Novembre – Décembre 2005 Version 1.01 1 État de l’art de la sécurité informatique Chapitre 1...

1Novembre – Décembre 2005 Version 1.01

État de l’art de la sécurité informatique

Chapitre 1 – La sécurité des réseaux

Auteurs :

Stéphan GUIDARINI – Consultant Senior

Sébastien DESSE – Expert Réseaux et Sécurité


Programme Introduction Quoi protéger ? Contre qui ? Pourquoi ? Qui croire ? Comment protéger ? Quelle politique de sécurité ?

Sécurité des réseaux Généralités Sécurité niveau 1 Sécurité niveau 2 Commutateurs Sans fil sécurité niveau 3 Généralités Protocoles de routage Firewall Sécurité niveau 7 Relais applicatifs Filtres applicatifs Détection d'intrusions Network IDS

Sécurité des contenus & échanges Introduction à la cryptographie Utilisation de la cryptographie PPP/PPTP/L2TP IPSEC TSL/SSL SHTTP S/MIME Les Infrastructures à clef

publique (PKI) PGP La réglementation

Sécurité des accès Authentification Mots de passe – Authentification forte –

Single Sign On RADIUS - TACACS/TACACS+ - Kerberos 802.1x, Sécurité Wifi (WEP, WPA, etc.)

Sécurité des systèmes et des applications Généralités Sécurité en environnement Microsoft Sécurité en environnement Unix Détection d'intrusions au niveau système Virus, Vers et chevaux de Troie

Conclusion Synthèse Les dix commandements Sources d’information

Œ

Ž


SommaireSécurité des Réseaux

Généralités Administration Sécurité Niveau 1-3 (OSI) Firewall Relais applicatifs Détection d’intrusions


Généralités Qu'est-ce que la sécurité d'un réseau ?

La sécurité d'un réseau est un niveau de garantie que l'ensemble des machines du réseau fonctionnent de façon optimale et que les utilisateurs des dites machines possèdent uniquement les droits qui leur ont été octroyé.

Il peut s’agir :d'empêcher des personnes non autorisées d'agir sur le

système de façon malveillante d'empêcher les utilisateurs d'effectuer des opérations

involontaires capables de nuire au système de sécuriser les données en prévoyant les pannes de garantir la non interruption d'un service


Généralités La sûreté de fonctionnement.

L ’objectif du concepteur est la prévision de la capacité de survie du système : la continuité de service

Il y a deux approches avec des objectifs et des moyens différents : la disponibilité comprend la fiabilité (pannes) et la

maintenabilité (réparation)la crédibilité comprend l ’intégrité


Généralités La sûreté de fonctionnement (2)

Les solutions sont essentiellement matérielles :une redondance de tout ou partie des matériels

actifs une redondance des liaisons télecoms des

contrats de maintenance avec GTI et GTRpour des serveurs type Firewall, Proxy…:

technologie RAID, SAN, CLUSTER…Backup/Restore : Operating System,

configurations...


Administration L’accès aux équipements

Physique Empêcher l’accès physique aux équipements

Bouton Marche/Arrêt Port console

SNMP Éviter le classique public / private A désactiver si non utilisé De préférence dans un VLAN d’administration Faille de SNMP v2 publiée récemment Attendre impatiemment la généralisation de SNMPv3


Administration (2)

L’accès aux équipements Telnet

Mot de passe à choisir judicieusement !! Si possible utiliser des ACL pour filtrer les accès De préférence dans un VLAN d’administration Utiliser SSH

L’interface Web A désactiver sur ce type d’équipement Si nécessaire -> VLAN d’administration

Utiliser d’un protocole d’authentification tel que RADUIS ou Kerberos si disponible


Administration (3) Un certain nombre de services actifs par défaut

peuvent / doivent être désactivés C’est notamment le cas de l’IOS de Cisco qui est

dérivé d’un Unix et qui a donc conservé un certain nombre de protocoles bien connus de ces environnement Echo Finger Bootp

Et d’autres DNS lookup IP source-routing (routeurs ou commutateurs L3) Directed-Broadcasts (routeurs ou commutateurs L3) CDP (cisco, mais implémenté sur d’autres équipements)


Sécurité Niveau 1->3 (OSI)


Sécurité Niveau 1-2 (OSI)

Généralités Niveau 1

Concentrateurs

Niveau 2 Commutateurs Le cas du sans fil (WLAN)


Généralités

L’identité est l’adresse MAC (IEEE) Identifiant unique (48bits) Peut être administrée localement Elle identifie mais n’authentifie pas

Adresse du Destinataire

Adresse de l’expéditeur


Généralités

Les protocoles rencontrés sont : ARP – Address resolution protocol CDP – Cisco Discovery protocol STP – Spanning Tree Protocol 802.1d VLAN – Virtual LAN 802.1q VTP – VLAN Trunking Protocol (cisco) Unicast Frames Multicast Frames Broadcast Frames


