Partage expérience sécurité réseaux

Bonjour, cela faisait bien 10 ans que je n’étais plus revenu sur la Zone, cela fait extrêmement plaisir de la voir toujours active, toujours autant intéressante au milieu de ce que sont devenus les RS.
Je cherche aujourd’hui à sécuriser au mieux mon réseau local au sein d’une PME.
L’environnement système tourne autour d’un AD Win2016 et une 50ene d’utilisateurs 100% Windows 10&11.
Il y a une GPO, un EndPoint Bitdefender sur le serveur et les clients, le tout derrière une passerelle Zyxel UTM avec des Switch lvl 1.
Actuellement sur le serveur, ses 3 machines virtuelles Hyper-V et les clients, j’utilise nmap en ligne de commande pour scanner et sortir un listing des ports/services utilisés puis fermer/arrêter ceux qui ne sont pas utiles mais c’est plutôt fastidieux.
J’utilise des outils comme Nessus de Tenable, Centreon (CentOS), Wireshark en cas de doute et shodan.io pour scanner les ports de l’extérieur (avec l’accord de la direction bien entendu).
Existe t-il des outils d’intrusions pour tester la sécu d’un réseau sans risquer de faire + de dégâts que de correction ?
A quelle fréquence testez-vous votre réseau pour vérifier sa robustesse et enfin cela vaut-il la peine d’investir du temps dans Kali Linux pour sa multitude d’outils disponibles ?
Avez-vous des adresses de bonnes crémeries francophones de préférence, en anglais si vraiment c’est un incontournable pour se tenir à jour sur le sujet ?

Les quelques questions a se poser :

  • qu’est ce qui est accessible depuis l’extérieur ? (site web publié en direct / etc)
  • a quel fréquence les outils sont ils maintenus / mis à jour ?

Pour allez un cran plus loin en terme de sécu :

  • 802.x (avec des ports réseaux authentifié directement), ca évite une intrusion physique => faut pas faire de connerie avec le radius sinon plus personne bosse :smiley:
  • Scan via outil tiers (radar / owasp pour les serveurs web / et autre joyeuseté) => souvent onéreux

A garder sous le coude :
https://www.cve.org/ => pour vérifier de temps en temps que tes outils sont pas troués (certain outils de scan sont sympa et te donne toute les infos, mais si tu fais ca à la main, c’est bien d’avoir un oeil dessus)

Ca reste compliqué de suivre tout cela au quotidien en solo, y’a plein de voie différente pour sécuriser une infra

  • 3e tiers pour l’hyperviseur, pour firewallé l’accès aux serveurs),
  • des outils de patching auto
  • edr / xdr supervisé
  • etc.
    aucune n’est vraiment gratuite par contre ;).

PS : je met mes idées un peu en vrac, y’a probablement énormement de chose que j’oublie (oué je fais ca un peu à l’arrache !)

Je sais pas si mon avis compte, vu que tu décris plutôt une PME, sachant que je travaille pour des grand groupes.
Pour tout ce qui est pentests et tests d’intrusions (logiciels et physiques) on fait sous-traiter par des boites dont c’est le taff (style orange cyber defense).
A voir si concernant ta sécurité réseau, c’est plus simple de faire faire un audit sur site une fois par an, que de monter toi-même des outils qui risquent de coûter plus cher, et qui seront complexes à administrer…

Je veux pas mettre les pieds dans le plat mais si c’est une PME qui n’a pas une activité ultra-confidentielle ou à fort risque d’espionnage industriel, ce n’est pas vraiment utile de mettre autant d’énergie et de pognon dans la sécurité du réseau en particulier.
Fait plutôt un audit global de l’infrastructure et du parc de machine ainsi que les usages et connaissances de tes utilisateurs, ça sera nettement plus parlant et tu pour agir plus efficacement là dessus.
Dit de manière plus simple, tu as nettement plus de chance d’avoir une fuite de données par le hacking social ou la négligence d’un utilisateur que par l’intrusion dans ton réseau depuis internet.

De base si tu n’as ouvert que des ports utiles vers l’extérieur et que les services en questions sont à jour (surtout vis à vis de failles récentes) et pas spécialement facile d’accès (à minima limités par des login/pass), il n’y a pas de raison de s’inquiéter.

En passant ça m’étonnerais grandement que tes switch soient layer 1 uniquement, et que tu n’ai qu’une seul GPO.

1 « J'aime »

Tu sous-estimes les attaques aveugles de script kiddies, qui vont te balancer un cryptolocker à la moindre faille.
PME ou grand groupe, il ne savent pas sur qui ils tombent

+1 avec @darkomen : Reprends les bases.

