1

Votre réseau est protégé…

Vincent BieriCisco Systems - vbieri@cisco.com

Comment en êtes vous certain?

2

Plan de la présentation

• Besoins et préoccupations• Comment votre réseau est-il

attaqué?• Stratégie de sécurité• Détecter et prévenir une attaque• L’implémentation de solutions de

sécurité• Conclusion

3

Plan de la présentation

ØBesoins et préoccupations• Comment votre réseau est-il

attaqué?• Stratégie de sécurité• Détecter et prévenir une attaque• L’implémentation de solutions de

sécurité• Conclusion

4

La sécurité aujourd'hui c'est…

• Une inquiétude économique• Un dilemme exponentiel entre les

biens placés en ligne et les risques associés

• Un paradoxe technologique• Une facilité d'exploitation accrue

5

Mythes et réalités de la sécurité

• Délai de lancementNous devons livrer/annoncer/déployer/ à…

• IgnorancePersonne ne me ferait cela, pas à moi!

• DifficultéIl n'a a pas de sécurité parfaite

• AttitudeVous êtes beaucoup trop paranoïaque

• ApprocheNous avons déjà investi dans des produits de sécurité

Payez maintenant ou payez plus tard

Cela pourrait arriver, si ce n'est pas déjà le cas

Pas besoin d'être parfaite pour être utile

C'est une gestion de risque; préparer le pire, espérer le meilleur

La sécurité est un système en mouvement pas une suite produits

6

Les impacts et menaces d'une sécurité déficiente

• Disponibilité• Économique

• Crédibilité• Législation

Source: CSI/FBI 2002 Report on Computer Crime

Etude FBI/CSI, 2002:

90% des compagnies interrogées ont soufferts des problèmes de sécurité

74% des attaques sur des périphériques Internet

33% des attaques sur des systèmes internes

80% ont souffert de pertes financières

Depuis l'an 2000, plus de 200% de croissance de volsd'information interne et de fraudes financières

7

Plan de la présentation

• Besoins et préoccupationsØComment votre réseau est-il

attaqué?• Stratégie de sécurité• Détecter et prévenir une attaque• L’implémentation de solutions de

sécurité• Conclusion

8

Houston, nous avons un problème…

• Nous avons un pare-feu, de la cryptographie et… Mais nous sommes encore et toujours victimes d'attaques !?!

• C'est un fait!La majorité des attaques reportées aujourd'hui sont exécutées à l'encontre de compagnies qui ont implémenté des produits de sécurité

• Pourquoi?Plus de 75% de ces attaques s'exécutent via le protocole HTTP

• Quel est le point commun?Une vulnérabilité

9

Les vulnérabilités

• D'où viennent-elles?– Vices d'implémentation ou de configuration– Failles d'applications ou de systèmes (évent. de sécurité)– Erreurs Humaines (volontaires ou accidentelles)

• Que permettent-elles?– Elles permettent l'exécution de menaces

IntrusionsDénis de service (DoS)

• Quand viennent-elles?– Elles sont un problème permanent et à reconsidérer sans

cesse. Être vulnérable n'est qu'une question de temps!– Elles sont indépendantes des menaces– Elles peuvent généralement être identifiées et résolues avant

leur exploitation. La plupart des attaques sont le résultat de l'exploitation de vulnérabilités connues alors que des contre-mesures sont disponibles

10

Événements récents

• Nouvelles génération d'outils d'attaques comme NetStumbler, LibRadiate, Setiri, Cdoor, Defiler's Toolkit

• Dénis de service contre les "root DNS servers"• Modification et intégration d'un cheval de Troie

dans le programme sendmail• Apache/SSL worm• Beaucoup (trop!) de "buffer overflow" et pour

tous types de produits (systèmes d'exploitation, serveurs web, équipements réseaux, produits de sécurité!,…)

11

Plan de la présentation

• Besoins et préoccupations• Comment votre réseau est-il

attaqué?ØStratégie de sécurité• Détecter et prévenir une attaque• L’implémentation de solutions de

sécurité• Conclusion

12

Une stratégie en profondeur mais équilibrée

• Adopter une stratégie de gestion de risques et non pas d’élimination de menaces

• Planifier au maximum car il est très difficile de bien protéger un mauvais concept

• Considérer la sécurité de tous les systèmes de communication

• Prendre en compte la résilience et la possibilité d'expansion

• Mise en place d'une sauvegarde des données et d'un plan de recouvrement

• Sécuriser les besoins en services réseaux sans les rendre inefficaces

13

Les protections necessaires aujourd'hui

• Contrôler et sécuriser l'accès au ressources– Filtrage, authentification, chiffrement

• Bloquer le trafic indésirable mais aussi analyser celui qui est autorisé– Mécanismes de détections d'intrusion

• Avant qu'elles ne soient identifiées par autrui, il faut prévenir l'exploitation de vulnérabilités– Audits régulières pour installer les contre-mesures

appropriées

• Gestion sécurisée de l'infrastructure– Équipements, applications, configurations– analyse des événements

