Botnet, défense en profondeur

Slides:



Advertisements
Présentations similaires
Sécurité informatique
Advertisements

Vue d'ensemble Présentation multimédia : Administration d’un environnement Microsoft Windows Server 2003 Ouverture de session sur Windows Server 2003 Installation.
Page d accueil.
Hygiène de la messagerie chez Microsoft
Protection du réseau périphérique avec ISA 2004
Sécurité informatique : un enjeu vital pour l’entreprise
Cyril VOISIN Chef de programme Sécurité Microsoft France
Protection de Exchange Server 2003
Client Mac dans un réseau Wifi d’entreprise sécurisé
Modélisation des menaces
Sécurité du Réseau Informatique du Département de l’Équipement
Introduction aux réseaux informatiques
La sécurité en toute simplicité Solution daccès logique By ADDEXA.
DUDIN Aymeric MARINO Andrès
Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000
Conception de la sécurité pour un réseau Microsoft
ISP/ASP ISP ASP Conclusion DESS Réseaux 2000/2001
TCS – CCNA École Duhamel Année
Vue d'ensemble Vue d'ensemble de la sécurité dans Windows Server 2003
Vue d'ensemble Implémentation de la sécurité IPSec
Réseaux Privés Virtuels
La politique de Sécurité
Les réseaux informatiques
Aiffegé informatique Réponse Appel doffre Aiffegé Informatique Sommaire 1)Présentation de Aiffegé informatique 2)Synthèse de lappel doffre 3)Réponse.
Découvrez… 30/03/2017 © Agarik.
Département de physique/Infotronique
Sécurité Informatique Module 01
INF4420: Éléments de Sécurité Informatique
Atelier Sécurité et Réseau
Public Key Infrastructure
Une approche pour un espace de confiance des collectivités locales.
SECURITE DU SYSTEME D’INFORMATION (SSI)
Version 48 et futures Olfeo : Maîtriser l’utilisation d’Internet !
1 Sécurité Informatique : Proxy Présenter par : Mounir GRARI.
Introduction Les solutions de sécurité
Jeudi, 20 août 2009 Sécurité informatique Cégep de St-Hyacinthe Par Hugo St-Louis.
WINDOWS Les Versions Serveurs
Présentation 1. Consumer/Soho Small BusinessMidsize Business CorporateEnterprise Windows Home Server 1-4 employés 1-4 PCs 1-4 employés 1-4 PCs 5-49 employés.
SSO : Single Sign On.
Module : Technologies des serveurs réseaux : Les technologies de sécurité Présenter par : Mounir GRARI.
Actualité messagerie Fabrice Meillon. Exchange Outils sur le Web mis à disposition Storage sizing assistance SMTP configuration diagnosis Best.
Module 1 : Installation de Microsoft Windows XP Professionnel
Les NAC Network Access Control
Sécurité Les Virus Logiciels non sollicités et réalisant des opérations malveillantes ou destructrices Typologie –D’application :introduit par recopie.
Expose sur « logiciel teamviewer »
Citrix ® Presentation Server 4.0 : Administration Module 11 : Activation de l'accès Web aux ressources publiées.
Jean-Luc Archimbaud CNRS/UREC
Cliquez pour ajouter un texte 1 Les services collaboratifs IBM LotusLive Jonathan Bénichou IBM.
Mémoire de 3 ème Année - Veille en sécurité et traitement des alertes BERGERAS Thibault - JEUDY François - VENCE Eric 3 BR BERGERAS Thibault - JEUDY François.
Groupe 3 De Greef Didier Oozeer Tommy Piette Marc Renard Guy
FTP : File Transfer Protocol (protocole de transfert de fichier ) est un protocole de communication destiné à l'échange informatique de fichiers sur.
Module 3 : Création d'un domaine Windows 2000
Solidarités et réussites Académie de Créteil 1 © Académie de Créteil - Rectorat/DI - Formation Sconet juin 2008 TOKEN-API Etablissement Privé  Permet.
LE PARE-FEU AMON. MAI 2002.
13 janvier 2008© Rappels sur les outils de sécurité Antivirus Pare-feu (firewall) Protection contre les logiciels espions Comptes limités et.
COMPARAISON ENTRE GNUTELLA ET FREENET
22 Retour d’expérience sur le ver Conficker 8 février 2010 Jean Gautier Security Support Engineer Microsoft France.
20/07/2005 Etude du Cas ISEC S.A.R.L. au capital de € 302 Avenue de la Libération NANCY Tel :
Centralisation des sites web d’ELTA & Mise en place d’un serveur NAS
JeanDo Lénard – Fondamentaux de l'Internet – Hetic –30 Janvier 2007 page 1 Fondamentaux de l'Internet (FDI) JeanDo Lénard
1 INFRASTRUCTURE NECESSAIRE POUR UN INTRANET PEDAGOGIQUE DANS UNE UNIVERSITE CUME - 7 décembre 2000 Jacques ALLO Université d'Angers.
Introduction aux outils de supervision
V- Identification des ordinateurs sur le réseau
1 Démo SoftGrid. Le Séquenceur SoftGrid Utilisation d’un « packageur » SoftGrid Possibilité de “séquencer” en ligne de commande (CLI) Existence d’outils.
Sécurité des Web Services
PRÉSENTATION DU SITE KEEPASS Site de gestion des fichiers Imports Keepass 29/04/2013 Présentation du site Keepass | 04/2013.
Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.
Installation du PGI – CEGID
CEGID et environnement réseau Groupe PGI Académie de Grenoble.
Les outils collaboratifs Assane Fall Bibliothécaire / Veilleur technologique.
Transcription de la présentation:

