Scurit

De lenvironnement Rseaux
1
Politique
PROTECTION
VIRUS
Scurit
Physique
PROTECTION
niveau Serveur
PROTECTION
niveau PCs
Plan de
Recouvrement
Sensibilisation
Et Formation
FIREWALLS
La Scurit Informatique
2
Gestion
dincident
Filtrage de Flux
3
Le Firewall
Les Firewalls
Un Firewall est un composant ou un ensemble de composant utilis pour
contrler les communications entre deux rseaux
Rseau Interne et Rseau Externe (Internet)
Entre deux segments situ au sein du mme rseau interne
Private Network
Internet
4
Terminologie
Firewall base Hte: firewall logiciel install en gnral pour des systmes
dexploitation
Firewall Appliances: Systme install sur des quipement hardware
construit spcifiquement pour les fonctionnalits Firewall
Politique de scurit: Ensemble de rgle drivant depuis une analyse de
risque de linfrastructure rseau et lensembles des applications associes
Domaine de scurit : collection de systmes qui incorporent des softwares
ou donnes de mme classification de scurit
Zone Dmilitarise: Zone rseau sparant les segments confiance et ceux
non de confiance
Contrle daccs: Mcanisme de scurit utilis pour contrler / rguler les
connexions entre des domaines de scurit
5
Objectifs des Firewalls
Renforcer la politique de scurit entre diffrents domaines de scurit.
Les politique de scurit sont spcifique une organisation
Analyse de risque fournit une mesures du niveau de protection requis pour
protger les biens, crer les domaines de scurit consistent avec des systme
sensibles , des applications et des donnes
Permettre un accs contrl o les rles et les droits sont prdfinis
Les firewalls minimisent le taux dexpositions aux attaques rseaux
Sondage/ Scan du rseau
Accs non autoris
Attaque de dni de service
La scurit require que lactivit du firewall est constamment contrle et que sa
configuration est rgulirement audite
6
Politique de Filtrage du Firewall
Il existe deux principes dans les politique de filtrage
A. Tout ce qui nest explicitement permis est prohib (Whitelist)
Le Firewall bloque tout par dfaut
Seulement les services dont on a besoin sont permis
Les utilisateurs ont le minimum de droits
B. Tout ce qui nest pas explicitement prohib est permis (Blacklist)
Bloquer seulement les services qui prsentent des risques de scurit
Le reste des services est permis
Les utilisateurs peuvent introduire des risques de scurit
Recommendation: Utiliser la mesure A quand ceci est possible.
7
Politique de filtrage: Critres de choix
Translation dadresse (NAT ou NAPT) pour une transparence du rseau
Le contrle du routage (routage source, redirection ICMP)
Lexposition au Dni de service(TCP SYN, Land, UDP Flood, ICMP Flood)
Filtrage par application/adresse (varie selon larchitecture du firewall)
Localisation physique du paquet ( lintrieur / extrieur du primtre)
Adresse source
Adresse destination
Type dapplication TCP/IP (service, port)
Relation avec les autres paquets
Le contenu applicatif (fonctions GET, PUT)
Payload et plug-in (ex., Java, ActiveX)
Action/ Rsultat
Accepter: permettre le paquet de passer
Drop: ne pas permettre laccs pas de rponse
Deny/Reject: ne pas permettre laccs - rpondre avec un ICMP echo
Authenticate : exiger une authentification
8
Politique de filtrage : Applications rseaux
Fonctionnalit Basique:
Tous les firewalls doivent avoir les fonctionnalits de filtrage IP basique qui
prend en charge les critres suivants:
Le filtrage via numro de port associe au service ou lapplication.
Le filtrage via adresses IP source et destination.
Fonctionnalit Etendu:
Les Firewall avancs peuvent galement vrifier lauthenticit de lapplication
elle mme bas sur des informations contenu dans la structure de lentte du
paquet associ.
9
Application de la politique de filtrage
Traitement des paquets
Les rgles de contrles daccs sont excut par ordre
Une fois une rgle est satisfaite, aucune autre rgle nest applique (le
paquet est accept ou rejet selon la rgle)
Si aucune rgle nest satisfaite, le paquet est rejet (par dfaut pour la
majorit des firewall)
Un ordonnancement complexe ou pauvre des rgles peuvent rsulter en une
acceptation dun paquet prohib et la cration dune vulnrabilit de scurit
10
Internet
("Untrusted"
Network
Audit
Log
Firewall
Packet Inspection
??? Data Packet OK - Data Packet
N
O

-


D
a
t
a

P
a
c
k
e
t
External
Interface
Internal
Interface
Firew all Policies
(Rules)
Drop/Reject
Packets
Accept
Packets
Packet Flow
11
Rgles de filtrage
12
Translation dadresse (NAT & NAPT)
Technique de rcriture des adresses IP dans les entte et les flux de donnes
des applications selon une politique dfinie dans lobjectif dassurer une
transparence totale du plan dadressage du rseau initiale.
Base sur ladresse IP source du trafic et/ou ladresse IP destination
Base sur les valeurs des masques des adresse.
