Securite_reseaux

8/7/2019 Securite_reseaux

1/21

La scurit des rseaux(c) Guillaume Desgeorge 2000

[email protected]

http://www.guill.net/

Pourquoi les systmes sont-ils vulnrables?Les mcanismes de scurit sur un exemple de rseau

Cryptographie : chiffrement et signatureLe commerce lectronique

Les firewallsLes serveurs proxy

Les VPNLes systmes de dtection d'intrusions

Pourquoi les systmes sont vulnrables

Cette page est inspire entre autre d'un article de Dorothy Denning qui sappelle " Protection and defense of

intrusion " et qui a valeur de rfrence dans le domaine de la scurit des rseaux.

Quest que la scurit ?

Faire de la scurit sur un rseau consiste s'assurer que celui qui modifie ou consulte des donnes du systme

en a l'autorisation et qu'il peut le faire correctement car le service est disponible.

Quelques chiffres

Aprs un test de 12 000 htes du Dpartement de la dfense amricaine, on retient que 1 3% des htes ont des

ouvertures exploitables et que 88% peuvent tre pntrs par les relations de confiance.

Notons que seules 4% de ces attaques sont dtects et que 5% de ces 4% sont rapportes. Enfin, notons que le nombre de voleurs dinformations a augment de 250% en 5 ans, que 99% des grandes

entreprises rapportent au moins un incident majeur et que les fraudes informatiques et de tlcommunication ont

totaliss 10 milliards de dollars pour seuls les Etats-Unis.1290 des plus grandes entreprises rapportent une intrusion dans leur rseau interne et 2/3 dentre elles cause de

virus.

Pourquoi les systmes sont vulnrables ?

- La scurit est cher et difficile. Les organisations nont pas de budget pour a.

- La scurit ne peut tre sr 100%, elle est mme souvent inefficace.- La politique de scurit est complexe et base sur des jugements humains.- Les organisations acceptent de courir le risque, la scurit nest pas une priorit.- De nouvelles technologies (et donc vulnrabilits) mergent en permanence.

- Les systmes de scurit sont faits, grs et configurs par des hommes (errare humanum est !).- Il nexiste pas dinfrastructure pour les clefs et autres lments de cryptographie.- Ltat interdit la cryptographie dans certains cas (exportation, par exemple) dans certains pays, ce qui empche

1 sur 21 23/03/00 21:26

La scurit des rseaux file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm


2/21

le cryptage systmatique au niveau du systme dexploitation.

Pourquoi un systme ne peut tre sr 100%

Il est impossible de garantir la scurit totale dun systme pour les raisons suivantes :

- Les bugs dans les programmes courants et les systmes dexploitation sont nombreux.

- La cryptographie a ses faiblesses : les mots de passe peuvent tre casss.- Mme un systme fiable peut tre attaqu par des personnes abusant de leurs droits.

- Plus les mcanismes de scurit sont stricts, moins ils sont efficaces.

- On peut sattaquer aux systmes de scurit eux-mmes

Mthodes utilises pour les attaques

- La ngligence interne des utilisateurs vis vis des droits et autorisations daccs.

- Se faire passer pour un ingnieur pour obtenir des infos comme le mot de passe.

- Beaucoup de mot de passe sont vulnrables une attaque systmatique.

- Les clefs de cryptographie trop courtes peuvent tre casses.

- Lattaquant se met lcoute sur le rseau et obtient des informations.- IP spoofing : changer son adresse IP et passer pour quelquun de confiance.

- Injecter du code dans la cible comme des virus ou un cheval de Troie.

- Exploitation des faiblesses des systmes dexploitation, des protocoles ou des applications.

Outils des attaquants

- Programmes et scripts de tests de vulnrabilit et derreurs de configuration (satan).

- Injection de code pour obtenir laccs la machine de la victime (cheval de Troie).

- Echange de techniques dattaques par forums et publications.

- Utilisation massive de ressources pour dtruire des clefs par exemple.

- Les attaquant utilisent des outils pour se rendre anonyme et invisible sur le rseau.

Principales technologies de dfense

- Authentification : vrifier la vracit des utilisateurs, du rseau et des documents. - Cryptographie : pour la confidentialit des informations et la signature lectronique.- Contrles daccs aux ressources (physiquement aussi).- Firewalls : filtrage des trames entre le rseau externe et le rseau interne.

- Audit : tudes des fichiers de log pour reprer des anomalies.

- Logiciels anti-virus (2/3 des attaques sont des virus).

- Programmes de tests de vulnrabilit et derreurs de configuration (satan).- Dtection dintrusion : dtection des comportements anormaux dun utilisateur ou des attaques connues.

Exemple pour la scurit

Cette page essaie, par un exemple concret et volontairement trs simple, de montrer les menaces qui psent sur

un rseau et les mthodes pour minimiser ces menaces. On va tudier le rseau classique suivant :

2 sur 21 23/03/00 21:26



3/21

Description du rseau scuriser

Nous avons un rseau d'entreprise,

comportant un routeur, permettant l'accs

Internet. Sous ce routeur se trouve le rseau

interne, compos simplement d'un hub,

reliant un serveur et des stations de travail.Sur ce serveur se trouve des informations

sensibles qui pourrait intresser l'espion

d'une autre entreprise. On y trouve aussi des

bases de donnes utilises par plusieurs

employs dans diverses applications,

comme Durand et Dupond. Dupond est un

commercial qui sillonne la France. Il peut se

connecter au serveur de n'importe o grce

Internet.

Identifier les informations protger

Le serveur contient des informations sensibles : si personne ne consulte rgulirement ces informations, il n'y a

aucune raison de les laisser sur le serveur connect au rseau... Il ne faut pas tent le diable, et les informations

confidentielles ne resteront sur le rseau qui si c'est ncssaire!Une base de donnes est utilise par plusieurs employs mais contient des informations confidentielles. Dans ce

cas, le serveur doit garder ces informations. Il faudra mettre sur le serveur un srieux contrle d'accs pour assurer

l'authentification des utilisateurs qui ont besoin de ces donnes. Les autres requtes seront rejetes, mme si

elles proviennent d'employs de l'entreprise. Chaque ordinateur ne sera accessible qu'avec un login et un mot de

passe.Le serveur contient des informations confidentielles : il faut que le serveur soit physiquement protg... Rien ne

sert de scuris le rseau pour empcher l'espionnage si quelqu'un peut s'emparer du disque dur!

Politique de scurit

Une fois que les informations sensibles sont repres, il s'agit de choisir une politique de scurit. On fait du caf,

on s'installe dans la belle salle de runion, et on discute... pour se mettre d'accord sur la politique de scurit : on

choisit ce qui est autoris et ce qui est interdit. Les outils mis en place par la suite respecteront cette politique de

scurit, et devront mme la reflter.

Sensibilisation des utilisateurs

Une politique de scurit doit se faire avec les utilisateurs : ils doivent comprendre cette politique et respecter un

certain nombre de rgle en relation avec cette politique. Par exemple, il parait vident qu'ils ne doivent

communiquer leur login et mot de passe personne, pas mme leurs collgues. De mme, il est bien connu qu'ilne faut pas ouvrir les fichiers attachs au email venant de personnes inconnus o dont le contenu est suspect.

Des notes d'informations devront sensibiliser les utilisateurs. Ces rgles s'appliquent tous, y compris

l'administrateur du rseau...

Les virus

Deux tiers des attaques se font par virus : chaque poste doit dispos d'un logiciel anti-virus mis jour

rgulirement!Les virus se transmettent principalement par disquettes, mais peuvent aussi se faire par mail. Les fichiers les plus

susceptibles d'en contenir sont bien sr les xcutables (.com, .exe), mais galement tous les documents

pouvant contenir des macros (Microsoft Office est un nid virus! Mfiez-vous surtout des macros Word)...

