José M. Fernandez

D-6428340-4711 poste 5433

INF4420: Éléments de Sécurité Informatique

Module III : Sécurité des réseaux informatiques

INF4420Sécurité Informatique

INF4420Sécurité Informatique

2

Où sommes-nous ?Où sommes-nous ?

� Semaine 1 – Intro

� Semaines 2, 3 et 4 – Cryptographie

� Semaine 6, 7 – Sécurité dans les SE (suite)

� Semaine 8 – Période de relâche

� Semaine 9 – Sécurité des BD et des applications Web

� Semaine 10 – Contrôle périodique

� Semaine 11, 12 et 13 – Sécurité des réseaux� Risques spécifiques aux réseaux� Des attaques, des attaques et encore des attaques

� Configuration sécuritaires et contre-mesures

� Semaine 14 – Gestion de la sécurité. � Intervenants et modes d'intervention

� Aspects légaux et déontologiques

INF4420Sécurité Informatique

INF4420Sécurité Informatique

3

Module III – Sécurité des réseauxModule III – Sécurité des réseaux

� Semaine 11� Notions de bases sur les réseaux

� Risques spécifiques aux réseaux

� Analyse de risques par couche• Attaques typiques par couche

• Attaques intra-couche

� Semaine 12� Configuration sécuritaire de

réseaux• Plan d'adressage, routage et pare-feu

• DMZ, VPN et serveurs mandataires

� Encore des attaques• Dissection d'une attaque standard

• Attaques de déni de service (DOS)

• SPAM et phishing

� Semaine 13� Détection d'intrus (IDS)

� Protocoles sécuritaires de réseaux• SSH

• SSL et TLS (HTTPS)

• S/MIME

• IPSEC/IPv6

INF4420Sécurité Informatique

INF4420Sécurité Informatique

4

Systèmes de détection d'intrus (IDS)Systèmes de détection d'intrus (IDS)

� But :� Détecter la présence de vecteurs d'attaque en examinant le trafic

réseau

� Méthode de base� Le trafic est capturé à un ou plusieurs endroits sur le réseau� Examen de chacun des paquets capturés

• En-tête IP (ICMP, TCP ou UDP)

• En-tête spécifiques au applications (e.g. HTTP, FTP)

• Message ("payload")

� Un mécanisme de détection est appliqué� Des alarmes sont générées et enregistrer dans un journal

INF4420Sécurité Informatique

INF4420Sécurité Informatique

5

Détection par règleDétection par règle

� Méthodes� Traditionnelle "par règle"

• Examen de chacun des paquets capturés

� En-tête IP (ICMP, TCP ou UDP)

� En-tête

• Application de règles pour détection d'attaques

� Signatures d'attaques réseaux (e.g. "Land attack")

� Signatures de code malicieux (e.g. traîneau de NOP, signature

spécifique à un outil)

� Paradigme général • "X évènements de type Y dans un temps Z"

INF4420Sécurité Informatique

INF4420Sécurité Informatique

6

Type d'implantationsType d'implantations

� Network-based IDS (NIDS) � Une machine ou dispositif

dédié ("appliance")

� Placé où le plus de trafic peut

être capturé• En dehors du pare feu

� Exposition maximale

� Détection de menaces

externes

• À l'intérieur de la DMZ et/ou

du LAN corporatif

� Détection de la menace

interne

� "Dernière ligne de

défense"

� Host-based IDS (HIDS)� Logiciel ajouté sur un serveur

ou un client

� Souvent intégré avec un anti-

virus

� Avantages• Configuration des règles plus

précises, étant donné que le

contexte est connu

� Applications qui roulent

� État du stack TCP/IP

• Débit plus bas, donc demandant

en terme de puissance de calcul

INF4420Sécurité Informatique

INF4420Sécurité Informatique

7

IDS – ProblématiqueIDS – Problématique

� Rapport de "signal" vs. "bruit"� Compromis entre taux de faux positif vs. taux d'évasion� Nature de la menace actuelle

• Haut niveau de bruit ("Spinning Cube")

• Niveau de capacité très inégale et en moyenne bas

� Incapacité d'évaluation de la menace• "Comment trouver l'aiguille dans la botte de foin??"

