L’algorithme de Diffie-Hellman :
7.2.1.B.1.a - Principe de fonctionnement de l’algorithme de Diffie-Hellman ;
7.2.1.B.2 - L’algorithme RSA :
7.2.1.B.2.a - Principe de fonctionnement de l’algorithme RSA :
7.2.1.C - Chiffrement symétrique versus chiffrement asymétrique :
7.2.1.D - Les fonctions de hachage :
7.2.1.D.1 - Importance de la taille de l’empreinte :
7.2.1.E - Les signatures numériques :
7.2.1.E.2 - Le mécanisme de la signature numérique :
7.2.1.E.3 - Les certificats numériques :
7.2.1.E.3.a - La vérification du destinataire à l’aide des certificats numériques :
7.2.4.A - Spécification du protocole SSL :
7.2.4.A.1 - Spécification de l’entête SSL :
7.2.4.A.2 - Spécification des données SSL :
7.2.4.B.4 - Le protocole d’alarme :
7.2.4.B.5 - Gestion des erreurs :
7.2.4.B.6 - Messages du protocole handshake SSL :
7.2.4.B.6.a - Messages envoyés par le client :
7.2.4.B.6.b - Messages envoyés par le serveur :
7.2.4.B.6.c - Messages envoyés par le serveur ou le client :
7.2.4.C - Attaques contre le protocole SSL :
7.2.4.C.1 - Attaquer les algorithmes de chiffrement de la clé de session :
7.2.4.C.2 - Attaque à « texte clair » :
7.2.4.C.3 - Attaque par rejeu :
7.2.4.C.4 - Attaque « Man in the Middle » :
7.2.4.C.5 - Usurpation d’identité :
7.2.5.B.2 - Le protocole CMS :
7.2.5.B.3 - Description du format de message S-HTTP :
7.2.5.B.4 - Comparaison S-HTTP / HTTPS :
7.2.5.B.4.b - Non répudiation des données :
7.2.5.B.4.c - Mise en place d’hôtes virtuels :
7.2.7.A - Description du format de message SMIME :
7.2.7.B - Comparaison SSMTP / S/MIME :
7.3 - Les mécanismes d’authentification sécurisée :
7.3.1 - Le protocole TACACS+ :
7.3.1.A - Gestion de la session TACACS+ :
7.3.1.B - Mécanismes d’authentification TACACS+ :
7.3.1.C - Mécanismes d’autorisation TACACS+ :
7.3.1.D - Mécanismes de rapport TACACS+ :
7.3.1.E - Les attributs du protocole TACACS+ :
7.3.2 - Le standard RADIUS (RFC 2138-2139) :
7.3.2.A - Mécanismes d’authentification RADIUS :
7.3.2.B - Mécanismes d’autorisation RADIUS :
7.3.2.C - Mécanismes de rapport RADIUS :
7.3.2.D - Les attributs du protocole RADIUS :
7.3.3.A - Les limites de Kerberos en environnement Microsoft :
7.4.1.A - Les différents types de firewall :
7.4.1.A.1 - Les Firewalls à filtrage de paquets :
7.4.1.A.2 - Les Firewalls Proxy :
7.4.1.B - Les possibilités d’un firewall :
7.4.1.B.1 - Le firewall est au centre des décisions de sécurité :
7.4.1.B.2 - Le firewall permet de renforcer le règlement de sécurité :
7.4.1.B.3 - Le firewall permet d’enregistrer l’activité :
7.4.1.C - Ce qu’un firewall ne peut pas faire :
7.4.1.C.1 - La protection contre la menace interne :
7.4.1.C.2 - La protection contre des connexions ne passant pas par le firewall :
7.4.1.C.3 - La protection contre les menaces nouvelles :
7.4.1.C.4 - La protection contre les virus :
7.4.2 - Les sondes de détection d’intrusion :
7.4.2.A.1 - Approche comportementale et approche par scénarios :
7.4.2.A.2 - Autre méthode de classification des systèmes de détection d’intrusion :
7.4.2.B - Les sondes de détection d’intrusion actuelles :
7.4.2.B.2 - Imperfections dans les implémentations actuelles :
7.4.2.B.3 - Conditions de fonctionnement des systèmes de détection d'intrusions :
7.4.3.A - Définition d’un agent mobile :
7.4.3.B - Avantages et inconvénients :
8.1.2 - Propositions de choix de solutions de sécurité :
8.1.2.A - Quel réseau choisir ?