Sécurité Niveau 1Concentrateurs

Les concentrateurs (hub) Diffusion des flux à tous Il existe des mécanismes de bruitage Il existe des mécanismes de filtrage (MAC)

l’adresse peut être usurpée Induit une charge administrative importante

Disparaissent naturellement Utiles pour les sondes de détection

d’intrusions


Sécurité Niveau 2Commutateurs

Les commutateurs But premier : Augmenter le nombre de

domaines de broadcast en segmentant le réseau

Crée des réseaux locaux en faisant abstraction de l’organisation physique des équipements

Augmenter la sécurité des communications



Les commutateurs sont la cible d’attaques telles que : ARP cache poisoning ARP/DHCP spoofing HSRP/VRRP spoofing STP/VTP attacks VLAN Jumping (ISL/DTP)



ARP cache poisoning



VLAN Jumping (ISL/DTP)Problème des VLAN

Pas conçu pour faire de la sécurité mais permet de la renforcer

Les commutateurs multi-layer sont des points faibles des infrastructures réseaux (attention aux mauvaises configurations)

Attaques : VLAN « jumping » (injection de frame 802.1q) est possible si :DTP (Dynamic Trunking Protocol) est activé Et si le port est dans le même VLAN que le native VLAN

(VLAN 1 par défaut)



Il existe des moyens de se protéger Ne pas utiliser le VLAN 1 (VLAN par Défaut) Filtrage des adresse MAC par port

Cisco « port security » par exemple Activer le BPDU-Guard afin de filtrer le STP

Désactive un port si un BPDU est reçu via celui-ci Limiter le taux de broadcast

A affiner en fonction du type d’équipement connecté sur le port HSRP

Donner l’@IP la plus élevée au routeur principal, la suivante au secondaire, etc…

Filtrer à l’aide d’ACL les flux HSRP entre équipement Les commutateurs niveau 2/3/4/5/6/7/….

Concentrent en un seul point de nombreux problèmes de sécurité et sont donc à surveiller tout particulièrement



Il existe des moyens de se protéger (2) Notion de Private VLAN

Le segment devient « Multi-Access Non Broadcast » Des équipements d’un même VLAN ne peuvent pas

communiquer directement entre eux VTP (VLAN Trunking Protocol) - Cisco

Ne pas laisser la configurartion par default Mode Server sans mot de passe Affecter un domaine et un mot de passe Server / Client / Transparent ?

DTP (Dynamic Trunking Protocol) Les ports sont en mode auto par défaut Choisir le mode Off pour tous les port non utilisés pour

des interconnections de commutateurs


Sécurité Niveau 2 Réseaux sans fil

Infrarouge, Bluetooth, 802.1b, … Infrarouge peu utilisé pour le réseau Bluetooth utilisé uniquement pour l’interconnexion

de périphériques

802.11(b) Le réseau ne s’arrête pas à la porte de l’entreprise

Parking Visiteurs, rue…

Mettre en place un filtrage par @MAC Administration contraignante

Il est possible d’usurper une @MAC


Sécurité Niveau 2Réseaux sans fil

802.11 (b) ou (g) Les trames ne sont plus confinées dans un câble

mais diffusées dans toute la pièce Tout le monde peut écouter (comme un hub) Mise en place de chiffrement

WEP -> souffre d’un manque de maturité Facile à cracker (40 bits), 128 bits…

IPSec -> contraignant

Accès au réseau facilité Faiblesse des mécanismes d’authentification Vulnérable aux attaques du type Man in the Middle

Utilisation WPA s'appuie sur la famille 802.1x et le protocole EAP (Extensible Authentification Protocol)


Sécurité Niveau 3 (OSI)

Généralités Adressage privé Sécurité & DHCP ICMP Les protocoles de routage Filtrage IP


Généralités

L’identité est l’adresse IP (pour Internet) Identifiant de 32 bits Aisément modifiable / usurpation facile Identifie mais n’authentifie pas N’intègre aucun mécanisme de sécurité

Les autres protocoles Confinés au sein de l’entreprise Moins d’outils de sécurisation à la

disposition des administrateurs


Généralités (2)

Les protocoles rencontrés sont : IP – ICMP RARP HSRP / VRRP (redondance d’équipement) RIP, RIPv2, IGRP, EIGRP, OSPF, BGP,… Paquets Unicast Paquets Multicast Paquets Broadcast


L’adressage privé

Recommandations IANA : RFC 1918. Les numéros de réseaux suivants ne sont pas routés sur

l’Internet

Isolation naturelle de son trafic privé par rapport au trafic Internet

Nécessite la présence d’un translateur d’adresses :Network Address TranslatorLe NAT ne se substitue pas au Firewall et/ou Proxy Serveur

Classe A Classe B Classe C

10.0.0.0172.16.0.0à172.31.0.0

192.168.0à192.168.255


La translation d’adresse

Il s’agit d’un complément de service plus qu’un service de sécurité proprement dit

INTERNET

Serveur SMTP ...