Scurit minimum

3 sur 21 23/03/00 21:26



4/21

Tout ceci est le minimum en matire de scurit. Ils ne coutent quasiment rien. On les reprend un par un :

- authentification des utilisateurs par login et mot de passe.

- suppression des informations confidentielles des machines relies au rseau si elles n'ont pas besoin d'y tre.

- protection physique des machines contenant des informations sensibles (locaux ferms clef).

- contrle pour l'accs aux informations sensibles, avec un login dlivr uniquement pour ceux qui en ont besoin.

- sensibilisation des utilisateurs aux problmes de scurit.

- installation d'un logiciel anti-virus jour sur chaque poste.

Le problme des accs distants

Les donnes qui circulent sur Internet peuvent, priori tre vues de tous. Cela dit, il faut voir si quelqu'un irait

jusqu' couter le rseau pour obtenir les informations manipules par Dupond. Pour scuriser la liaison, mme en

passant par Internet, il faut utiliser ce qu'on appelle un VPN. Avec une liaison VPN (Virtual Private Network), les

donnes sont chiffres, et personne, priori, ne peut les lire. Tous ce passe exactement comme si Dupond tant

directement connect l'entreprise sans passer par Internet, d'o le nom de rseau priv virtuel.

Firewall et proxy

Afin d'viter que des attaques puissent venir d'internet par le routeur, il convient d'isoler le rseau interne de

l'entreprise. La mthode la plus connue est le firewall et le serveur proxy, mais il n'y a pas que a... Par exemple,

sur les routeurs, il est possible de faire du filtrage de paquets ou de la translation d'adresse pour qu'une personne

de l'extrieur ne puisse ni accder, ni voir ce qu'il y a l'intrieur. Un firewall est une entit qui fait cette opration de filtrage. On va pouvoir analyser les donnes qui rentre et les

interdire si elles ne proviennent pas de quelqu'un de connu ou si elles ne rpondent pas une requte interne. Le

firewall, plac l'entre du rseau, constitue ainsi un unique point d'accs par o chacun est oblig de passer...

Le serveur Proxy, lui, permet de faire le relais au niveau des applications pour rendre les machines internes

invisibles l'extrieur. Si personne l'extrieur ne peut voir les machines internes, l'attaques est beaucoup plus

difficile, car l'attaquant est aveugle! N'oubliez quand mme pas que 80% des attaques proviennent de l'intrieur du

rseau et non de l'extrieur...

Logiciel de dtection systmatique d'erreurs

Les pirates utilisent des logiciel de test de la configuration pour reprer les failles du systme qu'ils attaquent. Je

ne citerai ici que Cops et Satan. Ces logiciels permettent de faon automatique de chercher les erreurs de

configuration ou les vulnrabilits du systme. Si vous les utilisez avant le pirate et que vous rparez ces failles,

ce sera moins facile pour lui!

Systme de dtection d'intrusions

Enfin, une fois que tout cela est en place, si vraiment vous tes paranoaques, vous pouvez utiliser un logiciel de

dtection d'intrusions. Comme pour une alarme dans une maison, ce logiciel met une alarme lorsqu'il dtecte que

quelqu'un de non-autoris est entr sur le rseau.A l'heure actuelle, ces logiciels sont encore remarquablement inefficace car ils passent leur temps crier au loup

alors qu'il n'y a personne dans la bergerie...

Aprs scurisation

Voil ce que a donne, mais ne vous fiez pas aux apparences : quelqu'un qui a dcid d'entrer...

4 sur 21 23/03/00 21:26



5/21

Cryptographie : chiffrement et signature

Le chiffrement

Le chiffrement des donnes fut invent pour assurer la confidentialit des donnes. Il est assur par un systme

de cl (algorithme) appliqu sur le message. Ce dernier est dcryptable par une cl unique correspondant aucryptage.

Il existe lheure actuelle deux grands principes de cryptage : le cryptage symtrique bas sur lutilisation dune

cl prive et le cryptage asymtrique qui, repose sur un codage deux cls, une prive et lautre publique.

Le cryptage symtrique

Le cryptage cl priv ou symtrique est bas sur une cl (ou algorithme) partage entre les deux parties

communicantes. Cette mme cl sert crypter et dcrypter les messages. Les algorithmes de chiffrement les

plus connus sont : Kerberos, DES (Data Encryption Standard) et RSA.

Le principal problme est le partage de la cl : Comment une cl utilise pour scuriser peut tre transmise sur un

rseau inscuris ? La difficult engendre par la gnration, le stockage et la transmission des cls (on appelle

lensemble de ces trois processus le management des cls : key management) limite le systmes des cls

prives surtout sur Internet.

Pour rsoudre ces problmes de transmission de cls, les mathmaticiens ont invent le cryptage asymtrique

qui utilise une cl prive et une cl public.

Le cryptage asymtrique

Ce systme de cryptage utilise deux cls diffrentes pour chaque utilisateur : une est prive et nest connue que

de lutilisateur ; lautre est publique et donc accessible par tout le monde. Les cls publique et prive sont mathmatiquement lies par lalgorithme de cryptage de telle manire quun

message crypt avec une cl publique ne puisse tre dcrypt quavec la cl prive correspondante. Une cl est

5 sur 21 23/03/00 21:26



6/21

donc utilise pour le cryptage et lautre pour le dcryptage.

Ce cryptage prsente lavantage de permettre le placement de signatures numriques dans le message et ainsi

permettre lauthentification de lmetteur.

Le principal avantage du cryptage cl publique est de rsoudre le problme de lenvoi de cl prive sur un rseau

non scuris. Bien que plus lent que la plupart des cryptage cl prive il reste prfrable pour 3 raisons :

- Plus volutif pour les systmes possdant des millions dutilisateurs

- Authentification plus flexible

- Supporte les signatures numriques

Signature

Dans toute transaction professionnelle, les deux parties doivent offrir une garantie de leur identit. La signature

numrique et le certificat sont des moyens didentification de lmetteur du message.

Signature numrique

Le principe de la signature numrique consiste appliquer une fonction mathmatique sur une portion du

message. Cette fonction mathmatique sappelle fonction de hachage et le rsultat de cette fonction est appel

code de hachage. Ce code fait usage demprunte digitale du message. Il faut noter que la fonction est choisie de

telle manire quil soit impossible de changer le contenu du message sans altrer le code de hachage.

Ce code de hachage est ensuite crypt avec la cl prive de lmetteur et rajout au message. Lorsque le

destinataire reoit le message, il dcrypte ce code grce la cl publique de la source puis il compare ce code

un autre code quil calcule grce au message reu. Si les deux correspondent, le destinataire sait que le message

na pas t altr et que son intgrit na pas t compromise. Le destinataire sait aussi que le message provient

de lmetteur puisque seul ce dernier possde la cl prive qui a crypt le code.

Ce principe de signature ft amlior avec la mise en place de certificats permettant de garantir la validit de la clpublic fourni par lmetteur.

Les certificats

Pour assurer lintgrit des cls publiques, les cls publiques sont publies avec un certificat. Un certificat (ou

certificat de cls publiques) est une structure de donnes qui est numriquement signe par une autorit certifie

(CA : Certification Authority) une autorit en qui les utilisateurs peuvent faire confiance. Il contient une srie de

valeurs, comme le nom du certificat et son utilisation, des informations identifiant le propritaire et la cl publique ,

la cl publique elle mme , la date dexpiration et le nom de lorganisme de certificats. Le CA utilise sa cl prive

pour signer le certificat et assure ainsi une scurit supplmentaire.

Si le rcepteur connat la cl publique du CA, il peut vrifier que le certificat provient vraiment de lautorit

concerne et est assur que le certificat contient donc des informations viables et une cl publique valide.

Commerce lectronique et paiement en ligne

Le commerce lectronique

Le commerce lectronique, qui existait dj avec le minitel partir de 1980, vit avec Internet un vritable essor. Il

sagit de toutes les transmissions de donnes pour des activits commerciales.