La translation dadresse est dcrit par les RFC 1631, 2071, 2663 et 3022
Implmentation
Firewalls
Routeurs
Cble/DSL Internet Router/Gateway Devices (Wireless Access Points)
13
Avantage de la translation dadresse
Permet tout un rseau dadressage priv daccder Internet
Permet une connectivit entre les rseaux avec chevauchement dadresses
Plus besoin dun hte de rmunration quant on change de FSI ou de plan
dadressage
Rduit la charge de gestion des adresses IP
Conserve les adresses IP registres
Les adresses relles des machines sont caches
Lorganisation est libre d'utiliser la totalit ou une partie de ces plages dadresses
IP en interne
Aucun datagramme contenant une des adresses interne ne doit circuler sur
Internet
Lorsqu'une station contacte un ordinateur externe, une adresse publique doit tre
utilise pour cet change.
14
Types et Catgories
Types des adresses tre traduites
Les adresses sources interne
Les adresses sources externe
Les catgories de la translation dadresse
Network Address Translation (NAT): Appele aussi NAT Statique
La NAT statique, se base sur l'association de n adresses avec n adresses. C'est
dire qu' une adresse IP interne, on associe une adresse IP externe. Dans ce cas,
la seule action qui sera effectue par le routeur sera de remplacer l'adresse source
ou destination par l'adresse correspondante.
Network Address and Port Translation (NAPT) : Appele aussi NAT Dynamique
La NAT dynamique est aussi appele IP masquerading. Contrairement la NAT
statique, la NAT dynamique associe une seule adresse n adresses. Ainsi, on
peut associer une adresse publique n adresses prives et permettre ainsi un
grand nombre de machines ayant des adresses prives d'accder Internet. Par
contre, cette mthode possde quelques inconvnients. Et contrairement la NAT
statique, le routeur qui effectue la NAT devra la fois modifier les adresses IP mais
aussi les ports TCP/UDP.
15
Network Address Translation (NAT)
Inside Network Outside Network
10.0.0.2
10.0.0.3
NAT Table
Inside Local
IP Address
Inside Global
IP Address
10.0.0.2
10.0.0.3
192.69.1.1
192.69.1.2
SA = Source Address
NAT
Les htes interne utilisent diffrents adresses IP registre vue par le rseau externe
11
Internet
SA
10.0.0.2
SA
192.69.1.1
16
Port Address Translation (NAPT)
Inside Network Outside Network
10.0.0.2
10.0.0.3
NAPT Table
Inside Local
IP Address
Inside Global
IP Address
192.69.1.1:5001
192.69.1.1:5002
10.0.0.2
10.0.0.3
SA = Source Address
NAPT
Internet
SA
10.0.0.2
SA
192.69.1.1
Traduction multiplexe
Les htes interne utilisent la mme adresse IP registre vue par le rseau externe
17
Gnralit
Charge: Une charge additionnelle et une complexit plus importante pour les
routeurs et les firewalls.
Scurit: ne fournit pas une scurit au niveau applicatif.
Lorsquun hte se connect un serveur malicieux, il risque de subir une attaque de
routage source.
Les paquets chiffrs: Plusieurs problmes trouvs avec les VPN L2TP et IPsec et
autres types de chiffrements des applications, sauf si le firewall agit en tant que
terminal VPN.
Certains protocoles, comme rlogin, imposent que le port source soit fix 512. La
traverse d'un NAT empche alors plus d'une session sortante par adresse publique.
Le protocole X-windows pose galement un problme, car les connexions TCP sont
inities par les clients.
La fragmentation ventuelle des paquets dans le rseau pose galement un
problme quand un NAT est travers, car il n'est pas possible pour un hte qui reoit
des fragments avec le mme fragment id et des adresses IP source identiques
d'identifier qu'ils appartiennent en ralit deux htes diffrents derrire un NAT.
18
Directive pour le filtrage des Adresse IP
Cacher les adresses rseaux Internes avec du NAT ou du NAPT
Rejeter tout paquet subissant un routage source
Rejeter toute adresse destination interne qui tentant de passer vers lextrieur
Rejeter toute adresse destination externe qui tentant de passer vers lintrieur
Rejeter toute adresse source interne tentant de passer vers lintrieur
Rejeter toute adresse source externe tentant de passer vers lextrieur
Rejeter les adresses sources ou destinations 127.0.0.1
Rejeter les adresses sources ou destinations 0.0.0.0
Rejeter les adresses sources ou destinations contenant des adresses IP prives
(10., 172.16-31, 192.168)
Utiliser les recommandation des RFC 2267 pour vous protger des attaques DDoS
Utiliser une rgle de nettoyage pour rejeter et sauvegarder les paquets qui ne
sappliquent aucune rgle de filtrage.
19
Directives pour le filtrage Applications
Minimiser le trafic des applications travers le firewall (inbound)
Bloquer toutes les applications non ncessaires.
Bloquer laccs externe au services TFTP, NFS, NIS, X-Server, SNMP, ICMP.
Bloquer laccs externe au port NetBios 135-139, 445 pour les rseaux Windows.
Utiliser des passerelles applicatives et un filtrage stateful inspection
Mettre le serveur web publique sur un autre systme autre que le firewall (pour les
solution Firewall logiciels).
Cloisonner le serveur web en linstallant dans une DMZ ddie.
Placer le DNS interne et le serveur Mail derrire le Firewall.
