1 - Etat de L'art de La Sécurité Informatique - Sécurité Des Réseaux - V 1.01

tat de lart de la scurit informatique
Chapitre 1 La scurit des rseaux

Auteurs : Stphan GUIDARINI Consultant Senior Sbastien DESSE Expert Rseaux et Scurit
Novembre Dcembre 2005 Version 1.01
Introduction ? Quoi protger Contre qui ? Pourquoi? ? Qui croire Comment protger ? Quelle politique de scurit ?
Programme
Scurit des rseaux Gnralits Scurit niveau 1 Scurit niveau 2 Commutateurs Sans fil scurit niveau 3 Gnralits Protocoles de routage wall Fire Scurit niveau 7 Relais applicatifs Filtres applicatifs Dtection d'intrusions Network IDS
Scurit des con tenus & changes Introduction la cryptographie Utilisation de la cryptographie PPP/PPTP/L2TP Scurit des accs IPSEC de passe Authentification forte Authentification Mots TSL/SSL Single Sign On SHTTP - Kerberos RADIUS- TACACS/TACACS+ S/MIME 802.1x , Scurit Wifi (WEP, WPA, etc.) Les Infrastructures clef publique(PKI) PGP La rglementation Scurit des systmes et des applications Gnralits Scurit en environnement Microsoft Scurit en environnement Uni x Dtection d'intrusions au niveau systme Virus, Vers et chevaux de Troie
Conclusion Synthse Les dix commandements Sources dinformation
Sommaire Scurit des Rseaux

Gnralits Administration Scurit Niveau 1-3 (OSI) Firewall Relais applicatifs Dtection dintrusions
Gnralits
Qu'est-ce que la scurit d'un rseau ?
La scurit d'un rseau est un niveau de garantie que l'ensemble des machines du rseau fonctionnent de faon optimale et que les utilisateurs des dites machines possdent uniquement les droits qui leur ont t octroy. Il peut sagir :
d'empcher des personnes non autorises d'agir sur le systme de faon malveillante d'empcher les utilisateurs d'effectuer des oprations involontaires capables de nuire au systme de scuriser les donnes en prvoyant les pannes de garantir la non interruption d'un service
Gnralits
La sret de fonctionnement.
L objectif du concepteur est la prvision de la capacit de survie du systme : la continuit de service Il y a deux approches avec des objectifs et des moyens diffrents :
la disponibilit comprend la fiabilit (pannes) et la maintenabilit (rparation) la crdibilit comprend l intgrit
Gnralits
La sret de fonctionnement (2)
Les solutions sont essentiellement matrielles :
une redondance de tout ou partie des matriels actifs une redondance des liaisons tlecoms des contrats de maintenance avec GTI et GTR pour des serveurs type Firewall, Proxy: technologie RAID, SAN, CLUSTER Backup/Restore : Operating System, configurations...
Administration
Laccs aux quipements
Physique
Empcher laccs physique aux quipements
Bouton Marche/Arrt Port console
SNMP
viter le classique public / private A dsactiver si non utilis De prfrence dans un VLAN dadministration Faille de SNMP v2 publie rcemment Attendre impatiemment la gnralisation de SNMPv3
Administration (2)
Laccs aux quipements
Telnet
Mot de passe choisir judicieusement !! Si possible utiliser des ACL pour filtrer les accs De prfrence dans un VLAN dadministration Utiliser SSH
Linterface Web
A dsactiver sur ce type dquipement Si ncessaire -> VLAN dadministration
Utiliser dun protocole dauthentification tel que RADUIS ou Kerberos si disponible

Administration (3)
Un certain nombre de services actifs par dfaut peuvent / doivent tre dsactivs
Cest notamment le cas de lIOS de Cisco qui est driv dun Unix et qui a donc conserv un certain nombre de protocoles bien connus de ces environnement
Echo Finger Bootp
Et dautres
DNS lookup IP source-routing (routeurs ou commutateurs L3) Directed-Broadcasts (routeurs ou commutateurs L3) CDP (cisco, mais implment sur dautres quipements)
Scurit Niveau 1->3 (OSI)
10
Scurit Niveau 1-2 (OSI)

Gnralits Niveau 1
Concentrateurs
Niveau 2
Commutateurs Le cas du sans fil (WLAN)
11
Gnralits
Lidentit est ladresse MAC (IEEE)
Identifiant unique (48bits) Peut tre administre localement Elle identifie mais nauthentifie pas
Adresse du Destinataire Adresse de lexpditeur
12
Gnralits
Les protocoles rencontrs sont :
ARP Address resolution protocol CDP Cisco Discovery protocol STP Spanning Tree Protocol 802.1d VLAN Virtual LAN 802.1q VTP VLAN Trunking Protocol (cisco) Unicast Frames Multicast Frames Broadcast Frames
13
Scurit Niveau 1 Concentrateurs

