Beruflich Dokumente
Kultur Dokumente
Introduction ? Quoi protger Contre qui ? Pourquoi? ? Qui croire Comment protger ? Quelle politique de scurit ?
Programme
Scurit des rseaux Gnralits Scurit niveau 1 Scurit niveau 2 Commutateurs Sans fil scurit niveau 3 Gnralits Protocoles de routage wall Fire Scurit niveau 7 Relais applicatifs Filtres applicatifs Dtection d'intrusions Network IDS
Scurit des con tenus & changes Introduction la cryptographie Utilisation de la cryptographie PPP/PPTP/L2TP Scurit des accs IPSEC de passe Authentification forte Authentification Mots TSL/SSL Single Sign On SHTTP - Kerberos RADIUS- TACACS/TACACS+ S/MIME 802.1x , Scurit Wifi (WEP, WPA, etc.) Les Infrastructures clef publique(PKI) PGP La rglementation Scurit des systmes et des applications Gnralits Scurit en environnement Microsoft Scurit en environnement Uni x Dtection d'intrusions au niveau systme Virus, Vers et chevaux de Troie
Gnralits
Qu'est-ce que la scurit d'un rseau ?
La scurit d'un rseau est un niveau de garantie que l'ensemble des machines du rseau fonctionnent de faon optimale et que les utilisateurs des dites machines possdent uniquement les droits qui leur ont t octroy. Il peut sagir :
d'empcher des personnes non autorises d'agir sur le systme de faon malveillante d'empcher les utilisateurs d'effectuer des oprations involontaires capables de nuire au systme de scuriser les donnes en prvoyant les pannes de garantir la non interruption d'un service
Novembre Dcembre 2005 Version 1.01
Gnralits
La sret de fonctionnement.
L objectif du concepteur est la prvision de la capacit de survie du systme : la continuit de service Il y a deux approches avec des objectifs et des moyens diffrents :
la disponibilit comprend la fiabilit (pannes) et la maintenabilit (rparation) la crdibilit comprend l intgrit
Gnralits
La sret de fonctionnement (2)
Les solutions sont essentiellement matrielles :
une redondance de tout ou partie des matriels actifs une redondance des liaisons tlecoms des contrats de maintenance avec GTI et GTR pour des serveurs type Firewall, Proxy: technologie RAID, SAN, CLUSTER Backup/Restore : Operating System, configurations...
Novembre Dcembre 2005 Version 1.01
Administration
Laccs aux quipements
Physique
Empcher laccs physique aux quipements
Bouton Marche/Arrt Port console
SNMP
viter le classique public / private A dsactiver si non utilis De prfrence dans un VLAN dadministration Faille de SNMP v2 publie rcemment Attendre impatiemment la gnralisation de SNMPv3
Administration (2)
Laccs aux quipements
Telnet
Mot de passe choisir judicieusement !! Si possible utiliser des ACL pour filtrer les accs De prfrence dans un VLAN dadministration Utiliser SSH
Linterface Web
A dsactiver sur ce type dquipement Si ncessaire -> VLAN dadministration
Administration (3)
Un certain nombre de services actifs par dfaut peuvent / doivent tre dsactivs
Cest notamment le cas de lIOS de Cisco qui est driv dun Unix et qui a donc conserv un certain nombre de protocoles bien connus de ces environnement
Echo Finger Bootp
Et dautres
DNS lookup IP source-routing (routeurs ou commutateurs L3) Directed-Broadcasts (routeurs ou commutateurs L3) CDP (cisco, mais implment sur dautres quipements)
Novembre Dcembre 2005 Version 1.01
10
Niveau 2
Commutateurs Le cas du sans fil (WLAN)
11
Gnralits
Lidentit est ladresse MAC (IEEE)
Identifiant unique (48bits) Peut tre administre localement Elle identifie mais nauthentifie pas
Adresse du Destinataire Adresse de lexpditeur
12
Gnralits
Les protocoles rencontrs sont :
ARP Address resolution protocol CDP Cisco Discovery protocol STP Spanning Tree Protocol 802.1d VLAN Virtual LAN 802.1q VTP VLAN Trunking Protocol (cisco) Unicast Frames Multicast Frames Broadcast Frames
Novembre Dcembre 2005 Version 1.01
13
14
15
16
17
18
HSRP
Donner l@IP la plus leve au routeur principal, la suivante au secondaire, etc Filtrer laide dACL les flux HSRP entre quipement
20
802.11(b)
Le rseau ne sarrte pas la porte de lentreprise
Parking Visiteurs, rue
21
Utilisation WPA s'appuie sur la famille 802.1x et le protocole EAP (Extensible Authentification Protocol) Novembre Dcembre 2005
Version 1.01
22
23
Gnralits
Lidentit est ladresse IP (pour Internet)
Identifiant de 32 bits Aisment modifiable / usurpation facile Identifie mais nauthentifie pas Nintgre aucun mcanisme de scurit
24
Gnralits (2)
Les protocoles rencontrs sont :
IP ICMP RARP HSRP / VRRP (redondance dquipement) RIP, RIPv2, IGRP, EIGRP, OSPF, BGP, Paquets Unicast Paquets Multicast Paquets Broadcast
Novembre Dcembre 2005 Version 1.01
25
Ladressage priv
Recommandations IANA : RFC 1918.
