Upload
eleonore-guillard
View
104
Download
0
Embed Size (px)
Citation preview
1Novembre – Décembre 2005 Version 1.01
État de l’art de la sécurité informatique
Chapitre 1 – La sécurité des réseaux
Auteurs :
Stéphan GUIDARINI – Consultant Senior
Sébastien DESSE – Expert Réseaux et Sécurité
2Novembre – Décembre 2005 Version 1.01
Programme Introduction Quoi protéger ? Contre qui ? Pourquoi ? Qui croire ? Comment protéger ? Quelle politique de sécurité ?
Sécurité des réseaux Généralités Sécurité niveau 1 Sécurité niveau 2 Commutateurs Sans fil sécurité niveau 3 Généralités Protocoles de routage Firewall Sécurité niveau 7 Relais applicatifs Filtres applicatifs Détection d'intrusions Network IDS
Sécurité des contenus & échanges Introduction à la cryptographie Utilisation de la cryptographie PPP/PPTP/L2TP IPSEC TSL/SSL SHTTP S/MIME Les Infrastructures à clef
publique (PKI) PGP La réglementation
Sécurité des accès Authentification Mots de passe – Authentification forte –
Single Sign On RADIUS - TACACS/TACACS+ - Kerberos 802.1x, Sécurité Wifi (WEP, WPA, etc.)
Sécurité des systèmes et des applications Généralités Sécurité en environnement Microsoft Sécurité en environnement Unix Détection d'intrusions au niveau système Virus, Vers et chevaux de Troie
Conclusion Synthèse Les dix commandements Sources d’information
Œ
Ž
3Novembre – Décembre 2005 Version 1.01
SommaireSécurité des Réseaux
Généralités Administration Sécurité Niveau 1-3 (OSI) Firewall Relais applicatifs Détection d’intrusions
4Novembre – Décembre 2005 Version 1.01
Généralités Qu'est-ce que la sécurité d'un réseau ?
La sécurité d'un réseau est un niveau de garantie que l'ensemble des machines du réseau fonctionnent de façon optimale et que les utilisateurs des dites machines possèdent uniquement les droits qui leur ont été octroyé.
Il peut s’agir :d'empêcher des personnes non autorisées d'agir sur le
système de façon malveillante d'empêcher les utilisateurs d'effectuer des opérations
involontaires capables de nuire au système de sécuriser les données en prévoyant les pannes de garantir la non interruption d'un service
5Novembre – Décembre 2005 Version 1.01
Généralités La sûreté de fonctionnement.
L ’objectif du concepteur est la prévision de la capacité de survie du système : la continuité de service
Il y a deux approches avec des objectifs et des moyens différents : la disponibilité comprend la fiabilité (pannes) et la
maintenabilité (réparation)la crédibilité comprend l ’intégrité
6Novembre – Décembre 2005 Version 1.01
Généralités La sûreté de fonctionnement (2)
Les solutions sont essentiellement matérielles :une redondance de tout ou partie des matériels
actifs une redondance des liaisons télecoms des
contrats de maintenance avec GTI et GTRpour des serveurs type Firewall, Proxy…:
technologie RAID, SAN, CLUSTER…Backup/Restore : Operating System,
configurations...
7Novembre – Décembre 2005 Version 1.01
Administration L’accès aux équipements
Physique Empêcher l’accès physique aux équipements
Bouton Marche/Arrêt Port console
SNMP Éviter le classique public / private A désactiver si non utilisé De préférence dans un VLAN d’administration Faille de SNMP v2 publiée récemment Attendre impatiemment la généralisation de SNMPv3
8Novembre – Décembre 2005 Version 1.01
Administration (2)
L’accès aux équipements Telnet
Mot de passe à choisir judicieusement !! Si possible utiliser des ACL pour filtrer les accès De préférence dans un VLAN d’administration Utiliser SSH
L’interface Web A désactiver sur ce type d’équipement Si nécessaire -> VLAN d’administration
Utiliser d’un protocole d’authentification tel que RADUIS ou Kerberos si disponible
9Novembre – Décembre 2005 Version 1.01
Administration (3) Un certain nombre de services actifs par défaut
peuvent / doivent être désactivés C’est notamment le cas de l’IOS de Cisco qui est
dérivé d’un Unix et qui a donc conservé un certain nombre de protocoles bien connus de ces environnement Echo Finger Bootp
Et d’autres DNS lookup IP source-routing (routeurs ou commutateurs L3) Directed-Broadcasts (routeurs ou commutateurs L3) CDP (cisco, mais implémenté sur d’autres équipements)
10Novembre – Décembre 2005 Version 1.01
Sécurité Niveau 1->3 (OSI)
11Novembre – Décembre 2005 Version 1.01
Sécurité Niveau 1-2 (OSI)
Généralités Niveau 1
Concentrateurs
Niveau 2 Commutateurs Le cas du sans fil (WLAN)
12Novembre – Décembre 2005 Version 1.01
Généralités
L’identité est l’adresse MAC (IEEE) Identifiant unique (48bits) Peut être administrée localement Elle identifie mais n’authentifie pas
Adresse du Destinataire
Adresse de l’expéditeur
13Novembre – Décembre 2005 Version 1.01
Généralités
Les protocoles rencontrés sont : ARP – Address resolution protocol CDP – Cisco Discovery protocol STP – Spanning Tree Protocol 802.1d VLAN – Virtual LAN 802.1q VTP – VLAN Trunking Protocol (cisco) Unicast Frames Multicast Frames Broadcast Frames
14Novembre – Décembre 2005 Version 1.01
Sécurité Niveau 1Concentrateurs