ISPFIREWALL

TRANSLATEUR

@priv1,1025@priv2,1067@priv3,1067

@pubA,3025@pubA,3026@pubA,3027

Socket Source

Gestion dynamiqued'une table de

correspondancetranslation @IP,n°port

Localisation du translateur Sur le firewall

Types de translations N @ privées vers 1 @ publique 1 @ privée vers 1 @ publique


Sécurité & DHCP Le DHCP

Peut être l’allié ou l’ennemi de la sécurité Crée des problèmes de sécurité si les adresses

sont attribuées au hasard Sur le réseau l’identité est l’@IP Dans le monde réel l’identification se fait par rapport à la

personne ou au poste utilisé Le DHCP dans sa configuration la plus basique empêche

l’association @IP <-> personne/poste Il existe des mécanismes palliatifs

Informations obtenues auprès du PDC (Domaine NT) RFC 931/1413 (Identd)

Attribuer l’@IP en fonction de l’@ MAC est une solution permettant d’augmenter la sécurité


ICMP

Il n’est pas obligatoire d’interdire tous les messages ICMP ICMP est utile, laisser passer :

source-quench, packet-too-big, don’t fragment

time-exceeded, echo request et echo reply dans certains cas

Eviter de laisser passer : redirect, unreachable, parameter-problem,…


Sécurité des routeurs Les routeurs assurent les services essentiels au bon

fonctionnement des infrastructures de communication La compromission d’un routeur amène un certain

nombre de problèmes favorisants la compromission des SI La compromission des tables de routage peut amener à la

dégradation des performances, des dénis de service et l’exposition des données sensibles

La compromission des moyens de contrôle d’accès d’un routeur peut amener à la divulgation d’informations sensibles et la facilitation d’attaques et dénis de services

En général un routeur bien configuré permet d’améliorer grandement le niveau de sécurité global du système d’information


Principes et buts Protection du routeur lui-même

protection physique Le système d’exploitation La sécurisation de la configuration

Administration du routeur Les accès administrateur au routeur sont un problème essentiel

Réseau/Interfaces d’administration Limitation des accès par un filtrage ou un protocole approprié Mots de passe valables Connexion sécurisée à l’équipement (IPSec/SSH)

Les mises à jour Validité des images logicielles (source, corruption, bugs, …)

Journalisation L’enregistrement systématique de l’activité de l’équipement via les

protocoles de supervision (SNMP, Syslog, …) permet de disposer en temps de crise, des informations essentielles à l’identification et la résolution des problèmes


Politique de sécurité du routeur

La sécurité du routeur doit être le reflet de la politique de sécurité globale du SI

Vision en couche de la sécurité du routeur


Protocoles de routage En général

Utiliser « passive-interface » pour toutes les interfaces ne devant pas participer au processus de routage

Journaliser les mises à jour RIP : pas de mécanisme de sécurité, à éviter… RIPv2 : prévoit l’authentification IGRP : pas de mécanisme de sécurité EIGRP : prévoit l’authentification des échanges OSPF

Prévoit l’authentification des échanges (password MD5) N’utiliser que des mises à jour Unicast (Pas de Broadcasts) Il est possible de filtrer les MAJ reçues

BGP Prévoit l’authentification des échanges Ne pas utiliser le même mot de passe pour tous les routeurs Si possible utiliser IPSEC


Routeur filtrant Le rôle principal du routeur filtre de paquets est de

permettre ou d’empêcher le passage des paquets de données reçus

Le routeur examine tous les datagrammes par rapport à des règles de filtrage, basées sur le contenu informationnel de l’entête du datagramme

Le filtrage s’effectue aux niveaux 2,3,4 du modèle OSI

Méthode d’intrusion typiques contournant le filtrage de paquets : la fragmentation de paquet Cette technique consiste à utiliser la propriété de

fragmentation de IP afin de créer de tout petits fragments et de forcer l’en-tête TCP à être fragmentée elle aussi, l’espoir étant que seul le premier fragment sera analysé par le routeur, laissant alors passer tout le reste.


Routeur filtrant (2) Les avantages :

Les solutions de sécurité sont encore majoritairement basées sur l’emploi unique de routeurs filtrants. Cela s’explique pour plusieurs raisons :le coût généralement faible d’un routeur filtrantles performances sont généralement bonnesla transparence aux utilisateurs et aux

applicationsfiable car les contrôles sont simples et peu

sujets à erreurs d’implémentation


Routeur filtrant (3) Les limites :

Les limites des routeurs filtrants sont mis en évidence par le besoin de contrôle du contenu informationnel des échanges : Les performances du routeur diminuent avec le nombre

de règles à appliquer le routeur filtrant ne peut pas comprendre le contexte

du service qu’il rend : il ne peut pas, par exemple bloquer l’entrée de mails ou de newsgroup concernant certains sujets

ne traite que des informations du type en-tête de trame pas ou peu de statistiques sur l’usage des filtres la protection du réseau connnecté à l’Internet est

minimale


Firewall


Firewall – Plan

Définition Différents types de Firewall Ce que peut faire un Firewall Principe / Architecture Où placer un Firewall Choisir son Firewall


Définition

Un Firewall est un dispositif informatique qui permet le passage sélectif des flux d’information entre deux réseaux et qui neutralise les tentatives d’accès qui sont en désaccord avec la politique de sécurité en vigueur