Les numros de rseaux suivants ne sont pas routs sur lInternet
Classe A 10.0.0.0 Classe B 172.16.0.0 172.31.0.0 Classe C 192.168.0 192.168.255
Isolation naturelle de son trafic priv par rapport au trafic Internet Ncessite la prsence dun translateur dadresses :
Network Address Translator Le NAT ne se substitue pas au Firewall et/ou Proxy Serveur
Novembre Dcembre 2005 Version 1.01
26
La translation dadresse
Il sagit dun complment de service plus quun service de scurit proprement dit
Serveur SMTP . . TRANSLATEUR
INTERNET
ISP
FIREWALL
Socket Source
@priv1,1025 @priv2,1067 @priv3,1067 @pubA,3025 @pubA,3026 @pubA,3027
Localisation du translateur
Sur le firewall
Types de translations
N @ prives vers 1 @ publique 1 @ prive vers 1 @ publique 27
Attribuer l@IP en fonction de l@ MAC est une solution permettant daugmenter la scurit
Novembre Dcembre 2005 Version 1.01
28
ICMP
Il nest pas obligatoire dinterdire tous les messages ICMP
ICMP est utile, laisser passer :
source-quench, packet-too-big, dont fragment time-exceeded, echo request et echo reply dans certains cas
29
En gnral un routeur bien configur permet damliorer grandement le niveau de scurit global du systme dinformation
Novembre Dcembre 2005 Version 1.01
30
Principes et buts
Protection du routeur lui-mme
protection physique Le systme dexploitation La scurisation de la configuration
Administration du routeur
Les accs administrateur au routeur sont un problme essentiel
Rseau/Interfaces dadministration Limitation des accs par un filtrage ou un protocole appropri Mots de passe valables Connexion scurise lquipement (IPSec/SSH)
Journalisation
Lenregistrement systmatique de lactivit de lquipement via les protocoles de supervision (SNMP, Syslog, ) permet de disposer en temps de crise, des informations essentielles lidentification et la rsolution des problmes
Novembre Dcembre 2005 Version 1.01
31
32
Protocoles de routage
En gnral
Utiliser passive-interface pour toutes les interfaces ne devant pas participer au processus de routage Journaliser les mises jour
RIP : pas de mcanisme de scurit, viter RIPv2 : prvoit lauthentification IGRP : pas de mcanisme de scurit EIGRP : prvoit lauthentification des changes OSPF
Prvoit lauthentification des changes (password MD5) Nutiliser que des mises jour Unicast (Pas de Broadcasts) Il est possible de filtrer les MAJ reues
BGP
Prvoit lauthentification des changes Ne pas utiliser le mme mot de passe pour tous les routeurs Si possible utiliser IPSEC Novembre Dcembre 2005 33
Version 1.01
Routeur filtrant
Le rle principal du routeur filtre de paquets est de permettre ou dempcher le passage des paquets de donnes reus Le routeur examine tous les datagrammes par rapport des rgles de filtrage, bases sur le contenu informationnel de lentte du datagramme Le filtrage seffectue aux niveaux 2,3,4 du modle OSI Mthode dintrusion typiques contournant le filtrage de paquets : la fragmentation de paquet
Cette technique consiste utiliser la proprit de fragmentation de IP afin de crer de tout petits fragments et de forcer len-tte TCP tre fragmente elle aussi, lespoir tant que seul le premier fragment sera analys par le routeur, laissant alors passer tout le reste.
