De Survival Wiki.

Ci-dessous une ébauche de checklist de sécurisation organisée par périmètre.

Sommaire 1 PÉRIMÈTRES 1.1 Physique 1.2 Réseau 1.3 Système d'exploitation 1.4 Applicatif 1.5 Donnés 1.6 Le maillon faible (oui, toi ! et moi...) 2 ANNEXES 2.1 Outils 2.2 Webographie 2.3 Bibliographie

PÉRIMÈTRES

Parce que "La sécurité est globale ou n'est pas..."

Physique

• Mettre un mot de passe au niveau du bios
• Désactiver le boot sur des périphériques externes
• Activer les alarmes de boitiers
• Cadenasser les boitiers
• Mettre un verrou au local
• Installer un Onduleur
• Cage de Farraday (pour les paranos ?)

Réseau

• Utiliser des switchs et pas des Hubs

 vérifier qu'ils soient résistants à une saturation de leur table d'adresse

• Utiliser des protocoles sûrs (chiffrés, ou au minimum pas de mot de passe en clair)
• Installer un IDS
• Installer Honeypot/tarpits
• Installer un firewall statefull
• Ne connecter à Internet qu'une fois les ordinateurs/le réseau sécurisés
• Utiliser de VPN offrant à la fois chiffrement et authentification
• Configurer les services sur des ports non standards

Système d'exploitation

• Choisir un OS avec une gestion de la sécurité adapté à ses besoins
• Maintenir son système à jour

(Si possible en mettant en place des procédures automatisées)

• Utiliser les extensions de durcissement/Sécurisation de l'OS
  • Bastille (Linux)
  • Branches "harden"
  • Framework de sécurité
    • Apparmor
    • SELinux
• Maintenir un antivirus à jour (pas nécessaire pour les Unix)
• Utiliser régulièrement un Détecteur d'intrusion/Contrôleur d'intégrité
• Sauvegarder les principales configurations

(copie d'écran, sauvegarde de fichiers...)

• Utiliser aussi peu que possible le compte Administrateur/Root
• Utiliser des mot de passe forts
• Éviter le même mot de passe partout
• Créer un compte par utilisateur
• Désactiver les services inutiles
• Désactiver les partages inutiles ou à défaut configurer en contrôlant l'accès

 (lecture seule, ou accès complet avec mot de passe)

• Utiliser des disques/filesystems cryptés
• Masquer/rendre anonyme un maximum d'informations
• Utiliser chroot/jail...
• Faire tourner les applications avec des droits réduits

Applicatif

• Installer GPG (créer une paire de clef, et un certificat de révocation, publier sa clef publique)
• Sauvegarder les configurations (screenshot, dot files)
• Installer automatiquement les mises à jour de sécurité
• Installer le minimum de logiciel nécessaire
• Désinstaller les logiciels qu'on n'utilise plus
• Utiliser des alternatives aux logiciels ayant une longue histoire de bugs de sécurité (IE, outlook, bind...)
• Utiliser des mots de passe forts

Donnés

• Mettre en place des sauvegardes automatiques (hors site !)
• Crypté des données sensibles
• Utiliser des utilitaires de suppression de données surs

Le maillon faible (oui, toi ! et moi...)

• Se tenir informé
  • Mailing list
    • Il est possible de s'abonner aux listes de courrier du CERT US sans faire partie d'un organisme particulier (ce qui n'est pas toujours le cas des CERT FR). L'inconvénient est qu'il faut savoir lire le patois. Sur le site http://www.us-cert.gov/ il y a des listes accessibles aux utilisateurs normaux et des listes plus techniques. Sur la liste "Security Tips" on trouve des articles pédagogiques sur différents aspects de la sécurité informatique.
  • Site
    • Pour le logiciel Truecrypt:
      • Un tutoriel (suivi de 65 pages de discussions) : suivi de l'actualité du logiciel, mises au point sur son fonctionnement, etc.
      • Un blog ("tag" sélectionné : Truecrypt) : tutoriels, benchmarking, etc.
• Réévaluer constamment sa sécurité
  • En utilisant les outils d'attaques communs (Cf la section #Outils)
• Signaler demander de l'aide
  • Des faits relatifs à la Cybercriminalité http://www.interieur.gouv.fr/sections/contact/police/cybercriminalite
• Étudier les techniques de manipulation
  • Social Engineering
  • Hypnose Ericksonnienne
  • PNL
  • Reconnaitre les cannulars #hoaxbuster