20
Zone dmilitarise (DMZ)
Les rseaux DMZ fonctionnent
comme un petit rseau isol, plac
entre le rseau non scuris et le
rseau priv
Gnralement, les systmes
prsents sur le rseau non scuris
et certains systmes du rseau priv
peuvent accder un nombre limit
de services disponibles dans la DMZ
Lobjectif est dempcher la
transmission de trafic directement
entre le rseau non scuris et le
rseau priv
21
Stratgies DMZ (1)
Pas dutilisation des Hubs
Utilisation de Switch supportant le cloisonnement par la cration des VLAN
Soigner limplmentation des VLAN pour:
Protger le trafic de contrle (VLAN control channel (802.10q) )
Minimiser les possibilits de flood de paquets
Fournir des capacit de troubleshooting
Fournir des fonctionnalits de dpannage l'aide d'un miroir des ports
Utiliser les routeur entant que outil prliminaire de contrle des paquets
Utiliser les serveurs proxy pour prendre en charge les tches les plus lourdes
sur les firewalls primaires.
22
23
Stratgies DMZ (2)
Disposition en Srie
24
Stratgies DMZ (3)
Rpartition de charge
25
Stratgies DMZ (4)
Segmentation du rseau
Composants dune architecture Firewall
Filtre de Paquets
Serveur Proxy Cache
Passerelle Proxy au niveau du circuit
Passerelle Proxy au niveau de lapplication
Moteur Stateful inspection
Firewall Applicatif
Hybride
26
Filtre de paquets
Accepter/ Rejeter les paquets en se basant sur la valeur nominale du contenu
des champs entte
Ne relie pas les informations dun paquet un autre
Les fonctionnalits de filtrage de paquet sont communment incorpores dans
les routeurs et les systmes dexploitation (Windows 2000, 2003 et Linux)
Utilisent typiquement les donnes trouves dans les enttes TCP et IP.
Cest la base de tous les architecture firewall (Le minimum requit pour les
firewall)
27
FIREWALL
Source Destination Protocol Application Action
All 200.12.34.1- UDP All Deny, Log
200.12.34.254 UDP All Deny,Log
123.45.67.89 200.12.34.56 TCP Telnet (23) Allow, Log
All 200.12.34.1- TCP All Deny, Log
200.12.34.254
Access Control Lists
(Filters)
Internet
Packet
Filter
Other
External
Network
Hosts
123.45.67.89
Telnet Client
200.12.34.56
Telnet Server
Allowed
Denied
APPLICATION
NETWORK
PRESENTATION
SESSION
TRANSPORT
DATA LINK
PHYSICAL
PACKET FILTER
28
Firewalls Proxy
Logiciel qui agit au nom de
lutilisateur (proxy)
Lutilisateur se connecte au proxy
en tant quune application , mais
ne ncessite pas daccder son
systme dexploitation
Suite la connexion initiale, le
proxy agit dune faon transparent
pour tendre la session
Proxy
Server(s)
Proxy
Client
Router
Router
Firewall
Internal
Network
(optional)
External
User
Internal
User
External
Server
Internet
Internal
Server
29
Serveur Proxy Cache
Optimiser les performances en utilisant les avantages du cache.
Les technologies proxy sont utilises pour les firewalls avancs assez robuste et
qui jouent le rle dune passerelle applicative.
Utilis pour prendre en charge des fonctionnalits comme lauthentification des
utilisateurs et la vrification du contenu malicieux (Exploits des navigateurs web,
Java, ActiveX) qui sont trs lourd traiter.
Utilise les mme informations de lentte que le filtre de paquet lorsque le filtrage
est appliqus.
Opre gnralement au dessus dun systme dexploitation
Le serveur proxy peut avoir des fonctionnalits qui ressemblent celle du firewall
mais qui ne peut jamais tre considrs comme firewall.
30
Firewall-Proxy au niveau du circuit
Un Proxy gnrique qui ninspecte pas lintgrit de lapplication.
Ne ncessite pas de proxy spcial pour chaque service (FTP,HTTP, Telnet, )
Cre un circuit entre le client et le serveur sans ncessit de possder des
informations propos du service
Intgre des tables dtat pour comparer les donnes de sessions relatives
travers les paquets
Utilise les mme information de lentte de paquets que les filtre par paquets,
mais il sen sert galement dautres informations tel que : le numro de squence
et ltats du flags.
Procde la rcriture des paquets
Nassure pas la fonctionnalit de routage des paquets entre les interfaces.
Opre gnralement sur un systme dexploitation.
31
Internet
Other
External
Network
Hosts
123.45.67.89
Telnet Client
Denied
FIREWALL
Filters
&
Connection State
200.12.34.56
Telnet Server
Allowed
State
Tables
Circuit
Proxy
APPLICATION
NETWORK
PRESENTATION
SESSION
TRANSPORT
DATA LINK
PHYSICAL
CIRCUIT GATEWAY
32
Passerelle Proxy au niveau de lapplication
Propose le niveau de scurit le plus levs, car il permet le meilleur niveau de
contrle
Utilise un proxy diffrent pour chaque application autorise alloue travers le firewall
Fournit des informations sur le type et le volumes de trafic
Peut impliquer une authentification de lutilisateur pour chaque service
Incorpore des tables dtat pour comparer les session de donnes travers les
paquets au niveau application, transport/session
Inspecte les donnes des en-tte des couches Rseaux, Transport, Application et
parfois des payload de donnes
33
Passerelle Proxy au niveau de lapplication
Procde la rcriture des paquets
Nassure pas la fonctionnalit de routage des paquets entre les interfaces.
