Plan du cours

La Sécurité des réseaux 1.  Généralités

2.  La sécurité de la station Unix

3.  Le réseau local

4.  La sécurité sur l’INTERNET

5.  Comment sécuriser

6.  Que faire en cas d’intrusion

7.  Perspectives
Clément SAAD - saad@lirmm.fr
Docteur en informatique et Enseignant chercheur au LIRMM "
Créateur de la société PRADEO Security Systems

Pourquoi la sécurité

Généralités   Protection du travail

  Confidentialité

  Authentification

  Accès aux ressources informatiques

  Image de marque

  Confort d’utilisation

  Enjeux économiques

"

1
 Pourquoi cracker Comment cracker

  Utilisation des ressources CPU
  Utilisation des ressources réseau
  Vol d’information
  Curiosité (la majorité)
  Destruction
  Gloriole
  Pour l ’argent (à venir)
  Quelques hackers trouvent des failles (Social Engineering)
  D ’autres en font des scripts
  Ils sont accessibles sur Internet
  Archives BugTraq
  RootShell
  ...
  Des milliers de crackers les utilisent

Autres bugs Conseils au hacker

Social Ingineering   Rester du bon côté

  Mesurer les risques

Injection SQL
  Être paranoïaque

  Avoir la pleine maîtrise des techniques

  Être trop prudent

  Ne pas se sur-estimer

  Ne pas sous-estimer les autres

2
 Conséquences légales
La sécurité des stations
  Pénalisation de plus en plus forte du “piratage”
informatique.
Unix
  Peine de mort en Chine !

  Voulez-vous servir d’exemple ?

  Le jeux n’en vaut pas la chandelle.

"

Les points sensibles L ’authentification

  Le système de fichier   /etc/passwd /etc/shadow

  L’authentification   toto:k73LKPjAtnhX.:2143:300:Jean Toto:/users/toto:/bin/csh

  La protection des fichiers   /etc/group

  La protection à l’exécution   users:*:300:dupont

  La surveillance (logs)

  Les fichiers sensibles A vos machines …

  Les astuces des crackers

3
 Mot de passe Les bugs

  Recherche des mots de passe (dictionnaires)   Utilisation des bugs pour obtenir des privilèges
  Algorithme efficace (brute force)
  Buffer overflow
  Vérifie nom et prénom
  Scripts SUID
  Utilise des règles pour créer de nouveaux noms : ajout en tête ou en
queue (François1)
inversions, concaténation des noms courts.   crontab, at : exécuté sous droits root

  Passage de paramètres non prévus

Installer John the riper … A vos machines …

Backdoor La surveillance

Programme qui permet “d’ouvrir” une porte au pirate afin

  /etc/Syslog, syslog.conf et /var/log/syslog
qu’il puisse exploiter la machine à distance.
  plus logs applicatifs
Exemples
-  Ouverture d’un port   Auth.log
-  Clé SSH
-  Création d’un utilisateur
-  etc A vos machines ….

Connexion ssh avec clés : A vos machines … si nécessaire

4
 Les fichiers sensibles Les astuces des crackers
Sécurité machine locale Machine locale

  /etc/passwd, /etc/group   Passer inaperçu

  Laisser des portes ouvertes : chevaux de Troyes, fichiers SUID cachés

  /etc/netgroup
  Si accès physique à la machine, facile.
  les fichiers liés à syslog
  Fausses sessions

  Sniffers
  TOUS programme SUID
  Crack
  Tous les fichiers de l’utilisateur root   Keylogger

RootKit Que faire ?