ANNEXES

Outils

• Chiffrement
  • Truecrypt http://www.truecrypt.org/
  • GPG http://www.gnupg.org/
  • Enigmail http://enigmail.mozdev.org/home/index.php
  • Putty (client ssh, scp) http://www.chiark.greenend.org.uk/~sgtatham/putty/
  • OpenSSL http://www.openssl.org/
  • OpenVPN http://openvpn.net/
  • Tor http://www.torproject.org/index.html.fr
• Scanners
  • Nmap http://nmap.org/
  • P0f (scanner passif) http://lcamtuf.coredump.cx/p0f.shtml
• Scanners de vulnérabilités
  • Microsoft Baseline Security Analyzer http://www.microsoft.com/technet/security/tools/mbsahome.mspx
  • Nessus http://fr.wikipedia.org/wiki/Porte_d%C3%A9rob%C3%A9e#Le_cas_du_compilateur_C_Unix_:_Trusting_Trust
  • Nikto http://www.cirt.net/nikto2
  • SARA (le descendant du premier scanner de dan Farmer SATAN) http://www-arc.com/sara/
• Sniffer réseau
  • Wireshark (ex ethereal) http://www.wireshark.org/
  • Kismet (pour le wifi) http://www.kismetwireless.net/
• Casseur de mot de passe
  • Aircrack (casseur de clef WEP/WPA) http://www.aircrack-ng.org/
  • Revelation (Windows) http://www.snadboy.com/
  • John the Ripper http://www.openwall.com/john/
  • Rainbow Crack http://project-rainbowcrack.com/
  • Outils Nir Soft http://www.nirsoft.net/password_recovery_tools.html
• Exploits
  • Metasploit http://www.metasploit.com/
  • Backtrack (CD orienté pen testing) http://www.remote-exploit.org/index.php/BackTrack
• IDS
  • Tripwire http://www.tripwire.com/
  • Snort http://www.snort.org/
  • Rkhunter (rootkit detector) http://www.rootkit.nl/projects/rootkit_hunter.html
  • chkrootkit http://www.chkrootkit.org/
• Analyse/Forensics
  • lsof ftp://vic.cc.purdue.edu/pub/tools/unix/lsof/
  • prcview http://www.softpedia.com/get/System/System-Info/PrcView.shtml
  • Sleuth Kit http://www.sleuthkit.org/
• Antivirus
  • Clamav http://www.clamav.net/
  • Avast (la version home est gratuite) http://www.avast.com/fre/download-avast-home.html
• Défense active (Attention pente glissante)
  • fail2ban http://www.fail2ban.org/wiki/index.php/Main_Page
  • portsentry
  • Honeypot
    • Honeyd http://www.honeyd.org/
    • Xen/vmware/Virtualbox
• Sauvegarde
  • Mondo/Rescue http://www.mondorescue.org/
  • Bacula http://www.bacula.org/fr/
  • BackupPC http://backuppc.sourceforge.net/
  • Unison (synchronisationincrémental *bi-directionnelle*) http://www.cis.upenn.edu/~bcpierce/unison/
  • Rsync http://rsync.samba.org/
• Firewall
  • iptables (par défaut sur les Linux)
  • pf (Packet Filter est par défaut sur OpenBSD)
  • Comodo http://personalfirewall.comodo.com/

Webographie

• HoaxBuster http://www.hoaxbuster.com/
• Phrack (le meilleur ezine sur la sécurité) http://www.phrack.com/
• CVE (index de vulnérabilités) http://cve.mitre.org/

Bibliographie

• Cryptographie appliquée

http://www.amazon.fr/Cryptographie-appliqu%C3%A9e-Bruce-Schneier/dp/2711786765

• Crytographie pratique

http://www.amazon.fr/Cryptographie-Th%C3%A9orie-pratique-Douglas-Stinson/dp/2711748006

• TCP illustré

http://www.amazon.fr/TCP-IP-illustr%C3%A9-Richard-Stevens/dp/2711786390