Les concentrateurs (hub)
Diffusion des flux tous Il existe des mcanismes de bruitage Il existe des mcanismes de filtrage (MAC)
ladresse peut tre usurpe Induit une charge administrative importante
Disparaissent naturellement Utiles pour les sondes de dtection dintrusions

14
Scurit Niveau 2 Commutateurs

Les commutateurs
But premier : Augmenter le nombre de domaines de broadcast en segmentant le rseau Cre des rseaux locaux en faisant abstraction de lorganisation physique des quipements Augmenter la scurit des communications
15

Les commutateurs sont la cible dattaques telles que :
ARP cache poisoning ARP/DHCP spoofing HSRP/VRRP spoofing STP/VTP attacks VLAN Jumping (ISL/DTP)
16

ARP cache poisoning
17

VLAN Jumping (ISL/DTP)
Problme des VLAN
Pas conu pour faire de la scurit mais permet de la renforcer Les commutateurs multi-layer sont des points faibles des infrastructures rseaux (attention aux mauvaises configurations)
Attaques : VLAN jumping (injection de frame 802.1q) est possible si :

DTP (Dynamic Trunking Protocol) est activ Et si le port est dans le mme VLAN que le native VLAN (VLAN 1 par dfaut)
18

Il existe des moyens de se protger
Ne pas utiliser le VLAN 1 (VLAN par Dfaut) Filtrage des adresse MAC par port
Cisco port security par exemple
Activer le BPDU-Guard afin de filtrer le STP

Dsactive un port si un BPDU est reu via celui-ci
Limiter le taux de broadcast

A affiner en fonction du type dquipement connect sur le port
HSRP
Donner l@IP la plus leve au routeur principal, la suivante au secondaire, etc Filtrer laide dACL les flux HSRP entre quipement
Les commutateurs niveau 2/3/4/5/6/7/.

Concentrent en un seul point de nombreux problmes de scurit et sont donc surveiller tout particulirement Novembre Dcembre 2005 19
Version 1.01

Il existe des moyens de se protger (2)
Notion de Private VLAN
Le segment devient Multi-Access Non Broadcast Des quipements dun mme VLAN ne peuvent pas communiquer directement entre eux
VTP (VLAN Trunking Protocol) - Cisco

Ne pas laisser la configurartion par default
Mode Server sans mot de passe Affecter un domaine et un mot de passe Server / Client / Transparent ?
DTP (Dynamic Trunking Protocol)

Les ports sont en mode auto par dfaut Choisir le mode Off pour tous les port non utiliss pour des interconnections de commutateurs
20
Scurit Niveau 2 Rseaux sans fil

Infrarouge, Bluetooth, 802.1b,
Infrarouge peu utilis pour le rseau Bluetooth utilis uniquement pour linterconnexion de priphriques
802.11(b)
Le rseau ne sarrte pas la porte de lentreprise
Parking Visiteurs, rue
Mettre en place un filtrage par @MAC

Administration contraignante
Il est possible dusurper une @MAC
21
Scurit Niveau 2 Rseaux sans fil

802.11 (b) ou (g)
Les trames ne sont plus confines dans un cble mais diffuses dans toute la pice
Tout le monde peut couter (comme un hub) Mise en place de chiffrement
WEP -> souffre dun manque de maturit Facile cracker (40 bits), 128 bits IPSec -> contraignant
Accs au rseau facilit

Faiblesse des mcanismes dauthentification Vulnrable aux attaques du type Man in the Middle
Utilisation WPA s'appuie sur la famille 802.1x et le protocole EAP (Extensible Authentification Protocol) Novembre Dcembre 2005
Version 1.01
22
Scurit Niveau 3 (OSI)

Gnralits Adressage priv Scurit & DHCP ICMP Les protocoles de routage Filtrage IP
23
Gnralits
Lidentit est ladresse IP (pour Internet)
Identifiant de 32 bits Aisment modifiable / usurpation facile Identifie mais nauthentifie pas Nintgre aucun mcanisme de scurit
Les autres protocoles

Confins au sein de lentreprise Moins doutils de scurisation la disposition des administrateurs
24
Gnralits (2)
Les protocoles rencontrs sont :
IP ICMP RARP HSRP / VRRP (redondance dquipement) RIP, RIPv2, IGRP, EIGRP, OSPF, BGP, Paquets Unicast Paquets Multicast Paquets Broadcast
25
Ladressage priv
Recommandations IANA : RFC 1918.
Les numros de rseaux suivants ne sont pas routs sur lInternet
Classe A 10.0.0.0 Classe B 172.16.0.0 172.31.0.0 Classe C 192.168.0 192.168.255
Isolation naturelle de son trafic priv par rapport au trafic Internet Ncessite la prsence dun translateur dadresses :
Network Address Translator Le NAT ne se substitue pas au Firewall et/ou Proxy Serveur
26
La translation dadresse
Il sagit dun complment de service plus quun service de scurit proprement dit
Serveur SMTP . . TRANSLATEUR
INTERNET
ISP
FIREWALL
Socket Source
@priv1,1025 @priv2,1067 @priv3,1067 @pubA,3025 @pubA,3026 @pubA,3027
Localisation du translateur
Sur le firewall
Gestion dynamique d'une table de correspondance translation @IP,nport
Types de translations
N @ prives vers 1 @ publique 1 @ prive vers 1 @ publique 27
Scurit & DHCP

