Soutenance stage M2 SSI

  • Published on
    20-Nov-2014

  • View
    2.434

  • Download
    2

Embed Size (px)

DESCRIPTION

Diapo pour ma soutenance orale lors de la prsentation de mon stage de fin de Master 2 Scurit des Systmes d'Information ralis au sein de Capgemini Services Rennes. Soutenance ayant eu lieu le mardi 3 Septembre l'universit de Rennes 1.

Transcript

<ul><li> 1. Sujet de stage: Audit de vulnrabilit et tests dintrusion 4 Mars 31 Aot 2013 </li></ul> <p> 2. Copyright Capgemini 2012. All Rights Reserved Division Contenu de la prsentation Prsentation de Capgemini Contexte et objectifs du stage Tests dintrusion au niveau applications web Tests dintrusion systmes et rseaux Contrle daccs et gestion didentits Bilan du stage 2 Audit de vulnrabilits et tests dintrusion, par Guillaume Raimbault, le 3 Septembre 2013 3. Copyright Capgemini 2012. All Rights Reserved Division Prsentation de Capgemini Notorit internationale Plus de 125 000 collaborateurs Travaillent rpartis travers 44 pays Rassemblent 100 langues Et ralisent un chiffre daffaires de 10 264 millions deuros! 4 mtiers Lintgration de systmes Linfogrance Les services informatiques de proximit Le consulting Centre de comptences Custom Software Development Dveloppement de systmes dinformation spcifiques Services Planifier, concevoir, dvelopper, intgrer et grer les systmes dinformation Offre Scurit Rennes Gouvernance SSI Architectures de scurit Scurit dans les dveloppements Audits de scurit Gestion des identits Scurit du cloud 3 Audit de vulnrabilits et tests dintrusion, par Guillaume Raimbault, le 3 Septembre 2013 4. Contexte et objectifs du stage 5. Copyright Capgemini 2012. All Rights Reserved Division Contexte et objectifs du stage Contexte Objectifs Entreprise Equipe Scurit de Capgemini Services Rennes Offre Audits de scurit Enrichir loffre en crant laxe Audits dynamiques de scurit proposant des prestations de tests dintrusion 5 Audit de vulnrabilits et tests dintrusion, par Guillaume Raimbault, le 3 Septembre 2013 6. Copyright Capgemini 2012. All Rights Reserved Division Contexte et objectifs du stage Quest-ce quun test dintrusion (pentest) ? Cest une technique dvaluation dynamique du niveau de scurit de lobjet tudi. Lauditeur, le pentester, bien que pouvant avoir diffrents niveaux de connaissance sur la cible, se comporte comme un attaquant. Lobjectif tant de mettre en lumire les risques prsents par la cible et limpact que ceux-ci peuvent avoir pour le client sils sont exploits par un utilisateur malintentionn. 6 Audit de vulnrabilits et tests dintrusion, par Guillaume Raimbault, le 3 Septembre 2013 7. Copyright Capgemini 2012. All Rights Reserved Division Contexte et objectifs du stage Quels types de tests dintrusions ? En premier lieu: pentest dapplications web 80 % des attaques actuelles* Prestation dj demande par des clients En second lieu: pentest systmes et rseaux Configurations de scurit Ouverture: Contrle daccs et gestion didentits 7 Audit de vulnrabilits et tests dintrusion, par Guillaume Raimbault, le 3 Septembre 2013 * source: Gartner 8. Tests dintrusion: Applications web 9. Copyright Capgemini 2012. All Rights Reserved Division Tests dintrusion au niveau applications web Les applications web sont 80% les cibles des attaquants Applications de paiements, de partage, de gestion de donnes personnelles, Besoin vident de scurit LOWASP livre de nombreuses solutions pour scuriser ces applications Documents de rfrences Outils Plateformes de tests 9 Audit de vulnrabilits et tests dintrusion, par Guillaume Raimbault, le 3 Septembre 2013 10. Copyright Capgemini 2012. All Rights Reserved Division Tests dintrusion au niveau applications web Objectif: Raliser une dmarche outille, utilisable par les membres de lquipe Scurit, pour raliser une prestation de pentest. Pour cela: Ncessit de monter en comptences Etude du TOP 10 OWASP et des recommandations associes Lecture du Testing Guide Lecture de nombreux articles (SQL injection, XPath injection, XSS, ) Mise en pratique sur des plateformes de tests WebGoat, par lOWASP Mutillidae, par le projet NOWASP Root-me, site de challenges 10 Audit de vulnrabilits et tests dintrusion, par Guillaume Raimbault, le 3 Septembre 2013 11. Copyright Capgemini 2012. All Rights Reserved Division Tests dintrusion au niveau applications web Le livrable de dmarche dun test dintrusion dune application web Suit les 4 grandes tapes dun pentest Couvre lintgralit du TOP 10 OWASP Prsente de nombreux outils avec captures dcran Illustre des exemples dexploitation de vulnrabilits Enonce les recommandations et contre-mesures suivre Fournit