Les enjeux conomiques pour ce type doprations, et notamment la vente en ligne, sont trs importants. On

estime, dans le monde, quil y a 550 millions dinternautes pour un chiffre daffaire li au commerce lectronique de

6 sur 21 23/03/00 21:26



7/21

7 milliards de dollars. Sur 250 000 sites, 100 000 ont un but commercial !

On retrouve sur Internet, et dans la vente en ligne, les mmes acteurs que dans la vie : le commerant, qui veut

tre pay, le consommateur, qui veut payer sans crainte et simplement, et la banque, qui se veut garant de la

bonne marche des oprations. Les produits qui fonctionnent le mieux (enqute de fvrier 1997) sont les produits

informatiques, les livres, CD et vidos, et tout ce qui touche aux voyages et loisirs.

Gnralement, les sites de vente mettent en ligne une description du produit et des photos (comme une vitrine), etpropose une commande en ligne avec plusieurs moyens de payement Cest justement laspect payement qui

est le point sensible de lchange.

Le problme du paiement sur Internet

Les paiements sont notamment limits par les lois du pays qui nautorisent pas forcement le libre chiffrement des

informations (cest le cas en France). Les internautes sont encore trs frileux pour la consommation sur Internet,

car ils ne savent pas ce quon fait de leur numro de carte de crdit lorsquils le donnent, et ont peur que quelquun

dautre ne le rcupre.

En rgle gnral, les sites de vente propose soit un paiement traditionnel (par chque), soit un paiement en ligne(par carte de crdit). Les inconvnients du paiement traditionnel est vident en terme de dlais et dchange de

devises avec les pays trangers.

Deux possibilits existent pour le paiement en ligne. La premire possibilit est le porte-monnaie lectronique, qui

est gr par un organisme tiers et qui correspond une carte virtuel sur laquelle on dpose de largent. Cette

solution est gnralement utilise pour les produits de faible cot. La deuxime solution est le paiement

directement avec sa carte de crdit, comme tout autre achat. Cest la que les problmes de scurit commence et

que la peur des consommateurs se fait sentir.

La scurit du paiement

Les risques sont multiples. Le commerant peut modifier le montant dbiter ou vendre un produit qui nexiste pas

et que le client ne recevra jamais. Le client, lui, peut utiliser une carte qui nest pas la sienne, contester avoir

pass une commande ou avoir un dcouvert la banque. Enfin, une tiers personne peut rcuprer les informations

sur la carte de crdit et les utiliser

Il sagit donc de scuriser les changes en sassurant quils sont chiffrs (confidentialit), que ceux qui y

participent sont bien ceux quils disent tre (authentification), que les donnes nont pas t modifies (intgrit). Il

faut galement pouvoir certifier que les changes ont bien eu lieu (non rpudiation) et que le client peut payer.

Il existe plusieurs mcanismes pour assurer une certaine scurit :

- SSL : Secure Socket Layers : cest de loin le plus utilis, il assure le chiffrement des changes mais ne garantitpas que le marchand va vous livrer, ni que le client peut payer. On sait que lchange est scuris car ladresse

http:// est remplace par https:// et un cadenas apparat en bas de votre navigateur. - SET : Secure Electronic Transaction : chiffrement des donnes de la carte de crdit, signature des messages et

authentification des diffrents acteurs de lchange.- C-SET : Chip Secure Electronic Transaction : Cest une extension de SET avec un lecteur de carte. Ces deux

systmes sont compatibles, mais C-SET permet de contrler davantage de chose de faon physique (vrification

de la carte, etc). Ce systme est aussi sr quun paiement par carte bancaire dans un magasin.

Dautres mcanismes de scurit existe mais ne devrait pas tre utiliss pour le paiement.

Conclusion : Faut-il avoir peur de payer sur Internet ?

Aprs avoir pay des annes sur le minitel, on se pose la question de la scurit sur Internet pour le paiement en

7 sur 21 23/03/00 21:26



8/21

ligne. Ce quil faut se dire, cest quon peut sans problme se fier une entreprise qui a pignon sur rue, comme

fnac.fr, amazon.com, ou internic.net et que dans ce cas, les craintes ne sont pas justifies. Par contre, il faut se

mfier des sites tape--lil inconnus jusque l Cest peut-tre pour a quil est difficile de faire sa place sur

Internet !

Le principal risque, en effet, est que le commerant en face vous ne soit pas srieux ou que son entreprise soit

fictive. Le risque de se faire voler son numro de carte bleue nest pas nul, mais il est improbable Pourquoi ?

Regardez le dernier ticket de paiement que vous avez reu en utilisant votre carte de crdit : ny voyez-vous pas lenumro de carte qui y figure ? Le commerant garde toujours un double de ce ticket alors pourquoi quelquun

irait dcrypter des numros de cartes de crdit sur Internet ? Vous avez dj donn votre numro de carte tous

les commerants de France et de Navarre !

Firewalls

Voici la traduction de quelques questions et rponses d'une FAQ sur les firewalls. Je me suis permis de ladapter

et dajouter certaines choses, ce qui nengage que moi Cette FAQ, en anglais, peut tre retrouve dans son

intgralit l'adresse suivante : http://www.interhack.net/pubs/fwfaq/et http://www.clark.net/pub/mjr/pubs/fwfaq/

Qu'est-ce qu'un firewall?

Un firewall est un systme ou un groupe de systme qui gre les contrles daccs entre deux rseaux. Plusieurs

mthodes sont utilises lheure actuelle. Deux mcanismes sont utiliss : le premier consiste interdire le

trafic, et le deuxime lautoriser.

Certains firewalls mettent beaucoup dnergie empcher quiconque de passer alors dautres tendent tout

laisser passer. La chose la plus importante comprendre est quil reprsente une politique de contrle daccs.Vous devez avoir une ide prcise de cette politique dans son ensemble pour savoir ce que vous devez autoriser

ou interdire.

De quoi protge un firewall?

Certains firewalls laissent uniquement passer le courrier lectronique. De cette manire, ils interdisent toute autre

attaque quune attaque bas sur le service de courrier. Dautres firewalls, moins strictes, bloquent uniquement les

services reconnus comme tant des services dangereux.

Gnralement, les firewalls sont configurs pour protger contre les accs non authentifier du rseau externe.Ceci, plus quautre chose, empche les vandales de se logger sur des machines de votre rseau interne, mais

autorise les utilisateurs de communiquer librement avec lextrieur.

Les firewalls sont galement intressants dans le sens o ils constituent un point unique o laudit et la scurit

peuvent tre imposs. Tous les changes passeront par lui. Il pourra donner des rsums de trafic, des

statistiques sur ce trafic, ou encore toutes les connexions entre les deux rseaux.

De quoi ne protge pas un firewall?

Un firewall ne protge pas des attaques qui ne passe pas par lui Certaines entreprises achtent des firewalls

des prix incroyables alors que certains de leurs employs sont parfois connects par modem au monde extrieur.Il est important de noter quun firewall doit tre la mesure de la politique de scurit globale du rseau. Il ne sert

rien de mettre une porte blinde sur une maison en bois Par exemple, un site contenant des documents

top-secret na pas besoin dun firewall : il ne devrait tout simplement pas tre connect Internet, et devrait tre

8 sur 21 23/03/00 21:26



9/21

isol du reste du rseau !

Une autre chose contre laquelle un firewall ne peut vous protger est les traitres et les idiots qui sont lintrieur

de lentreprise Si un espion industriel dcide de faire sortir des donnes, il y arrivera, surtout sur disquette Il

vaut mieux vrifier qui a accs aux informations que de mettre un firewall dans ce cas !

Que dire des virus?