Impacte les performances du rseau puisquil analyse les paquets et prend des
dcisions en matire de contrle daccs
Technologie implmente au niveau des firewalls personnels
Fourni plusieurs niveau dinspection pour les applications web, ce qui lui permet de
rechercher des codes mobiles et des virus dans les contenus.
Opre sur un systme dexploitation
Exemple FTP: actions des utilisateurs limites la seule lecture dun fichier
(Commande GET) ou lcriture dun fichier (Commande PUT)
34
Internet
Other
External
Network
Hosts
123.45.67.89
Telnet Client
Denied
FIREWALL
Filters,
Connection State,
& Application State
200.12.34.56
Telnet Server
Allowed
State
Tables
Telnet
Proxy
FTP
Proxy
Web
Proxy
Separate Proxy
for Each
Application
APPLICATION
NETWORK
PRESENTATION
SESSION
TRANSPORT
DATA LINK
PHYSICAL
APPLICATION GATEWAY
35
Moteur de Stateful Inspection
Les paquets ou trames de donnes transmises sont capturs et analyss au niveau
de toutes les couches de communications
Les donnes dtat et contextuelle sont stockes et mises jour dynamiquement
Effectue le suivie des protocoles agissant en mode non orient connexion tel que
RPC (Remote Procedure Call).
Effectue le suivie des applications bases sur le protocole UDP.
Utilise une table pour sauvegarder les informations tendues relatives aux paquets de
donnes.
Vrifie la concordance des informations relative ltablissement dune session pour
une connexion avec celle enregistres dans la table.
Examine le contenu de chaque paquet selon un niveau de dtails arbitraire, Il est
possible dassocier des rponse UDP entrantes avec une ancienne demande UDP
sortante
Utilise une mthode scurise pour analyser les paquets de donnes
Frquemment implment dans les solutions Appliances (Cisco PIX, Nokia Firewall).
36
Internet
Other
External
Network
Hosts
123.45.67.89
Telnet Client
Denied
FIREWALL
Filters
Connection State,
& Application State
200.12.34.56
Telnet Server
Allowed
State
Tables
Stateful
Inspection
Engine
APPLICATION
NETWORK
PRESENTATION
SESSION
TRANSPORT
DATA LINK
PHYSICAL
STATEFUL PACKET FILTER
37
Comparatif 1 : Pile de protocole
APPLICATION
NETWORK
PRESENTATION
SESSION
TRANSPORT
DATA LINK
PHYSICAL
PACKET FILTER
APPLICATION GATEWAY
CIRCUIT GATEWAY
STATEFUL INSPECTION
38
Filtre de Paquet: Entte transport + Numro de port
Passerelle cot Circuit: Entte transport , utilise les drapeaux et autres contrles
sur les entte de donnes (numro de squence) pour fournir la gestion dtat.
Passerelle cot application: Typiquement, le firewall le plus robuste utilisant la
couche application et les donnes
Stateful Inspection: Les bnfices de performance peuvent tre compenss
par la faiblesse ou linexistence dexamen minutieux de la couche application
ou du contenu de donnes
39
Comparatif 2 : Traitement des donnes
Packet
Filter
Circuit
Gateway
Application
Gateway
Stateful
Inspection
Data Link
Header
Network
(IP)
Header
Transport
Header
Application
Header
DATA
Data Link
Header
Network
(IP)
Header
Transport
Header
Application
Header
DATA
Data Link
Header
Network
(IP)
Header
Transport
Header
Application
Header
DATA
Data Link
Header
Network
(IP)
Header
Transport
Header
Application
Header
DATA
Connection
State
Connection
& Application
State
Connection
& Application
State
HTTP : Le grand trou de scurit
Firewall
Port 80
HTTP Traffic
Web
Client
Web
Server
Application
Application
Database
Server
40
Deep Inspection Firewall
Firewall avec des fonctionnalits supplmentaire danalyse dapplication
(Check Point Web Intelligence features)
Des versions de Deep inspection firewall peuvent assurer les fonctionnalits :
Dtection de virus.
Prvention dintrusion.
Filtrage de contenue.
Anti-spam.
VoIP
Peut tre dploy dans des architecture stateful inspection ou firewall-proxy
Le niveau danalyse des application varie selon le type (stateful inspection ou
firewall proxy).
Peut prsenter des problmes de performance, il est conseill de linstaller sur
un serveur spar.
Demande croissante danalyse de contenu des applications web
Lanalyse de flux Web (http/https) nest pas uniquement le seul point dintrt
de firewall entreprise.