  • Sauvegarde: Vérifie que tu es OK avec ton système de sauvegarde, que les données sont restaurables (sinon la sauvegarde sert a rien hein, toute sauvegarde se restaure régulièrement, au moins en partie)
  • Password: C’est jamais facile d’imposer une politique de mot de passe, perso je suis partisan d’un mot de passe long qu’on change pas trop souvent, c’est moins chiant pour l’utilisateur que le mot de passe a la con qui doit être changer tous les mois et un mot de passe de plus de 12 caractères est relativement sécurisant (16 or more is better). Si tu peux rajouter du 2FA/MFA, c’est encore mieux (mais pas toujours facile).
  • Mise a jour: Tous tes OS doivent être a jour, notamment le Zyxel UTM, qui est ton rempart contre l’extérieur.
  • Firewall: Tout est bloqué par défaut, et on ouvre que les ports nécessaires. A part le ou les ports nécessaire au VPN, je vois pas ce que tu aurais d’autres a ouvrir. Sur des petites boites, c’est bien moins cher de maintenir un serveur dédié chez un hébergeur que de faire soit même l’hébergement. Une fois que t’as bien vérifié la config, y a pas grand chose a faire a part les mises a jour.
  • Emails: Essayer d’éduquer les collègues pour qu’ils évitent de cliquer n’importe où, expliquer que le nom de l’expéditeur peut être contrefait et donc ne pas faire une confiance aveugle aux mails provenant d’une personne connue.

Si tu fais déjà tout ca, tu vas déjà avoir pas mal de taf et tu te protègeras de la majorité des menaces décrites par @nusul .

1 « J'aime »

A part les attaques sur les Synology et autres Q-NAP qui étaient ouvert à tout vent, j’ai pas spécialement de souvenir de vague récente d’attaque massive à l’aveugle.

Après c’est sûr que si tu as tes serveurs Windows ouvert en RDP directement sur le net avec des mot de passe admin pas fort ou qui ont fuis par n’importe quel moyen il seront sensibles à des scriptkiddies, mais j’aurais envie de dire que tu l’as cherché dans ce cas là et c’est pas en scannant tes ports à la main ou en analysant toutes les trames du réseau toutes les 2 heures que tu empêchera quoi que ce soit.

Et une version de ces sauvegardes « hors ligne » aussi.

Oui, j’ai pas détaillé. J’avais écrit un post sur le sujet il y a longtemps:

Les principes ont pas fondamentalement changé, les logiciels ont pas mal évolué par contre.

oh ils ne t’ont pas prévenu!? :slight_smile: :slight_smile:

Bon sinon moi sur les serveurs de mes clients, dans les traces de firewall, ce sont des milliers de tentatives par jours!
Ce sont des pc infectés qui servent de relais et attaque des ranges entiers, ou des dns. C’est assez flagrants dans les logs. Ca cherche des failles de site web, d’erp, de crm, de vpn, etc…

Donc

n’est pas suffisant pour ne pas

S’inquiéter est sain, (bon faut pas non plus en devenir dépressif! :slight_smile: ), il n’y a jamais de situation stable facile, à moins de tout fermer.

Par contre là où je te rejoins c’est qu’un pme devrait avoir très très peu de ports ouvert, limite qu’un unique, pour du VPN. Le reste étant soit derrière le vpn, soit en cloud.

log4j ? pas entendu parlé :slight_smile:

Y’a eu aussi les failles sur exchange dernièrement (y’a de moins en moins de monde qui publie un exchange mais tout de même).

et probablement plein d’autre :wink:

J’entends bien ce que vous dites, mais la solution de « scanner son réseau » au petit bonheur la chance pour espérer détecter une attaque réussie lorsqu’elle à lieu ce n’est pas du tout la bonne approche.

Non, encore moins avec une monoéquipe pas forcément formé au pen-testing, qui aura vite pas mal d’autre priorité (comme dépanner le poste de la cousine du directeur par exemple…).

  • Se faire accompagner par un tier extérieur (pour du pentesting spécifique si il y a un service critique publié sur internet par exemple) : c’est bien
  • Suivre en parallèle les plans produits, les patch matériel / logiciels / les cves, dans la mesure du temps de cerveau disponible : c’est bien
1 « J'aime »

Et qui trouvera ce qu’elle cherche, pas forcement ce qu’il y a de grave a détecter.

Go sur le site de l’anssi. Https://ssi.gouv.fr rubrique entreprise.