FirewallInternet Réseau Interne


Les différents types de Firewall

Les boîtiers dédiés Type « appliance »

Les routeurs Simples listes de filtrage ou vrai Firewall

Les logiciels OS ou logiciels dédiés

Les bastions (Serveurs mandataires) Proxy


Ce que peut faire un Firewall

Permet de concentrer la sécurité en un seul point et donc d’appliquer facilement la politique de sécurité sur une surface importante du réseau

Permet de surveiller les flux le traversant Permet de mettre en place des DMZ L’endroit idéal pour déployer du NAT

Permet de dissimuler le réseau protégé

L’endroit idéal pour la mise en place de VNP


Ce que ne peut pas faire un Firewall

Ne protége pas des attaques qui ne le traverse pas !!!

Ne protége pas un segment de réseau contre les utilisateurs qui y sont connectés

Ne protége pas contre les attaques utilisant des protocoles autorisés

Ne protége pas contre les chevaux de Troie Ne protége pas contre les virus Ne peut pas se configurer tout seul !


Critères de filtrage (1) Action

Autoriser / Interdire / Jeter / Rediriger / Authentifier / … Protocoles

IP @source, @destination, TOS, …

ICMP Type de message

TCP Ports source, Port destination, Flags (SYN, ACK, FIN,…) Les ports déterminent souvent le service associé

UDP Port source, Port destination, … Les ports déterminent souvent le service associé

Autres protocoles ESP, AH, OSPF, …


Critères de filtrage (2)

Les horaires L’utilisateur (!= @IP) @MAC Les données contenues dans le datagramme La charge du réseau Plus généralement à partir de toute information que l’on est

capable d’extraire d’un datagramme ou de l’environnement

Tous les Firewall ne proposent pas autant de fonctionnalités


Stateful inspection

Le filtrage ne se fait plus uniquement par datagramme (packet filtering) mais avec une logique de session Introduction d’une table des connexions Introduction de modules spécifiques à chaque

protocole, capables de tracer leur exécution et de s’assurer de leur bon déroulement Numéros de séquence TCP, ouvertures de ports, phases

de négociation, … ex : ftp, http, h323, sip, rpc, rsh, telnet, …

Possibilité d’ouvrir dynamiquement un port ex : ftp actif


Principe de fonctionnement (1)

Création d’une liste de règles retranscrivant dans le langage du Firewall la politique de sécurité préalablement définie J’autorise mon proxy à effectuer des requêtes HTTP vers Internet J’autorise mon DNS à effectuer des requêtes (DNS) vers Internet J’autorise les flux SMTP à l’intention de mon relais de messagerie J’autorise les flux HTTP à l’intention de mon proxy Web Je demande l’authentification pour les flux HTTP à l’intention de

mon serveur Web Intranet J’autorise les « ICMP echo » à sortir et les « ICMP reply » à entrer J’interdit tout le reste


Principe de fonctionnement (2)# Règles basiques (Any signifie « tout le monde »)

access-list 100 permit tcp any 192.168.1.0 255.255.255.0 eq www

access-list 100 permit udp any 192.168.1.0 255.255.255.0 eq domain

access-list 100 permit tcp any host 192.168.3.10 eq www

access-list 100 permit tcp any host 192.168.3.10 eq ftp

# Permet de laisser passer tous les flux entre deux réseaux

access-list 100 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0

# Les messages ICMP

access-list 100 permit icmp 192.168.1.0 255.255.255.0 any echo-request

access-list 100 permit icmp any 192.168.1.0 255.255.255.0 echo-reply

# Influence de l’ordre des régles (l’inverse ne sert à rien)

access-list 100 deny host 192.168.1.10 any eq telnet

access-list 100 permit 192.168.1.0 any eq telnet

# Règle souvent implicite, à préciser tout de même pour plus de clarté

access-list 100 deny ip any any

Ordre de filtrage des datagrammes


Architecture

Il est important de cloisonner les flux Permet d’éviter qu’un service défaillant compromette la

sécurité de l’ensemble de l’infrastructure Permet de contrôler les flux entre chaque échange Architecture Multi-strates (n-tiers)

Chaque zone reçoit un niveau de sécurité, les périmètres sont clairement définis et les échanges parfaitement identifiés

Permet un meilleur cloisonnement et une meilleure séparation des flux

Permet une meilleur protection des services en fonction de leur importance relative


Où placer un Firewall

Exemple typique

Firewall

Serveur Web

Réseau InterneInternet

Poste LAN

Flux sortants

Flux entrants


La DMZ

Zone démilitarisée

Firewall

Serveur Web ou relais applicatif


Poste LAN

Flux sortants

Flux entrants

Firewall


La DMZ (2) Par la création d’une zone démilitarisée, le Firewall isole

physiquement les réseaux interconnectés. Des règles spécifiques pour les accès Internet vers les serveurs et Intranet vers les serveurs sont donc possibles,

Les flux directs de l’Internet vers le réseau (et réciproquement) sont strictement interdits,