  Les rootkit sont des outils de vérification de vulnérabilités

  Des sauvegardes

Les programmes utilisés par les administrateurs sécurité sont   Passer les patches
souvent les mêmes que ceux utilisés par les pirates.
  Encrypter

5
 Les points sensibles
La sécurité d’un réseau
local   Mot de passe

  Les services réseaux

  Les failles dans les services

  La responsabilité des utilisateurs

"

Mot de passe Les services réseaux

  L ’utilisation de mots de passe en clair sur le réseau est le   DNS

principal problème.   NFS

  Mail

  telnet, rlogin, rsh, rexec et rcp

  FTP

  impressions

  X Windows

6
 NFS
DNS
Network File Sharing

  Base de données répartie des domaines. Comprend les noms   Montage des fichiers distants
de domaines, les machines, les adresses reverses, les
passerelles de messagerie   Authentification locale par le serveur

  Primordiale pour l’authentification   Fichiers sensibles : /etc/exports (BSD) et /etc/dfs/dfstab

(SYSV)
  Commande en ligne : nslookup
  /etc/hosts, /etc/netgroup, DNS, NIS
  Fichiers : /var/named
  Options de montage : nosuid, root=
A vos machines …

Messagerie email Messagerie et spam

  Programme sendmail   Le spam (envois de messages non sollicités)

  Irremplaçable pour le moment   Pourquoi le spam
  Fichiers sensibles : /etc/sendmail.cf, /etc/aliases, DNS   Comment ça marche
  Protocole SMTP facile à imiter à la main   Ses conséquences

  Comment lutter : listes noires, relaying

A vos machines …

7
 Impressions X Windows

  Serveur d ’impressions   Affichage sur un serveur X distant

  Fichier /etc/hosts.lpd   Authentification : xhost et xauth (-> cookie)

  Points faibles : Utilisateurs, DNS

  Espionnage facile

Le rôle de inetd Les sniffers

  Très largement disponibles sur l’INTERNET

  Lancement des démons à la demande
  Ecoute du réseau avec analyse des trames pour lire mots de
  Fichier /etc/inetd.conf
passe

  Met /dev/nit en mode promiscous

se voit avec ifconfig -a

  Très utile pour l’adminitrateur réseau

  Rôle des switchs Ethernet

8
 Sniffer sur réseau switché Sniffers X

  WireShark   si l ’utilisateur utilise xhost , on peut lire TOUT si :

  ARP spoofing
  on est sur une machine autorisée ou sur sa machine
  Sniffing normal
  Man in the middle attaque   on est sur une machine quelconque en cas de xhost +

  Utilisation de xauth
Installez WireShark et « sniffez » une connexion telnet

A vos machines …

Que faire ?

  Etre vigilant La sécurité de l’Internet

  Des sauvegardes

  Passer les patches

  Encrypter

"

9
 Les points sensibles Les services

  Les services
  HTTP
  Les problèmes intrinsèques à TCP/IP
  News
  DOS
  DNS
  DDOS
  ...
  L’authentification

  Le cryptage

  Des solutions ?

HTTP News

  Accès aux fichiers systèmes et utilisateurs   Diffusion massive d’informations

  JavaScript   Authentification liée au DNS

  Exécution de binaires   Création de groupes automatique

  Phishing, spoofing d’adresse   Bugs à propagation globale

  Sensible aux attaques de DNS et de routeurs   Guerre des créations de groupes

10
 Les problèmes intrinsèques
DNS à TCP/IP V4

  Problèmes liés à une base de donnée répartie   Pas de cryptage des informations -> écoute, spoofing…

  Spoofing : envoi de trame DNS falsifiées   Pas de mécanisme inclus d’authentification

  Peu de contrôles et d’authentification   Les outils existent

Les trucs des crackers Les trucs des crackers

Internet Internet

  Obtention de noms d’utilisateurs

(News, mail, HTTP…)
  Utilisation des rebonds
  Outils (Cops, Satan, ISS, Crack…)
  Bombes de broadcast (D.O.S)
  Listes de discussion (BUGTRAQ, …)
  Mail bombs
  Utilisation des failles connues

  Attaque des routeurs

  Spoofing DNS

  Sniffers

11
 Internet Security Scanner Satan

  Vérifie automatiquement les trous connus sur un réseau   Scan tous les ports actifs des machines d’un réseau donné
entier (nmap aussi … voir Matrix)

  Comptes sans mots de passe (sync, lp, guest) A vos machines …

  sendmail   Teste les vulnérabilités connues

  FTP anonyme   Belle interface HTML

  NIS, NFS, rexecd...   Assez bonne documentation

Spoofing Denial Of Service

  Consiste à se faire passer pour une autre machines en   But : empêcher l’utilisation de ressources
modifiant les trames TCP/IP
  Moyens :
  Parade : Filtrage au niveau du routeur des adresses entrantes   Flooding
qui ont des adresses locales   Utilisation de bugs