41
Web Firewall
Fournit un niveau lev de granularit de protection des systmes et des
applications
Il assure les fonctionnalits suivantes :
Dcrypte et normalise le payload HTTP
Cherche des empreintes dattaques spcifique
Cherche des classes gnriques d'indicateurs dattaque
Identifie les caractristiques dopration habituel/ordinaire
Verrouille les ressources sensibles
Bloque et alerte les activits suspectes
Log tous les activits suspectes
42
Design Conceptuel des web Firewall
43
Network & Application Firewalls
Network Deep Inspection Application
Network Access Control Yes Yes No
Inspect IP/TCP Headers Yes Yes No
Inspect Packet Payload Limited Yes Yes
Understands non-HTTP traffic Varies Varies No
Understand HTTP traffic No Limited Yes
Understanding of HTTP Session semantics No No Yes
Understand Encrypted/Encoded Data(SSL/TLS) No No Yes
Web Server Cloaking No No Yes
Prevent Injection-based Web attacks (XSS, SQL
Injection, etc.)
No Limited Yes
Prevent Buffer Overflow attacks No Limited Varies
44
Concepts de Scurit du firewall
Application Layer fw configuration
OS- OS Controls
Data Link Cabling and Switching
Environmental Architecture Controls
Policies and procedures People and Process
45
Scurit du Firewall : Environnement
Documenter et communiquer clairement ceux qui sont autoriss :
- Installer, dsinstaller et dplacer les firewalls
- Excuter la maintenance matrielle
- Modifier la configuration physique
- Etablir des connexions physiques au firewall
Dfinir les procdures :
- Pour lemplacement et linstallations des firewall par zone
- De scurisation de laccs physique la console
- De rcupration en cas de dommage physique
- Descalage en cas de modification non autorise des firewalls
46
Scurit du Firewall : Liaison de donnes
Utiliser avec modration des VLAN sur les firewalls critiques
Envisager dutiliser des techniques de virtualisation de firewall (VSX) en cas de
besoin
47
Scurit du Firewall : Systme dexploitation
Vrifier que les systmes dexploitation ont t correctement renforcs
Vrifier que les services inutiles ont t dsactiv
Activer les mcanismes de journalisation des systmes dexploitation
Utiliser les contrles doubles intervention pour les fonctions critiques (accs
lOS)
Listes de contrle daccs (ACL)
Les listes de contrle daccs sont des listes de conditions qui sont appliques au
trafic circulant via une interface.
Les ACL permettent de grer le trafic et de scuriser laccs dun rseau en entre
comme en sortie.
Les ACL (Access Control Lists) permettent de filtrer des packets suivant des
critres dfinis par l'utilisateur
De ladresse IP source
De ladresse IP destination
...
Il existe 2 types d'ACL
Standard : applicable uniquement sur les adresses IP sources
Etendue : applicable sur quasiment tous les champs des en-ttes IP, TCP et UDP
48
Principe de fonctionnement
49
Logique des ACL
Il est possible de rsumer le fonctionnement des ACL de la faon suivante :
Le paquet est vrifi par rapport au 1er critre dfini
S'il vrifie le critre, l'action dfinie est applique
Sinon le paquet est compar successivement par rapport aux ACL suivants
S'il ne satisfait aucun critre, l'action deny est applique
Les critres sont dfinit sur les informations contenues dans les en-ttes IP, TCP
ou UDP
Des masques ont t dfini pour pouvoir identifier une ou plusieurs adresses IP en
une seule dfinition
Ce masque dfini la portion de l'adresse IP qui doit tre examine
0.0.255.255 signifie que seuls les 2 premiers octets doivent tre examins
deny 10.1.3.0 avec 0.0.0.255 : refus de toutes les IP commenant par 10.1.3
50
ACL Standard
Fonctionnement des ACL
Test des rgles les unes aprs les autres
Si aucune rgle n'est applicable, rejet du paquet
Dfinition d'une rgle
access-list number [deny|permit] source [source-wildcard]
Number compris entre 1 et 99 ou entre 1300 et 1999
access-list number remark test
Activation d'une ACL sur une interface
ip access-group [ number | name [ in | out ] ]
Visualiser les ACL
show access-lists [ number | name ] : toutes les ACL quelque soit l'interface
show ip access-lists [ number | name ] : les ACL uniquement lis au protocole IP
51
Extended ACL
Les extended ACL permettent filtrer des paquets en fonction
de l'adresse de destination IP
Du type de protocole (TCP, UDP, ICMP, IGRP, IGMP, ...)
Port source
Port destination
Dfinition d'une rgle
access-list number { deny | permit } protocol source [source-wildcard]
destination [source-wildcard]
number : compris entre 100 et 199 ou 2000 et 2699
access-list 101 deny ip any host 10.1.1.1
Refus des paquets IP destination de la machine 10.1.1.1 et provenant de
n'importe quelle source
access-list 101 deny tcp any gt 1023 host 10.1.1.1 eq 23
Refus de paquet TCP provenant d'un port > 1023 et destination du port 23 de la
machine d'IP 10.1.1.1
access-list 101 deny tcp any host 10.1.1.1 eq http
Refus des paquets TCP destination du port 80 de la machine d'IP 10.1.1.1 52
Dtection dintrusion
53
IDS & IPS
Prvention et dtection dintrusion
Systme de prvention dintrusion (IPS)
Permet de prendre des mesures pour diminuer les impacts d'une attaque
Peut bloquer des ports automatiquement
Peut dtecter les attaques connues et inconnues
Intercepte et retransmet les paquets de manire active
Ils nest pas fiables 100% et risque en cas de faux positif de bloquer un trafic
lgitime
Systme de dtection dintrusion (IDS)
Dtecte les tentatives dintrusion et toutes les actions visant obtenir un accs
non autoris
Audit des tentatives dintrusion en temps utile
Permet d'avoir une connaissance sur les tentatives que ce soit russies ou
choues
54
Les Types dIPS
Il existe trois types dIPS :
Les HIPS (Host-based Intrusion Prevention System):
Ce sont des IPS permettant de surveiller le poste de travail travers diffrentes
techniques, ils surveillent les lments suivants :
Les processus
Les drivers,
Les .dll
.
