---

Memoire stage d'application Mastere SIO 2003 - Sommaire

Memoire stage d'application Mastere SIO 2003 - Titre

• 1 - HISTORIQUE DU DOCUMENT
• 2 - REMERCIEMENTS :
• 3 - PRéSENTATION DU SECRéTARIAT GéNéRAL POUR L’ADMINISTRATION :
• 3.1 - Présentation générale :
• 3.1.1 - Attributions et rôle du secrétaire général pour l'administration :
• 3.1.2 - Organisation du secrétariat général pour l'administration :
• 3.2 - Le service des moyens généraux (SMG) :
• 3.2.1 - La sous-direction du soutien logistique de l'administration centrale est chargée :
• 3.2.2 - La sous-direction du soutien administratif est chargée :
• 3.2.3 - La sous-direction de l'informatique :
• 3.2.4 - Le centre automobile de la défense (CAD) a pour mission :
• 4 - PRESENTATION DU CADRE DE L’éTUDE :
• 4.1 - Objet de l’étude :
• 4.2 - Le réseau étudié :
• 4.2.1 - Réseau interne de la société ACME (réf. 1) :
• 4.2.2 - Réseau partenaires (réf. 2) :
• 4.2.3 - Réseau filiales (réf. 3) :
• 4.2.4 - Réseau d’accès filiales/partenaires (réf. 4) :
• 4.2.5 - Réseau d’administration (réf. 5) :
• 4.2.6 - Réseau d’hébergement d’application (réf. 6) :
• 4.2.7 - Réseau d’accès aux applications (réf. 7) :
• 4.2.8 - Réseau des utilisateurs nomades (réf. 8) :
• 4.2.9 - Réseau d’accès des utilisateurs nomades (réf. 9) :
• 4.2.10 - Réseau d’accès au réseau Internet (réf. 10) :
• 4.2.11 - Réseau Internet (réf. 11) :
• 4.2.12 - Réseau d’administration sécurité (réf. 12) :
• 4.2.13 - Réseau clients (réf. 13) :
• 4.3 - Les dialogues utilisateurs et applicatifs :
• 4.4 - Cadre de l’étude :
• 5 - RAPPELS :
• 5.1 - Les grands types de menace :
• 5.1.1 - Les manœuvres en vue d’obtenir des informations :
• 5.1.1.A - L’écoute du réseau :
• 5.1.1.B - Le principe du balayage du système d’informations :
• 5.1.1.C - La fouille informatique :
• 5.1.2 - Les manœuvres en vue d’obtenir des droits :
• 5.1.2.A - L’usurpation d’identité :
• 5.1.2.B - L’usurpation de machines :
• 5.1.2.C - Le rejeu :
• 5.1.3 - Les manœuvres visant à perturber ou à détruire :
• 5.1.3.A - Les virus, vers et chevaux de Troie :
• 5.1.3.B - Les attaques en déni de service :
• 5.1.4 - Les manœuvres visant à détourner les systèmes de sécurité :
• 5.1.4.A - Les portes dérobéesVoir Portes dérobées :
• 5.1.4.B - Les « spyware » :
• 5.1.4.B.1 - Les différents types de « spyware » :
• 5.1.4.B.2 - Fonctionnement d’un spyware :
• 5.1.4.C - Le principe d’asynchronisme :
• 5.1.5 - Un scénario d’intrusion type :
• 5.2 - Le modèle de sécurité Windows :
• 5.2.1 - Vue d’ensemble :
• 5.2.2 - Acteurs et concepts du modèle :
• 5.2.2.A - Acteurs principauxVoir Gestion des utilisateurs Windows :
• 5.2.2.B - Groupes d’acteursVoir Gestion des groupes d'utilisateurs :
• 5.2.2.C - Domaine d’acteurs :
• 5.2.2.D - Relations d’approbation :
• 5.2.3 - L’établissement d’une session d’un acteur Windows :
• 5.2.3.A - Phase d’authentification :
• 5.2.3.B - Attributs d’autorisation :
• 5.2.3.C - Session de connexion :
• 5.2.4 - Les mécanismes d’autorisation :
• 5.2.4.A - Le contrôle d’accès :
• 5.2.4.B - La gestion des permissions :
• 5.2.4.C - Descripteur de sécurité :
• 5.2.4.D - Jeton de sécurité :
• 5.2.4.E - Algorithme du contrôle d’accès Windows :
• 5.2.4.F - Origine des descripteurs de sécurité :
• 5.2.4.G - Les privilèges sous Windows :
• 5.2.5 - Audit des systèmes Windows :
• 5.2.5.A.1 - Administration et exploitation de l’audit :
• 5.2.5.A.2 - Audit des accès :
• 5.3 - Le modèle de sécurité UNIX :
• 5.3.1 - La gestion des utilisateurs :
• 5.3.1.A - Contrôle et droits d’accès :
• 5.3.1.A.1 - Contrôle d’accès discrétionnaire :
• 5.3.1.A.2 - Contrôle d’accès mandaté :
• 5.3.1.B - Accès au système :
• 5.3.1.B.1 - Les identificateurs de login :
• 5.3.1.B.2 - Les mots de passe :
• 5.3.1.B.2.a - Le chiffrement des mots de passe :
• 5.3.1.B.2.b - La gestion des mots de passe :