Le DHCP
Peut tre lalli ou lennemi de la scurit Cre des problmes de scurit si les adresses sont attribues au hasard
Sur le rseau lidentit est l@IP Dans le monde rel lidentification se fait par rapport la personne ou au poste utilis Le DHCP dans sa configuration la plus basique empche lassociation @IP <-> personne/poste Il existe des mcanismes palliatifs
Informations obtenues auprs du PDC (Domaine NT) RFC 931/1413 (Identd)
Attribuer l@IP en fonction de l@ MAC est une solution permettant daugmenter la scurit
28
ICMP
Il nest pas obligatoire dinterdire tous les messages ICMP
ICMP est utile, laisser passer :
source-quench, packet-too-big, dont fragment time-exceeded, echo request et echo reply dans certains cas
Eviter de laisser passer :

redirect, unreachable, parameter-problem,
29
Scurit des routeurs

Les routeurs assurent les services essentiels au bon fonctionnement des infrastructures de communication La compromission dun routeur amne un certain nombre de problmes favorisants la compromission des SI
La compromission des tables de routage peut amener la dgradation des performances, des dnis de service et lexposition des donnes sensibles La compromission des moyens de contrle daccs dun routeur peut amener la divulgation dinformations sensibles et la facilitation dattaques et dnis de services
En gnral un routeur bien configur permet damliorer grandement le niveau de scurit global du systme dinformation
30
Principes et buts
Protection du routeur lui-mme
protection physique Le systme dexploitation La scurisation de la configuration
Administration du routeur
Les accs administrateur au routeur sont un problme essentiel
Rseau/Interfaces dadministration Limitation des accs par un filtrage ou un protocole appropri Mots de passe valables Connexion scurise lquipement (IPSec/SSH)
Les mises jour

Validit des images logicielles (source, corruption, bugs, )
Journalisation
Lenregistrement systmatique de lactivit de lquipement via les protocoles de supervision (SNMP, Syslog, ) permet de disposer en temps de crise, des informations essentielles lidentification et la rsolution des problmes
31
Politique de scurit du routeur

La scurit du routeur doit tre le reflet de la politique de scurit globale du SI Vision en couche de la scurit du routeur
32
Protocoles de routage
En gnral
Utiliser passive-interface pour toutes les interfaces ne devant pas participer au processus de routage Journaliser les mises jour
RIP : pas de mcanisme de scurit, viter RIPv2 : prvoit lauthentification IGRP : pas de mcanisme de scurit EIGRP : prvoit lauthentification des changes OSPF
Prvoit lauthentification des changes (password MD5) Nutiliser que des mises jour Unicast (Pas de Broadcasts) Il est possible de filtrer les MAJ reues
BGP
Prvoit lauthentification des changes Ne pas utiliser le mme mot de passe pour tous les routeurs Si possible utiliser IPSEC Novembre Dcembre 2005 33
Version 1.01
Routeur filtrant
Le rle principal du routeur filtre de paquets est de permettre ou dempcher le passage des paquets de donnes reus Le routeur examine tous les datagrammes par rapport des rgles de filtrage, bases sur le contenu informationnel de lentte du datagramme Le filtrage seffectue aux niveaux 2,3,4 du modle OSI Mthode dintrusion typiques contournant le filtrage de paquets : la fragmentation de paquet
Cette technique consiste utiliser la proprit de fragmentation de IP afin de crer de tout petits fragments et de forcer len-tte TCP tre fragmente elle aussi, lespoir tant que seul le premier fragment sera analys par le routeur, laissant alors passer tout le reste.
34
Routeur filtrant (2)

Les avantages :
Les solutions de scurit sont encore majoritairement bases sur lemploi unique de routeurs filtrants. Cela sexplique pour plusieurs raisons :
le cot gnralement faible dun routeur filtrant les performances sont gnralement bonnes la transparence aux utilisateurs et aux applications fiable car les contrles sont simples et peu sujets erreurs dimplmentation Novembre Dcembre 2005
Version 1.01
35
Routeur filtrant (3)

Les limites :
Les limites des routeurs filtrants sont mis en vidence par le besoin de contrle du contenu informationnel des changes :
Les performances du routeur diminuent avec le nombre de rgles appliquer le routeur filtrant ne peut pas comprendre le contexte du service quil rend : il ne peut pas, par exemple bloquer lentre de mails ou de newsgroup concernant certains sujets ne traite que des informations du type en-tte de trame pas ou peu de statistiques sur lusage des filtres la protection du rseau connnect lInternet est minimale
36
Firewall
37
Firewall Plan
Dfinition Diffrents types de Firewall Ce que peut faire un Firewall Principe / Architecture O placer un Firewall Choisir son Firewall
38
Dfinition
Un Firewall est un dispositif informatique qui permet le passage slectif des flux dinformation entre deux rseaux et qui neutralise les tentatives daccs qui sont en dsaccord avec la politique de scurit en vigueur
Firewall Internet
Rseau Interne
39
Les diffrents types de Firewall

