Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
1
Votre réseau est protégé…
Vincent BieriCisco Systems - [email protected]
Comment en êtes vous certain?
2
Plan de la présentation
• Besoins et préoccupations• Comment votre réseau est-il
attaqué?• Stratégie de sécurité• Détecter et prévenir une attaque• L’implémentation de solutions de
sécurité• Conclusion
3
Plan de la présentation
ØBesoins et préoccupations• Comment votre réseau est-il
attaqué?• Stratégie de sécurité• Détecter et prévenir une attaque• L’implémentation de solutions de
sécurité• Conclusion
4
La sécurité aujourd'hui c'est…
• Une inquiétude économique• Un dilemme exponentiel entre les
biens placés en ligne et les risques associés
• Un paradoxe technologique• Une facilité d'exploitation accrue
5
Mythes et réalités de la sécurité
• Délai de lancementNous devons livrer/annoncer/déployer/ à…
• IgnorancePersonne ne me ferait cela, pas à moi!
• DifficultéIl n'a a pas de sécurité parfaite
• AttitudeVous êtes beaucoup trop paranoïaque
• ApprocheNous avons déjà investi dans des produits de sécurité
Payez maintenant ou payez plus tard
Cela pourrait arriver, si ce n'est pas déjà le cas
Pas besoin d'être parfaite pour être utile
C'est une gestion de risque; préparer le pire, espérer le meilleur
La sécurité est un système en mouvement pas une suite produits
6
Les impacts et menaces d'une sécurité déficiente
• Disponibilité• Économique
• Crédibilité• Législation
Source: CSI/FBI 2002 Report on Computer Crime
Etude FBI/CSI, 2002:
90% des compagnies interrogées ont soufferts des problèmes de sécurité
74% des attaques sur des périphériques Internet
33% des attaques sur des systèmes internes
80% ont souffert de pertes financières
Depuis l'an 2000, plus de 200% de croissance de volsd'information interne et de fraudes financières
7
Plan de la présentation
• Besoins et préoccupationsØComment votre réseau est-il
attaqué?• Stratégie de sécurité• Détecter et prévenir une attaque• L’implémentation de solutions de
sécurité• Conclusion
8
Houston, nous avons un problème…
• Nous avons un pare-feu, de la cryptographie et… Mais nous sommes encore et toujours victimes d'attaques !?!
• C'est un fait!La majorité des attaques reportées aujourd'hui sont exécutées à l'encontre de compagnies qui ont implémenté des produits de sécurité
• Pourquoi?Plus de 75% de ces attaques s'exécutent via le protocole HTTP
• Quel est le point commun?Une vulnérabilité
9
Les vulnérabilités
• D'où viennent-elles?– Vices d'implémentation ou de configuration– Failles d'applications ou de systèmes (évent. de sécurité)– Erreurs Humaines (volontaires ou accidentelles)
• Que permettent-elles?– Elles permettent l'exécution de menaces
IntrusionsDénis de service (DoS)
• Quand viennent-elles?– Elles sont un problème permanent et à reconsidérer sans
cesse. Être vulnérable n'est qu'une question de temps!– Elles sont indépendantes des menaces– Elles peuvent généralement être identifiées et résolues avant
leur exploitation. La plupart des attaques sont le résultat de l'exploitation de vulnérabilités connues alors que des contre-mesures sont disponibles
10
Événements récents
• Nouvelles génération d'outils d'attaques comme NetStumbler, LibRadiate, Setiri, Cdoor, Defiler's Toolkit
• Dénis de service contre les "root DNS servers"• Modification et intégration d'un cheval de Troie
dans le programme sendmail• Apache/SSL worm• Beaucoup (trop!) de "buffer overflow" et pour
tous types de produits (systèmes d'exploitation, serveurs web, équipements réseaux, produits de sécurité!,…)
11
Plan de la présentation
• Besoins et préoccupations• Comment votre réseau est-il
attaqué?ØStratégie de sécurité• Détecter et prévenir une attaque• L’implémentation de solutions de
sécurité• Conclusion
12
Une stratégie en profondeur mais équilibrée
• Adopter une stratégie de gestion de risques et non pas d’élimination de menaces
• Planifier au maximum car il est très difficile de bien protéger un mauvais concept
• Considérer la sécurité de tous les systèmes de communication
• Prendre en compte la résilience et la possibilité d'expansion
• Mise en place d'une sauvegarde des données et d'un plan de recouvrement
• Sécuriser les besoins en services réseaux sans les rendre inefficaces
13
Les protections necessaires aujourd'hui
• Contrôler et sécuriser l'accès au ressources– Filtrage, authentification, chiffrement
• Bloquer le trafic indésirable mais aussi analyser celui qui est autorisé– Mécanismes de détections d'intrusion