  IP source routing interdit

12
 Denial Of Service Distributed Denial Of Service

  Prévention   Méthode
  Mise à jour des systèmes   Lancement d’attaque de DOS depuis plusieurs sites en même
  Garde-barrière temps.
  Utilisation de machines “zombies”, i.e. des machines piratées
BOT. On parle de réseau de BOT ou BOTNET
  Solutions en cas d’attaque
  Solutions
  Si on peut le détecter n’existe pas de solutions pour l’empecher
  Comme pour le DOS.
  Prise de conscience planétaire

Sécuriser
Sécuriser
La machine

  Passer les patches des constructeurs

  Utilisation de bons mots de passe

  Vérifier les fichiers de l’utilisateur root

  Monitoring : syslog et commandes ls, ps, w, last, lastcomm,

who, finger

13
 Sécuriser Sécuriser
La machine La machine
  Vérification des fichiers sensibles : exports, hosts.equiv,
inetd.conf, /.rhosts, /.forward, /dev/kmem, /dev/console, /
dev/audio   Utiliser les outils de vérification et de crackage : Crack,
Cops…
  Vérifier l’intégrité des fichiers : outils Tripwire (checksums)
  S ’abonner aux listes de sécurité (BUGTRAQ…)
  Répertoires -rxwrxwrxw (/tmp, /var/tmp…)
  RootShell, SecurityFocus
  chercher les programmes SUID :
find -type f -perm -4000 -print   Sauvegarde des logs

  Sauvegarde des fichiers utilisateurs et système

Cops Nessus

  Vérifie les fichiers sensibles (bonnes protections…)   Outil d’analyse de failles réseau

  Vérifie certaines failles connues   Très paramètrable

  Liste les programmes SUID   Téléchargement des dernières failles

  FTP anonyme

  Passwords

14
 Sécuriser Sécuriser
Le réseau local Le réseau local

  NIS+, shadow passwords   Isoler les réseaux à risques

  Bon usage des netgroups
  Cartes à puces contenant les clefs
  Utilisation de NFS restreinte au minimum

  TCP-Wrappers

  Kerberos

  SSH et SSF

  Chasse aux sniffers

SSH
TCP-Wrappers
Secure rsh

  Intermédiaire dans inetd.conf   Peut utiliser RSA

  telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd   Toute l ’information passe par un canal crypté

  telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd   Gère X11 sur ce canal crypté (display)

  Permet des contrôles et des logs   Gestion des clefs publiques

  Clef privée sur disque dur d’une machine accessible par

réseau

15
 Sécuriser le réseau local
SSF
Kerberos

  Version francisée de SSH (lire affaiblie)   Basé sur le DES

  Clients Windows et Unix   Permet l’authentification et/ou le cryptage et assure

l’intégrité
  Autorisation
  Sécurise FTP, Telnet, rlogin, NFS, DNS

  Problème d’exportation du DES des USA

  Kerberisation des applications

Réseaux privés virtuels

Sécurité de l’INTERNET
VPN

  Cryptage des paquets TCP/IP : IPSEC

  Chiffrage pour permettre :
  Cryptage au niveau applicatif
  la confidentialité
  Authentification
  l’authentification
  Gardes-barrières

16
 VPN IPSEC

Internet Réseau privé

Réseau privé   Chiffrage au niveau réseau (IP)

  Authentification de IP

  www.hsc.fr/ressources/veille/ipsec/papier/papier.html.fr
Internet Réseau privé

IPSEC IPSEC

  IPsec est un système de sécurisation des échanges au niveau IP qui repose sur deux mécanismes (ou protocoles),

  AH (Authentication Header) et

  ESP (Encapsulating Security Payload).

  Les paramètres nécessaires à l'utilisation de ces protocoles sont gérés à l'aides d'associations de sécurité (Security
Association, SA), une association regroupant les paramètres servant à protéger une partie donnée du trafic.

  Les SA sont stockées dans la base de donnée des associations de sécurité (Security Association Database, SAD) et

  gérées à l'aide du protocole IKE (Internet Key Exchange).