Les botiers ddis
Type appliance
Les routeurs
Simples listes de filtrage ou vrai Firewall
Les logiciels
OS ou logiciels ddis
Les bastions (Serveurs mandataires)

Proxy
40
Ce que peut faire un Firewall

Permet de concentrer la scurit en un seul point et donc dappliquer facilement la politique de scurit sur une surface importante du rseau Permet de surveiller les flux le traversant Permet de mettre en place des DMZ Lendroit idal pour dployer du NAT
Permet de dissimuler le rseau protg
Lendroit idal pour la mise en place de VNP

41
Ce que ne peut pas faire un Firewall

Ne protge pas des attaques qui ne le traverse pas !!! Ne protge pas un segment de rseau contre les utilisateurs qui y sont connects Ne protge pas contre les attaques utilisant des protocoles autoriss Ne protge pas contre les chevaux de Troie Ne protge pas contre les virus Ne peut pas se configurer tout seul !
42
Critres de filtrage (1)

Action
Autoriser / Interdire / Jeter / Rediriger / Authentifier /
Protocoles
IP
@source, @destination, TOS,
ICMP
Type de message
TCP
Ports source, Port destination, Flags (SYN, ACK, FIN,) Les ports dterminent souvent le service associ
UDP
Port source, Port destination, Les ports dterminent souvent le service associ
Autres protocoles
ESP, AH, OSPF,
43
Critres de filtrage (2)

Les horaires Lutilisateur (!= @IP) @MAC Les donnes contenues dans le datagramme La charge du rseau Plus gnralement partir de toute information que lon est capable dextraire dun datagramme ou de lenvironnement
Tous les Firewall ne proposent pas autant de fonctionnalits
44
Stateful inspection
Le filtrage ne se fait plus uniquement par datagramme (packet filtering) mais avec une logique de session
Introduction dune table des connexions Introduction de modules spcifiques chaque protocole, capables de tracer leur excution et de sassurer de leur bon droulement
Numros de squence TCP, ouvertures de ports, phases de ngociation,
ex : ftp, http, h323, sip, rpc, rsh, telnet,
Possibilit douvrir dynamiquement un port

ex : ftp actif
45
Principe de fonctionnement (1)

Cration dune liste de rgles retranscrivant dans le langage du Firewall la politique de scurit pralablement dfinie
Jautorise mon proxy effectuer des requtes HTTP vers Internet Jautorise mon DNS effectuer des requtes (DNS) vers Internet Jautorise les flux SMTP lintention de mon relais de messagerie Jautorise les flux HTTP lintention de mon proxy Web Je demande lauthentification pour les flux HTTP lintention de mon serveur Web Intranet Jautorise les ICMP echo sortir et les ICMP reply entrer Jinterdit tout le reste
46
Principe de fonctionnement (2)

# Rgles basiques (Any access-list 100 permit access-list 100 permit access-list 100 permit access-list 100 permit signifie tout le monde ) tcp any 192.168.1.0 255.255.255.0 eq www udp any 192.168.1.0 255.255.255.0 eq domain tcp any host 192.168.3.10 eq www tcp any host 192.168.3.10 eq ftp
# Permet de laisser passer tous les flux entre deux rseaux access-list 100 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 # Les messages ICMP access-list 100 permit icmp 192.168.1.0 255.255.255.0 any echo-request access-list 100 permit icmp any 192.168.1.0 255.255.255.0 echo-reply # Influence de lordre des rgles (linverse ne sert rien) access-list 100 deny host 192.168.1.10 any eq telnet access-list 100 permit 192.168.1.0 any eq telnet # Rgle souvent implicite, prciser tout de mme pour plus de clart
access-list 100 deny ip any any
Ordre de filtrage des datagrammes
47
Architecture
Il est important de cloisonner les flux
Permet dviter quun service dfaillant compromette la scurit de lensemble de linfrastructure Permet de contrler les flux entre chaque change Architecture Multi-strates (n-tiers)
Chaque zone reoit un niveau de scurit, les primtres sont clairement dfinis et les changes parfaitement identifis Permet un meilleur cloisonnement et une meilleure sparation des flux Permet une meilleur protection des services en fonction de leur importance relative
48
O placer un Firewall
Exemple typique
Poste LAN Serveur Web
Internet Rseau Interne Firewall Flux entrants