Les concentrateurs (hub) Diffusion des flux à tous Il existe des mécanismes de bruitage Il existe des mécanismes de filtrage (MAC)
l’adresse peut être usurpée Induit une charge administrative importante
Disparaissent naturellement Utiles pour les sondes de détection
d’intrusions
15Novembre – Décembre 2005 Version 1.01
Sécurité Niveau 2Commutateurs
Les commutateurs But premier : Augmenter le nombre de
domaines de broadcast en segmentant le réseau
Crée des réseaux locaux en faisant abstraction de l’organisation physique des équipements
Augmenter la sécurité des communications
16Novembre – Décembre 2005 Version 1.01
Sécurité Niveau 2Commutateurs
Les commutateurs sont la cible d’attaques telles que : ARP cache poisoning ARP/DHCP spoofing HSRP/VRRP spoofing STP/VTP attacks VLAN Jumping (ISL/DTP)
17Novembre – Décembre 2005 Version 1.01
Sécurité Niveau 2Commutateurs
ARP cache poisoning
18Novembre – Décembre 2005 Version 1.01
Sécurité Niveau 2Commutateurs
VLAN Jumping (ISL/DTP)Problème des VLAN
Pas conçu pour faire de la sécurité mais permet de la renforcer
Les commutateurs multi-layer sont des points faibles des infrastructures réseaux (attention aux mauvaises configurations)
Attaques : VLAN « jumping » (injection de frame 802.1q) est possible si :DTP (Dynamic Trunking Protocol) est activé Et si le port est dans le même VLAN que le native VLAN
(VLAN 1 par défaut)
19Novembre – Décembre 2005 Version 1.01
Sécurité Niveau 2Commutateurs
Il existe des moyens de se protéger Ne pas utiliser le VLAN 1 (VLAN par Défaut) Filtrage des adresse MAC par port
Cisco « port security » par exemple Activer le BPDU-Guard afin de filtrer le STP
Désactive un port si un BPDU est reçu via celui-ci Limiter le taux de broadcast
A affiner en fonction du type d’équipement connecté sur le port HSRP
Donner l’@IP la plus élevée au routeur principal, la suivante au secondaire, etc…
Filtrer à l’aide d’ACL les flux HSRP entre équipement Les commutateurs niveau 2/3/4/5/6/7/….
Concentrent en un seul point de nombreux problèmes de sécurité et sont donc à surveiller tout particulièrement
20Novembre – Décembre 2005 Version 1.01
Sécurité Niveau 2Commutateurs
Il existe des moyens de se protéger (2) Notion de Private VLAN
Le segment devient « Multi-Access Non Broadcast » Des équipements d’un même VLAN ne peuvent pas
communiquer directement entre eux VTP (VLAN Trunking Protocol) - Cisco
Ne pas laisser la configurartion par default Mode Server sans mot de passe Affecter un domaine et un mot de passe Server / Client / Transparent ?
DTP (Dynamic Trunking Protocol) Les ports sont en mode auto par défaut Choisir le mode Off pour tous les port non utilisés pour
des interconnections de commutateurs
21Novembre – Décembre 2005 Version 1.01
Sécurité Niveau 2 Réseaux sans fil
Infrarouge, Bluetooth, 802.1b, … Infrarouge peu utilisé pour le réseau Bluetooth utilisé uniquement pour l’interconnexion
de périphériques
802.11(b) Le réseau ne s’arrête pas à la porte de l’entreprise
Parking Visiteurs, rue…
Mettre en place un filtrage par @MAC Administration contraignante
Il est possible d’usurper une @MAC
22Novembre – Décembre 2005 Version 1.01
Sécurité Niveau 2Réseaux sans fil
802.11 (b) ou (g) Les trames ne sont plus confinées dans un câble
mais diffusées dans toute la pièce Tout le monde peut écouter (comme un hub) Mise en place de chiffrement
WEP -> souffre d’un manque de maturité Facile à cracker (40 bits), 128 bits…
IPSec -> contraignant
Accès au réseau facilité Faiblesse des mécanismes d’authentification Vulnérable aux attaques du type Man in the Middle
Utilisation WPA s'appuie sur la famille 802.1x et le protocole EAP (Extensible Authentification Protocol)
23Novembre – Décembre 2005 Version 1.01
Sécurité Niveau 3 (OSI)
Généralités Adressage privé Sécurité & DHCP ICMP Les protocoles de routage Filtrage IP
24Novembre – Décembre 2005 Version 1.01
Généralités
L’identité est l’adresse IP (pour Internet) Identifiant de 32 bits Aisément modifiable / usurpation facile Identifie mais n’authentifie pas N’intègre aucun mécanisme de sécurité
Les autres protocoles Confinés au sein de l’entreprise Moins d’outils de sécurisation à la
disposition des administrateurs
25Novembre – Décembre 2005 Version 1.01
Généralités (2)
Les protocoles rencontrés sont : IP – ICMP RARP HSRP / VRRP (redondance d’équipement) RIP, RIPv2, IGRP, EIGRP, OSPF, BGP,… Paquets Unicast Paquets Multicast Paquets Broadcast
26Novembre – Décembre 2005 Version 1.01
L’adressage privé
Recommandations IANA : RFC 1918. Les numéros de réseaux suivants ne sont pas routés sur
l’Internet
Isolation naturelle de son trafic privé par rapport au trafic Internet
Nécessite la présence d’un translateur d’adresses :Network Address TranslatorLe NAT ne se substitue pas au Firewall et/ou Proxy Serveur
Classe A Classe B Classe C
10.0.0.0172.16.0.0à172.31.0.0
192.168.0à192.168.255
27Novembre – Décembre 2005 Version 1.01
La translation d’adresse
Il s’agit d’un complément de service plus qu’un service de sécurité proprement dit
INTERNET
Serveur SMTP ...