Les firewalls ne protge pas trs bien des virus. Il y a trop de manires diffrentes de coder des fichiers pour les

transfrer. En dautres termes, un firewall ne pourra pas remplacer lattention et la conscience des utilisateurs qui

doivent respecter un certain nombre de rgles pour viter les problme La premire tant bien videmment de ne

jamais ouvrir un fichier attach un mail sans tre sr de sa provenance.

Il faut prendre des mesures globales et importantes contre les virus. Avant de traquer les virus lentre du rseau,

il faut sassurer que chaque poste de travail dispose dun anti-virus. Les virus passe galement trs facilement par

disquette Les virus sur Internet son bien moins important que les virus sur disquette.

Quoiquil en soit, de plus en plus de vendeurs de firewalls vous offrent des firewalls qui dtectent les virus. Ilspermettent probablement darrter les virus simples. Ne comptez pas sur leur protection !

Quelles sont les points prendre en compte pour un firewall?

Il y a un certain nombre de rgles qui doivent tre prise par le chanceux qui a reu la responsabilit de configurer

et de grer le firewall.

Le plus important est de reflter la politique de scurit choisit par lorganisation. Entre tout interdire et tout

autoriser, il y a diffrent degrs de paranoa. Le choix final doit tre le rsultat dune politique globale de scurit

plus que dune dcision dun ingnieur

La deuxime est de savoir le degr de contrle que vous voulez. Aprs avoir analyss les risques, il faut dfinir ce

qui doit tre autoris et interdit.

Le troisime point est financier : cest de savoir le busget que vous allouez au firewall. Un firewall complet peut tre

gratuit, ou coter 100 000 dollars. La solution gratuite, comme la configuration dun routeur, ne cote rien sinon

beaucoup de temps et de caf. Dautres solutions coteront cher au dpart et peu ensuite Il est important de

considrer le prix de dpart, mais aussi celui du support.

Un firewall cote cher et prend beaucoup de temps administrer Vrifiez que vous avez des bijoux avant

dacheter un coffre-fort hi-tech !

Qu'est-ce qu'un proxy?

Le but d'un serveur proxy est d'isoler une ou plusieurs machines pour les protger, comme indiqu sur le schma :

9 sur 21 23/03/00 21:26



10/21

Les machines A doivent se connecter au rseau par lintermdiaire du serveur Proxy. Ce dernier sert de relais

entre le rseau et les machines cacher. Ainsi, les machines du rseau B auront l'impression de communiquer

avec le proxy, et non les machines A.

Pour les applications du rseau B, l'adresse IP du client sera celle du serveur Proxy. Par exemple, lors dune

connexion un serveur HTTP, le browser se connecte au serveur proxy et demande laffichage dune URL. Cest le

serveur proxy qui gre la requte et qui renvoie le rsultat votre browser.

Ainsi, en utilisant un numro de port diffrent, le proxy oblige toutes les requte passer par lui en supprimant les

trames dont le numro de port ne lui correspond pas.

De plus, le proxy possde un avantage supplmentaire en termes de performances. Si deux utilisateurs

demandent peu de temps dintervalle la mme page, celle-ci sera mmorise dans le proxy, et apparatra donc

beaucoup plus rapidement par la suite.

Ce procd est trs intressant en termes de scurit sur Internet, les machines sont protges. Le serveur proxy

peut filtrer les requtes, en fonctions de certaines rgles.

Les VPN et le protocole PPP

Quest-ce quun VPN ?

Les rseaux privs virtuels (VPN : Virtual Private Network) permettent lutilisateur de crer un chemin virtuel

scuris entre une source et une destination. Avec le dveloppement dInternet, il est intressant de permettre ce

processus de transfert de donnes scuris et fiable. Grce un principe de tunnel (tunnelling) dont chaque

extrmit est identifie, les donnes transitent aprs avoir t chiffres.

Un des grands intrts des VPN est de raliser des rseaux privs moindre cot. En chiffrant les donnes, toutse passe exactement comme si la connexion se faisait en dehors dInternet. Il faut par contre tenir compte de la

toile, dans le sens o aucune qualit de service nest garantie.

Comment marche un VPN ?

Le principe du VPN est bas sur la technique du tunnelling. Cela consiste construire un chemin virtuel aprs

avoir identifi lmetteur et le destinataire. Ensuite la source chiffre les donnes et les achemine en empruntant ce

chemin virtuel.

Les donnes transmettre peuvent appartenir un protocole diffrent dIP. Dans ce cas le protocole de tunnelling

encapsule les donnes en rajoutant une entte. Permettant le routage des trames dans le tunnel. Le tunneling estlensemble des processus dencapsulation, de transmission et de dsencapsulation.

10 sur 21 23/03/00 21:26



11/21

A quoi sert un VPN ?

Auparavant pour interconnecter deux LANs distants, il ny avait que deux solutions, soit les deux sites distants

taient relis par une ligne spcialise permettant de raliser un WAN entre les deux sites soient les deux

rseaux communiquaient par le RTC.

Une des premire application des VPN est de permettre un hte distant daccder lintranet de son entreprise

ou celui dun client grce Internet tout en garantissant la scurit des changes. Il utilise la connexion avec

son fournisseur daccs pour se connecter Internet et grce aux VPN, il cre un rseau priv virtuel entre

lappelant et le serveur de VPN de lentreprise.

Cette solution est particulirement intressantes pour des commerciaux sillonnant la France : ils peuvent se

connecter de faon scurise et do ils veulent aux ressources de lentreprise. Cela dit, les VPN peuvent

galement tre utilis lintrieur mme de lentreprise, sur lintranet, pour lchange de donnes confidentielles.

Services des VPN

Ces VPN nont pas comme seul intrt lextension des WAN moindre cot mais aussi lutilisation de services ou

fonctions spcifiques assurant la QoS et la scurit des changes. Les fonctionnalits de scurit sont matures

mais par contre la rservation de bandes passantes pour les tunnels est encore un service en dveloppement

limit par le concept mme dInternet.

La qualit de service (QoS) est une fonctionnalit importante des VPN nest pas encore une technologie assez

mature et les solutions proposes sur le march lheure actuelle ne permettent que des garanties sur des

rseaux locaux propritaires, cest pourquoi peu dISP proposent leurs clients des solutions VPN.

La scurit des changes est assure plusieurs niveaux et par diffrentes fonctions comme le cryptage des

donnes, lauthentification des deux extrmits communicantes et le contrle daccs des utilisateurs aux

ressources.

Principaux protocoles de VPN

Il existe sur le march trois principaux protocoles :

- PPTP (Point to Point Tunnelling Protocol) de Microsoft

- L2F (Layer Two Forwarding) de Cisco

- L2TP (Layer Two Tunnelling Protocol) de lIETF

PPTP (Point to Point Tunnelling Protocol)

Cest un protocole de niveau 2 qui encapsule des trames PPP dans des datagrammes IP afin de les transfrer sur

11 sur 21 23/03/00 21:26



12/21

un rseau IP. PPTP permet le cryptage des donnes PPP encapsules mais aussi leur compression.

Le schma suivant montre comment un paquet PPTP est assembl avant dtre transmis par un client distant vers

un rseau cible.

Lintrt de PPTP est de ne ncessiter aucun matriel supplmentaire car les deux logiciels dextrmit (le client

et le serveur) sont intgrs dans NT4. Par contre, il ne fonctionne que sous NT pour le moment.

L2F (Layer Two Forwarding)

L2F est un protocole de niveau 2 qui permet un serveur daccs distant de vhiculer le trafic sur PPP et

transfrer ces donnes jusqu un serveur L2F (routeur). Ce serveur L2F dsencapsule les paquets et les envoie

sur le rseau. Il faut noter que contrairement PPTP et L2PT , L2F na pas besoin de client.

Ce protocole est progressivement remplac par L2TP qui est plus souple.

L2TP (Layer Two Tunnelling Protocol)

Microsoft et Cisco, reconnaissant les mrites des deux protocoles L2F et PPTP , se sont associs pour crer le

protocoles L2TP. Ce protocole runit les avantages de PPTP et L2F.

