Objectifs

Un audit de configuration a pour objectif de vérifier le paramétrage d’un équipement ou d’une solution technique par rapport aux risques de sécurité. Le résultat de l’audit permet de déterminer si l’implémentation technique auditée est conforme aux bonnes pratiques de sécurité et ne présente pas de risque pour le reste du système d’information.

Forte de son expertise dans les menaces informatiques et de sa connaissance des méthodes utilisées par les attaquants, Sysdream a une vision naturelle des vulnérabilités des systèmes informatiques, des erreurs humaines et des fautes de configuration.

Nous avons tout autant, au travers de notre devoir de conseil et d’accompagnement auprès des clients, une connaissance précise des problématiques défensives qui nous permet de proposer des solutions techniques adaptées.

Méthodologies

L’audit de configuration peut être mené à froid sur des listings de configuration fournis par le client, ou à chaud sur un équipement en cours d’exécution, via son interface utilisateur. Le choix entre ces deux approches dépend fortement de la technologie auditée, des contraintes liées à l’environnement technique et du choix stratégique du client.

Pour certains technologies, nous pouvons être amenés, de manière facultative, à utiliser des scripts de collecte semi-automatisés pour faciliter la récupération et le tri d’un volume important d’information.

L’analyse se déroule ensuite sur des fondements issus de :

  • la documentation officielle du fabricant ou de l’éditeur
  • des référentiels ou des standards internationaux (règlementation nationale, RFC, OWASP, norme ISO, …)
  • l’expérience de l’auditeur

Livrables

Concernant la partie technique, le rapport d’audit prend en grande partie la forme d’un cahier de recette dans lequel les paramètres-clés sont passés en revue et marqués comme étant conformes ou non-conformes. Lorsque cela a du sens, un point de vue global est présenté : interactions entre différents actifs, conflits entre des paramètres, cartographie de flux, etc.

Par ailleurs, le rapport présente une synthèse permettant d’offrir une vision globale et managériale au lecteur. Cette partie est notamment accompagnée d’une évaluation de risque, de recommandations et d’une suggestion de plan d’action avec l’effort estimé.
Dans le rapport d’audit, nous mettons en exergue les déviations par rapport au standard, avec toutes les références et justifications nécessaires, comme les points positifs.

Cas d'études

Audit de serveur Web

Un client souhaite un audit de configuration de son site Internet institutionnel, hébergé sur un simple serveur chez un hébergeur tiers. Le serveur fonctionne sur le système d’exploitation Linux Red Hat et fournit le service grâce au service Apache Httpd.

Nous détaillons dans un premier temps le périmètre avec le client, et nous confirmons notamment que l’ensemble des services sont hébergés sur cette machine, sans interaction particulière avec d’autres machines de l’entreprise.
Afin d’être exhaustifs, nous proposons d’effectuer nous-mêmes la collecte technique grâce à un compte d’accès sur le serveur. Après nous être connectés, nous récupérons l’ensemble des fichiers de configuration (/etc/*). Nous entrons également quelques commandes pour récupérer des informations sur la configuration en cours d’exécution (services réseau, pare-feu, etc.). Certains de nos scripts se focalisent également sur la récupération d’informations de sécurité : durcissement du noyau, droits du système de fichiers, etc.

Nous commençons ensuite notre vérification sur les éléments importants : noyau, système de fichier, configuration et filtrage réseau, service Web, etc. Au-delà de nos compétences techniques, nous nous appuyons sur des référentiels solides : guides et papiers blancs Red Hat, recommandations de l’ANSSI et du NIST, manuel Apache, etc.

Notre rapport d’analyse révèle de nombreux axes d’amélioration :

  • retards dans les correctifs de sécurité ;
  • absence de durcissement système (noyau et réseau) ;
  • paramètres trop laxistes dans la configuration Apache.

 

En revanche, le filtrage réseau est efficace et la surface d’attaque est réduite. Nous n’avons pas constaté non plus d’anomalie dans la gestion des utilisateurs et des droits sur le système de fichiers.

Audit d'une interconnexion opérateur

Une entreprise nous demande d’auditer la configuration de sa zone réseau d’interconnexion avec son opérateur Internet. Le client souhaite ainsi s’assurer que tout est mis en œuvre en termes de sécurité périmétrique réseau. Pour ce faire, il nous fournit les fichiers de configuration de l’ensemble des routeurs et des commutateurs concernés, ainsi qu’une extraction de la politique de filtrage de son pare-feu frontal. Les équipements réseau sont de technologie Cisco et le pare-feu est fourni par Checkpoint.

Les fichiers de configuration Cisco sont dépouillés manuellement. Nous vérifions que les options de sécurité sont activées à tous les niveaux : isolation des flux inter-routeurs dans des VLAN dédiés, renforcement de la sécurité de niveau 2, désactivation des protocoles superflus et vulnérables, authentification des protocoles de routage, etc.

Nous reconstituons un diagramme réseau sur la base des paramètres que nous découvrons. Nous le confrontons ultérieurement avec la documentation du client pour mesurer d’éventuels écarts. L’analyse ne révèle pas de problème majeur, mais un manque global de durcissement, surtout au niveau de la sécurité de niveau 2.
L’analyse de la politique de filtrage du pare-feu, volumineuse, est facilitée par l’emploi d’un logiciel d’analyse dédié (Tufin Secure Track). Nous détectons ainsi de nombreuses règles dangereuses, en doublon, celles couvertes par des règles trop laxistes. Après un premier filtrage, nous sommes également en mesure de proposer certaines optimisations : nommage des règles, gestion des objets et des plages d’adresse, ordre des règles.

Au terme de l’audit, la volumétrie de la politique de filtrage a été considérablement diminuée et les règles ont été clarifiées et simplifiées. Nous suggérons également au client une méthode d’exploitation afin que cette qualité de filtrage soit maintenue dans le temps.

Audit de serveur d'annuaire

L’audité nous demande d’évaluer la robustesse de la configuration de son serveur d’annuaire Microsoft Active Directory.

En raison des mesures de sécurité en place au niveau du système d’exploitation (accès à la base SAM, NTDS.DIT, etc.), nous réalisons une bonne partie de l’audit en ligne, uniquement avec les outils de Microsoft. Nous utilisons néanmoins un script, réalisé par nos soins et dédié aux environnements Windows, qui récupère, synthétise et met en évidence certains points critiques du système : logiciels installés, clés importantes de la base de registre, fichiers de configuration, etc.

Notre analyse souligne des axes d’amélioration : absence de désactivation du condensat LM, manque de journalisation des évènements d’authentification (échecs et succès) et restrictions d’accès réseau insuffisantes. Nous sensibilisons également les administrateurs au danger d’utiliser un compte de domaine pour les tâches courantes (bureautique, administration à distance, etc.).