Dans cette zone, on place généralement : les machines qui auront un accès direct avec l’Internet (serveurs

mandataires WEB, FTP, SMTP…°) et accessibles depuis l’extérieur

la machine supportant les “ sas applicatifs ” chargés du contrôle lourd des flux (y compris les éventuelles identification/authentification)


Avantages et inconvénient d’une DMZ

Un intrus doit s’introduire dans plusieurs systèmes différents sans se faire détecter afin d’accéder au LAN Varier les types de Firewall à un intérêt

Permet de définir des niveaux de sécurité Permet de séparer ce qui doit être visible de ce

qui ne doit pas l’être Permet la mise en place de proxy/bastion afin

d’éviter les accès directs (Int/Ext et Ext/Int)


Autre exemple

Architecture n-tiers (3-tiers)

Firewall

Serveur Web


Poste LAN

Flux sortants

Flux entrants

Firewall

Base de données


Autre exemple (2)

L’utilisation de plusieurs DMZ permet de séparer les flux en fonction de leur sensibilité (une DMZ dédiée aux réseaux partenaires, une DMZ dédiée aux services Internet public…),

Le firewall externe est dédié à la gestion des flux complexes et évolutifs venant de l’Internet,

Le firewall interne est dédié à la gestion des flux assez stables provenant du firewall externe et du réseau interne.


Règles de configuration (1) Maîtriser les flux qui transitent

Autoriser explicitement les flux Interdire tout le reste

L’ordre des règles à une importance Protéger Internet comme vous protégez votre réseau

Le filtrage doit aussi empêcher vos utilisateur d’entamer des actions malveillantes (attaques, propagation de virus, … )

Faire du filtrage aussi sur les serveurs Notamment sur les serveurs très exposés

Web, DNS, FTP, … Le risque d’erreur sur les deux équipements simultanément est

faible Garder (et sauvegarder) les configurations antérieures

et s’assurer qu’on est en mesure de palier à une défaillance du système (logique ou physique)


Règles de configuration (2)

Interdire le source-routing souvent nécessaire à l’IP spoofing

Configurer l’anti-spoofing Interdire les datagrammes fragmentés

Source de Dénis de Service (DOS) Rendent la détection d’intrusions difficile

Confiner au maximum les protocoles utilisant des attributions de ports dynamiques et aléatoires RCP (NFS, NIS,…), FTP Actif, …

Confiner au maximum les protocoles qui sont intrinsèquement faible en terme de sécurité NFS, NIS, ICQ, partage de fichier, protocoles inconnus ou non

documentés


Règles de configuration (3) Un Firewall doit être administré

Le niveau de sécurité dépend en grande partie de la compétence des administrateurs et de leur disponibilité

Doit impérativement être maintenu à jour La plus grande source de problèmes sont les version non à jour

Un Firewall doit être surveillé Un maximum d’information doivent être collectées, stockées

et analysées (si possible en temps réel)Collectées

A partir d’un maximum d’équipements (Firewall, serveurs, …)Stockées

Dans une base de données pour faciliter les traitements ultérieursAnalyse des log

Il existe des outils pour aider l’administrateur Permet la détection des incident et des tentatives d’intrusion Doivent exister avant l’intrusion, après il est trop tard !


Autres considérations

Nécessite des compétences et de l’attention Ne pas ce fier à la convivialité de l’interface Une erreur de configuration peut anéantir la politique

de sécurité Varier au maximum les produits et solutions

En matière de sécurité l’hétérogénéité est un avantage si l’administration est effectuée correctement

Le Firewall peut être la cible d’attaques Le Firewall peut être un maillon faible

« Single point of faillure »


Choisir son Firewall (1) Quelles seront ses fonctionnalités ?

Le Firewall est chargé d’appliquer la politique de sécurité que vous avez défini, il est donc important qu’il soit adapté à celle-ci et au niveau de sécurité que vous souhaitez atteindre

Quels services doit-il offrir ? Accès Internet, DMZ, accès internes, VPN, …

Quel niveau de sécurité doit-il offrir ? Les exigences d’une petite entreprise ne sont pas les mêmes que celle

d’une banque ou d’un société qui fait du e-business Quel sera sa charge ?

Évaluation REALISTE de la quantité de flux à traiter Quel niveau de fiabilité (résilience) doit-on atteindre ?

Si votre activité repose essentiellement sur Internet ou vos liaisons avec vos partenaires il est bon de s’assurer de la disponibilité des équipement et des services (providers…)


Choisir son Firewall (2) Quelles sont vos contraintes ?

De quel budget disposez vous ? Quelles sont les ressources (Homme) dont vous

disposez ? Administrateur sécurité ?

Quelles sont les compétences dont vous disposez ? Acquis, Formations, Intervenants

Dans quel environnement évoluez vous ? Contraintes politiques (Contructeurs/OS interdits) Peut-on faire évoluer ces contraintes ? Où seront installées les équipements ? Législation ? Concurrence Internationale ? Faut-il se méfier des produits

importés ?