L2TP est un protocole rseau qui encapsule des trames PPP pour les envoyer sur des rseaux IP, X25, relais de

trames ou ATM. Lorsquil est configur pour transporter les donnes sur IP, L2TP peut tre utilis pour faire du

tunnelling sur Internet. Mais L2TP peut aussi tre directement mis en uvre sur des supports WAN (relais de

trames) sans utiliser la couche de transport IP.

On utilise souvent ce protocole pour crer des VPN sur Internet. Dans ce cas, L2TP transporte des trames PPPdans des paquets IP. Il se sert dune srie de messages L2TP pour assurer la maintenance du tunnel et dUDP

pour envoyer les trames PPP dans du L2TP.

12 sur 21 23/03/00 21:26



13/21

PPP : Point-to-Point Protocol

Introduction

PPP fut dvelopp pour transfrer des donnes sur des liens synchrones ou asynchrones entre deux points enutilisant HDLC comme base dencapsulation et un Frame Check Sequence (FCS) HDLC pour la dtection des

erreurs. Cette liaison permet le full duplex et garantit lordre darrive des paquets.

Une fonctionnalit intressante de ce protocole est le multiplexage simultan de plusieurs protocoles de niveau 3

du modle OSI.

Ce protocole encapsule des paquets IP,IPX et NetBEUI, dans des trames PPP, puis transmet ces paquets

PPP encapsuls travers la liaison point point. PPP est donc utilis entre un client distant et un serveur daccs

distant.

Le protocole PPP est dcrit dans la RFC 1331.

Format de la trame PPP

Fanion : sparateur de trame. Un seul drapeau est ncessaire entre 2 trames.

Adresse : Le champ adresse correspond une adresse HDLC, or PPP ne permet pas un adressage

individuel des stations donc ce champ doit tre 0xFF (toutes les stations), toute adresse non

reconnue fera que la trame sera dtruite.

contrle : Le champ contrle doit tre 0x03, ce qui correspond une trame HDLC non numrote.

Toute autre valeur fera que la trame sera dtruite.

Protocole : La valeur contenue dans ce champ doit tre impaire, loctet de poids fort tant pair. Ce

champ identifie le protocole encapsul dans le champ informations de la trame. Les diffrentes

valeurs utilisables sont dfinies dans la RFC assign number et reprsentent les

diffrents protocoles supports par PPP (OSI,IP,Decnet IV,IPX,), les NCP associs ainsi que les

LCP.

Informations : De longueur comprise entre 0 et 1500 octets, ce champ contient le datagramme du

protocole suprieur indiqu dans le champ protocole . Sa longueur est dtecte parle drapeau de fin de trame, moins 2 octets de contrle

FCS (Frame Check Sequence) : Ce champ contient la valeur du checksum de la trame. PPP vrifie le

contenu du FCS lorsquil reoit un paquet. Le contrle derreur appliqu par PPP est conforme

X25.

Le protocole LCP

Ce protocole de contrle de liens est charg de grer les options et les liens crs. LCP est utilis pour tablir,

maintenir, et fermer la liaison physique.

13 sur 21 23/03/00 21:26



14/21

Dans loptique dtre transportable sur un grande nombre denvironnements, PPP comprend un protocole de

contrle de liens LCP (Link Control Protocol) pour tablir, configurer, tester, et terminer le lien. LCP est utilis pour

manipuler les tailles variables des paquets, en effet selon le protocole dencapsulation slectionn dans le champ

protocole,la taille du champ options/donnes nest pas la mme. Ces fonctions de test permettent de dtecter un

lien boucl sur lui mme ou toute autre erreur classique de configuration. Dautres fonctionnalits optionnelles

comme lauthentification didentit des extrmits, et la dtermination de ltat du lien peuvent savrer

intressantes.

L en-tte est le suivant :

Code : Dfinit , sur un octet, le type de paquet LCP :1 : Configure request - 2 : Configure Ack - 3 : Configure NAK - 4 : Configure Reject - 5 : Terminate Request - 6 :

Terminate Ack - 7 : Code Reject - 8 : Protocol Reject - 9 : Echo Request - 10 : Echo Reply - 11 : Discard Request

- 12 : Link quality report

Identifiant : Ce champ contient une valeur numrique qui sert la gestion des requtes et des

rponses.

Longueur : Longueur totale du paquet LCP. Ce paquet comprend le code, lidentifiant, la longueur

et les donnes.

Donnes / Options : Ce champ de taille variable peut contenir une ou plusieurs configuration

doptions. Le format dune configuration doptions LCP possde 3 champs : type, longueur et

donnes.

- Longueur : Longueur de la configuration doptions, cest dire la longueur des trois champs : type, longueur etdonnes.- Type : Cet octet indique la configuration doptions ou de donnes choisie : Paquets de configurations, paquets de

fin de connexion, paquets dtruits ou paquets de test.

Les systmes de dtection d'intrusions

Ce rapport est une partie de ma recherche bibliographique de DEA : c'est une synthse d'article de recherche sur

la dtection d'intrusions fate en fvrier 2000.

1 Introduction

1.1 Pourquoi les systmes sont-ils vulnrables?

La scurit est devenue un point crutial des systmes d'informations. Cependant, les organisations sont peu ou

pas protges contre les attaques sur leur rseau ou les htes du rseau. Dorothy DENNING, aprs avoir donn

des chiffres montrant l'importance du nombre d'attaques dans le monde, nous donne des raisons visant

dmontrer la vulnaribilit des systmes d'informations.

La premire raison qui fait que les systmes sont mal protgs est que la scurit cote chre. Les organismes

n'ont pas de budget allou ce domaine. Elle souligne galement que la scurit ne peut tre sr 100%, voire

qu'elle est mme souvent innefficace. Aurobino SUNDARAM nous en donne les raisons : les bugs dans les

14 sur 21 23/03/00 21:26



15/21

programmes sont courants et seront toujours exploitables par les attaquants. De plus, mme la cryptographie a

ses faiblesses et les mots de passe, par exemple, peuvent tre casss. Il n'existe pas d'organisation centralise

grant l'ensemble des clefs et autres lments de cryptographie. Enfin, mme un systme fiable peut tre attaqu

par des personnes abusant de leurs droits lgitimes.

Dorothy DENNING ajoute d'autres raisons dmontrant la vulnrabilits des systmes : la politique de scurit est

complexe et est base sur des jugements humains. On trouve notamment des faiblesses dues la gestion et la

configuration des systmes. Il y a aussi en permanence de nouvelles technologies qui mergent, et par l-mme,de nouveaux points d'attaques. En dernier point, les organisations acceptent de courir ce risque, la scurit n'tant

pas leur principale priorit.

Pour exploiter ces faiblesses, les attaquants profitent de la ngligence des utilisateurs vis--vis de leurs droits et

autorisations d'accs, en se faisant passer pour un employ du service informatique dans le but d'obtenir des

informations. Ils peuvent aussi casser les clefs d'une longueur insuffisante ou les mots de passe par une attaque

systmatique. Ils peuvent se mettre l'coute sur le rseau pour obtenir des informations. Ils peuvent changer leur

adresse rseau pour se faire passer pour quelqu'un de confiance. Ils ont la possibilit d'injecter du code comme un

virus ou un cheval de Troie sur la cible. Enfin, ils peuvent exploiter les faiblesses des applications, des protocoles

ou des systmes d'exploitation.

1.2 Introduction la scurit des systmes d'informations

Etant donn le nombre de systmes attaqus ces dernires annes et les enjeux financiers qu'ils abritent, les

systmes d'informations se doivent aujourd'hui d'tre protgs contre les anomalies de fonctionnement provenant

soit d'une attitude intentionnellement malveillante d'un utilisateur, soit d'une faille rendant le systme vulnrable.

