INF4420: Éléments de Sécurité Informatique sécuritaires de réseaux • SSH • SSL et TLS...

José M. Fernandez

D-6428340-4711 poste 5433

INF4420: Éléments de Sécurité Informatique

Module III : Sécurité des réseaux informatiques

INF4420Sécurité Informatique


2

Où sommes-nous ?Où sommes-nous ?

� Semaine 1 – Intro

� Semaines 2, 3 et 4 – Cryptographie

� Semaine 6, 7 – Sécurité dans les SE (suite)

� Semaine 8 – Période de relâche

� Semaine 9 – Sécurité des BD et des applications Web

� Semaine 10 – Contrôle périodique

� Semaine 11, 12 et 13 – Sécurité des réseaux� Risques spécifiques aux réseaux� Des attaques, des attaques et encore des attaques

� Configuration sécuritaires et contre-mesures

� Semaine 14 – Gestion de la sécurité. � Intervenants et modes d'intervention

� Aspects légaux et déontologiques



3

Module III – Sécurité des réseauxModule III – Sécurité des réseaux

� Semaine 11� Notions de bases sur les réseaux

� Risques spécifiques aux réseaux

� Analyse de risques par couche• Attaques typiques par couche

• Attaques intra-couche

� Semaine 12� Configuration sécuritaire de

réseaux• Plan d'adressage, routage et pare-feu

• DMZ, VPN et serveurs mandataires

� Encore des attaques• Dissection d'une attaque standard

• Attaques de déni de service (DOS)

• SPAM et phishing

� Semaine 13� Détection d'intrus (IDS)

� Protocoles sécuritaires de réseaux• SSH

• SSL et TLS (HTTPS)

• S/MIME

• IPSEC/IPv6



4

Systèmes de détection d'intrus (IDS)Systèmes de détection d'intrus (IDS)

� But :� Détecter la présence de vecteurs d'attaque en examinant le trafic

réseau

� Méthode de base� Le trafic est capturé à un ou plusieurs endroits sur le réseau� Examen de chacun des paquets capturés

• En-tête IP (ICMP, TCP ou UDP)

• En-tête spécifiques au applications (e.g. HTTP, FTP)

• Message ("payload")

� Un mécanisme de détection est appliqué� Des alarmes sont générées et enregistrer dans un journal



5

Détection par règleDétection par règle

� Méthodes� Traditionnelle "par règle"

• Examen de chacun des paquets capturés

� En-tête IP (ICMP, TCP ou UDP)

� En-tête

• Application de règles pour détection d'attaques

� Signatures d'attaques réseaux (e.g. "Land attack")

� Signatures de code malicieux (e.g. traîneau de NOP, signature

spécifique à un outil)

� Paradigme général • "X évènements de type Y dans un temps Z"



6

Type d'implantationsType d'implantations

� Network-based IDS (NIDS) � Une machine ou dispositif

dédié ("appliance")

� Placé où le plus de trafic peut

être capturé• En dehors du pare feu

� Exposition maximale

� Détection de menaces

externes

• À l'intérieur de la DMZ et/ou

du LAN corporatif

� Détection de la menace

interne

� "Dernière ligne de

défense"

� Host-based IDS (HIDS)� Logiciel ajouté sur un serveur

ou un client

� Souvent intégré avec un anti-

virus

� Avantages• Configuration des règles plus

précises, étant donné que le

contexte est connu

� Applications qui roulent

� État du stack TCP/IP

• Débit plus bas, donc demandant

en terme de puissance de calcul



7

IDS – ProblématiqueIDS – Problématique

� Rapport de "signal" vs. "bruit"� Compromis entre taux de faux positif vs. taux d'évasion� Nature de la menace actuelle

• Haut niveau de bruit ("Spinning Cube")

• Niveau de capacité très inégale et en moyenne bas

� Incapacité d'évaluation de la menace• "Comment trouver l'aiguille dans la botte de foin??"

� Protection de la vie privée� Principe de présomption d'anonymat des clients ou utilisateurs

légitimes� Interception du trafic d'autrui



8

IDS – Problématique (2)IDS – Problématique (2)

� Techniques d'évasions d'IDS� Détection

• Balayage des ports standards utilisés par les applications IDS• Interception du trafic d'alarme

� Technique de fragmentation de paquet� Polymorphisme de code ou de vecteur d'attaque

� Infrastructure sous-jacente � Comment contrôler à distance et distribuer les données d'alarmes

tout en :• Évitant de surcharger le réseau• Assurant la confidentialité• Évitant la détection des IDS• Ne créant pas de "trous" de sécurité ("bypass" des pare-feu)

� Problématique de la sous-traitance des fonctions de monitoring• Comment acheminer les données via Internet



9

Nouvelles approches et rechercheNouvelles approches et recherche

� "Intrusion Prevention Systems" (IPS)� Associe des actions de protection aux alarmes� Actions typiques

• Bloquer un port• Bloquer une machine ou un sous réseau• Rejeter des paquets

� "Network Appliances"� Peuvent intégrer

• Pare-feu• IDS et IPS• Détecteur de virus

� Utilise du matériel spécialisé (e.g. FPGA) pour pouvoir analyser des hauts débits (Gbit/s)

� Reconstruction "Stateful" des sessions (TCP et application)



10

Nouvelles approches et recherche (2)Nouvelles approches et recherche (2)

� "User Profiling"� Utilisation de techniques d'IA pour la classification des comportements typiques

d'un utilisateur ou d'une machine• Port/applications utilisés• Adresse contacté• Patron d'utilisation dans le temps

� Si comportement "hors du normal", alors alarme !!� IDS Collaboratif

� But : permettre d'obtenir une meilleure image de la menace en consolidant les données de plusieurs IDS

