Beruflich Dokumente
Kultur Dokumente
Pourquoi la sécurité
Confidentialité
Authentification
Image de marque
Confort d’utilisation
Enjeux économiques
"
1
Pourquoi cracker Comment cracker
Utilisation des ressources CPU Quelques hackers trouvent des failles (Social Engineering)
Utilisation des ressources réseau
D ’autres en font des scripts
Vol d’information
Ils sont accessibles sur Internet
Curiosité (la majorité) Archives BugTraq
Destruction RootShell
...
Gloriole
Des milliers de crackers les utilisent
Pour l ’argent (à venir)
Ne pas se sur-estimer
2
Conséquences légales
La sécurité des stations
Pénalisation de plus en plus forte du “piratage”
informatique.
Unix
Peine de mort en Chine !
"
La surveillance (logs)
3
Mot de passe Les bugs
Recherche des mots de passe (dictionnaires) Utilisation des bugs pour obtenir des privilèges
Algorithme efficace (brute force)
Buffer overflow
Vérifie nom et prénom
Scripts SUID
Utilise des règles pour créer de nouveaux noms : ajout en tête ou en
queue (François1)
inversions, concaténation des noms courts. crontab, at : exécuté sous droits root
Backdoor La surveillance
4
Les fichiers sensibles Les astuces des crackers
Sécurité machine locale Machine locale
Sniffers
TOUS programme SUID
Crack
Tous les fichiers de l’utilisateur root Keylogger
Des sauvegardes
Les programmes utilisés par les administrateurs sécurité sont Passer les patches
souvent les mêmes que ceux utilisés par les pirates.
Encrypter
5
Les points sensibles
La sécurité d’un réseau
local Mot de passe
"
FTP
impressions
X Windows
6
NFS
DNS
Network File Sharing
Base de données répartie des domaines. Comprend les noms Montage des fichiers distants
de domaines, les machines, les adresses reverses, les
passerelles de messagerie Authentification locale par le serveur
7
Impressions X Windows
Espionnage facile
8
Sniffer sur réseau switché Sniffers X
Utilisation de xauth
Installez WireShark et « sniffez » une connexion telnet
A vos machines …
Que faire ?
Encrypter
"
9
Les points sensibles Les services
Les services
HTTP
Les problèmes intrinsèques à TCP/IP
News
DOS
DNS
DDOS
...
L’authentification
Le cryptage
Des solutions ?
HTTP News
10
Les problèmes intrinsèques
DNS à TCP/IP V4
Problèmes liés à une base de donnée répartie Pas de cryptage des informations -> écoute, spoofing…
Spoofing DNS
Sniffers
11
Internet Security Scanner Satan
Vérifie automatiquement les trous connus sur un réseau Scan tous les ports actifs des machines d’un réseau donné
entier (nmap aussi … voir Matrix)
Consiste à se faire passer pour une autre machines en But : empêcher l’utilisation de ressources
modifiant les trames TCP/IP
Moyens :
Parade : Filtrage au niveau du routeur des adresses entrantes Flooding
qui ont des adresses locales Utilisation de bugs
12
Denial Of Service Distributed Denial Of Service
Prévention Méthode
Mise à jour des systèmes Lancement d’attaque de DOS depuis plusieurs sites en même
Garde-barrière temps.
Utilisation de machines “zombies”, i.e. des machines piratées
BOT. On parle de réseau de BOT ou BOTNET
Solutions en cas d’attaque
Solutions
Si on peut le détecter n’existe pas de solutions pour l’empecher
Comme pour le DOS.
Prise de conscience planétaire
Sécuriser
Sécuriser
La machine
13
Sécuriser Sécuriser
La machine La machine
Vérification des fichiers sensibles : exports, hosts.equiv,
inetd.conf, /.rhosts, /.forward, /dev/kmem, /dev/console, /
dev/audio Utiliser les outils de vérification et de crackage : Crack,
Cops…
Vérifier l’intégrité des fichiers : outils Tripwire (checksums)
S ’abonner aux listes de sécurité (BUGTRAQ…)
Répertoires -rxwrxwrxw (/tmp, /var/tmp…)
RootShell, SecurityFocus
chercher les programmes SUID :
find -type f -perm -4000 -print Sauvegarde des logs
Cops Nessus
Vérifie les fichiers sensibles (bonnes protections…) Outil d’analyse de failles réseau
FTP anonyme
Passwords
14
Sécuriser Sécuriser
Le réseau local Le réseau local
TCP-Wrappers
Kerberos
SSH et SSF
SSH
TCP-Wrappers
Secure rsh
telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd Toute l ’information passe par un canal crypté
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd Gère X11 sur ce canal crypté (display)
15
Sécuriser le réseau local
SSF
Kerberos
16
VPN IPSEC
Authentification de IP
www.hsc.fr/ressources/veille/ipsec/papier/papier.html.fr
Internet Réseau privé
IPSEC IPSEC
IPsec est un système de sécurisation des échanges au niveau IP qui repose sur deux mécanismes (ou protocoles),
AH (Authentication Header) et
Les paramètres nécessaires à l'utilisation de ces protocoles sont gérés à l'aides d'associations de sécurité (Security
Association, SA), une association regroupant les paramètres servant à protéger une partie donnée du trafic.
