SCURIT DES SYSTMES DEXPLOITATION C.

BENZAID
Scurit des OS = Processus Planifi

Couches de Scurit du Systme dExploitation

Chaque couche de code ncessite des mesures mettre en place

fournir

des services de scurit appropris

Chaque couche est vulnrable aux attaques provenant des couches basses
si

les couches basses ne sont pas scurises de faon approprie

Applications Utilisateurs et Utilitaires

Noyau du Systme dExploitation BIOS Matriel Physique

Mesures

La liste Top 35 stratgies dattnuation dresse par Australian Defense Signals Directorate (DSD) en 2012

Au moins 85% des cyber intrusions tudies par DSD en 2010 ont t empches

Les quatre premires mesures de prvention sont:

patcher les applications patcher les vulnrabilits du systme dexploitation Restreindre les privilges admin uniquement aux utilisateurs qui en ont besoin liste blanche dapplications approuves (Application Whitelisting)

Scurit des Systmes dExploitation

Possible pour quun systme soit compromis durant le processus dinstallation

avant quil puisse installer les derniers patches

construire et dployer un systme devrait tre un processus planifi visant contrer cette menace

Scurit des Systmes dExploitation

Le processus doit :
valuer les risques et planifier le dploiement du systme scuriser le systme dexploitation sous-jacent et ensuite les applications cls assurer que tout contenu critique est scuris assurer que des mcanismes de protection de rseau appropris sont utiliss assurer que des processus appropris sont utiliss afin de maintenir la scurit

Planification de la Scurit du Systme

Planification de la Scurit du Systme

Planification de la Scurit du Systme

Planification de la Scurit du Systme

Planification de la Scurit du Systme

Processus de Planification de la Scurit du Systme (NIST)

Le but du systme, le type dinformations stockes, les applications et services fournis, et leurs exigences de scurit Qui doivent administrer le systme, et comment ils greront le systme (via un accs local ou distant) Mesures de scurit supplmentaires ncessaires sur le systme: Pare-feu dhte, anti-virus, logging ...etc.

Les catgories dutilisateurs du systme, leurs privilges, et les types dinformations auxquelles ils peuvent accder

Quel accs a le systme aux informations stockes sur dautres htes, et comment ceci est gr

Comment les utilisateurs sont authentifis

Comment laccs linformation stocke sur le systme est gr

Processus de Planification de la Scurit du Systme (NIST)

Le but du systme, le type dinformations stockes, les applications et services fournis, et leurs exigences de scurit
Qui doivent administrer le systme, et comment ils greront le systme (via un accs local ou distant) Mesures de scurit supplmentaires ncessaires sur le systme: Pare-feu dhte, anti-virus, logging ...etc.

Les catgories dutilisateurs du systme, leurs privilges, et les types dinformations auxquelles ils peuvent accder

Quel accs a le systme aux informations stockes sur dautres htes, et comment ceci est gr

Comment les utilisateurs sont authentifis

Comment laccs linformation stocke sur le systme est gr

Processus de Planification de la Scurit du Systme (NIST)

Le but du systme, le type dinformations stockes, les applications et services fournis, et leurs exigences de scurit Qui doivent administrer le systme, et comment ils greront le systme (via un accs local ou distant) Mesures de scurit supplmentaires ncessaires sur le systme: Pare-feu dhte, anti-virus, logging ...etc.

Les catgories dutilisateurs du systme, leurs privilges, et les types dinformations auxquelles ils peuvent accder

Quel accs a le systme aux informations stockes sur dautres htes, et comment ceci est gr

Comment les utilisateurs sont authentifis

Comment laccs linformation stocke sur le systme est gr

Processus de Planification de la Scurit du Systme (NIST)

Le but du systme, le type dinformations stockes, les applications et services fournis, et leurs exigences de scurit Qui doivent administrer le systme, et comment ils greront le systme (via un accs local ou distant) Mesures de scurit supplmentaires ncessaires sur le systme: Pare-feu dhte, anti-virus, logging ...etc.

Les catgories dutilisateurs du systme, leurs privilges, et les types dinformations auxquelles ils peuvent accder

Quel accs a le systme aux informations stockes sur dautres htes, et comment ceci est gr

Comment les utilisateurs sont authentifis

Comment laccs linformation stocke sur le systme est gr

Processus de Planification de la Scurit du Systme (NIST)

Le but du systme, le type dinformations stockes, les applications et services fournis, et leurs exigences de scurit Qui doivent administrer le systme, et comment ils greront le systme (via un accs local ou distant) Mesures de scurit supplmentaires ncessaires sur le systme: Pare-feu dhte, anti-virus, logging ...etc.