• 5.3.1.B.3 - La gestion des utilisateurs :
• 5.3.1.B.3.a - Les utilisateurs usuels :
• 5.3.1.B.3.b - L’administrateur du système :
• 5.3.1.B.4 - La gestion des groupes d’utilisateurs :
• 5.3.1.B.4.a - Les groupes usuels :
• 5.3.1.C - Les modules PAMVoir PAM (Pluggable Authentification Modules) :
• 5.3.1.C.1 - Description des modules PAM :
• 5.3.2 - Le système de fichiers UNIX :
• 5.3.2.A - Organisation du système de fichiers :
• 5.3.2.B - La gestion des fichiers et des permissions associées :
• 5.3.2.B.1 - Les différents droits possibles :
• 5.3.2.B.1.a - Le droit en lecture (r) :
• 5.3.2.B.1.b - Le droit en écriture (w) :
• 5.3.2.B.1.c - Le droit en exécution (x) :
• 5.3.2.B.2 - Les droits particuliers : SUID, SGID et Sticky Bit
• 5.3.2.B.3 - La modification des droits :
• 5.4 - Le modèle de sécurité MacOS :
• 5.4.1 - Un peu d’histoire :
• 5.4.2 - Description du système d’exploitation :
• 5.4.3 - Le modèle de sécurité :
• 6 - ETUDES DES VULNéRABILITéS :
• 6.1 - Etude des différents systèmes d’exploitation :
• 6.1.1 - Les systèmes d’exploitation Microsoft :
• 6.1.1.A - Les systèmes d’exploitation Windows 95/98/Me :
• 6.1.1.A.1 - Attaques à distance :
• 6.1.1.A.1.a - Connexion directe aux ressources partagées :
• 6.1.1.A.1.b - Chevaux de Troie :
• 6.1.1.A.1.c - Déni de service :
• 6.1.1.A.2 - Attaques locales :
• 6.1.1.A.2.a - Redémarrage du système :
• 6.1.1.A.2.b - Lancement automatique d’un programme sur CD-ROM :
• 6.1.1.A.2.c - Faiblesse de la protection de l’économiseur d’écran :
• 6.1.1.A.2.d - Stockage des mots de passe en mémoire :
• 6.1.1.A.2.e - Stockage des mots de passe :
• 6.1.1.B - Le système d’exploitation Windows NT4:
• 6.1.1.B.1 - L’obtention du statut d’administrateur :
• 6.1.1.B.1.a - La recherche des mots de passe usuels :
• 6.1.1.B.1.b - La transmission des valeurs de hachage :
• 6.1.1.B.1.c - L’augmentation des droits d’un utilisateur :
• 6.1.1.B.2 - Les dénis de service :
• 6.1.1.B.2.a - Débordement de tampon :
• 6.1.1.B.2.b - Déni de service :
• 6.1.1.B.3 - Recherche d’informations présentes sur d’autres serveurs :
• 6.1.1.B.3.a - Décryptage des comptes de sécurité :
• 6.1.1.B.3.b - Analyse de la base de registre :
• 6.1.1.B.3.c - La recherche de mots de passe transitant sur le réseau :
• 6.1.1.B.3.d - Chevaux de Troie :
• 6.1.1.B.3.e - Réacheminement de port :
• 6.1.1.B.4 - L’effacement des traces d’effraction :
• 6.1.1.C - Le système d’exploitation Windows 2000 :
• 6.1.1.C.1 - Découverte des mots de passe :
• 6.1.1.C.1.a - Espionnage des mots de passe transitant sur le réseau :
• 6.1.1.C.1.b - Obtention des mots de passe :
• 6.1.1.C.1.c - Analyse de la base de registre :
• 6.1.1.C.2 - Déni de service :
• 6.1.1.C.3 - L’effacement des traces d’effraction :
• 6.1.2 - Les systèmes d’exploitation Unix :
• 6.1.2.A - Les vulnérabilités accessibles via un accès à distance :
• 6.1.2.A.1 - Attaque par force brute :
• 6.1.2.A.2 - Vulnérabilités du serveur XVoir X :
• 6.1.2.A.3 - Vulnérabilité du service d’impressionVoir Lpr : Lpr
• 6.1.2.A.4 - Telnet inversé et canaux retour :
• 6.1.2.A.5 - Les services RPC :
• 6.1.2.B - Les vulnérabilités accessibles via un accès local :
• 6.1.2.C - Les vulnérabilités permettant la modification du système :
• 6.1.3 - Les systèmes d’exploitation Apple :
• 6.2 - Etude des mécanismes d’authentification des utilisateurs :
• 6.2.1 - Un domaine local Windows NT :
• 6.2.1.A - Les domaines Windows NT :
• 6.2.1.B - Les serveurs de domaine NT4 :
• 6.2.1.C - Authentification d’un utilisateur au sein d’un domaine NT4 :
• 6.2.2 - Un domaine Windows 2000 :
• 6.2.2.A - Présentation d’Active Directory :
• 6.2.2.A.1 - Structure logique d’Active Directory :
• 6.2.2.A.1.a - Les domaines Active Directory :
• 6.2.2.A.1.b - Les arbres d’un domaine Active Directory :
• 6.2.2.A.1.c - Les forêts d’arbres d’un domaine Active Directory :