Les SA sont stockées dans la base de donnée des associations de sécurité (Security Association Database, SAD) et
Les protections offertes par IPsec sont basées sur des choix définis dans la base de données de politique de sécurité
(Security Policy Database, SPD). Cette base permet de décider, pour chaque paquet, s'il se verra apporter des services
de sécurité, s'il sera autorisé à passer outre ou sera rejeté.
17
IPSEC IPSEC
IPSEC SSL
Implémentations Secure Socket Layer
Netscape, IE
S/MIME
Mode transport.
Nécessite une PKI.
Mode tunnel (entête IP modifiée) pour cacher les flux.
Extension: TLS (Transport Layer Security)
18
SSL
S/MIME
Implémentation
www.openssl.org Non-répudiation
Confidentialité
SSH peut être utilisé pour obtenir des VPN Protocole propriétaire CISCO
Implémentation VPN
OpenSSH
19
Set Infrastructure à clefs publiques :
PKI
Projet Cybercom
Service de Publication (SP) Annuaire des clefs publiques (LDAP) basés sur X509
Autorité d’Approbation de Politiques (AAP)
Version domaine public : OpenLDAP
Autorité d’Horodatage (AH)
www.openldap.org
(pourquoi ?)
20
PKI : les acteurs PKI : Les fonctions
Délégation de pouvoir
OpenCA
21
Les autorités de certification Construire une PKI
Interaction avec les autres communautés Boîtes de cristal : notre réseau n’est pas sûr, mais vous n’y
avez pas accès.
Soutient matériel et logiciel pour l ’utilisateur
Filtrage par une machine ou un routeur
Choix des logiciels
Plusieurs mises en œuvre selon le degré de sécurité souhaité
Formation/information des acteurs
Utilisation des proxies (FTP, WWW,…)
22
Gardes-barrières Gardes-barrières
exemple 1 Exemple 2
Gardes-barrières Gardes-barrières
Exemple 3 Exemple 4
Tout traffic entrant passe par une machine On filtre tout, en entrée comme en sortie
Filtrage des services disponibles sur cette machine On laisse passer quelques services bien définis, comme Mail,
WWW,...
pas de filtrage en sortie
23
Gardes-barrières La traduction d ’adresse
Exemple 5 NAT
On crée 2 réseaux, l’un très protégé; l’autre moins protégé Afin de ne pas faire connaître les adresses IP des machines,
mais très surveillé (logs) on peut utiliser la translation d’adresse
On utilise une stratégie pour le réseau protégé Les adresses utilisées sont celles de réseau privé (RFC …)
Le réseau moins protégé possède les serveurs WWW, La mise en correspondance avec des adresses connues est
messagerie, News... faite par le routeur ou par une machine
Très utilisé à cause de la pénurie des classes C. Beaucoup de services se commencent sur un port, puis
passent sur un autre
Ne se justifiera plus avec IPv6
Possibilité de tout logguer
24
La détection d’intrusion La prévention d’intrusion
tripwire
La serrure de la porte
les loquets aux fenêtres
Exemple : un firewall suivi d ’un réseau sans protections
25
La sécurité à plusieurs La sécurité à plusieurs
couches / un niveau couches / plusieurs niveaux
Ou bien
des serrures,
un garde...
SSH
Détection d ’intrusion
PGP/MIME ou S/MIME
Vérification d ’intégrité
VPN
Alarmes sur tentatives d ’intrusion sur le firewall
Vérification du contenu
26
La mise en œuvre de la sécurité Déploiement de la sécurité
27
Quelques adresses En cas d’intrusion
28
Merci de votre
attention
Clément SAAD
saad@lirmm.fr "
29