Flux sortants
49
La DMZ
Zone dmilitarise
Serveur Web ou relais applicatif
Poste LAN
Internet Firewall Flux entrants Firewall
Rseau Interne Flux sortants
50
La DMZ (2)
Par la cration dune zone dmilitarise, le Firewall isole physiquement les rseaux interconnects. Des rgles spcifiques pour les accs Internet vers les serveurs et Intranet vers les serveurs sont donc possibles, Les flux directs de lInternet vers le rseau (et rciproquement) sont strictement interdits, Dans cette zone, on place gnralement :
les machines qui auront un accs direct avec lInternet (serveurs mandataires WEB, FTP, SMTP) et accessibles depuis lextrieur la machine supportant les sas applicatifs chargs du contrle lourd des flux (y compris les ventuelles identification/authentification)
51
Avantages et inconvnient dune DMZ

Un intrus doit sintroduire dans plusieurs systmes diffrents sans se faire dtecter afin daccder au LAN
Varier les types de Firewall un intrt
Permet de dfinir des niveaux de scurit Permet de sparer ce qui doit tre visible de ce qui ne doit pas ltre Permet la mise en place de proxy/bastion afin dviter les accs directs (Int/Ext et Ext/Int)
52
Autre exemple
Architecture n-tiers (3-tiers)
Serveur Web Base de donnes
Poste LAN
Internet Firewall Flux entrants

Rseau Interne Firewall Flux sortants
53
Autre exemple (2)

Lutilisation de plusieurs DMZ permet de sparer les flux en fonction de leur sensibilit (une DMZ ddie aux rseaux partenaires, une DMZ ddie aux services Internet public), Le firewall externe est ddi la gestion des flux complexes et volutifs venant de lInternet, Le firewall interne est ddi la gestion des flux assez stables provenant du firewall externe et du rseau interne.
54
Rgles de configuration (1)

Matriser les flux qui transitent
Autoriser explicitement les flux Interdire tout le reste
Lordre des rgles une importance Protger Internet comme vous protgez votre rseau
Le filtrage doit aussi empcher vos utilisateur dentamer des actions malveillantes (attaques, propagation de virus, )
Faire du filtrage aussi sur les serveurs

Notamment sur les serveurs trs exposs
Web, DNS, FTP,
Le risque derreur sur les deux quipements simultanment est faible
Garder (et sauvegarder) les configurations antrieures et sassurer quon est en mesure de palier une dfaillance du systme (logique ou physique) Novembre Dcembre 2005 55
Version 1.01

Interdire le source-routing
souvent ncessaire lIP spoofing
Configurer lanti-spoofing Interdire les datagrammes fragments

Source de Dnis de Service (DOS) Rendent la dtection dintrusions difficile
Confiner au maximum les protocoles utilisant des attributions de ports dynamiques et alatoires
RCP (NFS, NIS,), FTP Actif,
Confiner au maximum les protocoles qui sont intrinsquement faible en terme de scurit
NFS, NIS, ICQ, partage de fichier, protocoles inconnus ou non documents
56

Un Firewall doit tre administr
Le niveau de scurit dpend en grande partie de la comptence des administrateurs et de leur disponibilit Doit imprativement tre maintenu jour
La plus grande source de problmes sont les version non jour
Un Firewall doit tre surveill

Un maximum dinformation doivent tre collectes, stockes et analyses (si possible en temps rel)
Collectes
A partir dun maximum dquipements (Firewall, serveurs, )
Stockes
Dans une base de donnes pour faciliter les traitements ultrieurs
Analyse des log

Il existe des outils pour aider ladministrateur Permet la dtection des incident et des tentatives dintrusion Doivent exister avant lintrusion, aprs il est trop tard !
57
Autres considrations
Ncessite des comptences et de lattention
Ne pas ce fier la convivialit de linterface Une erreur de configuration peut anantir la politique de scurit
Varier au maximum les produits et solutions

En matire de scurit lhtrognit est un avantage si ladministration est effectue correctement
Le Firewall peut tre la cible dattaques Le Firewall peut tre un maillon faible
Single point of faillure
58
Choisir son Firewall (1)

Quelles seront ses fonctionnalits ?
Le Firewall est charg dappliquer la politique de scurit que vous avez dfini, il est donc important quil soit adapt celle-ci et au niveau de scurit que vous souhaitez atteindre
Quels services doit-il offrir ?

Accs Internet, DMZ, accs internes, VPN,
Quel niveau de scurit doit-il offrir ?

Les exigences dune petite entreprise ne sont pas les mmes que celle dune banque ou dun socit qui fait du e-business
Quel sera sa charge ?

valuation REALISTE de la quantit de flux traiter
Quel niveau de fiabilit (rsilience) doit-on atteindre ?

Si votre activit repose essentiellement sur Internet ou vos liaisons avec vos partenaires il est bon de sassurer de la disponibilit des quipement et des services (providers) Novembre Dcembre 2005
Version 1.01
59

Quelles sont vos contraintes ?
De quel budget disposez vous ? Quelles sont les ressources (Homme) dont vous disposez ?
Administrateur scurit ?
Quelles sont les comptences dont vous disposez ?