• 6.2.2.A.1.d - Les unités organisationnellesVoir Active Directory (OUVoir Active Directory) Active Directory :
• 6.2.2.A.1.e - Les contrôleurs de domaine Active Directory :
• 6.2.2.B - Authentification Kerberos intégrée :
• 6.2.2.C - Protocole Kerberos et autorisation Windows 2000 :
• 6.2.2.D - Exploitation de Kerberos dans les réseaux Windows 2000 :
• 6.2.3 - L’authentification des utilisateurs via un annuaire distant :
• 6.2.3.A - NISVoir NIS/NIS+ :
• 6.2.3.A.1 - Faiblesse de NIS :
• 6.2.3.A.2 - Le service NIS+ :
• 6.2.3.B - Les annuaires basés sur le protocole LDAP :
• 6.3 - Etude des vulnérabilités des principaux serveurs applicatifs :
• 6.3.1 - Le partage des fichiers :
• 6.3.1.A - Les serveurs de fichiers Microsoft :
• 6.3.1.B - Les serveurs de fichiers UNIX :
• 6.3.1.B.1 - NFS :
• 6.3.1.B.1.a - Problèmes de sécurité :
• 6.3.1.B.1.b - NFS SécuriséVoir NFS :
• 6.3.1.B.2 - SAMBA :
• 6.3.1.C - Les serveurs Netware :
• 6.3.2 - Le serveur de résolution de nomsVoir DNS de machines :
• 6.3.3 - Les serveurs Web :
• 6.3.3.A - Les aspects protocolaires :
• 6.3.3.A.1 - Risques du protocole :
• 6.3.3.B - Le serveur ApacheVoir Serveurs Web :
• 6.3.3.B.1 - La vulnérabilité par validation d’entrée :
• 6.3.3.C - Le serveur Internet Information ServerVoir IIS (IIS) version 5 :
• 6.3.3.C.1 - Mécanismes et protocoles de sécurité supportés par IIS 5 :
• 6.3.3.C.1.a - Authentification des utilisateurs :
• 6.3.3.C.1.b - Utilisation de certificats :
• 6.3.3.C.1.c - Contrôle d’accès :
• 6.3.3.C.1.d - Chiffrement des données :
• 6.3.3.C.1.e - Audit des activités :
• 6.3.3.D - Comparaison Apache / Internet Information Server :
• 6.3.4 - Les serveurs de messagerie :
• 6.3.4.A - Les aspects protocolaires :
• 6.3.4.A.1 - SMTP :
• 6.3.4.A.2 - POP :
• 6.3.4.A.3 - MIME :
• 6.3.4.B - Le serveur SENDMAILVoir Serveurs de messagerie :
• 6.3.4.C - Le serveur POSTFIXVoir Serveurs de messagerie :
• 6.3.4.C.1 - Principe du moindre privilège :
• 6.3.4.C.2 - Cloisonnement des processus :
• 6.3.4.C.3 - Environnement contrôlé :
• 6.3.4.C.3.a - Mécanisme Set-uid :
• 6.3.4.C.4 - Gestion de la confiance dans le contenu des fichiers :
• 6.3.4.C.5 - Gestion de grands volumes de données :
• 6.3.4.C.6 - Autres défenses mises en place par Postfix :
• 6.3.4.D - Le serveur Exchange 2000 :
• 6.3.4.D.1 - Utilisation de la sécurité Windows :
• 6.3.4.D.2 - Mécanisme de protection contre les attaques de dénis de service :
• 6.3.4.D.3 - Sécurisation des accès clients :
• 6.3.4.D.3.a - Sécurisation des liaisons clients/serveur :
• 6.3.4.D.3.b - Sécurité des liaisons applicatives clients/serveur :
• 6.3.4.D.4 - Sécurisation des messages échangés :
• 6.3.4.E - Le serveur Lotus Notes :
• 6.3.5 - Les serveurs de transfert de fichiers :
• 6.3.5.A - Le cas du serveur TFTPVoir Serveurs de transfert de fichiers :
• 6.3.5.B - Le cas du serveur FTPVoir Serveurs de transfert de fichiers :
• 6.4 - Etude des réseaux locaux :
• 6.4.1 - L’architecture physique :
• 6.4.1.A - Présentation des réseaux locaux de type Ethernet :
• 6.4.1.B - Présentation des réseaux locaux de type radio : le Wi-FI
• 6.4.1.B.1 - Evaluation générale des risques :
• 6.4.2 - Les protocoles réseaux :
• 6.4.2.A - Le protocole IP :
• 6.4.2.A.1 - Le protocole IP version 4 :
• 6.4.2.A.1.a - Les faiblesses d’IP version 4 :
• 6.4.2.A.2 - Le protocole IP version 6 :
• 6.4.2.A.2.a - La sécurité d’IPv6 :
• 6.4.2.A.2.b - Les faiblesses d’IPv6 :
• 6.4.2.B - Le protocole MPLS :
• 6.4.2.B.1 - Les objectifs de MPLS :
• 6.4.2.B.2 - Principes de base du protocole MPLS :
• 6.4.2.B.3 - Mécanismes de sécurité MPLS :
• 6.4.2.B.3.a - La sécurité induite par le fonctionnement intrinsèque du protocole MPLS :
• 6.4.2.B.3.b - Les VPN MPLS :
• 6.4.2.C - Le protocole OSPF :
• 6.4.2.C.1 - Les principes d’OSPF :
• 6.4.2.C.2 - Mécanisme de sécurité au sein d’OSPF :
• 6.4.2.D - Le protocole SNMP :