8.1.2.A.1 - La topologie réseau :
8.1.2.A.2 - Le protocole utilisé :
8.1.2.B - Quel architecture de sécurité choisir ?
8.1.2.C - Quel système d’exploitation choisir ?
8.1.2.D - Quels logiciels choisir ?
8.1.2.D.1 - Les postes de travail utilisateurs :
8.1.2.D.2 - Les serveurs de fichiers bureautique :
8.1.2.D.2.a - Les serveurs Web d’applications métier :
8.1.2.D.2.b - Les serveurs de messagerie :
8.1.2.D.2.c - Les autres serveurs :
8.1.2.D.2.d - La gestion des flux en provenance ou en direction du Web :
8.1.2.E - Comment authentifier les utilisateurs ?
8.1.2.F - Quelles fonctionnalités offrir aux utilisateurs ?
8.1.2.F.1 - Les utilisateurs anonymes :
8.1.2.F.2 - Les utilisateurs authentifiés :
8.1.2.G - L’échange d’informations avec les sociétés partenaires :
8.1.2.H - La problématique d’administration des équipements du système d’information :
8.1.2.H.1 - L’administration à distance :
8.1.2.H.2 - La concentration des journaux d’événements :
8.1.2.H.3 - La gestion des équipements réseaux (SNMP) :
8.1.2.H.4 - La mise à l’heure des serveurs :
8.1.2.I - Un pré requis : une infrastructure à clés publiques
8.1.3 - Architecture générale :
8.1.4 - Architecture des flux autorisés :
8.1.6 - Détail des fonctionnalités implémentées :
8.2.1.A - Autorité de certification :
8.2.1.C - Administration SSH :
8.2.1.D - Récupération d’un certificat au format PEM :
8.2.2 - Notions sur Linux en général et les serveurs Debian en particulier :
8.2.2.A - Logiciels utiles a posséder sur le poste client Windows :
8.2.2.C - La gestion des taches automatiques sous Unix :
8.2.3.A - Concentrateur IPSEC :
8.2.3.A.1 - Installation du noyau généré :
8.2.3.A.2 - Mise en place des tunnels IPSEC :
8.2.3.A.3 - Installation des clients IPSEC Windows :
8.2.3.A.3.a - Installation du certificat IPSEC :
8.2.3.A.3.b - Paramétrage de la stratégie IP :
8.2.3.A.3.c - Activation du mode DEBUG des clients IPSEC :
8.2.3.D - Firewall de paquets :
8.2.3.F - Mise en places des adresses ARP statiques :
8.2.3.G - Authentification des utilisateurs sur l’annuaire LDAP :
8.2.4.A - Firewall de paquets :
8.2.4.D - Authentification des utilisateurs sur l’annuaire LDAP :
8.2.5.A - Concentrateur de logs :
8.2.5.A.1 - Compression des logs :
8.2.5.C - Authentification des utilisateurs sur l’annuaire LDAP :
8.2.6.A.1 - Serveur OpenLDAP :
8.2.6.D - Authentification des utilisateurs sur l’annuaire LDAP :
8.2.6.E - Population de l’annuaire LDAP :
8.2.7.A - Administration du serveur de sécurité :
8.2.7.A.1 - Paramétrage général du serveur de sécurité :
8.2.7.A.2 - Création des utilisateurs au sein du logiciel E-Sentry :
8.2.7.A.2.a - Mise en place de la définition des utilisateurs au sein de l’annuaire LDAP :
8.2.7.A.3 - Création d’une application à surveiller :
8.2.7.A.4 - Attribution des droits sur une application :
8.2.7.D - Authentification des utilisateurs sur l’annuaire LDAP :
8.2.8.B.1 - Support des ACL sur le serveur Colombe :
8.2.8.E - Authentification des utilisateurs sur l’annuaire LDAP :
8.2.9.B - Serveur de messagerie :
8.2.9.B.1 - Lecture des messages :