ISPFIREWALL
TRANSLATEUR
@priv1,1025@priv2,1067@priv3,1067
@pubA,3025@pubA,3026@pubA,3027
Socket Source
Gestion dynamiqued'une table de
correspondancetranslation @IP,n°port
Localisation du translateur Sur le firewall
Types de translations N @ privées vers 1 @ publique 1 @ privée vers 1 @ publique
28Novembre – Décembre 2005 Version 1.01
Sécurité & DHCP Le DHCP
Peut être l’allié ou l’ennemi de la sécurité Crée des problèmes de sécurité si les adresses
sont attribuées au hasard Sur le réseau l’identité est l’@IP Dans le monde réel l’identification se fait par rapport à la
personne ou au poste utilisé Le DHCP dans sa configuration la plus basique empêche
l’association @IP <-> personne/poste Il existe des mécanismes palliatifs
Informations obtenues auprès du PDC (Domaine NT) RFC 931/1413 (Identd)
Attribuer l’@IP en fonction de l’@ MAC est une solution permettant d’augmenter la sécurité
29Novembre – Décembre 2005 Version 1.01
ICMP
Il n’est pas obligatoire d’interdire tous les messages ICMP ICMP est utile, laisser passer :
source-quench, packet-too-big, don’t fragment
time-exceeded, echo request et echo reply dans certains cas
Eviter de laisser passer : redirect, unreachable, parameter-problem,…
30Novembre – Décembre 2005 Version 1.01
Sécurité des routeurs Les routeurs assurent les services essentiels au bon
fonctionnement des infrastructures de communication La compromission d’un routeur amène un certain
nombre de problèmes favorisants la compromission des SI La compromission des tables de routage peut amener à la
dégradation des performances, des dénis de service et l’exposition des données sensibles
La compromission des moyens de contrôle d’accès d’un routeur peut amener à la divulgation d’informations sensibles et la facilitation d’attaques et dénis de services
En général un routeur bien configuré permet d’améliorer grandement le niveau de sécurité global du système d’information
31Novembre – Décembre 2005 Version 1.01
Principes et buts Protection du routeur lui-même
protection physique Le système d’exploitation La sécurisation de la configuration
Administration du routeur Les accès administrateur au routeur sont un problème essentiel
Réseau/Interfaces d’administration Limitation des accès par un filtrage ou un protocole approprié Mots de passe valables Connexion sécurisée à l’équipement (IPSec/SSH)
Les mises à jour Validité des images logicielles (source, corruption, bugs, …)
Journalisation L’enregistrement systématique de l’activité de l’équipement via les
protocoles de supervision (SNMP, Syslog, …) permet de disposer en temps de crise, des informations essentielles à l’identification et la résolution des problèmes
32Novembre – Décembre 2005 Version 1.01
Politique de sécurité du routeur
La sécurité du routeur doit être le reflet de la politique de sécurité globale du SI
Vision en couche de la sécurité du routeur
33Novembre – Décembre 2005 Version 1.01
Protocoles de routage En général
Utiliser « passive-interface » pour toutes les interfaces ne devant pas participer au processus de routage
Journaliser les mises à jour RIP : pas de mécanisme de sécurité, à éviter… RIPv2 : prévoit l’authentification IGRP : pas de mécanisme de sécurité EIGRP : prévoit l’authentification des échanges OSPF
Prévoit l’authentification des échanges (password MD5) N’utiliser que des mises à jour Unicast (Pas de Broadcasts) Il est possible de filtrer les MAJ reçues
BGP Prévoit l’authentification des échanges Ne pas utiliser le même mot de passe pour tous les routeurs Si possible utiliser IPSEC
34Novembre – Décembre 2005 Version 1.01
Routeur filtrant Le rôle principal du routeur filtre de paquets est de
permettre ou d’empêcher le passage des paquets de données reçus
Le routeur examine tous les datagrammes par rapport à des règles de filtrage, basées sur le contenu informationnel de l’entête du datagramme
Le filtrage s’effectue aux niveaux 2,3,4 du modèle OSI
Méthode d’intrusion typiques contournant le filtrage de paquets : la fragmentation de paquet Cette technique consiste à utiliser la propriété de
fragmentation de IP afin de créer de tout petits fragments et de forcer l’en-tête TCP à être fragmentée elle aussi, l’espoir étant que seul le premier fragment sera analysé par le routeur, laissant alors passer tout le reste.
35Novembre – Décembre 2005 Version 1.01
Routeur filtrant (2) Les avantages :
Les solutions de sécurité sont encore majoritairement basées sur l’emploi unique de routeurs filtrants. Cela s’explique pour plusieurs raisons :le coût généralement faible d’un routeur filtrantles performances sont généralement bonnesla transparence aux utilisateurs et aux
applicationsfiable car les contrôles sont simples et peu
sujets à erreurs d’implémentation
36Novembre – Décembre 2005 Version 1.01
Routeur filtrant (3) Les limites :
Les limites des routeurs filtrants sont mis en évidence par le besoin de contrôle du contenu informationnel des échanges : Les performances du routeur diminuent avec le nombre
de règles à appliquer le routeur filtrant ne peut pas comprendre le contexte
du service qu’il rend : il ne peut pas, par exemple bloquer l’entrée de mails ou de newsgroup concernant certains sujets
ne traite que des informations du type en-tête de trame pas ou peu de statistiques sur l’usage des filtres la protection du réseau connnecté à l’Internet est
minimale
37Novembre – Décembre 2005 Version 1.01
Firewall
38Novembre – Décembre 2005 Version 1.01
Firewall – Plan
Définition Différents types de Firewall Ce que peut faire un Firewall Principe / Architecture Où placer un Firewall Choisir son Firewall
39Novembre – Décembre 2005 Version 1.01
Définition
Un Firewall est un dispositif informatique qui permet le passage sélectif des flux d’information entre deux réseaux et qui neutralise les tentatives d’accès qui sont en désaccord avec la politique de sécurité en vigueur
FirewallInternet Réseau Interne
40Novembre – Décembre 2005 Version 1.01
Les différents types de Firewall
Les boîtiers dédiés Type « appliance »
Les routeurs Simples listes de filtrage ou vrai Firewall
Les logiciels OS ou logiciels dédiés
Les bastions (Serveurs mandataires) Proxy
41Novembre – Décembre 2005 Version 1.01
Ce que peut faire un Firewall
Permet de concentrer la sécurité en un seul point et donc d’appliquer facilement la politique de sécurité sur une surface importante du réseau
Permet de surveiller les flux le traversant Permet de mettre en place des DMZ L’endroit idéal pour déployer du NAT
Permet de dissimuler le réseau protégé
L’endroit idéal pour la mise en place de VNP
42Novembre – Décembre 2005 Version 1.01
Ce que ne peut pas faire un Firewall
Ne protége pas des attaques qui ne le traverse pas !!!