En cas de dtection de processus suspect le HIPS peut le tuer pour mettre fin ses
agissements.
Les NIPS (Netword Intrusion Prevention System):
Ce sont des IPS permettant de surveiller le trafic rseau, il peuvent prendre des
mesures tel que terminer une session TCP ...
Les KIPS (Kernel Intrusion Prevention System):
Ce sont des IPS permettant de dtecter toutes tentatives d'intrusion au niveau du
noyau systme, mais ils sont moins utiliss.
55
Il existe trois types dIDS :
Les NIDS (Network Based Intrusion Detection System):
Ce sont des IDS permettant de surveiller l'tat de la scurit au niveau du rseau
Les HIDS (HostBased Intrusion Detection System):
Ce sont des IDS permettant de surveiller l'tat de la scurit au niveau des htes
Les IDS hybrides, ils utilisent les NIDS et les HIDS pour avoir des alertes plus
pertinentes.
Remarque 1: Les HIDS sont particulirement efficaces pour dterminer si un
hte est contamin ou non.
Remarque 2: Les NIDS permettent de surveiller lensemble dun rseau.
56
Les Types dIDS
IDS rseau (NIDS)
Surveille les paquets du rseau et le trafic en temps rel sur les voies de
communication
Analyse les protocoles et toute autre information pertinente sur les paquets
Peut envoyer des alertes ou mettre fin une connexion litigeuse
Peut sintgrer un firewall et dfinir de nouvelles rgles
Le cryptage perturbe ma supervision des donnes
57
IDS Hte (HIDS)
Agent Rsidant sur hte qui dtecte les intrusions apparente
Scrute les journaux dvnements, les fichiers systmes critiques et toute autre
ressource pouvant tre audite
Recherche les modifications non autorises ou les profils de comportement ou
dactivit suspects
Envoie des alertes lorsquil dtecte des vnements inhabituels
Le HIDS multi-hte rcupre les alertes de plusieurs htes
IDS par reconnaissance de forme
Identifie les attaques connues
Recherche dans les paquets entrants des squences doctets spcifique
(signatures) stockes dans une base de donnes dattaques connues
Fournit des informations spcifiques danalyse et de rponse
Peut dclencher de faux positifs
Ncessite de frquentes mises jour des signatures
Les attaques peuvent tre modifies pour viter dtre dtectes
58
IDS par reconnaissance de squence dynamique
Identifie les attaques connues
Recherche les signatures dattaques dans le cadre du flux de trafic et non
plus dans des paquets individuels
Dtecte les signatures rparties sur plusieurs paquets
Fournit des informations spcifiques danalyse et de rponse
Peut dclencher de faux positifs
Ncessite de frquentes mises jour des signatures
Les attaques peuvent tre modifies pour viter dtre dtectes
IDS bas sur les anomalies statistiques
Dvelopper des valeurs de rfrence de lactivit et du dbit en trafic normal et
alerte en cas de dviation par rapport ces valeurs
Peut identifier des attaques inconnues et des vagues de dni de service (DoS)
Peut se rvler difficile rgler correctement
Ncessite une bonne connaissance des caractristique du trafic normal
59
IDS bas sur les anomalies de protocole
Recherche les carts par rapport aux standards tablis dans les RFC
Peut identifier les attaques sans signature
Rduit le nombre de faux positifs avec les protocoles bien matriss
Peut conduire de faux positifs et de faux ngatifs avec des protocoles
complexe ou peu matriss
Le dploiement des modules danalyse de protocole est plus long chez les clients
que les signatures
IDS bas sur les anomalies de trafic
Surveille les activits inhabituelles du trafic, telles que linondation de paquets
UDP ou lapparition dun nouveau service sur le rseau
Peut identifier les attaques inconnues et les vagues de dni de service DoS
Peut se rvler difficile rgler correctement
Ncessite une bonne connaissance de lenvironnement du trafic normal
60
Anomalies ??