Les catgories dutilisateurs du systme, leurs privilges, et les types dinformations auxquelles ils peuvent accder

Quel accs a le systme aux informations stockes sur dautres htes, et comment ceci est gr

Comment les utilisateurs sont authentifis

Comment laccs linformation stocke sur le systme est gr

Processus de Planification de la Scurit du Systme (NIST)

Le but du systme, le type dinformations stockes, les applications et services fournis, et leurs exigences de scurit Qui doivent administrer le systme, et comment ils greront le systme (via un accs local ou distant) Mesures de scurit supplmentaires ncessaires sur le systme: Pare-feu dhte, anti-virus, logging ...etc.

Les catgories dutilisateurs du systme, leurs privilges, et les types dinformations auxquelles ils peuvent accder

Quel accs a le systme aux informations stockes sur dautres htes, et comment ceci est gr

Comment les utilisateurs sont authentifis

Comment laccs linformation stocke sur le systme est gr

Processus de Planification de la Scurit du Systme (NIST)

Le but du systme, le type dinformations stockes, les applications et services fournis, et leurs exigences de scurit

Qui doivent administrer le systme, et comment ils greront le systme (via un accs local ou distant)

Mesures de scurit supplmentaires ncessaires sur le systme: Pare-feu dhte, anti-virus, logging ...etc.

Les catgories dutilisateurs du systme, leurs privilges, et les types dinformations auxquelles ils peuvent accder

Quel accs a le systme aux informations stockes sur dautres htes, et comment ceci est gr

Comment les utilisateurs sont authentifis

Comment laccs linformation stocke sur le systme est gr

Processus de Planification de la Scurit du Systme (NIST)

Le but du systme, le type dinformations stockes, les applications et services fournis, et leurs exigences de scurit Qui doivent administrer le systme, et comment ils greront le systme (via un accs local ou distant)

Mesures de scurit supplmentaires ncessaires sur le systme: Pare-feu dhte, anti-virus, logging ...etc.

Les catgories dutilisateurs du systme, leurs privilges, et les types dinformations auxquelles ils peuvent accder

Quel accs a le systme aux informations stockes sur dautres htes, et comment ceci est gr

Comment les utilisateurs sont authentifis

Comment laccs linformation stocke sur le systme est gr

Durcissement dun OS

Durcissement dun Systme dExploitation

La premire tape critique dans la scurisation dun systme consiste scuriser le systme dexploitation de base Les tapes de base de NIST

Installer et patcher le systme dexploitation Durcir (harden) et configurer le systme dexploitation afin de rpondre adquatement aux besoins de scurit du systme Installer et configurer des contrles de scurit additionnels

anti-virus, pare-feu bas hte, et systme de dtection dintrusion (IDS)

Tester la scurit du systme dexploitation de base pour sassurer que les mesures prises rpondent ses besoins de scurit

Initial Setup and Patching

Supprimer Services, Applications, et Protocoles Inutiles

Si moins de logiciels sont installs, le risque sera rduit

Processus de planification du systme devrait identifier ce qui est rellement ncessaire pour un systme donn La configuration par dfaut permet de maximiser la facilit dutilisation et la fonctionnalit plutt que la scurit Si des packages additionnels sont ncessaires, ils pourront tre installs plus tard Plusieurs scripts de dsinstallation ne parviennent pas liminer compltement tous les composants Un service dsactiv pourra tre activ par un attaquant

Lors de linstallation initiale, viter la configuration par dfaut

Pas dinstallation de logiciels indsirables

Configurer Groupes, Utilisateurs, et Authentification

Les utilisateurs ayant accs un systme ne doivent pas avoir le mme accs toutes les donnes et ressources de ce systme

Des privilges levs devraient tre limits aux seuls utilisateurs qui en ont besoin, et seulement quand ils sont ncessaires pour effectuer une tche Les catgories des utilisateurs du systme Les privilges quils possdent Les types dinformations auxquelles ils peuvent accder Comment et o ils sont dfinies et authentifies

Le processus de planification du systme devrait considr :

Configurer Groupes, Utilisateurs, et Authentification

Les comptes par dfaut doivent tre scuriss

Ceux qui ne sont pas ncessaires doivent tre soit supprims ou dsactivs

Configurer les politiques qui sappliquent aux informations dauthentification

Configurer et Installer des Contrles de Scurit Supplmentaires

Quand les utilisateurs et les groupes sont dfinis, des autorisations appropries peuvent tre dfinies sur les donnes et les ressources La plupart des guides de durcissement de scurit fournissent des listes de changements recommands pour la configuration daccs par dfaut

Configurer et Installer des Contrles de Scurit Supplmentaires

Plus de scurit est possible en installant et configurant des outils de scurit supplmentaires :
Logiciels