• 6.4.2.E - Les autres protocoles :
• 6.4.3 - Les attaques possibles :
• 6.4.3.A - Les réseaux sans fil :
• 6.4.3.A.1 - Disponibilité d’un réseau sans fil :
• 6.4.3.A.2 - Intégrité des contenus face à des actes de malveillance :
• 6.4.3.A.2.a - Intrusion :
• 6.4.3.A.2.b - Confidentialité des informations :
• 6.4.3.A.2.c - Usurpation d’identité :
• 6.4.3.B - Le sniffing :
• 6.4.3.C - L’ARP Poisoning :
• 6.4.3.D - Le détournement d’adresse IP (spoofing IP) :
• 6.4.3.D.1 - Le smart spoofing IP :
• 6.5 - Etude des liaisons d’interconnexion :
• 6.5.1 - Les liaisons téléphoniques  :
• 6.5.1.A - Les liaisons RTC :
• 6.5.1.B - Les liaisons RNIS (Réseau Numérique à Intégration de ServicesVoir RNIS) :
• 6.5.1.B.1 - Mécanismes de fonctionnement d’un réseau RNIS :
• 6.5.1.B.1.a - Les canaux logiques RNIS :
• 6.5.1.B.2 - Différences entre les technologies RTC et RNIS :
• 6.5.1.B.3 - Les utilisations standard de la technologie RNIS :
• 6.5.1.B.3.a - Le raccordement de PABX :
• 6.5.1.B.3.b - Le partage d’accès et l’interconnexion réseau :
• 6.5.1.B.3.c - L’agrégat de canaux B :
• 6.5.1.B.3.d - L’établissement d’une ligne de secours :
• 6.5.1.B.3.e - La gestion de la surcharge de ligne (overload) :
• 6.5.1.B.3.f - Le raccordement d’utilisateurs distants :
• 6.5.2 - Les liaisons filaires :
• 6.5.2.A - Les liaisons TRANSPAC :
• 6.5.2.A.1 - Description :
• 6.5.2.A.2 - Services de sécurité :
• 6.5.2.B - Les liaisons TRANSFIX :
• 7 - SOLUTIONS DE SECURITé :
• 7.1 - Les mécanismes et protocoles de sécurisation réseau :
• 7.1.1 - Les VPN :
• 7.1.1.A - Principe de fonctionnement des VPN :
• 7.1.1.B - Les différents protocoles utilisés pour l’établissement d’un VPN :
• 7.1.1.B.1 - Le protocole PPP :
• 7.1.1.B.1.a - Les protocoles de contrôle réseau (NCPsVoir PPP) :
• 7.1.1.B.1.b - Les différentes méthodes d’authentification PPP :
• 7.1.1.B.2 - Le protocole PPTP :
• 7.1.1.B.3 - Le protocole L2F :
• 7.1.1.B.4 - Le protocole L2TP (RFC 2661) :
• 7.1.1.B.4.a - Les concepts clés du protocole L2TP :
• 7.1.2 - Le protocole IPSEC :
• 7.1.2.A - Le mode de fonctionnement du protocole IPSec :
• 7.1.2.B - Les deux modes de fonctionnement IPSec :
• 7.1.2.B.1 - Le mode transport :
• 7.1.2.B.2 - Le mode tunnel :
• 7.1.2.C - Les protocoles d’authentification IPSec :
• 7.1.2.C.1 - Le protocole AHVoir IPSEC :
• 7.1.2.C.2 - Le protocole ESPVoir IPSEC :
• 7.2 - Les protocoles de sécurisation applicatifs :
• 7.2.1 - Les infrastructures de gestion de clés (IGC) :
• 7.2.1.A - Le chiffrement symétrique :
• 7.2.1.A.1 - Principe :
• 7.2.1.A.2 - Les différents algorithmes de chiffrement symétrique :
• 7.2.1.A.2.a - Le chiffre de César :
• 7.2.1.A.2.b - Le chiffre de VigenèreVoir Chiffrement symétrique :
• 7.2.1.A.2.c - L’algorithme de VernamVoir Chiffrement symétrique :
• 7.2.1.A.2.d - L’algorithme DESVoir Chiffrement symétrique :
• 7.2.1.A.2.e - L’algorithme Triple – DESVoir Chiffrement symétrique :
• 7.2.1.A.2.f - L’algorithme AES :
• 7.2.1.A.3 - Les principaux inconvénients de chiffrement symétrique :
• 7.2.1.B - Le chiffrement asymétrique :
• 7.2.1.B.1 - L’algorithme de Diffie-Hellman :
• 7.2.1.B.1.a - Principe de fonctionnement de l’algorithme de Diffie-Hellman ;
• 7.2.1.B.2 - L’algorithme RSAVoir Chiffrement asymétrique :
• 7.2.1.B.2.a - Principe de fonctionnement de l’algorithme RSA :
• 7.2.1.C - Chiffrement symétrique versus chiffrement asymétrique :
• 7.2.1.D - Les fonctions de hachageVoir Chiffrement asymétrique :
• 7.2.1.D.1 - Importance de la taille de l’empreinte :
• 7.2.1.E - Les signatures numériques :
• 7.2.1.E.1 - La théorie :
• 7.2.1.E.2 - Le mécanisme de la signature numérique :
• 7.2.1.E.3 - Les certificats numériques :
• 7.2.1.E.3.a - La vérification du destinataire à l’aide des certificats numériques :