Choisir son Firewall (3)

Évaluer les produits disponibles Il n’y a pas de réponse à la question :

« Quel est le meilleur Firewall ? » La vrai question qu’il faut se poser est :

« Quel est le meilleur Firewall dans votre contexte ? »

Prix Matériel, Logiciel, Assistances, Maintenance, Administration,

Installation Supervision & Administration

Quels sont les outils disponibles ? Évolutivité

Du matériel, des performances, des services Adéquation avec les besoins ?


L’offre en matière de Firewall LARGE !

Produits commerciaux Arkoon, CA, Checkpoint, Cisco, Matra, Netasq, Nokia,

Stonesoft, WatchGuard, … Deux Leaders : Checkpoint, Cisco Des aspects marketing qui font souvent perdre de vue le but

premier d’un Firewall Opensoure

Netfilters/Ipchains (Linux), Ipfilter (Unix), PacketFilter (BSD) Des fonctionnalités et une modularité importante Une administration peu conviviale

Rester critique, essayer Il n’existe pas de produit cumulant tous les avantages


Relais applicatifs


Présentation Un relais applicatif se place entre un client et un serveur

interceptant les requêtes et les relayant Pour masquer la structure interne d’un réseau

Du réseau privé vers Internet Toutes les requêtes des clients d’un LAN sont masquées par le proxy

diminuant ainsi la surface visible du réseau Permet aussi de simplifier la configuration d’un Firewall en limitant

les autorisations de sortie à une seule machine D’Internet vers le réseau privé

Le serveur n’est pas directement adressé diminuant ainsi son exposition (serveur Web masqué par un Proxy)

On parle de Reverse-Proxy L’adresse publique du serveur est en fait celle du proxy

Pour filtrer les accès à la manière d’un Firewall Pour mettre en place des mécanismes d’authentification et de

contrôle d’accès Pour maintenir un cache des fichiers échangés de manière à

diminuer la consommation de bande passante


Architecture (1)

Relais applicatif(Proxy)

Internet

Serveur Web

@publique visible/NAT

Clients Web


Architecture (2)

Internet

Serveur Web

Clients Web

Relais applicatif(Proxy)


Architecture (3)

Serveur Web

Internaute

Relais applicatif(Reverse Proxy)

Internet

@publique du serveur Web


Les protocoles supportés

Un relais applicatif peut être spécifique à un protocole HTTP, HTTPs, FTP, SMTP, NNTP, …

Mais il peut être aussi générique SOCKS

Dans ce cas le relais ne « comprend pas » le protocole il se contente de relayer les requêtes avec son adresse comme adresse source

Peut effectuer la redirection de flux vers des machines spécifiques en fonction de critères prédéfinis

Permet de faire du NAT (Network Address Translation) Permet également l’encapsulation d’un protocole dans

un autre ex : IRC dans HTTP


Filtres applicatifs


Présentation

Filtrage applicatif Relais applicatif + filtrage des échanges d’une

application Filtrage d’URL (type Websense) Filtrage Antivirus, blocage d’applets Java, ActiveX Modification ou conversion du contenu

Conversion de protocole (ex : SMTP -> NNTP) Modification d’un jeu de caractére (ex: japonais vers ANSI)

Spécifique à chaque protocole

Avantages Une plus grande finesse dans le contrôle des échanges


Remarques

En cas de débits importants l’impact sur les performances peut être important ex : Filtrage Antivirus

SASTelnet

SASTelnet

SASTelnet

SASTelnet

SASTelnet

SASSMTP

SASFTP

SASHTTP


L’offre en matière relaiset filtres applicatifs

Relais applicatifs Apache iplanet (Netscape) ISA server (Microsoft) M>Wall (Matra) NetWall (Bull) Squid …

Filtres applicatifs Cache engine (Cisco) DeleGate – Proxy / Firewall / Filtres App Interscan VirusWall – AntiVirus (Trend Micro) Websense – Filtrage d’URL WebShield – AntiVirus (McAfee) …


Exemple d’architecture

ISP 2

ISP 1

Internet

ZONE DEMILITARISEEPRIVEE

FIREWALLSINTERNE

ROUTEURSD'ACCES

SERVEURS DECACHE

SERVEURS WEB

ACCELERATEURSSL

COMMUTATEURSNIV 4/7

SERVEURSDATABASE

SERVEURSAPPLICATIONS

BAIES DESTOCKAGE

LIBRAIRIES DESAUVEGARDE

S.A.N.

RESEAU PRODUCTION

FIREWALLSEXTERNE

ZONE DEMILITARISEEPUBLIQUE

EQUILIBREURSDE LIENS

PASSERELLESANTIVIRUS

RESEAUINTERNE PRIVE

PO

ST

ES

DE

TR

AV

AIL


Exemple d’architecture

RéseauRNIS

ADMINISTRATIONCENTRALE

Routeur FT

RESEAUINTERNET

RESEAURENATER

Routeur Central

Plate-formes de gestion(AGORA, OCEAN, EPP, etc.)