Novembre Dcembre 2005 Version 1.01
34
35
36
Firewall
37
Firewall Plan
Dfinition Diffrents types de Firewall Ce que peut faire un Firewall Principe / Architecture O placer un Firewall Choisir son Firewall
38
Dfinition
Un Firewall est un dispositif informatique qui permet le passage slectif des flux dinformation entre deux rseaux et qui neutralise les tentatives daccs qui sont en dsaccord avec la politique de scurit en vigueur
Firewall Internet
Novembre Dcembre 2005 Version 1.01
Rseau Interne
39
Les routeurs
Simples listes de filtrage ou vrai Firewall
Les logiciels
OS ou logiciels ddis
40
41
42
Protocoles
IP
@source, @destination, TOS,
ICMP
Type de message
TCP
Ports source, Port destination, Flags (SYN, ACK, FIN,) Les ports dterminent souvent le service associ
UDP
Port source, Port destination, Les ports dterminent souvent le service associ
Autres protocoles
ESP, AH, OSPF,
Novembre Dcembre 2005 Version 1.01
43
44
Stateful inspection
Le filtrage ne se fait plus uniquement par datagramme (packet filtering) mais avec une logique de session
Introduction dune table des connexions Introduction de modules spcifiques chaque protocole, capables de tracer leur excution et de sassurer de leur bon droulement
Numros de squence TCP, ouvertures de ports, phases de ngociation,
ex : ftp, http, h323, sip, rpc, rsh, telnet,
45
46
# Permet de laisser passer tous les flux entre deux rseaux access-list 100 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 # Les messages ICMP access-list 100 permit icmp 192.168.1.0 255.255.255.0 any echo-request access-list 100 permit icmp any 192.168.1.0 255.255.255.0 echo-reply # Influence de lordre des rgles (linverse ne sert rien) access-list 100 deny host 192.168.1.10 any eq telnet access-list 100 permit 192.168.1.0 any eq telnet # Rgle souvent implicite, prciser tout de mme pour plus de clart
47
Architecture
Il est important de cloisonner les flux
Permet dviter quun service dfaillant compromette la scurit de lensemble de linfrastructure Permet de contrler les flux entre chaque change Architecture Multi-strates (n-tiers)
Chaque zone reoit un niveau de scurit, les primtres sont clairement dfinis et les changes parfaitement identifis Permet un meilleur cloisonnement et une meilleure sparation des flux Permet une meilleur protection des services en fonction de leur importance relative
Novembre Dcembre 2005 Version 1.01
48
O placer un Firewall
Exemple typique
Poste LAN Serveur Web
Flux sortants
49
La DMZ
Zone dmilitarise
Serveur Web ou relais applicatif
Poste LAN
50
La DMZ (2)
Par la cration dune zone dmilitarise, le Firewall isole physiquement les rseaux interconnects. Des rgles spcifiques pour les accs Internet vers les serveurs et Intranet vers les serveurs sont donc possibles, Les flux directs de lInternet vers le rseau (et rciproquement) sont strictement interdits, Dans cette zone, on place gnralement :
les machines qui auront un accs direct avec lInternet (serveurs mandataires WEB, FTP, SMTP) et accessibles depuis lextrieur la machine supportant les sas applicatifs chargs du contrle lourd des flux (y compris les ventuelles identification/authentification)
51
Permet de dfinir des niveaux de scurit Permet de sparer ce qui doit tre visible de ce qui ne doit pas ltre Permet la mise en place de proxy/bastion afin dviter les accs directs (Int/Ext et Ext/Int)
52
Autre exemple
Architecture n-tiers (3-tiers)
Serveur Web Base de donnes
Poste LAN
53
54
Lordre des rgles une importance Protger Internet comme vous protgez votre rseau
Le filtrage doit aussi empcher vos utilisateur dentamer des actions malveillantes (attaques, propagation de virus, )