� Protection de la vie privée� Principe de présomption d'anonymat des clients ou utilisateurs

légitimes� Interception du trafic d'autrui

INF4420Sécurité Informatique

INF4420Sécurité Informatique

8

IDS – Problématique (2)IDS – Problématique (2)

� Techniques d'évasions d'IDS� Détection

• Balayage des ports standards utilisés par les applications IDS• Interception du trafic d'alarme

� Technique de fragmentation de paquet� Polymorphisme de code ou de vecteur d'attaque

� Infrastructure sous-jacente � Comment contrôler à distance et distribuer les données d'alarmes

tout en :• Évitant de surcharger le réseau• Assurant la confidentialité• Évitant la détection des IDS• Ne créant pas de "trous" de sécurité ("bypass" des pare-feu)

� Problématique de la sous-traitance des fonctions de monitoring• Comment acheminer les données via Internet

INF4420Sécurité Informatique

INF4420Sécurité Informatique

9

Nouvelles approches et rechercheNouvelles approches et recherche

� "Intrusion Prevention Systems" (IPS)� Associe des actions de protection aux alarmes� Actions typiques

• Bloquer un port• Bloquer une machine ou un sous réseau• Rejeter des paquets

� "Network Appliances"� Peuvent intégrer

• Pare-feu• IDS et IPS• Détecteur de virus

� Utilise du matériel spécialisé (e.g. FPGA) pour pouvoir analyser des hauts débits (Gbit/s)

� Reconstruction "Stateful" des sessions (TCP et application)

INF4420Sécurité Informatique

INF4420Sécurité Informatique

10

Nouvelles approches et recherche (2)Nouvelles approches et recherche (2)

� "User Profiling"� Utilisation de techniques d'IA pour la classification des comportements typiques

d'un utilisateur ou d'une machine• Port/applications utilisés• Adresse contacté• Patron d'utilisation dans le temps

� Si comportement "hors du normal", alors alarme !!� IDS Collaboratif

� But : permettre d'obtenir une meilleure image de la menace en consolidant les données de plusieurs IDS

• Meilleure signification statistique• "C'est pas juste moi, c'est tout le monde…"

� Exemple primitif : Internet Storm Center• Journaux "anonymisés" soumis par organisations volontaires

� IDS par agents mobiles� Réduire l'utilisation de bande passante pour le trafic d'alarme� Nécessaire dans certaines conditions (réseau sans-fil) � Possibilité d'algorithmes de détection plus évolués

• collaboratif centralisé• essaim intelligents• stratégies évolutives

INF4420Sécurité Informatique

INF4420Sécurité Informatique

11

Protocoles sécuritairesProtocoles sécuritaires

� SSH� SSL/TLS (supporte https, SMTP, IMAP, etc.)� IPSEC

IP

couches inférieures

TCP

SSL ou SSH

IP

couches inférieures

IPsec

TCP

applications applications

INF4420Sécurité Informatique

INF4420Sécurité Informatique

12

Secure Shell (SSH)Secure Shell (SSH)

� Permet l'établissement d'une session terminal à distance� Souvent utilisé par d'autres applications comme

mécanisme de "tunneling"� Deux modes d'opérations

1. Authentification du serveur� La clé publique du serveur est connu du client (fichier local) ou est

vérifié et accepté manuellement lors de la première connexion.� Le client s'authentifie au serveur par d'autres moyens (authentification

via SE, p.ex. nom d'usager/mot de passe)

2. Authentification du client� La clé publique du serveur est connu du client (fichier local) ou est

vérifié et accepté manuellement lors de la première connexion.� La clé publique du client est connu d'avance du serveur

(~/.ssh/authorized_keys) et est utilisée pour authentifier le client.