  Les protections offertes par IPsec sont basées sur des choix définis dans la base de données de politique de sécurité
(Security Policy Database, SPD). Cette base permet de décider, pour chaque paquet, s'il se verra apporter des services
de sécurité, s'il sera autorisé à passer outre ou sera rejeté.

17
 IPSEC IPSEC

IPSEC SSL
Implémentations Secure Socket Layer

  Implémentations sur les routeurs.   Chiffrage au niveau transport (TCP)

  Au niveau du kernel sous Unix.   Utilisé pour les transactions sécurisées

  Netscape, IE

  S/MIME
  Mode transport.
  Nécessite une PKI.
  Mode tunnel (entête IP modifiée) pour cacher les flux.
  Extension: TLS (Transport Layer Security)

18
 SSL
S/MIME
Implémentation

  Solutions commerciales   Authentification

  Solution domaine publique: OpenSSL   Intégrité

  www.openssl.org   Non-répudiation

  Confidentialité

  Netscape export : 40 bits

  www.fortify.com   Sous Netscape, IE, Lotus

SSH pour les VPN SCEP

  Au niveau applicatif   CISCO Simple Certificate Enrollment Protocole

  SSH peut être utilisé pour obtenir des VPN   Protocole propriétaire CISCO

  cf www.strongcrypto.com   Utilisé pour distribuer les certificats X509

  Implémentation VPN

  OpenSSH

19
 Set Infrastructure à clefs publiques :
PKI

  Secure Electronic Transaction   Pourquoi une PKI ?

  Pour le commerce électronique.

  Projet Cybercom

  Banques, Certplus, Visa

Infrastructure à clefs publiques : Infrastructure à clefs publiques :

PKI PKI

  Autorité de certification (AC)   Distribution des certificats (SP)

  Autorité d’Enregistrement (AE)

  Service de Publication (SP)   Annuaire des clefs publiques (LDAP) basés sur X509
  Autorité d’Approbation de Politiques (AAP)
  Version domaine public : OpenLDAP
  Autorité d’Horodatage (AH)
  www.openldap.org
  (pourquoi ?)

20
 PKI : les acteurs PKI : Les fonctions

  Autorité d ’enregistrement   Enregistrement de demande

  Autorité de certification   Vérification des critères

  Opérateur de service de certification   Création des certificats

  Gestion des listes de révocation

  Délégation de pouvoir

PKI : les produits PKI : les produits

  Certplus   Atos France

  Verisign, Matra, FT, Gemplus   Carte Securicam

  CA   Pas de CA, pas d ’annuaire

  Destinataire inclus dans le certificat.

  Opérateur

  OpenCA

21
 Les autorités de certification
  Enjeu : 10 $ par an par personne.
  Faut-il créer sa propre CA ?
  Quelle confiance avoir dans une CA ?
  Les amis de mes amis,….
Construire une PKI
  Interaction avec les autres communautés
  Soutient matériel et logiciel pour l ’utilisateur
  Choix des logiciels
  Formation/information des acteurs
Construire une PKI
  Étude de la population
  Collecte des informations
  Durée de vie des clefs, des certificats
  Distribution des certificats (carte de crédit, VPN)
  Sécurité des PKI
  Recouvrement des clefs (nécessité ?)
Gardes-barrières
  Boîtes de cristal : notre réseau n’est pas sûr, mais vous n’y
avez pas accès.
  Filtrage par une machine ou un routeur
  Plusieurs mises en œuvre selon le degré de sécurité souhaité
  Utilisation des proxies (FTP, WWW,…)
22
 Gardes-barrières Gardes-barrières
exemple 1 Exemple 2

  On filtre tout en entrée, sauf certains services, sur certaines

  On ne filtre que certains services (ports) en entrée
machines (serveurs)
  On laisse tout passer en sortie
  On laisse passer les connexions established
  On laisse entrer les connexions established
  On laisse tout passer en sortie

Gardes-barrières Gardes-barrières
Exemple 3 Exemple 4

  Tout traffic entrant passe par une machine   On filtre tout, en entrée comme en sortie