• 7.2.1.E.3.b - La mise en application des certificats numériques : l’infrastructure de gestion de clésVoir Infrastructure de gestion de clésVoir Infrastructure de gestion de clés
• 7.2.2 - PGP :
• 7.2.3 - SSH :
• 7.2.4 - SSL/TLS :
• 7.2.4.A - Spécification du protocole SSL :
• 7.2.4.A.1 - Spécification de l’entête SSL :
• 7.2.4.A.2 - Spécification des données SSL :
• 7.2.4.B - Handshake SSL :
• 7.2.4.B.1 - Principe :
• 7.2.4.B.2 - Phase 1 :
• 7.2.4.B.3 - Phase 2 :
• 7.2.4.B.4 - Le protocole d’alarme :
• 7.2.4.B.5 - Gestion des erreurs :
• 7.2.4.B.6 - Messages du protocole handshake SSL :
• 7.2.4.B.6.a - Messages envoyés par le client :
• 7.2.4.B.6.b - Messages envoyés par le serveur :
• 7.2.4.B.6.c - Messages envoyés par le serveur ou le client :
• 7.2.4.B.6.d - Résumé :
• 7.2.4.C - Attaques contre le protocole SSL :
• 7.2.4.C.1 - Attaquer les algorithmes de chiffrement de la clé de session :
• 7.2.4.C.2 - Attaque à « texte clair » :
• 7.2.4.C.3 - Attaque par rejeu :
• 7.2.4.C.4 - Attaque « Man in the Middle » :
• 7.2.4.C.5 - Usurpation d’identité :
• 7.2.5 - HTTPS/S-HTTP :
• 7.2.5.A - HTTPS :
• 7.2.5.B - S-HTTP :
• 7.2.5.B.1 - Fonctionnement :
• 7.2.5.B.2 - Le protocole CMS :
• 7.2.5.B.3 - Description du format de message S-HTTP :
• 7.2.5.B.4 - Comparaison S-HTTP / HTTPS :
• 7.2.5.B.4.a - Flexibilité :
• 7.2.5.B.4.b - Non répudiation des données :
• 7.2.5.B.4.c - Mise en place d’hôtes virtuels :
• 7.2.5.B.4.d - Conclusion :
• 7.2.6 - SSMTP :
• 7.2.7 - S/MIME :
• 7.2.7.A - Description du format de message SMIME :
• 7.2.7.B - Comparaison SSMTP / S/MIME :
• 7.3 - Les mécanismes d’authentification sécurisée :
• 7.3.1 - Le protocole TACACS+ :
• 7.3.1.A - Gestion de la session TACACS+ :
• 7.3.1.B - Mécanismes d’authentification TACACS+ :
• 7.3.1.C - Mécanismes d’autorisation TACACS+ :
• 7.3.1.D - Mécanismes de rapport TACACS+ :
• 7.3.1.E - Les attributs du protocole TACACS+ :
• 7.3.2 - Le standard RADIUS (RFC 2138-2139) :
• 7.3.2.A - Mécanismes d’authentification RADIUS :
• 7.3.2.B - Mécanismes d’autorisation RADIUS :
• 7.3.2.C - Mécanismes de rapport RADIUS :
• 7.3.2.D - Les attributs du protocole RADIUS :
• 7.3.3 - KERBEROS :
• 7.3.3.A - Les limites de Kerberos en environnement Microsoft :
• 7.4 - Les DMZ :
• 7.4.1 - Les Firewalls :
• 7.4.1.A - Les différents types de firewall :
• 7.4.1.A.1 - Les Firewalls à filtrage de paquets :
• 7.4.1.A.2 - Les Firewalls ProxyVoir Firewall :
• 7.4.1.A.3 - Proxy « SOCKSVoir Firewall » :
• 7.4.1.B - Les possibilités d’un firewall :
• 7.4.1.B.1 - Le firewall est au centre des décisions de sécurité :
• 7.4.1.B.2 - Le firewall permet de renforcer le règlement de sécurité :
• 7.4.1.B.3 - Le firewall permet d’enregistrer l’activité :
• 7.4.1.C - Ce qu’un firewall ne peut pas faire :
• 7.4.1.C.1 - La protection contre la menace interne :
• 7.4.1.C.2 - La protection contre des connexions ne passant pas par le firewall :
• 7.4.1.C.3 - La protection contre les menaces nouvelles :
• 7.4.1.C.4 - La protection contre les virus :
• 7.4.2 - Les sondes de détection d’intrusion :
• 7.4.2.A - Les principes :
• 7.4.2.A.1 - Approche comportementale et approche par scénarios :
• 7.4.2.A.2 - Autre méthode de classification des systèmes de détection d’intrusionVoir IDS :
• 7.4.2.B - Les sondes de détection d’intrusion actuelles :
• 7.4.2.B.1 - Modèle de base :
• 7.4.2.B.2 - Imperfections dans les implémentations actuelles :
• 7.4.2.B.3 - Conditions de fonctionnement des systèmes de détection d'intrusions :
• 7.4.3 - Les agents mobiles :
• 7.4.3.A - Définition d’un agent mobileVoir IDS :
• 7.4.3.B - Avantages et inconvénients :
• 8 - MAQUETTE REALISEE :
• 8.1 - Présentation :
• 8.1.1 - Buts poursuivis :
• 8.1.2 - Propositions de choix de solutions de sécurité :
• 8.1.2.A - Quel réseau choisir ?
• 8.1.2.A.1 - La topologie réseau :
• 8.1.2.A.2 - Le protocole utilisé :
• 8.1.2.B - Quel architecture de sécurité choisir ?