Du fait du nombre toujours croissant de personnes ayant accs ces systmes par le biais d'Internet, la politique

de scurit se concentre gnralement sur ce point d'entre du rseau interne. La mise en place d'un pare-feu est

devenu indispensable afin d'interdire l'accs aux paquets indsirables. On peut, de cette faon, proposer une vision

restreinte du rseau interne vu de l'extrieur et filtrer les paquets en fonction de certaines caractristiques telles

qu'une adresse ou un port de communication.

Cependant, ce systme de forteresse est insuffisant s'il n'est pas accompagn d'autres protections. Citons la

protection physique des informations par des accs contrls aux locaux, la protection contre les failles de

configuration par des outils d'analyse automatique des vulnrabilits du systme, ou encore la protection par des

systmes d'authentification fiables pour que les droits accords chacun soient clairement dfinis et respects,

ceci afin de garantir la confidentialit et l'intgrit des donnes.

Faire de la scurit sur des systmes d'informations consiste s'assurer que celui qui modifie ou consulte des

donnes du systme en a l'autorisation et qu'il peut le faire correctement car le service est disponible.

Mme en mettant en place tous ces mcanismes, il reste encore beaucoup de moyens pour contourner ces

protections. Pour les complter, une surveillance permanente ou rgulire des systmes peut tre mise en place :

ce sont les systmes de dtection d'intrusions. Ils ont pour but d'analyser tout ou partie des actions effectues surle systme afin de dtecter d'ventuelles anomalies de fonctionnement.

1.3 L'audit de scurit

L'audit de scurit permet d'enregistrer tout ou partie des actions effectues sur le systme. L'analyse de ses

informations permet de dtecter d'ventuelles intrusions. Les systmes d'exploitation disposent gnralement de

systmes d'audit intgrs, certaines applications aussi. Les diffrents vnements du systmes sont enregistrs

dans un journal d'audit qui devra tre analys frquemment, voire en permanence. Sur les rseaux, il est

indispensable de disposer d'une base de temps commune pour estampiller les vnements.

Voici les types d'informations collecter sur les systmes pour permettre la dtection d'intrusions. On y trouve les

informations sur les accs au systme (qui y a accd, quand et comment), les informations sur l'usage fait dusystme (utilisation du processeur, de la mmoire ou des entres/sorties) et les informations sur l'usage fait des

fichiers. L'audit doit galement permettre d'obtenir des informations relatives chaque application (le lancement ou

l'arrt des diffrents modules, les variables d'entre et de sortie et les diffrentes commandes excutes). Les

15 sur 21 23/03/00 21:26



16/21

informations sur les violations ventuelles de la scurit (tentatives de commandes non autorises) ainsi que les

informations statistiques sur le systme seront elles aussi ncessaires.

Notons que ces nombreuses informations occupent beaucoup de place et sont trs longues analyser. Ces

informations devront tre, au moins pour un temps, stockes quelque part avant d'tre analyses par le systme

de dtection d'intrusions.

2 Classification des systmes de dtection d'intrusions

Pour classer les systmes de dtection d'intrusions, on peut se baser sur plusieurs variables. La principale

diffrence retenue est l'approche utilise, qui peut tre soit comportementale, soit par scnarios. Nous verrons

ensuite d'autres paramtres permettant de classer les diffrents systmes de dtection d'intrusions.

2.1 Approche comportementale et approche par scnarios

Dans les traces d'audit, on peut chercher deux choses diffrentes. La premire correspond l'approche

comportementale, c'est--dire qu'on va chercher savoir si un utilisateur a eu un comportement dviant par rapport

ses habitudes. Ceci signifierait qu'il essaye d'effectuer des oprations qu'il n'a pas l'habitude de faire. On peut en

dduire, soit que c'est quelqu'un d'autre qui a pris sa place, soit que lui mme essaye d'attaquer le systme enabusant de ses droits. Dans les deux cas, il y a intrusion.

La deuxime chose que l'on peut chercher dans les traces d'audit est une signature d'attaque. Cela correspond

l'approche par scnarios. Les attaques connues sont rpertories et les actions indispensables de cette attaque

forment sa signature. On compare ensuite les actions effectues sur le systme avec ces signatures d'attaques.

Si on retrouve une signature d'attaque dans les actions d'un utilisateur, on peut en dduire qu'il tente d'attaquer le

systme par cette mthode.

Plusieurs mthodes diffrentes peuvent tre mises en oeuvre pour dtecter le comportement dviant d'un individu

par rapport un comportement antrieur considr comme normal par le systme. La mthode statistique se

base sur un profil du comportement normal de l'utilisateur au vu de plusieurs variables alatoires. Lors de l'analyse,

on calcule un taux de dviation entre le comportement courant et le comportement pass. Si ce taux dpasse uncertain seuil, le systme dclare qu'il est attaqu. Les systmes experts, eux, visent reprsenter le profil d'un

individu par une base de rgles cre en fonction de ses prcdentes activits et recherchent un comportement

dviant par rapport ces rgles. Une autre mthode consiste prdire la prochaine commande de l'utilisateur avec

une certaine probabilit. Notons galement l'utilisation des rseaux de neurones pour apprendre les

comportements normaux des utilisateurs ou encore l'utilisation de la mthode dte "d'immunologie" se basant sur

le comportement normal du systme et non des utilisateurs.

De mme que pour l'approche comportementale, plusieurs mthodes peuvent tre utlises pour grer les

signatures d'attaques. Les systmes experts les reprsentent sous forme de rgles. La mthode dite du "Pattern

Matching" (reconnaissance de forme) reprsente les signatures d'attaques comme des suites de lettres d'un

alphabet, chaque lettre correspondant un vnement. Les algorithmes gntiques sont galement utiliss pour

analyser efficacement les traces d'audit. Les signatures d'attaques peuvent tre galement vues comme unesquence de changements d'tats du systme. La simple analyse de squences de commandes a t rapidement

abandonne car elle ne permettait pas la dtection d'attaques complexes. Pour l'approche par scnarios, le poids

donn chaque entit (audit, base de signatures d'attaques et mcanisme d'analyse) et la faon dont elles sont

mises en relation est dcisif pour obtenir un systme de dtection efficace.

Chacune des deux approches a ses avantages et ses inconvnients, et les systmes de dtection d'intrusions

implmentent gnralement ces deux aspects. Avec l'approche comportementale, on a la possibilit de dtecter

une intrusion par une attaque inconnue jusqu'alors. Par contre, le choix des paramtres est dlicat, ce systme de

mesures n'est pas prouv exact, et on obtient beaucoup de faux positifs, c'est--dire que le systme croit tre

attaqu alors qu'il ne l'est pas. Qui plus est, un utilisateur peut apprendre la machine le comportement qu'il

souhaite, notamment un comportement totalement anarchique ou encore changer lentement de comportement.

Avec l'approche par scnarios, on peut prendre en compte les comportements exacts des attaquants potentiels.

Les inconvnients sont dans la base de rgles qui doit tre bien construite et les performances qui sont limites

par l'esprit humain qui les a conues. Notons galement que l'approche par scnarios ne permet videmment pas

de dtecter une attaque inconnue jusque l.

16 sur 21 23/03/00 21:26



17/21

2.2 Autres mthodes de classification des systmes de dtection d'intrusions

Si la classification la plus utilise est celle de l'approche comportementale et de l'approche par scnarios, il est

possible de classer les systmes de dtection d'intrusions en fonction d'autres paramtres :

On peut classer les systmes en fonction de la rponse qu'il apporte l'intrusion qu'ils ont dtecte. Certains

systmes se contentent d'mettre une alarme l'administrateur (rponse passive) tandis que d'autres essayent de

contrer l'attaque en cours (rponse active). Il y a pour l'instant deux principaux mcanismes de rponse

implments : les alarmes qui permettent de prvenir rapidement l'administrateur et le filtrage des paquets venant

de l'attaquant.