Ne protége pas un segment de réseau contre les utilisateurs qui y sont connectés
Ne protége pas contre les attaques utilisant des protocoles autorisés
Ne protége pas contre les chevaux de Troie Ne protége pas contre les virus Ne peut pas se configurer tout seul !
43Novembre – Décembre 2005 Version 1.01
Critères de filtrage (1) Action
Autoriser / Interdire / Jeter / Rediriger / Authentifier / … Protocoles
IP @source, @destination, TOS, …
ICMP Type de message
TCP Ports source, Port destination, Flags (SYN, ACK, FIN,…) Les ports déterminent souvent le service associé
UDP Port source, Port destination, … Les ports déterminent souvent le service associé
Autres protocoles ESP, AH, OSPF, …
44Novembre – Décembre 2005 Version 1.01
Critères de filtrage (2)
Les horaires L’utilisateur (!= @IP) @MAC Les données contenues dans le datagramme La charge du réseau Plus généralement à partir de toute information que l’on est
capable d’extraire d’un datagramme ou de l’environnement
Tous les Firewall ne proposent pas autant de fonctionnalités
45Novembre – Décembre 2005 Version 1.01
Stateful inspection
Le filtrage ne se fait plus uniquement par datagramme (packet filtering) mais avec une logique de session Introduction d’une table des connexions Introduction de modules spécifiques à chaque
protocole, capables de tracer leur exécution et de s’assurer de leur bon déroulement Numéros de séquence TCP, ouvertures de ports, phases
de négociation, … ex : ftp, http, h323, sip, rpc, rsh, telnet, …
Possibilité d’ouvrir dynamiquement un port ex : ftp actif
46Novembre – Décembre 2005 Version 1.01
Principe de fonctionnement (1)
Création d’une liste de règles retranscrivant dans le langage du Firewall la politique de sécurité préalablement définie J’autorise mon proxy à effectuer des requêtes HTTP vers Internet J’autorise mon DNS à effectuer des requêtes (DNS) vers Internet J’autorise les flux SMTP à l’intention de mon relais de messagerie J’autorise les flux HTTP à l’intention de mon proxy Web Je demande l’authentification pour les flux HTTP à l’intention de
mon serveur Web Intranet J’autorise les « ICMP echo » à sortir et les « ICMP reply » à entrer J’interdit tout le reste
47Novembre – Décembre 2005 Version 1.01
Principe de fonctionnement (2)# Règles basiques (Any signifie « tout le monde »)
access-list 100 permit tcp any 192.168.1.0 255.255.255.0 eq www
access-list 100 permit udp any 192.168.1.0 255.255.255.0 eq domain
access-list 100 permit tcp any host 192.168.3.10 eq www
access-list 100 permit tcp any host 192.168.3.10 eq ftp
# Permet de laisser passer tous les flux entre deux réseaux
access-list 100 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
# Les messages ICMP
access-list 100 permit icmp 192.168.1.0 255.255.255.0 any echo-request
access-list 100 permit icmp any 192.168.1.0 255.255.255.0 echo-reply
# Influence de l’ordre des régles (l’inverse ne sert à rien)
access-list 100 deny host 192.168.1.10 any eq telnet
access-list 100 permit 192.168.1.0 any eq telnet
# Règle souvent implicite, à préciser tout de même pour plus de clarté
access-list 100 deny ip any any
Ordre de filtrage des datagrammes
48Novembre – Décembre 2005 Version 1.01
Architecture
Il est important de cloisonner les flux Permet d’éviter qu’un service défaillant compromette la
sécurité de l’ensemble de l’infrastructure Permet de contrôler les flux entre chaque échange Architecture Multi-strates (n-tiers)
Chaque zone reçoit un niveau de sécurité, les périmètres sont clairement définis et les échanges parfaitement identifiés
Permet un meilleur cloisonnement et une meilleure séparation des flux
Permet une meilleur protection des services en fonction de leur importance relative
49Novembre – Décembre 2005 Version 1.01
Où placer un Firewall
Exemple typique
Firewall
Serveur Web
Réseau InterneInternet
Poste LAN
Flux sortants
Flux entrants
50Novembre – Décembre 2005 Version 1.01
La DMZ
Zone démilitarisée
Firewall
Serveur Web ou relais applicatif
Réseau InterneInternet
Poste LAN
Flux sortants
Flux entrants
Firewall
51Novembre – Décembre 2005 Version 1.01
La DMZ (2) Par la création d’une zone démilitarisée, le Firewall isole
physiquement les réseaux interconnectés. Des règles spécifiques pour les accès Internet vers les serveurs et Intranet vers les serveurs sont donc possibles,
Les flux directs de l’Internet vers le réseau (et réciproquement) sont strictement interdits,
Dans cette zone, on place généralement : les machines qui auront un accès direct avec l’Internet (serveurs
mandataires WEB, FTP, SMTP…°) et accessibles depuis l’extérieur
la machine supportant les “ sas applicatifs ” chargés du contrôle lourd des flux (y compris les éventuelles identification/authentification)
52Novembre – Décembre 2005 Version 1.01
Avantages et inconvénient d’une DMZ
Un intrus doit s’introduire dans plusieurs systèmes différents sans se faire détecter afin d’accéder au LAN Varier les types de Firewall à un intérêt
Permet de définir des niveaux de sécurité Permet de séparer ce qui doit être visible de ce
qui ne doit pas l’être Permet la mise en place de proxy/bastion afin
d’éviter les accès directs (Int/Ext et Ext/Int)
53Novembre – Décembre 2005 Version 1.01
Autre exemple
Architecture n-tiers (3-tiers)
Firewall
Serveur Web
Réseau InterneInternet
Poste LAN
Flux sortants
Flux entrants
Firewall
Base de données
54Novembre – Décembre 2005 Version 1.01
Autre exemple (2)
L’utilisation de plusieurs DMZ permet de séparer les flux en fonction de leur sensibilité (une DMZ dédiée aux réseaux partenaires, une DMZ dédiée aux services Internet public…),
Le firewall externe est dédié à la gestion des flux complexes et évolutifs venant de l’Internet,
Le firewall interne est dédié à la gestion des flux assez stables provenant du firewall externe et du réseau interne.