On entend par anomalie:
Plusieurs tentatives infructueuses de connexion
La connexion dutilisateurs des heures bizarre
Les modifications inexpliqus dhorloge systme
Des messages derreur inhabituels
Des arrts ou redmarrage inexpliqus du systme
Rponse aux intrusions
Exemple de rponse:
Abandon des paquets de donnes suspects au niveau du firewall
Refus daccs aux ressources un utilisateurs prsentant une activit suspecte
Signalement de lactivit vers les htes du site
Mise jour des configurations dans le systme IDS
61
Alarmes et signaux dintrusions
Comment le systme averti dune intrusion
LIDS envoie une alerte, via une interface utilisateur
Les messages dalerte peuvent tre du type
Message sonore
Message instantan
Mail
Gestion de lIDS
Pour garantir lefficacit du systme de dtection dintrusion , il convient
demployer une personne disposant des connaissances techniques pour
slectionner, installer, configurer oprer et maintenir le systme IDS
Lanalyste doit tenir le systme jour des nouvelles signatures dattaques et doit
dterminer les profils de comportement attendus
LIDS peut tre vulnrable aux attaques suivantes
Les intrus tentent de dsactiver les systme ou de surcharger avec de fausses
informations
Lattaque dun IDS peut tre une simple diversion
62
Solution ANTIVIRALE
63
Principe
Solutions monoposte ou Client / Serveur
Gestion Centralise du serveur et des clients
Solution messagerie pour serveur mail (Lotus, Exchange)
Solutions Passerelle antivirales
Protection Contre les codes malicieux (Vers, Cheval de Troie, Rootkit)
Intgration des fonctionnalits antispyware, HIDD ou IPS
Scan et Test transparent aux utilisateurs
Authentification des utilisateurs lors de ladministration
Mises jour Automatiques
Blocage du contenu web futile
64
Gestion des vulnrabilits
Solution avec application hirarchise (chelle de priorit) de contre-mesures
Contrles de contenu tendus et test de vulnrabilits de linfrastructure rseau
Identification des nouvelles menaces et mise en corrlation
Audit des stratgies et valuations de la conformit aux normes et standard de scurit
Inventaire des actifs.
Gestion, analyse et gnration de rapports
Exemples:
Qualys de Foundstone
Opium pour les solutions open source
Autres lments Importants
Authentification
Annuaire: LDAP, Active Directory
Protocole dauthentification: Radius, Tacacs, Tacacs+, Diameter
Protection de laccs distant: VPN : Virtual Private Network
Sauvegarde:
Essentiels en cas de panne, attaques, ou de problmes critiques
Exemple: Sauvegarde de la Base de donnes
Symantec Veritas
Data Loss Prevention
Prvention de la fuite des donnes Hte et rseau (copie vers USB, Ipod, Email)
Mcafee DLP
Mises jours
Serveur WSUS pour les plateformes Microsoft
Autres mesures artisanales pour les solutions Linux/Unix
Journalisation
Assurer une traabilit de tous les vnements rseau et systme
Prvenir et combler tous les types de problmes*
NTP : Network Time Protocol
Serveur de Temps
Synchroniser les horloge
DNS
Allger le trafic Rseau
65
HTTP/HTTPS
BD
Serveur
dapplication
Proxy
Reverse
Proxy
Firewall
Applicatif
Serveur
dauthentification
DNS
WSUS
Sauvegarde
Log
Server
Antivirus
NTP
66
Administration
Ladministration doit tre centralise
La zone dadministration doit tre isole (segment indpendant)
Suivi des vnements et alertes
Dtection et prvention des anomalies
Suivi du trafic rseau
Automatiser au maximum les tches effectuer
67
Ladministrateur nintervient que
pour rsoudre des problmes
assez complexe ou non prvue
68
HTTP/HTTPS
BD
Serveur
dapplication
Proxy
Reverse
Proxy
Firewall
Applicatif
Serveur
dauthentification
DNS
WSUS
Sauvegarde
Log
Server
Antivirus
NTP
Administrateur
Points importants
Transparence pour lutilisateur final
Facilit de mise en uvre de la politique de scurit
Ne pas provoquer de pertes de performance (patte GB pour le serveur de Log)
Indpendance totale vis--vis des logiciels utiliss par les utilisateurs (cot
client et serveur)
Un systme dexploitation doit tre install toujours de faon minimale
(limiter les risques et comprendre les problmes)
Lendurcissement des systmes dexploitation est obligatoire sur tous les
serveurs
Chaque personne doit avoir un identifiant unique
Les mots de passes utilisateurs doivent obligatoirement tre modifier de
manire priodique
69
Une faille dans un lments met en pril le rseau entier
LES Techniques
de disponibilit Rseau
70
Cblage rseau
Les cbles utiliss auront un impact sur la rsilience dun rseau en cas de
dfaillance
Tester et certifier tous les cbles avant lutilisation sur le rseau
Segmenter les zones de problmes laides des swicths
Utiliser les fibres pour viter les interfrences lectromagntiques
Limiter la longueur des cbles
71
Topologie
Certaines topologies sont plus efficaces que dautres en terme de rcupration
suite des problmes rseau.
Lorsquil est utilis avec des cbles paire torsade, Ethernet peut tre
extrmement rsistant aux problmes de cblage.
Token Ring a t conu pour tre insensible aux dfaillances, mais sera fragilis
par des cartes dinterface rseau dfectueuses.
Si elle est implmente avec des anneaux contrarotatifs doubles, linterface FDDI
est particulirement fiable.
Points de dfaillance uniques
Les lignes loues (LS) sont susceptibles dintroduire un point faible unique.
Le relais de trames (FR) fournit une connectivit de rseau tendu sur un rseau
public commut partag. Lorsquun segments du nuage du FR est dfaillant, le trafic
est dvi sur dautres lignes.
La liaison entre le fournisseur et le client reste un point faible unique.