Les systmes peuvent tre classs en fonction de la provenance de leurs donnes d'audit, selon qu'elles viennent

du systme, des applications ou des paquets du rseau.

Certains systmes surveillent en permanance le systme d'informations tandis que d'autres se contentent d'une

analyse priodique.

On peut trs bien envisager de se baser sur d'autres paramtres comme le dlai de dtection, c'est--dire si lesystme dtecte les intrusions en temps rel ou non, sa capacit de traiter les donnes de faon distribue, sa

capacit rpondre aux attaques sur lui-mme ou encore son degr d'interoprabilit avec d'autres systmes de

dtection d'intrusions.

3 Les systmes de dtection d'intrusions actuels

3.1 Modle de base d'un systmes de dtection d'intrusions

Le premier systme de dtection d'intrusions a t propos en 1980 par James ANDERSON. Il en existe

maintenant beaucoup d'autres, commerciaux ou non. La majorit de ses systmes se basent sur les deux

approches, comportementale et par scnarios.

Stefan AXELSSON donne un modle d'architecture de base pour un systme de dtection d'intrusions. Du

systme surveill, un module s'occupe de la collecte d'informations d'audit, ces donnes tant stockes quelque

part. Le module de traitement des donnes intragit avec ces donnes de l'audit et les donnes en cours de

traitement, ainsi qu'avec les donnes de rfrence (signatures, profils) et de configuration entres par

l'administrateur du systme de scurit. En cas de dtection, le module de traitement remonte une alarme vers

l'administrateur du systme de scurit ou vers un module. Une rponse sera ensuite apport sur le systme

surveill par l'entit alerte.

Les imperfections de ce type de systmes monolithiques et mme des systmes de dtection d'intrusions en

gnral sont prendre en compte. Stefano Martino souligne que si un certain nombre de techniques ont t

dveloppes jusque l pour les systmes de dtection d'intrusions, la plupart analysent des vnements au niveaulocal et se contentent de remonter une alarme sans agir. Ils dtectent de plus les activits dangereuses d'un

utilisateur sans se proccuper du code dangereux.

3.2 Imperfections dans les implmentations actuelles

Dans la plupart des cas, les systmes de dtection d'intrusions sont faits d'un seul bloc ou module qui se charge

de toute l'analyse. Ce systme monolithique demande qu'on lui fournisse beaucoup de donnes d'audit, ce qui

utilise beaucoup de ressources de la machine surveille. L'aspect monolithique pose galement des problmes de

mises jour et constitue un point d'attaque unique pour ceux qui veulent s'introduire dans le systme

d'informations.

D'autres imperfections plus gnrales sont relevables dans les systmes de dtection d'intrusions actuels : - Mme en implmentant les deux types d'approches, certaines attaques sont indcelables et les systmes de

dtection sont eux-mme attaquables. Les approches comportementale et par scnarios ont elles-mmes leurs

17 sur 21 23/03/00 21:26



18/21

limites.- Les groupes de travail sur ce sujet sont relativement ferms et il n'y a pas de mthodologie gnrique de

construction. Aucun standard n'a pour l'instant vu le jour dans ce domaine. Des groupes y travaillent, notament au

sein de la DARPA et de l'IETF.- Les mises jour de profils, de signatures d'attaques ou de faon de spcifier des rgles sont gnralement

difficiles. De plus, les systmes de dtection d'intrusions demande de plus en plus de comptence celui qui

administre le systme de scurit.

- Les systmes de dtection sont gnralement crits pour un seul environnement et ne s'adapte pas au systmesurveill alors que les systmes d'informations sont, la plupart du temps, htrognes et utiliss de plusieurs

faons diffrentes.- Aucune donne n'a t pour l'instant publie pour quantifier la performance d'un systme de dtection

d'intrusions. De plus, pour tester ces systmes, les attaques sont de plus en plus difficile simuler.

De ces imperfections, on a tent de rpondre la question "Quelles sont les obligations d'un systme de

dtection d'intrusions?" et on en a dduit des conditions indispensables pour un bon fonctionnement de ces

systmes.

3.3 Conditions de fonctionnement des systmes de dtection d'intrusions

Stefano MARTINO souligne qu'un systme de dtection d'intrusions vise augmenter la fiabilit d'un rseau et en

devient donc un composant critique. Un systme de dtection d'intrusions, quelque soit son architecture, doit :

tourner en permanence sans superviseur humain.

tre tolrant aux fautes et rsister aux attaques.

utiliser un minimum de ressources du systme surveill.

dtecter les dviations par rapport un comportement normal.

tre facilement adaptable un rseau spcifique.

s'adapter aux changements avec le temps.

tre difficile tromper.

Les conditions appliquer aux systmes de dtection d'intrusions peuvent tre classes en deux parties : les

conditions fonctionnelles, c'est--dire ce que le systme de dtection se doit de faire, et les conditions de

performances, c'est--dire comment il se doit de le faire.

Un systme de dtection d'intrusions se doit videmment de faire une surveillance permanente et d'mettre une

alarme en cas de dtection. Il doit de fournir suffisamment d'informations pour rparer le systme et de dterminer

l'tendu des dommages et la responsabilit de l'intrus. Il doit tre modulable et configurable pour s'adapter aux

plates-formes et aux architectures rseaux. Il doit pouvoir assurer sa propre dfense, comme supporter que tout ou

partie du systme soit hors-service. La dtection d'anomalies doit avoir un faible taux de faux positifs. Le systme

de dtection doit tirer les leons de son exprience et tre frquemment mis jour avec de nouvelles signatures

d'attaques. De plus, il doit pouvoir grer les informations apportes par chacune des diffrentes machines et

discuter avec chacune d'entre elles. En cas d'attaques, il doit tre capable d'apporter une rponse automatique,mme aux attaques coordonnes ou distribues. Ensuite, le systme de dtection devra galement pouvoir

travailler avec d'autres outils, et notamment ceux de diagnostic de scurit du systme. Il faudra, lors d'une

attaque, retrouver les premiers vnements de corruption pour rparer correctement le systme d'informations.Enfin, il va de soi qu'il ne doit pas crer de vulnrabilits supplmentaires et qu'il doit aussi surveiller

l'administrateur systme.

Les vnements anormaux ou les brches dans la scurit doivent tre rapports en temps rel pour minimiser les

dgts. Le systme de dtection d'intrusions ne devra pas donner un lourd fardeau au matriel surveill, ni

interfrer avec les oprations qu'il traite. Il doit pouvoir s'adapter la taille du rseau qu'il surveille.

Pour pallier un certain nombre de ses problmes et remplir ses conditions, la technologie des agents mobiles a

t applique aux systmes de dtection d'intrusions. Le paragraphe suivant explique le principe, les avantages etles inconvnients des agents mobiles.

18 sur 21 23/03/00 21:26



19/21

4 Utilisation des agents mobiles dans les systmes de dtectiond'intrusions

Une alternative l'utilisation d'un module monolithique pour la dtection d'intrusions est la mise en oeuvre de

processus indpendants.

4.1 Qu'est-ce qu'un agent mobile ?

Un agent mobile est un programme autonome qui peut se dplacer de son propre chef, de machine en machine

sur un rseau htrogne dans le but de dtecter et combattre les intrusions. Cet agent mobile doit tre capable

de s'adapter son environnement, de communiquer avec d'autres agents, de se dplacer et de se protger. Pour

ce dernier point, une des fonctions de l'agent doit tre l'identification et l'authentification pour donner l'emplacement

et l'identit de celui qui l'a lanc.

Ainsi, Chaque agent est un programme lger, insuffisant pour faire un systme de dtection d'intrusions entier car

il n'a qu'une vision restreinte du systme. Si plusieurs agents cooprent, un systme de dtection plus complet

peut tre construit, permettant l'ajout et le retrait d'agents sans reconstruire l'ensemble du systme.