55Novembre – Décembre 2005 Version 1.01
Règles de configuration (1) Maîtriser les flux qui transitent
Autoriser explicitement les flux Interdire tout le reste
L’ordre des règles à une importance Protéger Internet comme vous protégez votre réseau
Le filtrage doit aussi empêcher vos utilisateur d’entamer des actions malveillantes (attaques, propagation de virus, … )
Faire du filtrage aussi sur les serveurs Notamment sur les serveurs très exposés
Web, DNS, FTP, … Le risque d’erreur sur les deux équipements simultanément est
faible Garder (et sauvegarder) les configurations antérieures
et s’assurer qu’on est en mesure de palier à une défaillance du système (logique ou physique)
56Novembre – Décembre 2005 Version 1.01
Règles de configuration (2)
Interdire le source-routing souvent nécessaire à l’IP spoofing
Configurer l’anti-spoofing Interdire les datagrammes fragmentés
Source de Dénis de Service (DOS) Rendent la détection d’intrusions difficile
Confiner au maximum les protocoles utilisant des attributions de ports dynamiques et aléatoires RCP (NFS, NIS,…), FTP Actif, …
Confiner au maximum les protocoles qui sont intrinsèquement faible en terme de sécurité NFS, NIS, ICQ, partage de fichier, protocoles inconnus ou non
documentés
57Novembre – Décembre 2005 Version 1.01
Règles de configuration (3) Un Firewall doit être administré
Le niveau de sécurité dépend en grande partie de la compétence des administrateurs et de leur disponibilité
Doit impérativement être maintenu à jour La plus grande source de problèmes sont les version non à jour
Un Firewall doit être surveillé Un maximum d’information doivent être collectées, stockées
et analysées (si possible en temps réel)Collectées
A partir d’un maximum d’équipements (Firewall, serveurs, …)Stockées
Dans une base de données pour faciliter les traitements ultérieursAnalyse des log
Il existe des outils pour aider l’administrateur Permet la détection des incident et des tentatives d’intrusion Doivent exister avant l’intrusion, après il est trop tard !
58Novembre – Décembre 2005 Version 1.01
Autres considérations
Nécessite des compétences et de l’attention Ne pas ce fier à la convivialité de l’interface Une erreur de configuration peut anéantir la politique
de sécurité Varier au maximum les produits et solutions
En matière de sécurité l’hétérogénéité est un avantage si l’administration est effectuée correctement
Le Firewall peut être la cible d’attaques Le Firewall peut être un maillon faible
« Single point of faillure »
59Novembre – Décembre 2005 Version 1.01
Choisir son Firewall (1) Quelles seront ses fonctionnalités ?
Le Firewall est chargé d’appliquer la politique de sécurité que vous avez défini, il est donc important qu’il soit adapté à celle-ci et au niveau de sécurité que vous souhaitez atteindre
Quels services doit-il offrir ? Accès Internet, DMZ, accès internes, VPN, …
Quel niveau de sécurité doit-il offrir ? Les exigences d’une petite entreprise ne sont pas les mêmes que celle
d’une banque ou d’un société qui fait du e-business Quel sera sa charge ?
Évaluation REALISTE de la quantité de flux à traiter Quel niveau de fiabilité (résilience) doit-on atteindre ?
Si votre activité repose essentiellement sur Internet ou vos liaisons avec vos partenaires il est bon de s’assurer de la disponibilité des équipement et des services (providers…)
60Novembre – Décembre 2005 Version 1.01
Choisir son Firewall (2) Quelles sont vos contraintes ?
De quel budget disposez vous ? Quelles sont les ressources (Homme) dont vous
disposez ? Administrateur sécurité ?
Quelles sont les compétences dont vous disposez ? Acquis, Formations, Intervenants
Dans quel environnement évoluez vous ? Contraintes politiques (Contructeurs/OS interdits) Peut-on faire évoluer ces contraintes ? Où seront installées les équipements ? Législation ? Concurrence Internationale ? Faut-il se méfier des produits
importés ?