• 8.1.2.C - Quel système d’exploitation choisir ?
• 8.1.2.D - Quels logiciels choisir ?
• 8.1.2.D.1 - Les postes de travail utilisateurs :
• 8.1.2.D.2 - Les serveurs de fichiers bureautique :
• 8.1.2.D.2.a - Les serveurs Web d’applications métier :
• 8.1.2.D.2.b - Les serveurs de messagerie :
• 8.1.2.D.2.c - Les autres serveurs :
• 8.1.2.D.2.d - La gestion des flux en provenance ou en direction du Web :
• 8.1.2.E - Comment authentifier les utilisateurs ?
• 8.1.2.F - Quelles fonctionnalités offrir aux utilisateurs ?
• 8.1.2.F.1 - Les utilisateurs anonymes :
• 8.1.2.F.2 - Les utilisateurs authentifiés :
• 8.1.2.G - L’échange d’informations avec les sociétés partenaires :
• 8.1.2.H - La problématique d’administration des équipements du système d’information :
• 8.1.2.H.1 - L’administration à distance :
• 8.1.2.H.2 - La concentration des journaux d’événements :
• 8.1.2.H.3 - La gestion des équipements réseaux (SNMP) :
• 8.1.2.H.4 - La mise à l’heure des serveurs :
• 8.1.2.I - Un pré requis : une infrastructure à clés publiques
• 8.1.3 - Architecture générale :
• 8.1.4 - Architecture des flux autorisés :
• 8.1.5 - Plan d’adressage IP :
• 8.1.6 - Détail des fonctionnalités implémentées :
• 8.2 - Fiches d’installation :
• 8.2.1 - Serveur Loup :
• 8.2.1.A - Autorité de certificationVoir Autorité de certification :
• 8.2.1.B - Déport des logs :
• 8.2.1.C - Administration SSH :
• 8.2.1.D - Récupération d’un certificat au format PEM :
• 8.2.2 - Notions sur Linux en général et les serveurs Debian en particulier :
• 8.2.2.A - Logiciels utiles a posséder sur le poste client Windows :
• 8.2.2.B - Les cages UNIX :
• 8.2.2.C - La gestion des taches automatiques sous Unix :
• 8.2.3 - Serveur Hercule :
• 8.2.3.A - Concentrateur IPSEC :
• 8.2.3.A.1 - Installation du noyau généré :
• 8.2.3.A.2 - Mise en place des tunnels IPSEC :
• 8.2.3.A.3 - Installation des clients IPSEC Windows :
• 8.2.3.A.3.a - Installation du certificat IPSEC :
• 8.2.3.A.3.b - Paramétrage de la stratégie IP :
• 8.2.3.A.3.c - Activation du mode DEBUG des clients IPSEC :
• 8.2.3.B - Serveur de temps :
• 8.2.3.B.1 - Partie serveur :
• 8.2.3.C - Déport des logs :
• 8.2.3.D - Firewall de paquets :
• 8.2.3.E - Serveur SSH :
• 8.2.3.F - Mise en places des adresses ARP statiques :
• 8.2.3.G - Authentification des utilisateurs sur l’annuaire LDAP :
• 8.2.4 - Serveur Serpent :
• 8.2.4.A - Firewall de paquets :
• 8.2.4.B - Serveur SSH :
• 8.2.4.C - Déport de logs :
• 8.2.4.D - Authentification des utilisateurs sur l’annuaire LDAP :
• 8.2.5 - Serveur PetiteOurse :
• 8.2.5.A - Concentrateur de logs :
• 8.2.5.A.1 - Compression des logs :
• 8.2.5.B - Serveur SSH :
• 8.2.5.C - Authentification des utilisateurs sur l’annuaire LDAP :
• 8.2.6 - Serveur GrandeOurse :
• 8.2.6.A - Annuaire OpenLDAP :
• 8.2.6.A.1 - Serveur OpenLDAP :
• 8.2.6.A.2 - Client OpenLDAP :
• 8.2.6.B - Serveur Apache :
• 8.2.6.C - Navigateur LDAP :
• 8.2.6.D - Authentification des utilisateurs sur l’annuaire LDAP :
• 8.2.6.E - Population de l’annuaire LDAP :
• 8.2.6.F - Serveur SSH :
• 8.2.6.G - Déport des logs :
• 8.2.7 - Serveur Eridan :
• 8.2.7.A - Administration du serveur de sécurité :
• 8.2.7.A.1 - Paramétrage général du serveur de sécurité :
• 8.2.7.A.2 - Création des utilisateurs au sein du logiciel E-Sentry :
• 8.2.7.A.2.a - Mise en place de la définition des utilisateurs au sein de l’annuaire LDAP :
• 8.2.7.A.3 - Création d’une application à surveiller :
• 8.2.7.A.4 - Attribution des droits sur une application :
• 8.2.7.B - Serveur SSH :
• 8.2.7.C - Déport des logs :
• 8.2.7.D - Authentification des utilisateurs sur l’annuaire LDAP :
• 8.2.8 - Serveur Colombe :
• 8.2.8.A - Serveur Apache :
• 8.2.8.B - Serveur Samba :
• 8.2.8.B.1 - Support des ACL sur le serveur Colombe :
• 8.2.8.C - Serveur SSH :
• 8.2.8.D - Déport des logs :
• 8.2.8.E - Authentification des utilisateurs sur l’annuaire LDAP :