14

Analogie de déploiement d’un système intégré

Transport sécuriséTransport sécuriséBadges et lecteursBadges et lecteurs

Centre de contrôleCentre de contrôle

Portes et serruresPortes et serruresSurveillance et AlarmesSurveillance et Alarmes

Gardes et patouillesGardes et patouilles

Pare-feu et liste d'accèsPare-feu et liste d'accèsDétection d'intrusion

(hôtes et réseau)Détection d'intrusion

(hôtes et réseau) ScannerScanner

Gestion centralisée de la politique de sécurité

Gestion centralisée de la politique de sécurité

Identité, AAA, serveurs de contrôle d'accès et

autorités de certification

Identité, AAA, serveurs de contrôle d'accès et

autorités de certificationCryptographie et réseaux

privés virtuels (VPN’s)Cryptographie et réseaux

privés virtuels (VPN’s)

15

Plan de la présentation

• Besoins et préoccupations• Comment votre réseau est-il

attaqué?• Stratégie de sécuritéØDétecter et prévenir une attaque• L’implémentation de solutions de

sécurité• Conclusion

16

Prévenir vaut mieux que guérir

• Approche– 80% du succès réside dans la préparation

• Stratégie– Réduire la fenêtre d'exposition aux vulnérabilités

• Objectif– Connaître l’état du réseau et des systèmes vu de

l'interne comme de l’externe• Méthode

– Tests périodiques des vulnérabilités et mise en place immédiate de conte-mesures

17

La détection d'attaques• Surveillance et analyse actives du trafic et des

événements dans le but de détecter ou bloquer des intrusions

• Détection d'événements– Applications, équipements réseaux et pare-feu– Système de détection d'intrusion (IDS)

réseau (NIDS), hôte (HIDS), application– Honey Pot– Vérification d'intégrité de fichiers– Défense DoS

• Analyse d'événements– Log brut (raw)– IP accounting

Violations de filtre d'accès, volume et type de trafic

– Outils d'analyse fourni avec celui de détection d'événements– Systèmes de corrélation d’évènements– Éxternalisation

• Réponse et actions

18

Le rôle de l'IDS

Règles de "permit"SMTP, HTTP, FTP,…

Autorise le trafic

Règles de "deny"Tout ce qui n'est pas explicitement permis

Bloque letrafic

Pas d'actionTrafic "good"

DétecteNotifieAction

Trafic "bad"

Rôle du pare-feu

Rôle de l'IDS

19

Les résultats possible d'un IDS

Fausse alarme

----------------------

Ne rien faire

Trafic "good"

Non détecté

----------------------

Alarme réelle

Trafic "bad" Analyse du trafic "bad":

Q L'identification d'une attaque à échoué!!!

R Identifie de réelles attaques en tant qu'attaques

Analyse du trafic "good":

Q Identifie un trafic "good" en tant qu'attaque!!!

R Identifie le trafic "good" comme bon

20

Analyse des systèmes IDS

• Pour faire efficacement son travail, un bon IDS doit intégrer différentes méthodes d'analyses

• Le nombre d'attaques détectées est plus important que le nombre de signatures soutenues ou utilisées

• IDS réseau et hôte ont tous deux leur rôle à jouer

• Les défis de l'IDS aujourd'hui– Minimiser les "false positive" et "false negative"– Suivre et soutenir les performances requises– Gérer la grande quantité de données reportées– Intégrer une meilleure connaissance du réseau surveillé– Améliorer les mécanismes de réponse automatique– Passer de la détection à la prévention

21

Plan de la présentation

• Besoins et préoccupations• Comment votre réseau est-il

attaqué?• Stratégie de sécurité• Détecter et prévenir une attaqueØL’implémentation de solutions de

sécurité• Conclusion

22

Tout composants est à sécuriser

• Routeurs• Commutateurs• Hôtes• Utilisateurs (locaux et distants)• Réseaux (locaux et distants)• Applications• Systèmes d’exploitation• Équipements de sécurité• Réseau de gestion

23

Un brèche invisible: Wireless LAN• Recommandations de sécurité

– Authentification des accès à l'interface de gestion (CLI & GUI) – Modifier les "SNMP community strings"– Désactiver tout protocole de gestion non utilisé– Limiter le trafic de gestion à un sous-réseau câblé dédié– Chiffrer le trafic de gestion– Activer le chiffrement des trames wireless et autres mécanismes de sécurité "avancé" (EAP, PEAP)– Client: désactiver le mode "ad hoc"– Limitation par adresses MAC– Audit périodique de "l'état de l'air"– Option: IPSec-VPN