72
Contre-mesures
La cration des points faibles uniques est une erreur classique en matire de
conception de rseaux.
Etre vigilant concernant les quipements consolids tels que les routeurs, les
commutateurs et les firewalls.
Dployer des quipements redondants.
Tirer parti des routes LAN redondantes.
Connexions de secours la demande pour les liaisons WAN.
Construire des systmes de :
Disponibilit de base : intgrant un nombre suffisant de composants pour satisfaire aux
exigences fonctionnelles du systme.
Haute disponibilit : intgrant un niveau suffisant de redondance.
Disponibilit continue : intgrant galement des composants permettant deffectuer des
interruptions planifies (pour mise niveau, sauvegarde).
Enregistrement des fichiers de
configuration
Lorsque des dispositifs rseau tombent en panne, il est probable que les
configurations locales seront perdues.
Journalisation du terminal permet denregistrer les fichiers de configuration en
consignant ce qui apparat sur le terminal, le dispositif tant programm localement.
Protocole TFTP (Trivial File Transfer Protocol) prend en charge lenregistrement ou
la rcupration des informations de configuration. Un serveur unique peut archiver
les fichiers de configuration de tous les dispositifs du rseau.
73
Techniques de disponibilit rseau
Afin de prvenir les dsastres rseaux et de protger notre systme dinformations,
il est primordiale de focaliser notre intrt sur les points suivants :
Systmes dalimentation sans coupure (UPS)
Matrice redondante de disques (RAID)
Serveurs redondants
Mise en grappe (Clustering)
Techniques de sauvegarde
Rcupration de serveur
74
UPS,RAID et MAID
Systmes dalimentation sans coupure (UPS)
Fournissent une source dalimentation propre et stabilise.
Matrice redondante de disques indpendants (RAID)
Augmenter la capacit de stockage: Permet de mettre bout bout des
disques durs, pour accrotre la taille du volume.
Amliorer les performances : Les donnes sont crites sur plusieurs disques
la fois. Ainsi, chacun des disques n'a qu'une partie des donnes inscrire.
Intgre une tolrance aux pannes contre les dfaillances de disque dur et
peut amliorer les performances systme.
Matrice massive de disques inactifs (MAID)
Semblable RAID, hormis que les disques restent en sommeil jusqu ce
quils soient de nouveau utiles.
En rduisant le nombre de disques actifs en mme temps, il est possible de
rduire sensiblement les couts lis au contrleur de disque.
75
RAID 5: Il s'agit cette fois de dcouper les fichiers en
paquets d'octets de la taille d'un cluster de disque dur,
puis de rpartir sur n disques (et non plus n -1 comme
en RAID 3 ou 4).
RAID3:Cette technique utilise plusieurs disques pour
rpartir les donnes la manire RAID 0 et un disque
supplmentaire pour stocker les bits de parits.
RAID1: Les donnes sont crites de faon redondante et
en mme temps sur deux disques en miroir afin de
prserver les donnes en cas de panne physique
RAID0: Le principe est de rpartir les donnes
sauvegarder sur plusieurs disques. L'criture et la
lecture de donnes se font grande vitesse
puisqu'on agit en parallle sur toutes les units
76
Serveurs redondants
Conserver un ordinateur inactif redondant disponible pour la rcupration des
dfaillances, cest une technique de tolrances aux pannes des serveurs.
Fournir un ou plusieurs systmes complets disponibles au cas o le systme
principal tombe en panne.
77
Mise en grappe (Clustering)
Semblable aux serveurs redondants, hormis que tous les systmes participent au
traitement des demandes de service.
La grappe(cluster) agit comme une unit intelligente unique pour quilibrer la
charge de trafic.
Plus intressant que la solution de redondance serveur, car les systmes
secondaires fournissent effectivement du temps de traitement.
Augmente sensiblement la disponibilit et les performances.
Sauvegardes
Protgent les informations stockes sur le serveur.
Trois types:
Sauvegarde complte : excute un archivage complet de chaque fichier.
Sauvegarde diffrentielle : copie uniquement les fichiers modifis depuis la
dernire sauvegarde complte.
Sauvegarde incrmentielle : copie uniquement les fichiers ajouts ou modifis
rcemment depuis la dernire sauvegarde, complte ou incrmentielle.
78
Techniques de Sauvegarde
Matrice de bandes
Matrice redondante de bandes indpendantes semblable la technique RAID
Autres techniques:
SCSI (Small Computer System Interface)
NAS (Network Attached Storage )
SAN (Stockage Area Network)
SATA(Serial Adanced Technology Architecture)
.
Sauvegarde en ligne
La Sauvegarde en ligne continue est assur avec un logiciel de gestion
hirarchique du stockage nomme HSM.
Le principe de fonctionnement du HSM est le suivant :
Attribue aux donnes les plus rcentes ou les plus importantes les systmes de
stockages les plus performants.
Combine une technologie de disque dur avec lutilisation de jukeboxes optiques
ou bande, plus lents et moins coteux.
Progiciel de sauvegarde en ligne continue Rseau de stockage (SAM).
Rseau partag qui connecte des htes des dispositifs de stockage.
Souvent utilis pour implmenter des sauvegardes sans serveur.
79
80
MERCI