61Novembre – Décembre 2005 Version 1.01
Choisir son Firewall (3)
Évaluer les produits disponibles Il n’y a pas de réponse à la question :
« Quel est le meilleur Firewall ? » La vrai question qu’il faut se poser est :
« Quel est le meilleur Firewall dans votre contexte ? »
Prix Matériel, Logiciel, Assistances, Maintenance, Administration,
Installation Supervision & Administration
Quels sont les outils disponibles ? Évolutivité
Du matériel, des performances, des services Adéquation avec les besoins ?
62Novembre – Décembre 2005 Version 1.01
L’offre en matière de Firewall LARGE !
Produits commerciaux Arkoon, CA, Checkpoint, Cisco, Matra, Netasq, Nokia,
Stonesoft, WatchGuard, … Deux Leaders : Checkpoint, Cisco Des aspects marketing qui font souvent perdre de vue le but
premier d’un Firewall Opensoure
Netfilters/Ipchains (Linux), Ipfilter (Unix), PacketFilter (BSD) Des fonctionnalités et une modularité importante Une administration peu conviviale
Rester critique, essayer Il n’existe pas de produit cumulant tous les avantages
63Novembre – Décembre 2005 Version 1.01
Relais applicatifs
64Novembre – Décembre 2005 Version 1.01
Présentation Un relais applicatif se place entre un client et un serveur
interceptant les requêtes et les relayant Pour masquer la structure interne d’un réseau
Du réseau privé vers Internet Toutes les requêtes des clients d’un LAN sont masquées par le proxy
diminuant ainsi la surface visible du réseau Permet aussi de simplifier la configuration d’un Firewall en limitant
les autorisations de sortie à une seule machine D’Internet vers le réseau privé
Le serveur n’est pas directement adressé diminuant ainsi son exposition (serveur Web masqué par un Proxy)
On parle de Reverse-Proxy L’adresse publique du serveur est en fait celle du proxy
Pour filtrer les accès à la manière d’un Firewall Pour mettre en place des mécanismes d’authentification et de
contrôle d’accès Pour maintenir un cache des fichiers échangés de manière à
diminuer la consommation de bande passante
65Novembre – Décembre 2005 Version 1.01
Architecture (1)
Relais applicatif(Proxy)
Internet
Serveur Web
@publique visible/NAT
Clients Web
66Novembre – Décembre 2005 Version 1.01
Architecture (2)
Internet
Serveur Web
Clients Web
Relais applicatif(Proxy)
67Novembre – Décembre 2005 Version 1.01
Architecture (3)
Serveur Web
Internaute
Relais applicatif(Reverse Proxy)
Internet
@publique du serveur Web
68Novembre – Décembre 2005 Version 1.01
Les protocoles supportés
Un relais applicatif peut être spécifique à un protocole HTTP, HTTPs, FTP, SMTP, NNTP, …
Mais il peut être aussi générique SOCKS
Dans ce cas le relais ne « comprend pas » le protocole il se contente de relayer les requêtes avec son adresse comme adresse source
Peut effectuer la redirection de flux vers des machines spécifiques en fonction de critères prédéfinis
Permet de faire du NAT (Network Address Translation) Permet également l’encapsulation d’un protocole dans
un autre ex : IRC dans HTTP
69Novembre – Décembre 2005 Version 1.01
Filtres applicatifs
70Novembre – Décembre 2005 Version 1.01
Présentation
Filtrage applicatif Relais applicatif + filtrage des échanges d’une
application Filtrage d’URL (type Websense) Filtrage Antivirus, blocage d’applets Java, ActiveX Modification ou conversion du contenu
Conversion de protocole (ex : SMTP -> NNTP) Modification d’un jeu de caractére (ex: japonais vers ANSI)
Spécifique à chaque protocole
Avantages Une plus grande finesse dans le contrôle des échanges
71Novembre – Décembre 2005 Version 1.01
Remarques
En cas de débits importants l’impact sur les performances peut être important ex : Filtrage Antivirus
SASTelnet
SASTelnet
SASTelnet
SASTelnet
SASTelnet
SASSMTP
SASFTP
SASHTTP
72Novembre – Décembre 2005 Version 1.01
L’offre en matière relaiset filtres applicatifs
Relais applicatifs Apache iplanet (Netscape) ISA server (Microsoft) M>Wall (Matra) NetWall (Bull) Squid …
Filtres applicatifs Cache engine (Cisco) DeleGate – Proxy / Firewall / Filtres App Interscan VirusWall – AntiVirus (Trend Micro) Websense – Filtrage d’URL WebShield – AntiVirus (McAfee) …
73Novembre – Décembre 2005 Version 1.01
Exemple d’architecture
ISP 2
ISP 1
Internet
ZONE DEMILITARISEEPRIVEE
FIREWALLSINTERNE
ROUTEURSD'ACCES
SERVEURS DECACHE
SERVEURS WEB
ACCELERATEURSSL
COMMUTATEURSNIV 4/7
SERVEURSDATABASE
SERVEURSAPPLICATIONS
BAIES DESTOCKAGE
LIBRAIRIES DESAUVEGARDE
S.A.N.
RESEAU PRODUCTION
FIREWALLSEXTERNE
ZONE DEMILITARISEEPUBLIQUE
EQUILIBREURSDE LIENS
PASSERELLESANTIVIRUS
RESEAUINTERNE PRIVE
PO
ST
ES
DE
TR
AV
AIL
74Novembre – Décembre 2005 Version 1.01
Exemple d’architecture
RéseauRNIS
ADMINISTRATIONCENTRALE
Routeur FT
RESEAUINTERNET
RESEAURENATER
Routeur Central
Plate-formes de gestion(AGORA, OCEAN, EPP, etc.)