Anti-virus Pare-feux bas hte Logiciels IDS ou IPS Listes blanches dapplications (Application white-listing)

Tester la Scurit du Systme

Ltape finale dans le processus de la scurisation initiale dun OS est les tests de scurit

Assurer que les prcdentes tapes de configuration de la scurit sont correctement mises en uvre Identifier les ventuelles vulnrabilits

Les listes de contrles sont incluses dans les guides de durcissement de la scurit

Tester la Scurit du Systme

Il y a des programmes spcialement conus pour :

examiner un systme pour sassurer que le systme rpond aux exigences de scurit de base analyser les vulnrabilits connues et les mauvaises pratiques de configuration

Elle doit tre effectue aprs le durcissement initial du systme rpte priodiquement dans le cadre du processus de maintenance de la scurit

Scurit des Applications

Configuration dApplications

peut inclure:

cration et spcification despaces appropris au stockage de donnes de lapplication apporter les changements appropris lapplication ou aux dtails de la configuration par dfaut des services donnes par dfaut, scripts, comptes utilisateurs

certains applications ou services peuvent inclure:

Menace : services accessibles distance tel que les services Web et de transfert de fichiers

risque est rduit en assurant que la plupart des fichiers ne peuvent tre que lus par le serveur

Technologie de Cryptage

Une technologie cl qui peut tre utilise pour scuriser les donnes en transit et lorsquelles sont stockes doit tre configure

Cls cryptographiques appropries cres, signes, et scurises

Si des services rseau scuriss sont fournis en utilisant TLS ou Ipsec

Cls prives et publiques adquates doivent tre gnres

Si des services rseau scuriss sont fournis en utilisant SSH

Cls serveur et client doivent tre cres

Maintenance de la Scurit

Maintenance de la Scurit

Le processus de maintenance de la scurit est continu Maintenance de la scurit de NIST :

Surveillance et analyse des informations de journalisation Effectuer des sauvegardes rgulires Reprise aprs attaque Tester rgulirement la scurit du systme Utilisation de processus de maintenance de logiciels appropris

pour patcher et mettre jour tous les logiciels critiques, et pour surveiller et rviser la configuration en fonction des besoins

Logging
Lanalyse automatise est prfrable

Ne peut vous informer que sur les mauvaises choses qui se sont dj produites

gnre dimportants volumes dinformation et il est important de leurs allouer suffisamment despace

Dans le cas dune intrusion ou panne, les administrateurs systmes peuvent identifier plus rapidement ce qui sest pass

La gamme de donnes acquises devrait tre dtermine durant ltape de planification du systme Linformation peut tre gnre par le systme, le rseau et les applications

La cl: sassurer que vous capturer les donnes correctes, puis faire un suivi et analyse appropris de ces donnes

Logging

Logging

Logging

Logging

Logging
Lanalyse automatise est prfrable Ne peut vous informer que sur les mauvaises choses qui se sont dj produites

gnre dimportants volumes dinformation et il est important de leurs allouer suffisamment despace

Dans le cas dune intrusion ou panne, les administrateurs systmes peuvent identifier plus rapidement ce qui sest pass

La gamme de donnes acquises devrait tre dtermine durant ltape de planification du systme

La cl: sassurer que vous capturer les donnes correctes, puis faire un suivi et analyse appropris de ces donnes

Linformation peut tre gnre par le systme, le rseau et les applications

Logging
Lanalyse automatise est prfrable
Ne peut vous informer que sur les mauvaises choses qui se sont dj produites

gnre dimportants volumes dinformation et il est important de leurs allouer suffisamment despace

Dans le cas dune intrusion ou panne, les administrateurs systmes peuvent identifier plus rapidement ce qui sest pass

La gamme de donnes acquises devrait tre dtermine durant ltape de planification du systme

La cl: sassurer que vous capturer les donnes correctes, puis faire un suivi et analyse appropris de ces donnes

Linformation peut tre gnre par le systme, le rseau et les applications

Sauvegarde et Archivage des Donnes

Sauvegardes rgulires de donnes

Contrle critique qui aide maintenir l intgrit du systme et des donnes de lutilisateur

Conservation des donnes soit pour des besoins lgaux ou oprationnels

Sauvegarde (Backup)

Le processus de raliser des copies des donnes des intervalles rguliers Le processus de conserver les copies de donnes sur de longues priodes de temps

Archive

Sauvegarde et archivage des Donnes

Les besoins et la politique de sauvegarde ou darchivage devraient tre dtermins durant ltape de planification du systme
conserves

en ligne (online) ou hors ligne (offline) stockes localement ou transportes sur un site distant

Compromis
facilit

dimplmentation et cot versus plus grande scurit et robustesse contre les diffrentes menaces