Routeur distant

Routeur

Routeur distant

InspectionsAcadémiques 04 & 84


Routeur distant

Annexes Bois de l'Aune& 3 Sautets

H E W L E T TP A C K A R D

Serveur TélématiqueCOSMOS

Serveur d'accèsTELETRAVAIL

RESEAU BUREAUTIQUE RECTORAT

RESEAU NIVEAU 2

RESEAU NIVEAU 1

RESEAU NIVEAU 3

PASSERELLESDE

SECURITE

PASSERELLE RPVRACINE

Plate-formes d'insfrastructure(DNS, Annuaire, Messagerie, etc.)

Plate-formes d'application(ASIE, SIAM, GAIA, etc.)

Portails Web

H E W L E T TP A C K A R D

Plate-formes d'insfrastructure(Proxy, Anti-virus, etc.)

RéseauRNIS

Routeur/Firewall

Ordinateur portable

Tunnel IPSEC

LS Transfix256 Kbps

LS Transfix128 à 256 Kbps


Serveurs d'accès

Tunnel IPSEC

AUTRESACADEMIES

Routeur/Firewall

Tunnel IPSEC

Routeur IntercoCisco 2611

LS Transfix1920 Kbps


Détection d’intrusions


Détection d’intrusions - plan

Introduction et principes généraux Caractéristiques techniques La détection d’intrusions réseau (NIDS) Outils complémentaires Conclusion partielle

Nous reviendrons sur la détection d’intrusions dans les chapitres suivants (Systèmes et Services)


Détection d’intrusionsDéfinition

Faux positif :Détection d'attaque(s) en absence d’attaques

Faux négatif :Absence de détection en présence d'attaque(s)

Il est préférable d’avoir des faux positifs que des faux négatifs


Détection d’intrusionsIntroduction

Seulement 5 à 15% des intrusions sont détectées…

Nombre total de transactions

Faux positifFaux négatifAttaques détectées

AttaquesNotifications IDS


Stratégie

La détection d’intrusions doit être vue comme une composante (couche) importante de la stratégie de sécurité de l’entreprise

Les IDS du système d’information doivent faire l’objet d’une surveillance et d’une maintenance TRES régulière

Sa fonction de base reste la surveillance même si certains IDS peuvent adopter un

comportement actif


Catégories

Les NIDS (Network IDS) Les HIDS (Host IDS) Les NIDS et HIDS sont complémentaires

Chaque approche à ses avantages et inconvénients

Ils ne sont pas des solutions miracle, mais ils sont indispensables


Le processus IDS

Obtenir les informations Les flux et les événements L’intégrité des systèmes et données

Les analyser Réagir

Avertir les administrateurs de toute activité anomale

En influant sur la configuration des systèmes de sécurité (! Danger)


Ce que peut faire un IDS

Renforcer la sécurité du SI Surveiller l’application de la politique de

sécurité de l’entreprise en : Reconnaissant les (tentatives) attaques

Internes et externes

Surveillant l’activité des utilisateurs Palliant à des problèmes de configuration

Faille d’un firewall (problème de configuration, port normalement ouvert ex: www, …),

Faille d’un logiciel pour lequel il n’existe pas encore de correctif


Critères de choix d’un IDS

Fiabilité Peu de faux positif Pas ou peu de faux négatif

Réactivité Mises à jour rapides et personnalisables

Facilité de mise en œuvre Performance Multicanal


Caractéristiques IDS

Systèmes deDétection

d’intrusions

Source de données

Méthode de détection

Analyse desdonnées

Utilisation

Comportementaprès détection

Audit réseau

Audit système

Audit applicatif

Alertes IDS

Approche comportementale

Approche par scénarios

Centralisée

Distribuée

Périodique

Continue

Informatif

Défensif


Méthodes de détection

Approche comportementale Basé sur l’hypothèse qu’une intrusion

implique un usage anormal du système et donc un comportement inhabituel d’un utilisateur

Répond à la question : « le comportement actuel de l’utilisateur est-il

cohérent avec son comportement passé ? » Vue synthétique du comportement utilisateur Obtenu grâce à un modèle statistique



Les avantages Pas besoin d’une base d’attaques Détection d’intrusions inconnues possible

Les inconvénients En cas de changement important de

l’environnement de travail déclenchement d’un flot d’alertes (risque de faux positif)

Un utilisateur peut changer lentement de comportement de manière à habituer le système à un comportement intrusif (risque de faux négatif)



Approche par scénarios Fonctionne grâce à une base de données

d’attaques ou d’actions litigieuses La détection d’attaques se fait par des

méthodes d’analyse de signature(patern matching)

Répond à la question : « Le comportement actuel de l’utilisateur

correspond t’il à un comportement intrusif connu »



Les avantages prise en compte du comportement exact

des utilisateurs Peu de faux positifs en théorie

Les inconvénients Base de scénarios difficile à créer et à

maintenir (risque de faux négatif) Pas de détection d’attaques inconnues


Les produits Classification des produits


Analyse des données

Centralisée Un seul administrateur / Une console Convient pour des structures modestes

ou intégrant de très bon personnels/outils

Distribuée Distribution de la surveillance sur les

différentes entités de l’entreprise Les personnels ont-ils tous les moyen

d’assumer cette charge ?