Acquis, Formations, Intervenants
Dans quel environnement voluez vous ?

Contraintes politiques (Contructeurs/OS interdits) Peut-on faire voluer ces contraintes ? O seront installes les quipements ? Lgislation ? Concurrence Internationale ? Faut-il se mfier des produits imports ?
60

valuer les produits disponibles
Il ny a pas de rponse la question :
Quel est le meilleur Firewall ?
La vrai question quil faut se poser est :

Quel est le meilleur Firewall dans votre contexte ?
Prix
Matriel, Logiciel, Assistances, Maintenance, Administration, Installation
Supervision & Administration

Quels sont les outils disponibles ?
volutivit
Du matriel, des performances, des services
Adquation avec les besoins ?

61
Loffre en matire de Firewall

LARGE !
Produits commerciaux
Arkoon, CA, Checkpoint, Cisco, Matra, Netasq, Nokia, Stonesoft, WatchGuard, Deux Leaders : Checkpoint, Cisco Des aspects marketing qui font souvent perdre de vue le but premier dun Firewall
Opensoure
Netfilters/Ipchains (Linux), Ipfilter (Unix), PacketFilter (BSD)
Des fonctionnalits et une modularit importante Une administration peu conviviale
Rester critique, essayer

Il nexiste pas de produit cumulant tous les avantages
62
Relais applicatifs
63
Prsentation
Un relais applicatif se place entre un client et un serveur interceptant les requtes et les relayant
Pour masquer la structure interne dun rseau
Du rseau priv vers Internet
Toutes les requtes des clients dun LAN sont masques par le proxy diminuant ainsi la surface visible du rseau Permet aussi de simplifier la configuration dun Firewall en limitant les autorisations de sortie une seule machine
DInternet vers le rseau priv

Le serveur nest pas directement adress diminuant ainsi son exposition (serveur Web masqu par un Proxy) On parle de Reverse-Proxy Ladresse publique du serveur est en fait celle du proxy
Pour filtrer les accs la manire dun Firewall Pour mettre en place des mcanismes dauthentification et de contrle daccs Pour maintenir un cache des fichiers changs de manire diminuer la consommation de bande passante Novembre Dcembre 2005
Version 1.01
64
Architecture (1)
Serveur Web
@publique visible/NAT
Internet Relais applicatif (Proxy)
Clients Web
65
Architecture (2)
Serveur Web
Internet
Relais applicatif (Proxy) Clients Web

66
Architecture (3)
Serveur Web Internet
@publique du serveur Web
Internaute
Relais applicatif (Reverse Proxy)
67
Les protocoles supports

Un relais applicatif peut tre spcifique un protocole
HTTP, HTTPs, FTP, SMTP, NNTP,
Mais il peut tre aussi gnrique

SOCKS
Dans ce cas le relais ne comprend pas le protocole il se contente de relayer les requtes avec son adresse comme adresse source
Peut effectuer la redirection de flux vers des machines spcifiques en fonction de critres prdfinis Permet de faire du NAT (Network Address Translation) Permet galement lencapsulation dun protocole dans un autre
ex : IRC dans HTTP
68
Filtres applicatifs
69
Prsentation
Filtrage applicatif
Relais applicatif + filtrage des changes dune application
Filtrage dURL (type Websense) Filtrage Antivirus, blocage dapplets Java, ActiveX Modification ou conversion du contenu
Conversion de protocole (ex : SMTP -> NNTP) Modification dun jeu de caractre (ex: japonais vers ANSI)
Spcifique chaque protocole
Avantages
Une plus grande finesse dans le contrle des changes
70
Remarques
En cas de dbits importants limpact sur les performances peut tre important
ex : Filtrage Antivirus
SAS Telnet SAS SMTP Telnet SAS SAS Telnet FTP SAS SAS HTTP Telnet Novembre Dcembre 2005 Version 1.01
71
Loffre en matire relais et filtres applicatifs

Relais applicatifs
Apache iplanet (Netscape) ISA server (Microsoft) M>Wall (Matra) NetWall (Bull) Squid Cache engine (Cisco) DeleGate Proxy / Firewall / Filtres App Interscan VirusWall AntiVirus (Trend Micro) Websense Filtrage dURL WebShield AntiVirus (McAfee)
Filtres applicatifs
72
Exemple darchitecture
ZONE DEMILITARISEE PRIVEE ZONE DEMILITARISEE PUBLIQUE
PASSERELLES ANTIVIRUS SERVEURS DE CACHE SERVEURS WEB ACCELERATEUR SSL
COMMUTATEURS NIV 4/7
ISP 1
POSTES DE TRAVAIL
Internet
ROUTEURS D'ACCES EQUILIBREURS DE LIENS FIREWALLS EXTERNE FIREWALLS INTERNE
ISP 2
SERVEURS DATABASE SERVEURS APPLICATIONS
RESEAU INTERNE PRIVE
S.A.N.
BAIES DE STOCKAGE
LIBRAIRIES DE SAUVEGARDE
RESEAU PRODUCTION
73
Exemple darchitecture
Ordinateur portable
Rseau RNIS
Annexes Bois de l'Aune & 3 Sautets

