M2 RS – Sécurité Réseau
EVALUATION
Les documents sont autorisés (notamment cours, TD, TP). Les réponses « copier/coller » ne seront par défaut pas rétribuées : il est demandé de justifier chaque réponse (à quelques exceptions près). De préférence, répondre aux questions dans l'ordre. NB : Il est recommandé aux étudiants de bien lire les consignes de l'évaluation.
Q1) Analyse de scénarios : [4 pts] Un RSSI émet l'avis suivant : sachant que tous les serveurs web publics, DNS (NS), MTA, VPN, sont très sécurisés (il n'y a pas d'autre service ouvert sur Internet), je ne vois pas comment on pourrait m'attaquer. Déroulez une analyse de risques, après avoir identifié des méthodes d'attaque (qui pourraient être confirmées via un audit de sécurité), qui seraient fortement susceptibles de fonctionner, malgré le niveau de sécurité évoqué. Il est recommandé de vous appuyer sur des statistiques récentes, des cas concrets, et de faire le lien avec une démarche cohérente d'attaquant. Enfin, il vous faudra mettre en parallèle les différents types de menaces, les risques associés, et les solutions (au moins sommairement).
Q2) Priorité sécurité [2pts] Soit une entreprise de 1000 personnes, qui n'a eu aucune équipe de sécurité depuis sa création. Le parc est en « configuration par défaut », notamment pour les postes Windows et l'Active Directory (nécessaire pour l'accès aux partages de fichiers, et pour les imprimantes). L'antivirus installé est une version grand public, mais la licence a été achetée « pour être dans les règles ». Le DSI vous demande conseil : pour sécuriser ce SI , par quoi commenceriez-vous et pourquoi ? (2 grandes actions)
Q3) Analyse et certitudes [1pt] Pour vérifier qu'une machine Windows n'est pas infectée par un Botnet, dont le C&C est connu, un de vos collègues utilise l'utilitaire netstat, en expliquant qu'il est "plus fiable car en ligne de commande". Il ne trouve rien. Cela veut-il dire à coup sûr que la machine n'est pas compromise ? Justifiez avec une explication générique (focalisez-vous sur la visibilité de l'activité réseau).
Q4) Dangereux ? [2pts] Une machine de VIP dans votre entreprise remonte un comportement suspect avec notamment du trafic réseau sortant assez important (pas de détection AV pour le moment). Vous savez que le VIP voyage de temps en temps pour participer à des séminaires. Interrogé sur l'utilisation qu'il a de sa machine, il répond : "Je suis franchement prudent, et je n'installe que les updates qui passent, pour sécuriser la machine, et j'ai toujours l'antivirus à jour". Proposez un scénario pour expliquer une infection, en vous inspirant d'un cas réel.
Q7) Gestion de parc [1,5pts] Vous apprenez qu'il existe une faille de sécurité sur la couche COM de Windows (Vista/7). Un correctif de sécurité est publié (il change fortement certains réglages par défaut de COM, niveau sécurité), il vous faut le déployer sur le parc de votre entreprise. Vous savez qu'en production, il y a 2 applications critiques. Il est dit aussi qu'elles ont été développées "en utilisant les fonctions standard de Windows", avec Visual Studio. Les administrateurs vous disent que le correctif devrait être sans impact. Quel doit être alors votre réflexe (votre réponse), et quel est votre plan d'action ? EFREI M2 RS 2014 - PV
page 1 /2
DE Sécurité
M2 RS – Sécurité Réseau
EVALUATION
Q7) Implémentation sécurité [1pt] Des attaques en cours utilisant un 0Day Java sont annoncées par les services de veille sécurité. La faille concerne Java 5, 6 et 7. Sur votre parc Windows, Java 6 et 7 sont utilisés. Proposez une solution permettant de réduire les risques d'une exploitation réussie de la faille de sécurité sur Java, mais avec une démarche adéquate par rapport à la production.
Q8) Méthode [1,5pt] Donnez une méthode d'analyse de machine potentiellement compromise, qui ne demande pas d'outil payant, et dont la partie collecte de données peut être faite en une demi-journée maximum. Quelles sont les limites de cette méthode (succinctement) ?
Q9) [1pt] Un administrateur vous dit : « nous avons un domaine Active Directory mono-forêt, avec un domaine différent en DMZ, que celui sur le LAN ». Est-ce bien niveau sécurité, pourquoi ?
Q10) Architecture [1,5pt] Donner 2 cas d'architectures réseau, reposant sur un Botnet, pouvant générer des profits à des individus malveillants. Faites le lien avec la machine "de Monsieur et Madame Toulemonde", dans ce contexte.
Q11) Fonctionnement opérationnel du système [1,5pt] Le fait de ne pas voir ni de processus ni de thread suspect (sur une machine probablement compromise), en utilisant le gestionnaire des tâches, garantit-il que la machine n'est pas infectée ? Expliquez brièvement pourquoi avec un cas d'exemple générique.
Q12) Culture générale, mais nécessaire en sécurité : [3pts] Citez un service réseau critique pour le fonctionnement de l'infrastructure Active Directory. Si le ping ne marche pas, la machine distante est-elle forcément injoignable en TCP ? Pourquoi ? Pourquoi un système d'exploitation accepterait-il toujours un certificat, alors que ce dernier a été révoqué par son émetteur ? Citez un utilitaire sous Windows (fourni par Microsoft) permettant d'observer l'activité disque, processus par processus, en temps réel. Quelle est la commande Linux permettant d'afficher la liste des processus, triée par leur consommation de CPU, mémoire virtuelle, etc ? Comment appelle-t-on un environnement disposant de divers codes d'exploitation, servant à infecter un navigateur lorsqu'il passe sur un site web légitime compromis ?
Bonne chance à tous ! Et souvenez-vous : le retour d'investissement sécurité est très difficilement calculable. Pourtant, sans budget sécurité, le prochain gros incident de sécurité se transforme souvent en catastrophe...
EFREI M2 RS 2014 - PV
page 2 /2
DE Sécurité