Routeur distant
Routeur
Routeur distant
InspectionsAcadémiques 04 & 84
InspectionsAcadémiques 05 & 13
Routeur distant
Annexes Bois de l'Aune& 3 Sautets
H E W L E T TP A C K A R D
Serveur TélématiqueCOSMOS
Serveur d'accèsTELETRAVAIL
RESEAU BUREAUTIQUE RECTORAT
RESEAU NIVEAU 2
RESEAU NIVEAU 1
RESEAU NIVEAU 3
PASSERELLESDE
SECURITE
PASSERELLE RPVRACINE
Plate-formes d'insfrastructure(DNS, Annuaire, Messagerie, etc.)
Plate-formes d'application(ASIE, SIAM, GAIA, etc.)
Portails Web
H E W L E T TP A C K A R D
Plate-formes d'insfrastructure(Proxy, Anti-virus, etc.)
RéseauRNIS
Routeur/Firewall
Ordinateur portable
Tunnel IPSEC
LS Transfix256 Kbps
LS Transfix128 à 256 Kbps
LS Transfix128 à 256 Kbps
Serveurs d'accès
Tunnel IPSEC
AUTRESACADEMIES
Routeur/Firewall
Tunnel IPSEC
Routeur IntercoCisco 2611
LS Transfix1920 Kbps
75Novembre – Décembre 2005 Version 1.01
Détection d’intrusions
76Novembre – Décembre 2005 Version 1.01
Détection d’intrusions - plan
Introduction et principes généraux Caractéristiques techniques La détection d’intrusions réseau (NIDS) Outils complémentaires Conclusion partielle
Nous reviendrons sur la détection d’intrusions dans les chapitres suivants (Systèmes et Services)
77Novembre – Décembre 2005 Version 1.01
Détection d’intrusionsDéfinition
Faux positif :Détection d'attaque(s) en absence d’attaques
Faux négatif :Absence de détection en présence d'attaque(s)
Il est préférable d’avoir des faux positifs que des faux négatifs
78Novembre – Décembre 2005 Version 1.01
Détection d’intrusionsIntroduction
Seulement 5 à 15% des intrusions sont détectées…
Nombre total de transactions
Faux positifFaux négatifAttaques détectées
AttaquesNotifications IDS
79Novembre – Décembre 2005 Version 1.01
Stratégie
La détection d’intrusions doit être vue comme une composante (couche) importante de la stratégie de sécurité de l’entreprise
Les IDS du système d’information doivent faire l’objet d’une surveillance et d’une maintenance TRES régulière
Sa fonction de base reste la surveillance même si certains IDS peuvent adopter un
comportement actif
80Novembre – Décembre 2005 Version 1.01
Catégories
Les NIDS (Network IDS) Les HIDS (Host IDS) Les NIDS et HIDS sont complémentaires
Chaque approche à ses avantages et inconvénients
Ils ne sont pas des solutions miracle, mais ils sont indispensables
81Novembre – Décembre 2005 Version 1.01
Le processus IDS
Obtenir les informations Les flux et les événements L’intégrité des systèmes et données
Les analyser Réagir
Avertir les administrateurs de toute activité anomale
En influant sur la configuration des systèmes de sécurité (! Danger)
82Novembre – Décembre 2005 Version 1.01
Ce que peut faire un IDS
Renforcer la sécurité du SI Surveiller l’application de la politique de
sécurité de l’entreprise en : Reconnaissant les (tentatives) attaques
Internes et externes
Surveillant l’activité des utilisateurs Palliant à des problèmes de configuration
Faille d’un firewall (problème de configuration, port normalement ouvert ex: www, …),
Faille d’un logiciel pour lequel il n’existe pas encore de correctif
83Novembre – Décembre 2005 Version 1.01
Critères de choix d’un IDS
Fiabilité Peu de faux positif Pas ou peu de faux négatif
Réactivité Mises à jour rapides et personnalisables
Facilité de mise en œuvre Performance Multicanal
84Novembre – Décembre 2005 Version 1.01
Caractéristiques IDS
Systèmes deDétection
d’intrusions
Source de données
Méthode de détection
Analyse desdonnées
Utilisation
Comportementaprès détection
Audit réseau
Audit système
Audit applicatif
Alertes IDS
Approche comportementale
Approche par scénarios
Centralisée
Distribuée
Périodique
Continue
Informatif
Défensif
85Novembre – Décembre 2005 Version 1.01
Méthodes de détection
Approche comportementale Basé sur l’hypothèse qu’une intrusion
implique un usage anormal du système et donc un comportement inhabituel d’un utilisateur
Répond à la question : « le comportement actuel de l’utilisateur est-il
cohérent avec son comportement passé ? » Vue synthétique du comportement utilisateur Obtenu grâce à un modèle statistique
86Novembre – Décembre 2005 Version 1.01
Méthodes de détection
Les avantages Pas besoin d’une base d’attaques Détection d’intrusions inconnues possible
Les inconvénients En cas de changement important de
l’environnement de travail déclenchement d’un flot d’alertes (risque de faux positif)
Un utilisateur peut changer lentement de comportement de manière à habituer le système à un comportement intrusif (risque de faux négatif)
87Novembre – Décembre 2005 Version 1.01
Méthodes de détection
Approche par scénarios Fonctionne grâce à une base de données
d’attaques ou d’actions litigieuses La détection d’attaques se fait par des
méthodes d’analyse de signature(patern matching)
Répond à la question : « Le comportement actuel de l’utilisateur
correspond t’il à un comportement intrusif connu »
88Novembre – Décembre 2005 Version 1.01
Méthodes de détection
Les avantages prise en compte du comportement exact
des utilisateurs Peu de faux positifs en théorie
Les inconvénients Base de scénarios difficile à créer et à
maintenir (risque de faux négatif) Pas de détection d’attaques inconnues
89Novembre – Décembre 2005 Version 1.01
Les produits Classification des produits
90Novembre – Décembre 2005 Version 1.01
Analyse des données
Centralisée Un seul administrateur / Une console Convient pour des structures modestes
ou intégrant de très bon personnels/outils
Distribuée Distribution de la surveillance sur les
différentes entités de l’entreprise Les personnels ont-ils tous les moyen
d’assumer cette charge ?