  Filtrage des services disponibles sur cette machine   On laisse passer quelques services bien définis, comme Mail,
WWW,...
  pas de filtrage en sortie

  on laisse entrer les connexions established

23
 Gardes-barrières La traduction d ’adresse
Exemple 5 NAT

  On crée 2 réseaux, l’un très protégé; l’autre moins protégé   Afin de ne pas faire connaître les adresses IP des machines,
mais très surveillé (logs) on peut utiliser la translation d’adresse

  On utilise une stratégie pour le réseau protégé   Les adresses utilisées sont celles de réseau privé (RFC …)

  Le réseau moins protégé possède les serveurs WWW,   La mise en correspondance avec des adresses connues est
messagerie, News... faite par le routeur ou par une machine

La traduction d ’adresse Gardes-barrières

NAT Rôle des proxies

  Problème de l’identification.   Passage transparent par un intermédiaire

  Très utilisé à cause de la pénurie des classes C.   Beaucoup de services se commencent sur un port, puis
passent sur un autre
  Ne se justifiera plus avec IPv6
  Possibilité de tout logguer

24
 La détection d’intrusion La prévention d’intrusion

  Outils d ’audit   ISS

  SNMP   Tipping point

  Outils d ’analyse des logs   …

  Outils de vérification d’intégrité

  tripwire

La sécurité à une couche / un La sécurité à une couche / un

niveau niveau

  La serrure de la porte
  les loquets aux fenêtres
  Exemple : un firewall suivi d ’un réseau sans protections

  Que se passe-t-il si on craque le firewall ?

  Que se passera-t-il si on force la serrure ?   Que se passe-t-il si l ’ennemi est à l ’intérieur ?

  Exemple : un firewall suivi d ’un réseau sans

protections

25
 La sécurité à plusieurs La sécurité à plusieurs
couches / un niveau couches / plusieurs niveaux

  Une maison avec

  Une maison avec une barrière et une grille à clef
  une grille,
  Double firewall

  Ou bien
  des serrures,

  Un firewall, un réseau de machines Unix (passwords)   un système d ’alarme,

  une surveillance vidéo,

  un garde...

La sécurité à plusieurs couches / La sécurité à plusieurs couches /

plusieurs niveaux plusieurs niveaux

  Firewall   Chiffrage sur les stations

  Authentification forte

  SSH
  Détection d ’intrusion
  PGP/MIME ou S/MIME
  Vérification d ’intégrité
  VPN
  Alarmes sur tentatives d ’intrusion sur le firewall
  Vérification du contenu

  Antivirus   Répondre aux intrusions

26
La mise en œuvre de la sécurité Déploiement de la sécurité

  À établir en collaboration avec les instances dirigeantes.   Les serveurs

  Établissement des paramètres de sécurité.   Les routeurs

  Évaluation des risques.   Les switches

  Évaluation des besoins.
  Accès physique au réseau : adresse MAC
  Enveloppe budgétaire.
  Les stations
  Choix d ’une solution.

Et Windows dans tout ça ? Les aides sur le réseau

  Règle : un programme qu’on arrive à faire planter est un   Les CERTs

trou de sécurité.
  Groupes de discussion : BUGTRAQ
  Windows (9x, NT) est plein de trous
  Groupes News : comp.security, comp.unix.security,
  Utilisation des trous de sécurité Windows
alt.security
  Virus
  DOS   Le correspondant sécurité
  Compromission des fichiers
  Virus - Worm (Love Letter)

27
 Quelques adresses En cas d’intrusion

  www.cru.fr   Mettre en place du filtrage

  www.urec.fr   Vérifier les logs pour voir ce qui s’est passé

  Faire changer les mots de passe de tous

  www.epm.ornl.gov/~dunigan/security.html   Réinstaller le système s’il peut avoir été modifié

  www.hsc.fr   Prévenir les autorités le cas échéant

Perspectives L’ultime solution

  IP V6 : permet le cryptage et l’authentification

  Encore plus d’assouplissement dans la législation sur le

cryptage

  Des décisions et des mécanismes mis en place au niveau

international

28
 Merci de votre
attention

Clément SAAD
saad@lirmm.fr "

29