Plate-formes de gestion (AGORA, OCEAN, EPP, etc.)
Routeur distant
RESEAU INTERNET
PASSERELLE RPV RACINE
Serveur d'accs TELETRAVAIL
LS Transfix 128 256 Kbps
RESEAU NIVEAU 1
Routeur Central
Inspections Acadmiques 05 & 13
Serveur Tlmatique COSMOS

Tunnel IPSEC Tunnel IPSEC
Routeur distant
RESEAU RENATER
LS Transfix 1920 Kbps

Tunnel IPSEC
Routeur FT
Routeur Interco Cisco 2611
RESEAU NIVEAU 3
PASSERELLES DE SECURITE
RESEAU BUREAUTIQUE RECTORAT
Plate-formes d'insfrastructure Portails Web (DNS, Annuaire, Messagerie, etc.)
Routeur distant
Routeur
RESEAU NIVEAU 2
Routeur/Firewall Routeur/Firewall
ADMINISTRATION CENTRALE
AUTRES ACADEMIES
Plate-formes d'insfrastructure (Proxy, Anti-virus, etc.) Plate-formes d'application (ASIE, SIAM, GAIA, etc.)
Serveurs d'accs
Rseau RNIS
74
Dtection dintrusions
75
Dtection dintrusions - plan

Introduction et principes gnraux Caractristiques techniques La dtection dintrusions rseau (NIDS) Outils complmentaires Conclusion partielle Nous reviendrons sur la dtection dintrusions dans les chapitres suivants (Systmes et Services)
76
Dtection dintrusions Dfinition

Faux positif :
Dtection d'attaque(s) en absence dattaques
Faux ngatif :
Absence de dtection en prsence d'attaque(s)
Il est prfrable davoir des faux positifs que des faux ngatifs
77
Dtection dintrusions Introduction

Seulement 5 15% des intrusions sont dtectes
Attaques dtectes Faux positif Faux ngatif
Attaques
Notifications IDS
Nombre total de transactions
78
Stratgie
La dtection dintrusions doit tre vue comme une composante (couche) importante de la stratgie de scurit de lentreprise Les IDS du systme dinformation doivent faire lobjet dune surveillance et dune maintenance TRES rgulire Sa fonction de base reste la surveillance
mme si certains IDS peuvent adopter un comportement actif
79
Catgories
Les NIDS (Network IDS) Les HIDS (Host IDS) Les NIDS et HIDS sont complmentaires
Chaque approche ses avantages et inconvnients
Ils ne sont pas des solutions miracle, mais ils sont indispensables
80
Le processus IDS
Obtenir les informations
Les flux et les vnements Lintgrit des systmes et donnes
Les analyser Ragir

Avertir les administrateurs de toute activit anomale En influant sur la configuration des systmes de scurit (! Danger)
81
Ce que peut faire un IDS

Renforcer la scurit du SI Surveiller lapplication de la politique de scurit de lentreprise en :
Reconnaissant les (tentatives) attaques
Internes et externes
Surveillant lactivit des utilisateurs Palliant des problmes de configuration

Faille dun firewall (problme de configuration, port normalement ouvert ex: www, ), Faille dun logiciel pour lequel il nexiste pas encore de correctif
82
Critres de choix dun IDS

Fiabilit
Peu de faux positif Pas ou peu de faux ngatif
Ractivit
Mises jour rapides et personnalisables
Facilit de mise en uvre Performance Multicanal

83
Caractristiques IDS
Audit rseau Source de donnes Audit systme Audit applicatif Alertes IDS Mthode de dtection Analyse des donnes Utilisation Comportement aprs dtection
Approche comportementale Approche par scnarios Centralise Distribue Priodique Continue Informatif Dfensif 84
Systmes de Dtection dintrusions
Mthodes de dtection
Approche comportementale
Bas sur lhypothse quune intrusion implique un usage anormal du systme et donc un comportement inhabituel dun utilisateur Rpond la question :
le comportement actuel de lutilisateur est-il cohrent avec son comportement pass ?
Vue synthtique du comportement utilisateur Obtenu grce un modle statistique

85
Mthodes de dtection
Les avantages
Pas besoin dune base dattaques Dtection dintrusions inconnues possible
Les inconvnients
En cas de changement important de lenvironnement de travail dclenchement dun flot dalertes (risque de faux positif) Un utilisateur peut changer lentement de comportement de manire habituer le systme un comportement intrusif (risque de faux ngatif)
86
Mthodes de dtection
Approche par scnarios
Fonctionne grce une base de donnes dattaques ou dactions litigieuses La dtection dattaques se fait par des mthodes danalyse de signature (patern matching) Rpond la question :
Le comportement actuel de lutilisateur correspond til un comportement intrusif connu
87
Mthodes de dtection
Les avantages
prise en compte du comportement exact des utilisateurs
Peu de faux positifs en thorie
Les inconvnients
Base de scnarios difficile crer et maintenir (risque de faux ngatif) Pas de dtection dattaques inconnues
88
Les produits
Classification des produits
89
Analyse des donnes