Garder (et sauvegarder) les configurations antrieures et sassurer quon est en mesure de palier une dfaillance du systme (logique ou physique) Novembre Dcembre 2005 55
Version 1.01
Confiner au maximum les protocoles utilisant des attributions de ports dynamiques et alatoires
RCP (NFS, NIS,), FTP Actif,
Confiner au maximum les protocoles qui sont intrinsquement faible en terme de scurit
NFS, NIS, ICQ, partage de fichier, protocoles inconnus ou non documents
Novembre Dcembre 2005 Version 1.01
56
Stockes
Dans une base de donnes pour faciliter les traitements ultrieurs
57
Autres considrations
Ncessite des comptences et de lattention
Ne pas ce fier la convivialit de linterface Une erreur de configuration peut anantir la politique de scurit
Le Firewall peut tre la cible dattaques Le Firewall peut tre un maillon faible
Single point of faillure
Novembre Dcembre 2005 Version 1.01
58
59
Prix
Matriel, Logiciel, Assistances, Maintenance, Administration, Installation
volutivit
Du matriel, des performances, des services
61
Opensoure
Netfilters/Ipchains (Linux), Ipfilter (Unix), PacketFilter (BSD)
Des fonctionnalits et une modularit importante Une administration peu conviviale
62
Relais applicatifs
63
Prsentation
Un relais applicatif se place entre un client et un serveur interceptant les requtes et les relayant
Pour masquer la structure interne dun rseau
Du rseau priv vers Internet
Toutes les requtes des clients dun LAN sont masques par le proxy diminuant ainsi la surface visible du rseau Permet aussi de simplifier la configuration dun Firewall en limitant les autorisations de sortie une seule machine
Pour filtrer les accs la manire dun Firewall Pour mettre en place des mcanismes dauthentification et de contrle daccs Pour maintenir un cache des fichiers changs de manire diminuer la consommation de bande passante Novembre Dcembre 2005
Version 1.01
64
Architecture (1)
Serveur Web
@publique visible/NAT
Clients Web
Novembre Dcembre 2005 Version 1.01
65
Architecture (2)
Serveur Web
Internet
66
Architecture (3)
Serveur Web Internet
Internaute
67
Peut effectuer la redirection de flux vers des machines spcifiques en fonction de critres prdfinis Permet de faire du NAT (Network Address Translation) Permet galement lencapsulation dun protocole dans un autre
ex : IRC dans HTTP
Novembre Dcembre 2005 Version 1.01
68
Filtres applicatifs
69
Prsentation
Filtrage applicatif
Relais applicatif + filtrage des changes dune application
Filtrage dURL (type Websense) Filtrage Antivirus, blocage dapplets Java, ActiveX Modification ou conversion du contenu
Conversion de protocole (ex : SMTP -> NNTP) Modification dun jeu de caractre (ex: japonais vers ANSI)
Avantages
Une plus grande finesse dans le contrle des changes
Novembre Dcembre 2005 Version 1.01
70
Remarques
En cas de dbits importants limpact sur les performances peut tre important
ex : Filtrage Antivirus
SAS Telnet SAS SMTP Telnet SAS SAS Telnet FTP SAS SAS HTTP Telnet Novembre Dcembre 2005 Version 1.01
71
Filtres applicatifs
72
Exemple darchitecture
ZONE DEMILITARISEE PRIVEE ZONE DEMILITARISEE PUBLIQUE
PASSERELLES ANTIVIRUS SERVEURS DE CACHE SERVEURS WEB ACCELERATEUR SSL
ISP 1
POSTES DE TRAVAIL
Internet
ISP 2
SERVEURS DATABASE SERVEURS APPLICATIONS
S.A.N.
BAIES DE STOCKAGE
LIBRAIRIES DE SAUVEGARDE
RESEAU PRODUCTION
73
Exemple darchitecture
Ordinateur portable
Rseau RNIS
RESEAU INTERNET
RESEAU NIVEAU 1
LS Transfix 128 256 Kbps
Routeur Central
Routeur distant
RESEAU RENATER
Routeur FT
RESEAU NIVEAU 3
PASSERELLES DE SECURITE
Routeur distant
Routeur
RESEAU NIVEAU 2
Routeur/Firewall Routeur/Firewall
ADMINISTRATION CENTRALE
AUTRES ACADEMIES
Plate-formes d'insfrastructure (Proxy, Anti-virus, etc.) Plate-formes d'application (ASIE, SIAM, GAIA, etc.)
