Sécurité Informatique

Le cahier des charges et le protocole de tests sont les suivants :

L’objectif est d’implémenter un NAC pour 2 utilisations particulières de mon entreprise :

• • Nos salles de conférences : nous accueillons régulièrement des conférences internationales, et nous offrons un accès Internet aux visiteurs via un wifi ou un accès filaire. Dans ce cadre, étant donné que ce sont des machines que nous ne maîtrisons pas dans un environnement partagé, nous souhaitons que les machines des visiteurs ne soient pas infectés par d’autres machines visiteurs.
  • Dans le réseau interne : une bonne partie du personnel est “nomade” et possède un portable qu’il vient brancher périodiquement sur le réseau interne. Nous souhaitons donc analyser la machine avant de la basculer sur le réseau interne. Ce sont des machines que nous maîtrisons, ie qui sont inscrites dans notre domaine Active Directory avec des certificats.

L’installation et la configuration de l’appliance Counteract s’est effectuée avec l’aide du fournisseur.

Etant déjà habitué au produit Forescout (nous avons un IPS ActiveScout depuis plus de 3 ans), j’ai retrouvé une interface d’administration très bien construite et relativement user-friendly.

La configuration de la machine est très rapide : Une IP de management avec les infos réseau habituelles, puis téléchargement de l’interface de management en https.

2 modes sont disponibles : un mode “Ecoute” et un mode “Interactif”.

Dans le mode Interactif, la sonde possède un port ethernet sur le(s) VLAN(s) à surveiller (possibilité de faire du trunking), et un port d’injection sur les VLANs où la sonde interagit.

La façon dont l’architecture du réseau est construite implique une réflexion sur le positionnement de la sonde (réflexion devant être faite quelque soit le système NAC à installer) : pour être pleinement opérationnelle, la sonde doit pouvoir observer tout le trafic entrant et sortant de la machine cible.

Nous possédons un réseau entièrement routé avec un découpement par VLAN et donc un sacré casse-tête pour effectuer une écoute du trafic. Qu’importe, la souplesse de la sonde Counteract permet de s’affranchir de ces obstacles.

Read the rest of this entry »

Tout comme la commande TCPdump, la commande “fw monitor” permet une inspection des paquets traversant les firewalls Checkpoint.

2 raisons principales d’utiliser cette commande, présente sur toutes les platerformes Checkpoint, plutôt que TCPdump :

1. 1. Sécurité accrue : à l’instar de TCPdump, fw monitor ne travaille pas en “promiscuous mode”, ce mode étant vulnérable à des attaques distantes.
   2. Inspection détaillée : fw monitor permet l’inspection des paquets, au niveau kernel, et à différents points de la chaine de filtrage.

Je ne vais pas rentrer dans le détail complet de la commande, mais seulement quelques paramètres utiles dans le cadre de debugging.

#fw monitor -h
Usage: fw monitor [- u|s] [-i] [-d] [-T] <{-e expr}+|-f <filter-file|->> [-l len] [-m mask] [-x offset[,len]] [-o <file>] <[-pi pos] [-pI pos] [-po pos] [-pO pos] | -p all [-a ]> [-ci count] [-co count]

Voici à quoi ressemble une sortie de fw monitor :

eth-s4p1c0:i[40]: 10.73.156.159 -> 10.73.252.3 (TCP) len=40 id=27240
TCP: 4576 -> 22 ….A. seq=2faa82e3 ack=0ae66a7f
eth-s4p1c0:I[40]: 10.73.156.159 -> 10.73.252.3 (TCP) len=40 id=27240
TCP: 4576 -> 22 ….A. seq=2faa82e3 ack=0ae66a7f
eth-s4p1c0:o[1420]: 10.73.252.3 -> 10.73.156.159 (TCP) len=1420 id=4929
TCP: 22 -> 4576 ….A. seq=0ae66a7f ack=2faa82e3
eth-s4p1c0:O[1420]: 10.73.252.3 -> 10.73.156.159 (TCP) len=1420 id=4929
TCP: 22 -> 4576 ….A. seq=0ae66a7f ack=2faa82e3

Read the rest of this entry »

TCPView fait partie de la suite Sysinternal reprise depuis peu par Microsoft.

Il s’agit ni plus ni moins que de la version graphique de la commande incontournable Netstat.

Ce petit exécutable permet d’afficher les connexions TCP et UDP présentes sur le système, leurs états (ESTABLISHED, CLOSED_WAIT…), et les processus s’y rapportant.

De plus, il est aussi possible depuis cette vue de terminer des connexions en cours par un simple clic droit de la souris.

Indispensable sur sa clé USB….