La premire caractristique dont ont peut tirer des avantages est la mobilit des agents. Le fait qu'il n'y ait pas de

programme principal qui se sert des autres modules comme esclaves mais plutt la prsence de plusieurs entits

intelligentes qui collaborent, fait que si une des entits s'arrte, le systme continue de fonctionner.

4.2 Avantages et inconvnients des agents mobiles

Si les agents n'apportent pas fondamentalement de nouvelles capacits, ils apportent nanmoins des rponses

aux imperfections soulignes prcdemment. Stefano MARTINO fait d'ailleurs une analogie entre le systme

immunitaire humain et cette approche : chaque cellule ou agent doit combattre les intrus avant que a ne

deviennent une menace pour le systme.

Quatre classes peuvent tre faites pour caractriser ces avantages :

La flexibilit : on a la possibilit d'adapter le nombre d'agents la taille du systme d'informations ainsi que

d'avoir des agents entrans en fonction du systme surveill.

L'efficacit : les agents affectent moins les performances de chaque machine puisqu'ils peuvent travailler

sur les ressources ayant uniquement rapport avec leur champ de vision. Le gain au niveau de l'change

d'informations, sur le rseau notamment, est loin d'tre ngligeable.

La fiabilit : c'est la tolrance aux fautes. Si un agent est hors-service, il reste d'autres agents qui peuvent

se reproduire. Le systme de dfense n'est pas annihil par la compromission d'un seul agent, un agent

corrompu ne donnnant pas une image fausse de l'ensemble du systme aux autres agents. La portabilit : les agents supportent plus facilement les systmes distribus, et donc la fois l'aspect

hte et l'aspect rseau. Notons par exemple que ce systme permet de dtecter les attaques distribues,c'est--dire des aux attaques simultanes de plusieurs personnes rparties sur un rseau.

En plus de ses avantages, il y en a encore un certain nombre. L'architecture par agents mobiles est naturelle et

prsente une plus grande rsistance aux attaques puisqu'elle se base sur un systme autre que hirarchique. Qui

plus est, elle est base sur une excution asynchrone et une certaine autonomie, ce qui fait que les agents

mobiles sont dsolidariss du reste pour une plus grande tolrance aux fautes. Enfin, les agents mobiles

prsentent la capacit de s'adapter dynamiquement aux changements et peuvent donc ragir plus rapidement.

Si les systmes par agents mobiles ont des avantages indniables, ils ont galement des inconvnients notables.

Il est clair que le codage et le dploiement sera difficile pour assurer un code code sr avec beaucoup de

fonctionnalits.

Il y a d'autres inconvnients : quand les agents se dplacent, un noeud dpourvu d'agent est vulnrable pendant un

moment. De plus, si les agents ont besoin d'un apprentissage, ce temps peut tre long. Il souligne ensuite

quelques unes des imperfections des systmes de dtection d'intrusions qui ne sont pas corriges par le systme

19 sur 21 23/03/00 21:26



20/21

des agents mobiles. Ils peuvent tre corrompus et ils imposent une utilisation des ressources et que quelque soit

le systme. Enfin, certains attaquants russiront toujours obtenir des droits pendant quelques temps avant d'tre

dtects.

Enfin, quelques points resteront tudier, comme la performance, car il faut voir la rapidit avec laquelle l'agent

dtecte et remonte l'information d'intrusion, la taille du code, car les systmes de dtection sont complexes et les

agents risquent de demander d'assez gros programmes et le temps d'adaptation des agents un systme, car il y

aura un manque de connaissance de base tant donn que beaucoup de plates-formes et de configurations sontdiffrentes.

4.3 Conclusion et perspectives pour les agents mobiles

Si les agents mobiles apportent des avantages importants, les inconvnients qu'ils engendent du mme coup ne

sont pas ngligeable. Cependant, l'approche par agents mobiles semble pouvoir donner des rsultats meilleurs que

les autres technologies et la recherche va dvelopper une nouvelle architecture pour cette technologie.

Les avantages des agents mobiles pourront tre exploits de plusieurs faons : en prvoyant de la surveillance en

plus de la dtection, en fournissant une rponse aux attaques et en augmentant la fiabilit du systme. On peut

aussi tirer profit de la diversit en reprsentant les signatures d'attaques par une mthode diffrente pour chaque

agent.

5 Perspectives pour la recherche

Les tendances de la recherche vont de la machine vers le rseau, d'un systme centralis vers un systme

distribu, vers une plus grande interoprabilit des systmes et vers une plus grande rsistance aux attaques. Les

constantes de la recherche sont l'utilisation d'un systme hybride (approche comportementale et par scnarios)

permettant de la dtection en temps rel. Beaucoup de chercheurs se penchent sur le problme de l'amlioration

du nombre de faux positifs et d'attaques non dtects.

Les mcanismes idaux de rponses aux attaques consisteraient supprimer l'action de l'intrus dans la cible,

teindre la cible et protger le reste du rseau. Dans le cas des attaques internes, il faudrait bloquer l'attaquant,teindre sa machine ou tre capable de remonter l'attaquant trs rapidement pour surveiller ses actions. Enfin, il

faudrait que le systme de dtection puisse toujours modifier les tables de filtrage des routeurs et pare-feux, ce qui

est dj le cas de certains systmes du commerce.

L'approche par agents mobiles apportent l aussi une solution puisqu'il n'est pas ncessaire d'avoir un serveur de

scurit dans le sens o les agents peuvent automatiquement se mouvoir dans le rseau et installer les

composants appropris sur les lments qu'il faut. Ils peuvent traquer les attaquants et rassembler des preuves de

faon automatique ou encore effectuer des oprations sur la machine de l'attaquant, sur la machine cible ou sur le

rseau en les mettant, par exemple, en quarantaine.

Un certain nombre de questions restent ouvertes :

Quels types d'intrusions est-on sr de dtecter ?De quelles donnes d'audit a-t-on besoin pour prendre la dcision qu'il y a eu intrusion ? Quels sont les types d'attaques contre les systmes de dtection mme ?

Quand est-on sr que le systme de dtection d'intrusions n'est pas compromis et si c'est le cas, que faire

?

Quelle quantit minimum de ressources peut prendre un systme de dtection pour tre efficace ?

A ces questions, on peut en ajouter une autre : Comment peut-on rduire le taux de faux positif? La rponse

passera sans doute par ces deux autres questions :

Quelles mthodes et mcanismes permettent de dtecter les scnarios d'attaques complexes?

Comment peut-on faire cooprer les diffrents systmes de dtection d'intrusions?

20 sur 21 23/03/00 21:26



21/21

Bibliographie

Dorothy Denning, "Protection and Defense of Intrusion", 1996

Ludovic M and Cdric Michel, "La dtection d'intrusions : bref aperu et derniers dveloppements", 1999Aurobindo Sundaram, "An introduction to Intrusion Detection", 1996

L. M and V. Alanou, "Dtection d'intrusions dans un systme informatique : mthodes et outils", 1996

Stefan Axelsson, "Research in Intrusion-Detection Systems : A Survey", 1999

Herv Debar, "Dtection d'intrusions, une aide a la scurit pour l'accs mobile", 1999

Roland Buschkes, Dogan Kesdogan et Peter Reichl, "How to Increase Security in Mobile Networks by

Anomaly Detection", 1998

Stefano Martino, "A mobile agent approach to intrusion detection", 1999

Wayne Jansen, Peter Mell, Tom Karygiannis et Don Marks, "Applying Mobile Agents to Intrusion Detection

and Response", 1999

J.P. Anderson, "Computer Security Threat Monitoring and Surveillance", 1980

Mark Crosbie et Gene Spafford, "Active Defense of a Computer System using Autonomous Agents", 1995 Nadia Boukhatem, "Les agents mobiles et applications", 1999

S. Corson et J. Macker, "Request For Comments 2501", 1999

www.guill.netMars 2000


Securite_reseaux

Documents

Transcript of Securite_reseaux