24

Server

Management

Core

ISP B

ISP A

Frame/ATM

PSTN

Extranet

VPN andRemote Access

CorporateInternet

E-CommerceEdge Distribution

Diviser pour régnerCampus Edge SP Edge

Building Distribution

Building

WANSource: www.cisco.com/go/safe

25

AAA Services

SNMP Mgmt

OOB ConfigManagement

To All DeviceConsole Ports

Network Log Data

OOBNetwork

Mgmt

ComprehensiveLayer 4-7 Analysis

Private VLANs

Module de Management

VPN Remote Access Module

Remote Access VPN

Two-FactorAuthentication

OTP Server

AccessControl Server

NetworkMonitoring

IDS Console

Syslog 1

Syslog 2

SystemAdmin

SSH and SSL where Possible Config and Content Management

Stateful Packet Filtering s2s VPN

Hosts IDS for Local Attack

Encrypted and In-BandNetwork Management

26

To VPN/RemoteAccess

Module d'accès à Internet

Spoof Mitigation

(D)DoS Rate-LimitingStateful Packet Filtering

Basic Layer 7 Filtering

Host DoS Mitigation

Broad Layer 4–7 Analysis

Spoof Mitigation

Basic Filtering

To Edge Distribution

ISP A

Focused Layer 4–7 Analysis

Focused Layer 4–7 Analysis

SMTP ContentInspection

Host IDS Local Attack Mitigation

Inspect Outbound Trafficfor Unauthorized URLs

27

Plan de la présentation

• Besoins et préoccupations• Comment votre réseau est-il

attaqué?• Stratégie de sécurité• Détecter et prévenir une attaque• L’implémentation de solutions de

sécuritéØConclusion

28

Des faits et des leçons…

• Captain Crunch, 1970– La sécurité par l'obscurité n'est pas une solution

• Le vers de Robert Morris, 1988– La mise à jour et le contrôle des systèmes– L'analyse du contenu du trafic autorisé

• Vladimir Levin et Citibank, 1994– La vérification forte de l'identité

• Kevin Mitnick contre Tsutomu Shimomura, 1998– La relation de "trust" entre systèmes et la parodie d'identité

à La plus part des attaques d'aujourd'hui sont basées sur des concepts connus depuis longtemps

29

L'avenir de la sécurité: les vulnérabilités

• Virus, vers et chevaux de Troie toujours plus sophistiqués et plus intelligents dans leurs modes de propagation

• Étude des protocoles jusqu'ici peu exploités et des nouvelles technologies comme UPnP, routage (BGP), Ethernet, DNS, SNMP, Wireless,VoIP

• Dénis de service (DoS) en augmentation et plus évolués

• Période raccourcie entre l’annonce d’une vulnérabilité et la mise à disposition d’un outil d’exploitation

30

L'avenir de la sécurité: les contre-mesures

• La sécurité en profondeur doit être plus intégrée avec le réseau et les applications

La sécurité doit comprendre le réseau et vice-versa

• Évolution des techniques de détection et de prévention d'intrusion

Meilleures exactitude et fiabilitéCompréhension du réseaux et des systèmesAmélioration des techniques de détection par d'anomalies

• Système d'analyse de corrélation d'événements plus intelligent et capable de gérer de grande quantité de données

• Besoins en sécurité mandatés par les assurances et/ou les gouvernements (?)

31

Votre réseau est-il sécurisé?

• Avez-vous tenu compte des aspects de sécurité lors de la conception de votre réseau?

– Filtrage, authentification, redondance, gestion des équipements, chiffrement• Le faites-vous pour de nouveaux environnements?

– VoIP, Wireless, Stockage (SAN), VPN• Connaissez-vous l'état actuel de vos systèmes et leurs

interconnections?– Versions, patch, configurations, autorisations d'accès

• Analysez-vous les évènements reportés par les équipements et applications?

– SNMP, syslog, autres logs,..

• Avez-vous mis en place des systèmes d'analyse du contenu des sessions autorisées ou ne passant pas au travers d'un pare-feu?

– Détection d'intrusion (IDS), anti-virus, scanner de contenu (email, url, applet)

• Un test de vulnérabilité est-il périodiquement réalisé?• Êtes-vous certain que les configurations sont bien celles désirées?• Avez-vous une sauvegarde de vos données et un plan de recouvrement

en place?

32

Merci de votre attention!

Vincent BieriCisco Systems - vbieri@cisco.com

Votre réseau peut être protégé…C'est une affaire de stratégie et d'implémentation

d'un système ou la sécurité de chaque élément compte

33

Références

• Improving Security on Cisco Routerswww.cisco.com/warp/public/707/21.html

• Essential IOS Features Every ISP Should Consider

www.cisco.com/warp/public/707/EssentialIOSfeatures_pdf.zip

• Increasing Security on IP Networkswww.cisco.com/cpress/cc/td/cpress/ccie/ndcs798/nd2016.htm

• Cisco SAFEwww.cisco.com/go/securitywww.cisco.com/go/safewww.cisco.com/go/evpnwww.cisco.com/go/securityassociates

• Security Resourceswww.incidents.orgwww.securityfocus.comwww.cert.org