Serveurs d'accs
Rseau RNIS
74
Dtection dintrusions
75
76
Faux ngatif :
Absence de dtection en prsence d'attaque(s)
Il est prfrable davoir des faux positifs que des faux ngatifs
77
Attaques
Notifications IDS
78
Stratgie
La dtection dintrusions doit tre vue comme une composante (couche) importante de la stratgie de scurit de lentreprise Les IDS du systme dinformation doivent faire lobjet dune surveillance et dune maintenance TRES rgulire Sa fonction de base reste la surveillance
mme si certains IDS peuvent adopter un comportement actif
79
Catgories
Les NIDS (Network IDS) Les HIDS (Host IDS) Les NIDS et HIDS sont complmentaires
Chaque approche ses avantages et inconvnients
Ils ne sont pas des solutions miracle, mais ils sont indispensables
80
Le processus IDS
Obtenir les informations
Les flux et les vnements Lintgrit des systmes et donnes
81
82
Ractivit
Mises jour rapides et personnalisables
83
Caractristiques IDS
Audit rseau Source de donnes Audit systme Audit applicatif Alertes IDS Mthode de dtection Analyse des donnes Utilisation Comportement aprs dtection
Novembre Dcembre 2005 Version 1.01
Approche comportementale Approche par scnarios Centralise Distribue Priodique Continue Informatif Dfensif 84
Mthodes de dtection
Approche comportementale
Bas sur lhypothse quune intrusion implique un usage anormal du systme et donc un comportement inhabituel dun utilisateur Rpond la question :
le comportement actuel de lutilisateur est-il cohrent avec son comportement pass ?
85
Mthodes de dtection
Les avantages
Pas besoin dune base dattaques Dtection dintrusions inconnues possible
Les inconvnients
En cas de changement important de lenvironnement de travail dclenchement dun flot dalertes (risque de faux positif) Un utilisateur peut changer lentement de comportement de manire habituer le systme un comportement intrusif (risque de faux ngatif)
Novembre Dcembre 2005 Version 1.01
86
Mthodes de dtection
Approche par scnarios
Fonctionne grce une base de donnes dattaques ou dactions litigieuses La dtection dattaques se fait par des mthodes danalyse de signature (patern matching) Rpond la question :
Le comportement actuel de lutilisateur correspond til un comportement intrusif connu
Novembre Dcembre 2005 Version 1.01
87
Mthodes de dtection
Les avantages
prise en compte du comportement exact des utilisateurs
Peu de faux positifs en thorie
Les inconvnients
Base de scnarios difficile crer et maintenir (risque de faux ngatif) Pas de dtection dattaques inconnues
Novembre Dcembre 2005 Version 1.01
88
Les produits
Classification des produits
89
Distribue
Distribution de la surveillance sur les diffrentes entits de lentreprise
Les personnels ont-ils tous les moyen dassumer cette charge ?
Novembre Dcembre 2005 Version 1.01
90
Utilisation
Priodique (Traitement par lots)
Historiquement lanalyse des fichiers daudit se faisait priodiquement Manque de ractivit Se retrouve plus dans les HIDS
Continue (Temps-Rel)
Analyse le flot de donnes au fur et a mesure Plus ractif mais ncessite lattention permanente des superviseurs
Novembre Dcembre 2005 Version 1.01
91
Parades
Modification de la configuration dun systme
Typiquement un ajout dACL sur un Firewall Reset de connexion ventuellement la dsactivation dun compte utilisateur ou larrt dun service
Novembre Dcembre 2005 Version 1.01
92
93
94
95
96
Le flux analys peut ne pas tre reprsentatif de ce qui se passe rellement Certains IDS ont du mal traiter
Des flux fragments Des paquets mal forms
97
98
Serveur Web
NIDS
2
NIDS
Internet
4 Firewall (NIDS)
NIDS
1
99
Rseau RNIS
Routeur distant
RESEAU INTERNET
RESEAU NIVEAU 1
Sonde SNORT
Routeur Central
RRTHD
Tunnel IPSEC Tunnel IPSEC
Routeur distant
Serveur de logs
POS 155 Mbps Fibre Optique Fast-Ethernet
RESEAU RENATER
Tunnel IPSEC
RESEAU NIVEAU 3
Commutateur Niv. 3 Extreme Network Summit 48si
Routeur distant
Sonde SNORT
RESEAU NIVEAU 2
Routeur/Firewall Routeur/Firewall
Serveurs d'accs
ADMINISTRATION CENTRALE
AUTRES ACADEMIES
Firewall Etablissement
100
Aperu de loffre
Comparatifs.
101
IDS conclusion
Loffre volue rapidement mais encore beaucoup de techniques de dtection dintrusions nen sont quau stade de la recherche La dtection dintrusions est destine des experts
Maintenance et supervision exigeante Analyse des alertes Faux positifs et Faux ngatifs
102
103