• 8.2.9 - Serveur Pégase :
• 8.2.9.A - Serveur Apache :
• 8.2.9.B - Serveur de messagerie :
• 8.2.9.B.1 - Lecture des messages :
• 8.2.9.B.2 - Emission des messages :
• 8.2.9.B.3 - Anti-Spam :
• 8.2.9.B.4 - Anti-Virus :
• 8.2.9.C - Serveur SSH :
• 8.2.9.D - Déport des logs :
• 8.2.9.E - Authentification des utilisateurs sur l’annuaire LDAP :
• 8.2.10 - Serveur Dauphin :
• 8.2.10.A - Serveur Apache :
• 8.2.10.B - Serveur de messagerie :
• 8.2.10.B.1 - Lecture des messages :
• 8.2.10.B.1.a - Mise en place d’un outil de WebMail :
• 8.2.10.B.2 - Emission des messages :
• 8.2.10.B.3 - Anti-Spam :
• 8.2.10.B.4 - Anti-Virus :
• 8.2.10.C - Serveur SSH :
• 8.2.10.D - Déport des logs :
• 8.2.10.E - Authentification des utilisateurs sur l’annuaire LDAP :
• 8.2.11 - Serveur Flèche :
• 8.2.11.A - Serveur SSH :
• 8.2.11.B - Déport des logs :
• 8.2.11.C - Authentification des utilisateurs sur l’annuaire LDAP :
• 8.2.12 - Serveur Dorade :
• 8.2.12.A - Serveur SSH :
• 8.2.12.B - Déport des logs :
• 8.2.12.C - Commentaires :
• 8.2.13 - Serveur Sagittaire :
• 8.2.13.A - Serveur SSH :
• 8.2.13.B - Déport des logs :
• 8.2.13.C - Authentification des utilisateurs sur l’annuaire LDAP :
• 8.2.14 - Serveur Bouvier :
• 8.2.14.A - Serveur SSH :
• 8.2.14.B - Déport des logs :
• 8.2.14.C - Authentification des utilisateurs sur l’annuaire LDAP :
• 8.2.15 - Serveur Pleiade :
• 8.2.16 - Serveur Sextant :
• 8.2.16.A - Console SESA :
• 8.2.16.B - Console ManTrap :
• 8.2.16.C - Console MANHUNT :
• 9 - CONCLUSION :
• 1 - LES OUTILS PERMETTANT L’EXPLOITATION DES VULNERABILITéS :
• 1.1 - Les systèmes d’exploitation :
• 1.1.1 - Windows 95/98/Me :
• 1.1.2 - Windows NT/2000 :
• 1.1.3 - Novell Netware :
• 1.1.4 - Unix :
• 1.2 - Les réseaux locaux :
• 2 - LES SITES D’INFORMATION :
• 3 - LES SITES UTILISéS DANS LE CADRE DE LA MAQUETTE :
• 1 - LA GESTION DES MOTS DE PASSE WINDOWS :
• 1.1 - Algorithmes de chiffrement :
• 1.1.1 - Algorithme Lanman :
• 1.1.2 - Algorithme NTLM :
• 1.1.3 - Un aperçu de l'utilisation réseau :
• 1.2 - Fichier SAM :
• 1.2.1 - V-struct :
• 1.3 - Compte administrateur :
• 1.3.1.A - La voie obscure: Syskey :
• 1.4 - En pratique :
• 1.4.1 - NTFS :
• 1.4.2 - Casser le code :
• 2 - MICROSOFT WINDOWS ACTIVE DIRECTORY : PRéSENTATION DES SERVICES D’ANNUAIRES DE NOUVELLE GéNéRATION
• 3 - RéSULTATS ETUDE SURVEY – AVRIL 2003 :
• 4 - PRéSENTATION DU LOGICIEL E-SENTRY :
• 4.1 - Introduction :
• 4.1.1 - Présentation du logiciel E-Sentry :
• 4.1.2 - Caractéristiques du logiciel :
• 4.1.2.A - Utilisation des standards :
• 4.1.2.B - Renforcement de la sécurité d'accès aux informations de l'entreprise :
• 4.1.2.C - Pas de modification des applications :
• 4.1.2.D - Administration fédératrice pouvant être centralisée et/ ou déléguée :
• 4.1.3 - Présentation des composants E-Sentry :
• 4.1.3.A - Le serveur de sécurité E-Sentry (installé sur Eridan) :
• 4.1.3.B - Le WebAgent (installés sur les serveurs Colombe et Fleche) :
• 4.1.3.C - Le FrontServer (installé sur Fleche) :
• 4.1.4 - Cinématique de connexion à une application :
• 4.2 - Le serveur de sécurité E-Sentry (installé sur Eridan) :
• 4.2.1 - Caractéristiques :
• 4.2.1.A - Protection des applications Web :
• 4.2.1.B - Connexion aux applications interactives « MainFrame » :
• 4.2.2 - Les logiciels utilisables :
• 4.2.2.A - Navigateurs :
• 4.2.2.B - Serveurs HTTP supportant le serveur de sécurité e-sentry :
• 4.2.2.C - Serveurs HTTP applicatifs supportés :
• 4.2.3 - Outils d’administration de la base E-Sentry :
• 4.2.3.A - Interface graphique :
• 4.2.3.B - Interface terminal :
• 4.3 - Le WebAgent E-Sentry (installé sur Colombe et Pégase) :
• 4.4 - Le FrontServer (installé sur Flèche) :
• 4.4.1 - Présentation :
• 4.4.1.A - Introduction :
• 4.4.1.B - Objectifs :
• 4.4.2 - Description :
• 4.4.2.A - Proxy et Reverse Proxy :
• 4.4.2.A.1 - Le mode Proxy :
• 4.4.2.A.2 - Le mode Reverse Proxy :