8.2.9.B.2 - Emission des messages :
8.2.9.E - Authentification des utilisateurs sur l’annuaire LDAP :
8.2.10.B - Serveur de messagerie :
8.2.10.B.1 - Lecture des messages :
8.2.10.B.1.a - Mise en place d’un outil de WebMail :
8.2.10.B.2 - Emission des messages :
8.2.10.E - Authentification des utilisateurs sur l’annuaire LDAP :
8.2.11.C - Authentification des utilisateurs sur l’annuaire LDAP :
8.2.13.C - Authentification des utilisateurs sur l’annuaire LDAP :
8.2.14.C - Authentification des utilisateurs sur l’annuaire LDAP :
1 - Les outils permettant l’exploitation des vulnerabilités :
1.1 - Les systèmes d’exploitation :
3 - Les sites utilisés dans le cadre de la maquette :
1 - La gestion des mots de passe Windows :
1.1 - Algorithmes de chiffrement :
1.1.3 - Un aperçu de l'utilisation réseau :
1.3.1.A - La voie obscure: Syskey :
3 - Résultats etude survey – Avril 2003 :
4 - Présentation du logiciel E-SENTRY :
4.1.1 - Présentation du logiciel E-Sentry :
4.1.2 - Caractéristiques du logiciel :
4.1.2.A - Utilisation des standards :
4.1.2.B - Renforcement de la sécurité d'accès aux informations de l'entreprise :
4.1.2.C - Pas de modification des applications :
4.1.2.D - Administration fédératrice pouvant être centralisée et/ ou déléguée :
4.1.3 - Présentation des composants E-Sentry :
4.1.3.A - Le serveur de sécurité E-Sentry (installé sur Eridan) :
4.1.3.B - Le WebAgent (installés sur les serveurs Colombe et Fleche) :
4.1.3.C - Le FrontServer (installé sur Fleche) :
4.1.4 - Cinématique de connexion à une application :
4.2 - Le serveur de sécurité E-Sentry (installé sur Eridan) :
4.2.1.A - Protection des applications Web :
4.2.1.B - Connexion aux applications interactives « MainFrame » :
4.2.2 - Les logiciels utilisables :
4.2.2.B - Serveurs HTTP supportant le serveur de sécurité e-sentry :
4.2.2.C - Serveurs HTTP applicatifs supportés :
4.2.3 - Outils d’administration de la base E-Sentry :
4.2.3.A - Interface graphique :
4.2.3.B - Interface terminal :
4.3 - Le WebAgent E-Sentry (installé sur Colombe et Pégase) :
4.4 - Le FrontServer (installé sur Flèche) :
4.4.2.A - Proxy et Reverse Proxy :
4.4.2.A.2 - Le mode Reverse Proxy :
4.4.2.B - Extensions apportées par le FrontServer au fonctionnement standard Apache :
4.4.3 - Nouvelles directives Apache introduites par le FrontServer :
4.4.4 - Identification des site Web contrôlés par un FrontServer
4.4.4.A - La directive « Virtual Host » :
4.4.4.B - La directive « ProxyPass » :
4.4.4.C - La directive « ProxyPrefix » :
4.4.5 - Architecture interne du FrontServer :
4.4.5.A - Les messages HTTP entrants :
4.4.5.B - Les messages HTTP sortants :
4.4.6 - Cinématique de fonctionnement du FrontServer :
5 - Le script de gestion des utilisateurs LDAP :
6 - Présentation du firewall applicatif :
6.1 - Présentation du firewall applicatif :
6.2 - Paramétrage du firewall applicatif :
7 - Présentation du logiciel MANHUNT :
7.1.1 - Analyse et corrélation en temps réel :
7.1.2 - Des réponses automatiques en fonction des attaques :
7.1.3 - Gestion des événements à partir d’une seule console :