des rfrences vers des articles et scnarios dattaques 11 Audit de vulnrabilits et tests dintrusion, par Guillaume Raimbault, le 3 Septembre 2013 Collecte dinformations Recherche de vulnrabilits Exploitation des vulnrabilits Rendu dun rapport 12. Copyright Capgemini 2012. All Rights Reserved Division Tests dintrusion au niveau applications web Retour dexprience: pentest dune journe sur un projet client Application web de paiement en ligne change de donnes sensibles: nom, prnom, numro de carte bleue, prix, Plusieurs vulnrabilits identifies Cross Site Request Forgery mais non exploitable Mauvaise configuration de scurit: Mthodes HTTP dangereuses autorises Les paramtres peuvent tre envoys en GET ou POST Paramtres changs non vrifis Modification accepte de lid du commerant Modification accepte du prix de la transaction 12 Audit de vulnrabilits et tests dintrusion, par Guillaume Raimbault, le 3 Septembre 2013 13. Tests dintrusion: Systmes et Rseaux 14. Copyright Capgemini 2012. All Rights Reserved Division Tests dintrusion systmes et rseaux Objectif: Initier une dmarche de test dintrusion exploitable par les membres de lquipe Scurit pour raliser une prestation de pentest. Documentation puis mise en pratique avec la plateforme Kioptrix* dont lobjectif est dacqurir les droits root sur la machine. Plusieurs failles de scurit affectent lenvironnement de tests il y a donc plusieurs mthodes pour atteindre lobjectif. 14 Audit de vulnrabilits et tests dintrusion, par Guillaume Raimbault, le 3 Septembre 2013 * kioptrix.com 15. Copyright Capgemini 2012. All Rights Reserved Division 3. Exploitation des vulnrabilits Tlchargement, compilation et excution dun exploit pour laugmentation de privilges 3. Exploitation des vulnrabilits Injection de commandes systmes pour tlcharger le script de remote shell configur 3. Exploitation des vulnrabilits Injection SQL pour passer lauthentification Tests dintrusion systmes et rseaux 15 Audit de vulnrabilits et tests dintrusion, par Guillaume Raimbault, le 3 Septembre 2013 Adresse IP Ports ouverts Nmap SQLi RCE Reverse shell Console dadmin Serveur web Netcat apache 2. Recherche de vulnrabilits Accs la page daccueil du serveur web 1. Collecte dinformation Identification sur le rseau puis scan des ports, services et versions 2. Recherche de vulnrabilits Analyse du fonctionnement de la console dadministration. Injection de commandes systmes inoffensives 2. Recherche de vulnrabilits Bases de donnes publiques des vulnrabilits connues 1. Collecte dinformation Identification de la version de lOS et du noyau Linux root Kernel Exploit wget 16. Contrle daccs et gestion didentits 17. Copyright Capgemini 2012. All Rights Reserved Division Contrle daccs et gestion didentits Objectif: Comprendre le mcanisme de Single Sign-On Conception dune architecture utilisant Configuration du portail web-SSO: interface dadministration, politiques de scurit Ajout de composants afin de simuler un environnement de production Etude des changes entre les acteurs 17 Audit de vulnrabilits et tests dintrusion, par Guillaume Raimbault, le 3 Septembre 2013 Principe de lauthentification unique: un utilisateur ne sidentifie quune seule fois pour accder diffrentes applications protges. 18. Copyright Capgemini 2012. All Rights Reserved Division Contrle daccs et gestion didentits 18 Audit de vulnrabilits et tests dintrusion, par Guillaume Raimbault, le 3 Septembre 2013 Utilisateur Admin rseau 1 2 3 4 5 6 7 8 9 19. Bilan du stage 20. Copyright Capgemini 2012. All Rights Reserved Division Bilan du stage Atteinte des objectifs: Tests dintrusion au niveau applications web Monte en comptences: outils et techniques de collecte dinformations, de recherche et dexploitation de vulnrabilits. Document de dmarche complet. Tests dintrusion systmes et rseaux Document de dmarche commenc. Contrle daccs et gestion didentits Mise en place dun environnement de tests, semblable un environnement de production pour la solution OpenAM: comprhension du mcanisme dauthentification 20 Audit de vulnrabilits et tests dintrusion, par Guillaume Raimbault, le 3 Septembre 2013 21. Copyright Capgemini 2012. All Rights Reserved Division Bilan du stage Nombreuses connaissances acquises en pentest et IAM. Mes livrables seront utiliss par lquipe. Trs bon environnement de travail: locaux neufs et agrables. Bonne ambiance au sein de lquipe Scurit. 21 Audit de vulnrabilits et tests dintrusion, par Guillaume Raimbault, le 3 Septembre 2013 Dbut le 23 Septembre 22. The information contained in this presentation is proprietary. 2012 Capgemini. All rights reserved. www.capgemini.com </p>