• Avant qu'elles ne soient identifiées par autrui, il faut prévenir l'exploitation de vulnérabilités– Audits régulières pour installer les contre-mesures
appropriées
• Gestion sécurisée de l'infrastructure– Équipements, applications, configurations– analyse des événements
14
Analogie de déploiement d’un système intégré
Transport sécuriséTransport sécuriséBadges et lecteursBadges et lecteurs
Centre de contrôleCentre de contrôle
Portes et serruresPortes et serruresSurveillance et AlarmesSurveillance et Alarmes
Gardes et patouillesGardes et patouilles
Pare-feu et liste d'accèsPare-feu et liste d'accèsDétection d'intrusion
(hôtes et réseau)Détection d'intrusion
(hôtes et réseau) ScannerScanner
Gestion centralisée de la politique de sécurité
Gestion centralisée de la politique de sécurité
Identité, AAA, serveurs de contrôle d'accès et
autorités de certification
Identité, AAA, serveurs de contrôle d'accès et
autorités de certificationCryptographie et réseaux
privés virtuels (VPN’s)Cryptographie et réseaux
privés virtuels (VPN’s)
15
Plan de la présentation
• Besoins et préoccupations• Comment votre réseau est-il
attaqué?• Stratégie de sécuritéØDétecter et prévenir une attaque• L’implémentation de solutions de
sécurité• Conclusion
16
Prévenir vaut mieux que guérir
• Approche– 80% du succès réside dans la préparation
• Stratégie– Réduire la fenêtre d'exposition aux vulnérabilités
• Objectif– Connaître l’état du réseau et des systèmes vu de
l'interne comme de l’externe• Méthode
– Tests périodiques des vulnérabilités et mise en place immédiate de conte-mesures
17
La détection d'attaques• Surveillance et analyse actives du trafic et des
événements dans le but de détecter ou bloquer des intrusions
• Détection d'événements– Applications, équipements réseaux et pare-feu– Système de détection d'intrusion (IDS)
réseau (NIDS), hôte (HIDS), application– Honey Pot– Vérification d'intégrité de fichiers– Défense DoS
• Analyse d'événements– Log brut (raw)– IP accounting
Violations de filtre d'accès, volume et type de trafic
– Outils d'analyse fourni avec celui de détection d'événements– Systèmes de corrélation d’évènements– Éxternalisation
• Réponse et actions
18
Le rôle de l'IDS
Règles de "permit"SMTP, HTTP, FTP,…
Autorise le trafic
Règles de "deny"Tout ce qui n'est pas explicitement permis
Bloque letrafic
Pas d'actionTrafic "good"
DétecteNotifieAction
Trafic "bad"
Rôle du pare-feu
Rôle de l'IDS
19
Les résultats possible d'un IDS
Fausse alarme
----------------------
Ne rien faire
Trafic "good"
Non détecté
----------------------
Alarme réelle
Trafic "bad" Analyse du trafic "bad":
Q L'identification d'une attaque à échoué!!!
R Identifie de réelles attaques en tant qu'attaques
Analyse du trafic "good":
Q Identifie un trafic "good" en tant qu'attaque!!!
R Identifie le trafic "good" comme bon
20
Analyse des systèmes IDS
• Pour faire efficacement son travail, un bon IDS doit intégrer différentes méthodes d'analyses
• Le nombre d'attaques détectées est plus important que le nombre de signatures soutenues ou utilisées
• IDS réseau et hôte ont tous deux leur rôle à jouer
• Les défis de l'IDS aujourd'hui– Minimiser les "false positive" et "false negative"– Suivre et soutenir les performances requises– Gérer la grande quantité de données reportées– Intégrer une meilleure connaissance du réseau surveillé– Améliorer les mécanismes de réponse automatique– Passer de la détection à la prévention
21
Plan de la présentation
• Besoins et préoccupations• Comment votre réseau est-il
attaqué?• Stratégie de sécurité• Détecter et prévenir une attaqueØL’implémentation de solutions de
sécurité• Conclusion
22
Tout composants est à sécuriser
• Routeurs• Commutateurs• Hôtes• Utilisateurs (locaux et distants)• Réseaux (locaux et distants)• Applications• Systèmes d’exploitation• Équipements de sécurité• Réseau de gestion
23
Un brèche invisible: Wireless LAN• Recommandations de sécurité
– Authentification des accès à l'interface de gestion (CLI & GUI) – Modifier les "SNMP community strings"– Désactiver tout protocole de gestion non utilisé– Limiter le trafic de gestion à un sous-réseau câblé dédié– Chiffrer le trafic de gestion– Activer le chiffrement des trames wireless et autres mécanismes de sécurité "avancé" (EAP, PEAP)– Client: désactiver le mode "ad hoc"– Limitation par adresses MAC– Audit périodique de "l'état de l'air"– Option: IPSec-VPN
24
Server
Management
Core
ISP B
ISP A
Frame/ATM