91Novembre – Décembre 2005 Version 1.01
Utilisation
Périodique (Traitement par lots) Historiquement l’analyse des fichiers d’audit
se faisait périodiquement Manque de réactivité Se retrouve plus dans les HIDS
Continue (Temps-Réel) Analyse le flot de données au fur et a mesure Plus réactif mais nécessite l’attention
permanente des superviseurs
92Novembre – Décembre 2005 Version 1.01
Comportement après détection
Notification Supervision réseau : Syslog, SNMP Trap, … Administrateur (humains) : SMS, E-mail, …
Parades Modification de la configuration d’un système
Typiquement un ajout d’ACL sur un Firewall Reset de connexion Éventuellement la désactivation d’un compte
utilisateur ou l’arrêt d’un service…
93Novembre – Décembre 2005 Version 1.01
Network IDS (NIDS)Sommaire
Présentation Principe de fonctionnement Avantages Inconvénients Comment les placer ? Aperçu de l’offre
94Novembre – Décembre 2005 Version 1.01
Les NIDS (Network IDS)
Définition Représente la majorité des offres Basés le plus souvent sur une approche par
scénarios Inutiles lors de l’utilisation du chiffrement Disposent le plus souvent de 2 interfaces
Une pour écouter le réseau L’autre pour l’administration
Ne sont pas à l’abri d’une attaque
95Novembre – Décembre 2005 Version 1.01
NIDS, Principe de fonctionnement
Modèle CDIF
96Novembre – Décembre 2005 Version 1.01
Avantages des NIDS
Quelques NDIS bien placés peuvent surveiller un très large réseau
Permettent de détecter des attaques utilisant des failles pour lesquels il n’existe pas encore de correctif
Possibilité d’écrire des règles personnalisées Temps Réel Faible impact sur le réseau (transparent) Quasiment invisible, relativement sécurisé
97Novembre – Décembre 2005 Version 1.01
Inconvénients des NIDS
Ne peuvent pas analyser les flux chiffrés IPSec, HTTPs, SSH, …
Le flux analysé peut ne pas être représentatif de ce qui se passe réellement
Certains IDS ont du mal à traiter Des flux fragmentés Des paquets mal formés
Peuvent parfois être la cible d’attaques
98Novembre – Décembre 2005 Version 1.01
Inconvénients des NIDS
Difficile à mettre en œuvre en environnement commuté Le commutateur doit avoir un port capable
de rediriger les flux qui le traverseIl n’est pas possible de rediriger tout le trafic
Peut être intégré aux commutateurs Problèmes de performances Base d’attaques relativement limitée
Peut avoir du mal à surveiller des réseau haut débit
99Novembre – Décembre 2005 Version 1.01
Comment les placer ?
Différents emplacement d’intérêt variable
32
1
Serveur Web
Station de supervisionServeur
NIDS
NIDS
NIDS
InternetFirewall (NIDS)4
5Commutateur
(NIDS)
100Novembre – Décembre 2005 Version 1.01
Comment les placer (2)? Exemple concret.
RéseauRNIS
ADMINISTRATIONCENTRALE
RESEAUINTERNET
RESEAURENATER
Routeur Central
Routeur distant
Routeur distant
InspectionsAcadémiques 04 & 84
InspectionsAcadémiques 05 & 13
Routeur distant
Annexes Bois de l'Aune& 3 Sautets
HEW LE TTPACK ARDServeur d'accès
TELETRAVAIL
RESEAU BUREAUTIQUE RECTORAT
RESEAU NIVEAU 2
RESEAU NIVEAU 1
RESEAU NIVEAU 3
PASSERELLESDE
SECURITE
PASSERELLE RPVRACINE
Sonde SNORT
HEW LET TPA CKA RD
CollecteVoix Completel
Routeur/Firewall
Ordinateur portable
LS Transfix256 Kbps
LS Transfix128 à 256 Kbps
LS Transfix128 à 256 Kbps
Serveurs d'accès
AUTRESACADEMIES
Routeur/Firewall
POS 155 Mbps
Firewall Etablissement
Sonde SNORT
Serveur de logs
Commutateur Niv. 3Extreme Network
Summit 48si
CPE IPRouteur Cisco 7200
VXR
RRTHD
Tunnel IPSEC
Tunnel IPSEC
Tunnel IPSECFibre OptiqueFast-Ethernet
101Novembre – Décembre 2005 Version 1.01
Aperçu de l’offre
Comparatifs.
102Novembre – Décembre 2005 Version 1.01
IDS conclusion
L’offre évolue rapidement mais encore beaucoup de techniques de détection d’intrusions n’en sont qu’au stade de la recherche
La détection d’intrusions est destinée à des experts Maintenance et supervision exigeante Analyse des alertes Faux positifs et Faux négatifs
Elle nécessite de la méthode Gestion des incidents, procédures d’escalade Collecte d’informations et poursuites
Ne pas se fier au discourt marketing C’est un composant optionnel de l’infrastructure de
sécurité que l’on ne peut mettre en place que si l’on dispose de personnel correctement formé ayant du temps à consacrer à cette tâche.
103Novembre – Décembre 2005 Version 1.01
Outils d’audit de sécurité
Externe ou interne Manuel ou automatisé
Tests intrusifs par des experts sécurité Donne un aperçu non exhaustifs des
problèmes de sécurité Logiciels (Nessus, Cybercop scanner…) En mode ASP ou MVA
Analyse de la surface Internet de l’entreprise Service déporté souvent facturé à l’@IP Quelques noms : Intranode, Qualys, …