• Meilleure signification statistique• "C'est pas juste moi, c'est tout le monde…"

� Exemple primitif : Internet Storm Center• Journaux "anonymisés" soumis par organisations volontaires

� IDS par agents mobiles� Réduire l'utilisation de bande passante pour le trafic d'alarme� Nécessaire dans certaines conditions (réseau sans-fil) � Possibilité d'algorithmes de détection plus évolués

• collaboratif centralisé• essaim intelligents• stratégies évolutives



11

Protocoles sécuritairesProtocoles sécuritaires

� SSH� SSL/TLS (supporte https, SMTP, IMAP, etc.)� IPSEC

IP

couches inférieures

TCP

SSL ou SSH

IP

couches inférieures

IPsec

TCP

applications applications



12

Secure Shell (SSH)Secure Shell (SSH)

� Permet l'établissement d'une session terminal à distance� Souvent utilisé par d'autres applications comme

mécanisme de "tunneling"� Deux modes d'opérations

1. Authentification du serveur� La clé publique du serveur est connu du client (fichier local) ou est

vérifié et accepté manuellement lors de la première connexion.� Le client s'authentifie au serveur par d'autres moyens (authentification

via SE, p.ex. nom d'usager/mot de passe)

2. Authentification du client� La clé publique du serveur est connu du client (fichier local) ou est

vérifié et accepté manuellement lors de la première connexion.� La clé publique du client est connu d'avance du serveur

(~/.ssh/authorized_keys) et est utilisée pour authentifier le client.



13

SSH - SSL/TLSSSH - SSL/TLS

ALICES = secretK = f(S, Ra, Rb)

BOB

Hello, voici les algos que je connais, Ra

certificat, algo que je choisi, Rb

EBob(S, hash (K))

hash (K)

Données protégées par K



14

IPSecIPSec

� La nécessité de plus de sécurité a été reconnue par le IAB (Internet Architecture Board)

� Défini pour inclusion à la prochaine version de l'Internet: IPv6

� Compatible avec la version courante: IPv4� Déjà offerte par plusieurs fournisseurs de produits� Applications:

� utilisation du réseau public comme un intranet sécurisé� communications sécuritaires de l'extérieur vers l'intérieur d'un

intranet sécurisé

� connectivité sécurisée entre deux intranets� sécurité supplémentaire aux applications ayant leur propre

sécurité



15

Dispositifs réseauavec IPSec

Données IP sécuriséesEn tête IPSec

EntêteIP

Données IPEntêteIP Données IPEntête

IP

Donné

es IP

sécu

risée

s

En tête

IP

Sec

Entête

IP

Don

nées

IP s

écur

isée

s

En

tête

IP

Sec

Ent

ête

IP



16

Services et protocolesServices et protocoles

� Services:� contrôle d'accès� intégrité des paquets

� authentification de l'origine (adresse IP)� rejet de paquets "rejoués"� confidentialité par chiffrement� une certaine confidentialité du flux de trafic

� Protocoles:� authentification: entête de type AH

� encryptage seul: entête de type ESP� ESP plus AH



17

Concept de "Security Association"Concept de "Security Association"

� Relation unidirectionnelle entre un émetteur et un récepteur� Identifiée par:

� SPI:"Security Parameter Index"� adresse de destination IP

� identificateur de protocole de sécurité: AH ou ESP

� Paramétrisé par:� compteur de messages: pour numéroter et éviter la réutilisation� indicateur d'action en cas de débordement de ce compteur� largeur de la fenètre de séquencement� informations spécifiques au protocole choisi� durée de vie de cette association: en octets transmis ou en temps

� mode IPSec: transport, tunnel, ou "wildcard"� taille maximale de paquet et autres variables



18

Concept de fenètre de séquencementConcept de fenètre de séquencement

� Mécanisme anti-réutilisation� si un nouveau paquet tombe dans la fenètre et qu'il est authentifié, il

est marqué� si un nouveau paquet reçu est authentifié et se situe à droite de la

fenètre, la fenètre est avancée� si le paquet reçu est à gauche de la fenètre, ou qu'il n'est pas

authentifié, il est rejeté

. . . . . . . . . . . .

Fenètre de taille fixe WNuméro de séquence N-W

N

N+1



19

ModesModes

� Mode "transport"� protection surtout pour les protocoles de plus haut niveau� simple ajout d'un entête approprié

� Mode "tunnel"� protection d'un paquet au complet� après l'ajout de l'entête approprié, un nouvel entête IP est ajouté

Données à transmettreTCPEntête IP originalAHNouvel entête IP

Données à transmettreTCPEntête IP original AH



20

Bénéfices de IPSecBénéfices de IPSec

� Sécurité forte à tout trafic qui traverse le périmètre protégé

� Ajoute à la sécurité d'un coupe feu� Transparent aux applications� Transparent aux usagers� Sécurise les usagers individuels si requis� Ajoute à la sécurité des routeurs en assurant que…

� l'annonce d'un nouveau routeur vient d'une source autorisée� même chose pour un routeur dans un autre domaine

� un message redirigé vient bien du routeur auquel il a étéoriginalement envoyé

� une mise à jour d'un routeur n'a pas été falsifiée



21

IPSec : Aspects cryptographiquesIPSec : Aspects cryptographiques

� Internet Security Association and Key Management Protocol (ISAKMP) & IKE� Utilise des algorithmes de clés publiques pour établir des clés de

sessions

� Ces clés de sessions protège les paquets dans une SA� Modèle de gestion de clé

• Probablement hiérarchique …

INF4420: Éléments de Sécurité Informatique sécuritaires de réseaux • SSH • SSL et TLS...

Documents

Transcript of INF4420: Éléments de Sécurité Informatique sécuritaires de réseaux • SSH • SSL et TLS...