INF4420Sécurité Informatique

INF4420Sécurité Informatique

13

SSH - SSL/TLSSSH - SSL/TLS

ALICES = secretK = f(S, Ra, Rb)

BOB

Hello, voici les algos que je connais, Ra

certificat, algo que je choisi, Rb

EBob(S, hash (K))

hash (K)

Données protégées par K

INF4420Sécurité Informatique

INF4420Sécurité Informatique

14

IPSecIPSec

� La nécessité de plus de sécurité a été reconnue par le IAB (Internet Architecture Board)

� Défini pour inclusion à la prochaine version de l'Internet: IPv6

� Compatible avec la version courante: IPv4� Déjà offerte par plusieurs fournisseurs de produits� Applications:

� utilisation du réseau public comme un intranet sécurisé� communications sécuritaires de l'extérieur vers l'intérieur d'un

intranet sécurisé

� connectivité sécurisée entre deux intranets� sécurité supplémentaire aux applications ayant leur propre

sécurité

INF4420Sécurité Informatique

INF4420Sécurité Informatique

15

Dispositifs réseauavec IPSec

Données IP sécuriséesEn tête IPSec

EntêteIP

Données IPEntêteIP Données IPEntête

IP

Donné

es IP

sécu

risée

s

En tête

IP

Sec

Entête

IP

Don

nées

IP s

écur

isée

s

En

tête

IP

Sec

Ent

ête

IP

INF4420Sécurité Informatique

INF4420Sécurité Informatique

16

Services et protocolesServices et protocoles

� Services:� contrôle d'accès� intégrité des paquets

� authentification de l'origine (adresse IP)� rejet de paquets "rejoués"� confidentialité par chiffrement� une certaine confidentialité du flux de trafic

� Protocoles:� authentification: entête de type AH

� encryptage seul: entête de type ESP� ESP plus AH

INF4420Sécurité Informatique

INF4420Sécurité Informatique

17

Concept de "Security Association"Concept de "Security Association"

� Relation unidirectionnelle entre un émetteur et un récepteur� Identifiée par:

� SPI:"Security Parameter Index"� adresse de destination IP

� identificateur de protocole de sécurité: AH ou ESP

� Paramétrisé par:� compteur de messages: pour numéroter et éviter la réutilisation� indicateur d'action en cas de débordement de ce compteur� largeur de la fenètre de séquencement� informations spécifiques au protocole choisi� durée de vie de cette association: en octets transmis ou en temps

� mode IPSec: transport, tunnel, ou "wildcard"� taille maximale de paquet et autres variables

INF4420Sécurité Informatique

INF4420Sécurité Informatique

18

Concept de fenètre de séquencementConcept de fenètre de séquencement

� Mécanisme anti-réutilisation� si un nouveau paquet tombe dans la fenètre et qu'il est authentifié, il

est marqué� si un nouveau paquet reçu est authentifié et se situe à droite de la

fenètre, la fenètre est avancée� si le paquet reçu est à gauche de la fenètre, ou qu'il n'est pas

authentifié, il est rejeté

. . . . . . . . . . . .

Fenètre de taille fixe WNuméro de séquence N-W

N

N+1

INF4420Sécurité Informatique

INF4420Sécurité Informatique

19

ModesModes

� Mode "transport"� protection surtout pour les protocoles de plus haut niveau� simple ajout d'un entête approprié

� Mode "tunnel"� protection d'un paquet au complet� après l'ajout de l'entête approprié, un nouvel entête IP est ajouté

Données à transmettreTCPEntête IP originalAHNouvel entête IP

Données à transmettreTCPEntête IP original AH

INF4420Sécurité Informatique

INF4420Sécurité Informatique

20

Bénéfices de IPSecBénéfices de IPSec

� Sécurité forte à tout trafic qui traverse le périmètre protégé

� Ajoute à la sécurité d'un coupe feu� Transparent aux applications� Transparent aux usagers� Sécurise les usagers individuels si requis� Ajoute à la sécurité des routeurs en assurant que…

� l'annonce d'un nouveau routeur vient d'une source autorisée� même chose pour un routeur dans un autre domaine

� un message redirigé vient bien du routeur auquel il a étéoriginalement envoyé

� une mise à jour d'un routeur n'a pas été falsifiée

INF4420Sécurité Informatique

INF4420Sécurité Informatique

21

IPSec : Aspects cryptographiquesIPSec : Aspects cryptographiques

� Internet Security Association and Key Management Protocol (ISAKMP) & IKE� Utilise des algorithmes de clés publiques pour établir des clés de

sessions

� Ces clés de sessions protège les paquets dans une SA� Modèle de gestion de clé

• Probablement hiérarchique …