• 4.4.2.B - Extensions apportées par le FrontServer au fonctionnement standard Apache :
• 4.4.3 - Nouvelles directives Apache introduites par le FrontServer :
• 4.4.4 - Identification des site Web contrôlés par un FrontServer
• 4.4.4.A - La directive « Virtual Host » :
• 4.4.4.B - La directive « ProxyPass » :
• 4.4.4.C - La directive « ProxyPrefix » :
• 4.4.5 - Architecture interne du FrontServer :
• 4.4.5.A - Les messages HTTP entrants :
• 4.4.5.B - Les messages HTTP sortants :
• 4.4.6 - Cinématique de fonctionnement du FrontServer :
• 5 - LE SCRIPT DE GESTION DES UTILISATEURS LDAP :
• 6 - PRéSENTATION DU FIREWALL APPLICATIF :
• 6.1 - Présentation du firewall applicatif :
• 6.2 - Paramétrage du firewall applicatif :
• 7 - PRéSENTATION DU LOGICIEL MANHUNT :
• 7.1 - Description générale :
• 7.1.1 - Analyse et corrélation en temps réel :
• 7.1.2 - Des réponses automatiques en fonction des attaques :
• 7.1.3 - Gestion des événements à partir d’une seule console :
• 7.1.4 - Configuration requise :
• 8 - PRéSENTATION DU LOGICIEL MANTRAP :
• 8.1 - Description générale :
• 8.1.1 - Configuration requise :
• 8.1.1.A - Console d’administration :
• 9 - RAPPELS DES PRINCIPAUX PORTS UTILISéS DANS LE CADRE DE LA MAQUETTE :
• 10 - LISTE DES PACKAGES INSTALLéS SUR LES DIFFéRENTS SERVEURS DE LA MAQUETTE :
• 10.1 - Serveur Hercule :
• 10.2 - Serveur Pégase :
• 10.3 - Serveur Colombe :
• 10.4 - Serveur GrandeOurse :
• 10.5 - Serveur Eridan :
• 10.6 - Serveur Flèche :
• 10.7 - Serveur PetiteOurse :
• 10.8 - Serveur Serpent :
• 10.9 - Serveur Dauphin :
• 11 - EXEMPLE DE FONCTIONNEMENT DE LA CHAîNE WEB COMPLèTE :
• 12 - PRéSENTATION DES AUTRES ORGANISMES DU SECRéTARIAT GéNéRAL POUR L’ADMINISTRATION :
• 12.1 - La direction des affaires financières (DAF) :
• 12.1.1 - Présentation :
• 12.1.2 - Domaines d'intervention principaux de la DAF :
• 12.1.2.A - Le budget :
• 12.1.2.B - La comptabilité budgétaire :
• 12.1.2.C - L'environnement économique de la défense et la modernisation de la gestion :
• 12.2 - La direction de la fonction militaire et du personnel civil (DFP) :
• 12.2.1 - Présentation :
• 12.3 - La direction des affaires juridiques (DAJ) :
• 12.3.1 - Présentation :
• 12.3.2 - La sous-direction du droit public et du droit privé (D2P) :
• 12.3.3 - La sous-direction du droit international et du droit européen (DIE) :
• 12.3.4 - La sous-direction du contentieux (CX) :
• 12.3.5 - La division des affaires pénales militaires (DAPM) :
• 12.3.6 - La mission centrale de liaison pour l'assistance aux armées étrangères (MCLAE) :
• 12.3.7 - La mission de codification :
• 12.4 - La direction de la mémoire, du patrimoine et des archives (DMPA) :
• 12.4.1 - La sous-direction de l'action culturelle et éducative :
• 12.4.2 - La sous-direction du patrimoine :
• 12.4.3 - La sous-direction des archives et des bibliothèques :
• 12.4.4 - La mission pour la réalisation des actifs immobiliers (MRAI) :
• 12.5 - Direction des statuts, des pensions et de la réinsertion sociale (DSPRS) :
• 12.5.1 - Des missions régaliennes :
• 12.5.2 - Le pilotage des services déconcentrés :
• 12.6 - La direction du service national :
• 12.6.1 - Présentation :
• 12.7 - La délégation aux restructurations (DAR) :
• 12.7.1 - Présentation :
• 12.8 - Le centre de formation au management du ministère de la défense (CFMD) :
• 12.8.1 - Présentation :
• 12.8.2 - Une structure légère au service de l'ensemble du ministère :
• 12.8.3 - Information, formation et études :
• 12.9 - Centre d'études d'histoire de la défense (CEHD) :
• 12.9.1 - Présentation :
• 12.10 - Le centre d'études en sciences sociales de la défense (C2SD) :
• 12.10.1 - Présentation :
• 12.11 - L’inspecteur du personnel civil de la défense :
• 12.11.1 - Présentation :
• 12.12 - L’inspecteur de l'action sociale :
• 12.12.1 - Présentation :
• 12.13 - L’inspecteur de l'administration générale et du patrimoine :
• 12.13.1 - Présentation :