Botnet, défense en profondeur Un exemple concret Jean Gautier jean.gautier@microsoft.com

Agenda Rappels sur les botnets Une workstation en tête de pont Le backend est compromis L’infrastructure est compromise

Fonctionnement d’un botnet Serveur de contrôle

(1) Infecter la 1ère victime avec un bot Serveur de contrôle

(2) Connexion au serveur IRC Connexion du bot au serveur IRC Connexion du bot au serveur IRC Serveur de contrôle

(3) Connexion du gardien au serveur IRC Serveur de contrôle

(4) Propagation Commande de propagation Serveur de contrôle Botnet

(5) Botnet prêt Commande de propagation Serveur de contrôle Botnet

Demo d’un botnet

Les 3 facettes de la sécurité Technologies OS Annuaire Correctifs IPSEC Kerberos PKI Chiffrement de fichiers SSL/TLS Clusters Détection d’intrusion Gestion de systèmes Supervision Pare-feu Antivirus Archivage Politique d’accès Installation Réparation Gestion des événements Gestion des perfs Gestion du Changement / de la Configuration Processus Restauration Sauvegarde Réponse à Incident Évaluation de risques Architecture sécurisée Personnes Admin. de l’Entreprise Admin. Du Domaine Service/ Support Développeur Utilisateur

La défense en profondeur Personnes et Procédures Réseau Périmètre Machine Application Données Securité physique

L’utilisateur Un email est envoyé à un ensemble de salariés de l’entreprise Un au moins des salariés exécute l’attachement Une connexion sortante est créée L’attaquant dispose d’un accès à l’intérieur du périmètre

Envoi d’un mail aux utilisateurs Le client de messagerie informe l’utilisateur Personnes et Procédures Réseau Périmètre Machine Application Données Client Messagerie bloque l’attachement Anti-Virus Client Filtrage des connections sortantes Filtre SMTP AntiVirus Serveur Formation des utilisateurs Sécurité physique

Poste sensible L’attaquant compromet un poste sensible: Comptabilité, Paye Il installe un keylogger sur ce système et un outil de prise de contrôle à distance (dameware, vnc, …) Il observe les habitudes de travail ainsi que les codes des applications mises en oeuvre Il crée des membres du personnel fictifs avec des salaires bien réels

Poste sensible Signature au moyen de carte à puce Données Personnes et Procédures Réseau Périmètre Machine Application Données Authentification forte lors d’opérations sensibles Segmentation Réseau Filtrage du traffic Securité physique

Les périmètres l’attaquant obtient des informations: Sites Intranet/Internet (historique, favoris) Configuration du poste client Il peut attaquer d’autres postes clients Il identifie les serveurs d’infrastructure Un serveur Intranet utilisant un système obsolète non mis à jour est compromis

Les périmètres Données Anti-Virus sur le serveur Application Personnes et Procédures Réseau Périmètre Machine Application Données Anti-Virus sur le serveur Mises à jour de sécurité Pare-feu actif sur le serveur Routeurs filtrants Pare-feu ‘interne’ Securité physique

La configuration applicative Le serveur Intranet est dédié à la gestion du profil utilisateur, notamment la gestion du compte de messagerie. Cette gestion est réalisée par une application COM+ qui utilise un compte administrateur du domaine pour réaliser ces opérations. Utilisant un outil permettant d’accéder aux secrets LSA, l’attaquant obtient le mot de passe de ce compte privilégié.

La configuration applicative Personnes et Procédures Réseau Périmètre Machine Application Données Principe de moindre privilège Audit des comptes administrateur Securité physique

L’infrastructure En utilisant le compte d’administrateur du domaine, l’attaquant compromet un DC Il extrait les condensés cryptographiques de tous les comptes Il télécharge ces condensés pour les attaquer hors ligne Il dispose désormais d’un très grand nombre de clés

L’infrastructure Données Application Machine Personnes et Procédures Réseau Périmètre Machine Application Données Bloquer tout traffic des serveurs vers Internet Audit de l’utilisation des comptes administrateur Securité physique

Serveur SQL Une application Intranet, à usage interne, est vulnérable aux injections SQL L’application web utilise le compte ‘sa’ pour se connecter au serveur de base de données L’attaquant prend le contrôle du serveur SQL et détruit toutes les bases.

Serveur SQL Gestion fine des autorisations Données Personnes et Procédures Réseau Périmètre Machine Application Données Application du moindre privilège Isolation des rôles Application de développement sécurisé Procédures de sauvegarde/restauration documentées et testées Sécurité physique

Questions?

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.