7.1.4 - Configuration requise :
8 - Présentation du logiciel MANTRAP :
8.1.1 - Configuration requise :
8.1.1.A - Console d’administration :
9 - Rappels des principaux ports utilisés dans le cadre de la maquette :
10 - Liste des packages installés sur les différents serveurs de la maquette :
11 - Exemple de fonctionnement de la chaîne Web complète :
12 - présentation des autres organismes du secrétariat général pour l’administration :
12.1 - La direction des affaires financières (DAF) :
12.1.2 - Domaines d'intervention principaux de la DAF :
12.1.2.B - La comptabilité budgétaire :
12.1.2.C - L'environnement économique de la défense et la modernisation de la gestion :
12.2 - La direction de la fonction militaire et du personnel civil (DFP) :
12.3 - La direction des affaires juridiques (DAJ) :
12.3.2 - La sous-direction du droit public et du droit privé (D2P) :
12.3.3 - La sous-direction du droit international et du droit européen (DIE) :
12.3.4 - La sous-direction du contentieux (CX) :
12.3.5 - La division des affaires pénales militaires (DAPM) :
12.3.6 - La mission centrale de liaison pour l'assistance aux armées étrangères (MCLAE) :
12.3.7 - La mission de codification :
12.4 - La direction de la mémoire, du patrimoine et des archives (DMPA) :
12.4.1 - La sous-direction de l'action culturelle et éducative :
12.4.2 - La sous-direction du patrimoine :
12.4.3 - La sous-direction des archives et des bibliothèques :
12.4.4 - La mission pour la réalisation des actifs immobiliers (MRAI) :
12.5 - Direction des statuts, des pensions et de la réinsertion sociale (DSPRS) :
12.5.1 - Des missions régaliennes :
12.5.2 - Le pilotage des services déconcentrés :
12.6 - La direction du service national :
12.7 - La délégation aux restructurations (DAR) :
12.8 - Le centre de formation au management du ministère de la défense (CFMD) :
12.8.2 - Une structure légère au service de l'ensemble du ministère :
12.8.3 - Information, formation et études :
12.9 - Centre d'études d'histoire de la défense (CEHD) :
12.10 - Le centre d'études en sciences sociales de la défense (C2SD) :
12.11 - L’inspecteur du personnel civil de la défense :
12.12 - L’inspecteur de l'action sociale :
12.13 - L’inspecteur de l'administration générale et du patrimoine :
|
Version |
Auteurs |
Date |
Description |
|
|
N° |
Validation |
|||
|
0.1 |
|
MBT |
01/04/2003 |
Création du document – Etude des vulnérabilités des OS |
|
0.2 |
|
MBT |
04/04/2003 |
Prise en compte modifications responsable stage |
|
1.0 |
|
MBT |
10/06/2003 |
Conclusion rédaction étude théorique |
|
1.1 |
|
MBT |
12/06/2003 |
Prise en compte modifications responsable stage |
|
1.3 |
|
MBT |
15/06/2003 |
Prise en compte modifications responsable stage |
|
2.0 |
|
MBT |
01/07/2003 |
Conclusion maquette |
|
2.3 |
|
MBT |
07/07/2003 |
Prise en compte modifications responsable stage |
|
3.0 |
|
MBT |
20/07/2003 |
Fin rédaction étude technique |
|
3.5 |
|
MBT |
25/08/2003 |
Prise en compte modifications responsable stage |
|
3.7 |
|
MBT |
30/08/2003 |
Prise en compte modifications tuteur stage |