PSTN
Extranet
VPN andRemote Access
CorporateInternet
E-CommerceEdge Distribution
Diviser pour régnerCampus Edge SP Edge
Building Distribution
Building
WANSource: www.cisco.com/go/safe
25
AAA Services
SNMP Mgmt
OOB ConfigManagement
To All DeviceConsole Ports
Network Log Data
OOBNetwork
Mgmt
ComprehensiveLayer 4-7 Analysis
Private VLANs
Module de Management
VPN Remote Access Module
Remote Access VPN
Two-FactorAuthentication
OTP Server
AccessControl Server
NetworkMonitoring
IDS Console
Syslog 1
Syslog 2
SystemAdmin
SSH and SSL where Possible Config and Content Management
Stateful Packet Filtering s2s VPN
Hosts IDS for Local Attack
Encrypted and In-BandNetwork Management
26
To VPN/RemoteAccess
Module d'accès à Internet
Spoof Mitigation
(D)DoS Rate-LimitingStateful Packet Filtering
Basic Layer 7 Filtering
Host DoS Mitigation
Broad Layer 4–7 Analysis
Spoof Mitigation
Basic Filtering
To Edge Distribution
ISP A
Focused Layer 4–7 Analysis
Focused Layer 4–7 Analysis
SMTP ContentInspection
Host IDS Local Attack Mitigation
Inspect Outbound Trafficfor Unauthorized URLs
27
Plan de la présentation
• Besoins et préoccupations• Comment votre réseau est-il
attaqué?• Stratégie de sécurité• Détecter et prévenir une attaque• L’implémentation de solutions de
sécuritéØConclusion
28
Des faits et des leçons…
• Captain Crunch, 1970– La sécurité par l'obscurité n'est pas une solution
• Le vers de Robert Morris, 1988– La mise à jour et le contrôle des systèmes– L'analyse du contenu du trafic autorisé
• Vladimir Levin et Citibank, 1994– La vérification forte de l'identité
• Kevin Mitnick contre Tsutomu Shimomura, 1998– La relation de "trust" entre systèmes et la parodie d'identité
à La plus part des attaques d'aujourd'hui sont basées sur des concepts connus depuis longtemps
29
L'avenir de la sécurité: les vulnérabilités
• Virus, vers et chevaux de Troie toujours plus sophistiqués et plus intelligents dans leurs modes de propagation
• Étude des protocoles jusqu'ici peu exploités et des nouvelles technologies comme UPnP, routage (BGP), Ethernet, DNS, SNMP, Wireless,VoIP
• Dénis de service (DoS) en augmentation et plus évolués
• Période raccourcie entre l’annonce d’une vulnérabilité et la mise à disposition d’un outil d’exploitation
30
L'avenir de la sécurité: les contre-mesures
• La sécurité en profondeur doit être plus intégrée avec le réseau et les applications
La sécurité doit comprendre le réseau et vice-versa
• Évolution des techniques de détection et de prévention d'intrusion
Meilleures exactitude et fiabilitéCompréhension du réseaux et des systèmesAmélioration des techniques de détection par d'anomalies
• Système d'analyse de corrélation d'événements plus intelligent et capable de gérer de grande quantité de données
• Besoins en sécurité mandatés par les assurances et/ou les gouvernements (?)
31
Votre réseau est-il sécurisé?
• Avez-vous tenu compte des aspects de sécurité lors de la conception de votre réseau?
– Filtrage, authentification, redondance, gestion des équipements, chiffrement• Le faites-vous pour de nouveaux environnements?
– VoIP, Wireless, Stockage (SAN), VPN• Connaissez-vous l'état actuel de vos systèmes et leurs
interconnections?– Versions, patch, configurations, autorisations d'accès
• Analysez-vous les évènements reportés par les équipements et applications?
– SNMP, syslog, autres logs,..
• Avez-vous mis en place des systèmes d'analyse du contenu des sessions autorisées ou ne passant pas au travers d'un pare-feu?
– Détection d'intrusion (IDS), anti-virus, scanner de contenu (email, url, applet)
• Un test de vulnérabilité est-il périodiquement réalisé?• Êtes-vous certain que les configurations sont bien celles désirées?• Avez-vous une sauvegarde de vos données et un plan de recouvrement
en place?
32
Merci de votre attention!
Vincent BieriCisco Systems - [email protected]
Votre réseau peut être protégé…C'est une affaire de stratégie et d'implémentation
d'un système ou la sécurité de chaque élément compte
33
Références
• Improving Security on Cisco Routerswww.cisco.com/warp/public/707/21.html
• Essential IOS Features Every ISP Should Consider
www.cisco.com/warp/public/707/EssentialIOSfeatures_pdf.zip
• Increasing Security on IP Networkswww.cisco.com/cpress/cc/td/cpress/ccie/ndcs798/nd2016.htm
• Cisco SAFEwww.cisco.com/go/securitywww.cisco.com/go/safewww.cisco.com/go/evpnwww.cisco.com/go/securityassociates
• Security Resourceswww.incidents.orgwww.securityfocus.comwww.cert.org