Utilisation

Périodique (Traitement par lots) Historiquement l’analyse des fichiers d’audit

se faisait périodiquement Manque de réactivité Se retrouve plus dans les HIDS

Continue (Temps-Réel) Analyse le flot de données au fur et a mesure Plus réactif mais nécessite l’attention

permanente des superviseurs


Comportement après détection

Notification Supervision réseau : Syslog, SNMP Trap, … Administrateur (humains) : SMS, E-mail, …

Parades Modification de la configuration d’un système

Typiquement un ajout d’ACL sur un Firewall Reset de connexion Éventuellement la désactivation d’un compte

utilisateur ou l’arrêt d’un service…


Network IDS (NIDS)Sommaire

Présentation Principe de fonctionnement Avantages Inconvénients Comment les placer ? Aperçu de l’offre


Les NIDS (Network IDS)

Définition Représente la majorité des offres Basés le plus souvent sur une approche par

scénarios Inutiles lors de l’utilisation du chiffrement Disposent le plus souvent de 2 interfaces

Une pour écouter le réseau L’autre pour l’administration

Ne sont pas à l’abri d’une attaque


NIDS, Principe de fonctionnement

Modèle CDIF


Avantages des NIDS

Quelques NDIS bien placés peuvent surveiller un très large réseau

Permettent de détecter des attaques utilisant des failles pour lesquels il n’existe pas encore de correctif

Possibilité d’écrire des règles personnalisées Temps Réel Faible impact sur le réseau (transparent) Quasiment invisible, relativement sécurisé


Inconvénients des NIDS

Ne peuvent pas analyser les flux chiffrés IPSec, HTTPs, SSH, …

Le flux analysé peut ne pas être représentatif de ce qui se passe réellement

Certains IDS ont du mal à traiter Des flux fragmentés Des paquets mal formés

Peuvent parfois être la cible d’attaques


Inconvénients des NIDS

Difficile à mettre en œuvre en environnement commuté Le commutateur doit avoir un port capable

de rediriger les flux qui le traverseIl n’est pas possible de rediriger tout le trafic

Peut être intégré aux commutateurs Problèmes de performances Base d’attaques relativement limitée

Peut avoir du mal à surveiller des réseau haut débit


Comment les placer ?

Différents emplacement d’intérêt variable

32

1

Serveur Web

Station de supervisionServeur

NIDS

NIDS

NIDS

InternetFirewall (NIDS)4

5Commutateur

(NIDS)


Comment les placer (2)? Exemple concret.

RéseauRNIS

ADMINISTRATIONCENTRALE

RESEAUINTERNET

RESEAURENATER

Routeur Central

Routeur distant

Routeur distant



Routeur distant

Annexes Bois de l'Aune& 3 Sautets

HEW LE TTPACK ARDServeur d'accès

TELETRAVAIL

RESEAU BUREAUTIQUE RECTORAT

RESEAU NIVEAU 2

RESEAU NIVEAU 1

RESEAU NIVEAU 3

PASSERELLESDE

SECURITE

PASSERELLE RPVRACINE

Sonde SNORT

HEW LET TPA CKA RD

CollecteVoix Completel

Routeur/Firewall

Ordinateur portable

LS Transfix256 Kbps



Serveurs d'accès

AUTRESACADEMIES

Routeur/Firewall

POS 155 Mbps

Firewall Etablissement

Sonde SNORT

Serveur de logs

Commutateur Niv. 3Extreme Network

Summit 48si

CPE IPRouteur Cisco 7200

VXR

RRTHD

Tunnel IPSEC

Tunnel IPSEC

Tunnel IPSECFibre OptiqueFast-Ethernet


Aperçu de l’offre

Comparatifs.


IDS conclusion

L’offre évolue rapidement mais encore beaucoup de techniques de détection d’intrusions n’en sont qu’au stade de la recherche

La détection d’intrusions est destinée à des experts Maintenance et supervision exigeante Analyse des alertes Faux positifs et Faux négatifs

Elle nécessite de la méthode Gestion des incidents, procédures d’escalade Collecte d’informations et poursuites

Ne pas se fier au discourt marketing C’est un composant optionnel de l’infrastructure de

sécurité que l’on ne peut mettre en place que si l’on dispose de personnel correctement formé ayant du temps à consacrer à cette tâche.


Outils d’audit de sécurité

Externe ou interne Manuel ou automatisé

Tests intrusifs par des experts sécurité Donne un aperçu non exhaustifs des

problèmes de sécurité Logiciels (Nessus, Cybercop scanner…) En mode ASP ou MVA

Analyse de la surface Internet de l’entreprise Service déporté souvent facturé à l’@IP Quelques noms : Intranode, Qualys, …

Novembre – Décembre 2005 Version 1.01 1 État de l’art de la sécurité informatique Chapitre 1...

Documents

Transcript of Novembre – Décembre 2005 Version 1.01 1 État de l’art de la sécurité informatique Chapitre 1...