Centralise
Un seul administrateur / Une console Convient pour des structures modestes ou intgrant de trs bon personnels/outils
Distribue
Distribution de la surveillance sur les diffrentes entits de lentreprise
Les personnels ont-ils tous les moyen dassumer cette charge ?
90
Utilisation
Priodique (Traitement par lots)
Historiquement lanalyse des fichiers daudit se faisait priodiquement Manque de ractivit Se retrouve plus dans les HIDS
Continue (Temps-Rel)
Analyse le flot de donnes au fur et a mesure Plus ractif mais ncessite lattention permanente des superviseurs
91
Comportement aprs dtection

Notification
Supervision rseau : Syslog, SNMP Trap, Administrateur (humains) : SMS, E-mail,
Parades
Modification de la configuration dun systme
Typiquement un ajout dACL sur un Firewall Reset de connexion ventuellement la dsactivation dun compte utilisateur ou larrt dun service
92
Network IDS (NIDS) Sommaire

Prsentation Principe de fonctionnement Avantages Inconvnients Comment les placer ? Aperu de loffre
93
Les NIDS (Network IDS)

Dfinition Reprsente la majorit des offres Bass le plus souvent sur une approche par scnarios Inutiles lors de lutilisation du chiffrement Disposent le plus souvent de 2 interfaces
Une pour couter le rseau Lautre pour ladministration
Ne sont pas labri dune attaque

94
NIDS, Principe de fonctionnement

Modle CDIF
95
Avantages des NIDS

Quelques NDIS bien placs peuvent surveiller un trs large rseau Permettent de dtecter des attaques utilisant des failles pour lesquels il nexiste pas encore de correctif Possibilit dcrire des rgles personnalises Temps Rel Faible impact sur le rseau (transparent) Quasiment invisible, relativement scuris
96
Inconvnients des NIDS

Ne peuvent pas analyser les flux chiffrs
IPSec, HTTPs, SSH,
Le flux analys peut ne pas tre reprsentatif de ce qui se passe rellement Certains IDS ont du mal traiter
Des flux fragments Des paquets mal forms
Peuvent parfois tre la cible dattaques

97
Inconvnients des NIDS

Difficile mettre en uvre en environnement commut
Le commutateur doit avoir un port capable de rediriger les flux qui le traverse
Il nest pas possible de rediriger tout le trafic
Peut tre intgr aux commutateurs

Problmes de performances Base dattaques relativement limite
Peut avoir du mal surveiller des rseau haut dbit

98
Comment les placer ?

Diffrents emplacement dintrt variable
Serveur Station de supervision Commutateur (NIDS)
Serveur Web
NIDS
2
NIDS
Internet
4 Firewall (NIDS)
NIDS
1
99
Comment les placer (2)?

Exemple concret.
Ordinateur portable
Rseau RNIS
Annexes Bois de l'Aune & 3 Sautets
Routeur distant
RESEAU INTERNET
PASSERELLE RPV RACINE
Serveur d'accs TELETRAVAIL
RESEAU NIVEAU 1
Sonde SNORT
Routeur Central
RRTHD
Tunnel IPSEC Tunnel IPSEC
Routeur distant
Serveur de logs
POS 155 Mbps Fibre Optique Fast-Ethernet
RESEAU RENATER
Tunnel IPSEC
CPE IP Routeur Cisco 7200 VXR
RESEAU NIVEAU 3
Commutateur Niv. 3 Extreme Network Summit 48si
PASSERELLES DE SECURITE RESEAU BUREAUTIQUE RECTORAT
Routeur distant
Sonde SNORT
RESEAU NIVEAU 2
Routeur/Firewall Routeur/Firewall
Serveurs d'accs
ADMINISTRATION CENTRALE
AUTRES ACADEMIES
Firewall Etablissement
100
Collecte Voix Completel
Aperu de loffre
Comparatifs.
101
IDS conclusion
Loffre volue rapidement mais encore beaucoup de techniques de dtection dintrusions nen sont quau stade de la recherche La dtection dintrusions est destine des experts
Maintenance et supervision exigeante Analyse des alertes Faux positifs et Faux ngatifs
Elle ncessite de la mthode

Gestion des incidents, procdures descalade Collecte dinformations et poursuites
Ne pas se fier au discourt marketing

Cest un composant optionnel de linfrastructure de scurit que lon ne peut mettre en place que si lon dispose de personnel correctement form ayant du temps consacrer cette tche.
102
Outils daudit de scurit

Externe ou interne Manuel ou automatis
Tests intrusifs par des experts scurit
Donne un aperu non exhaustifs des problmes de scurit
Logiciels (Nessus, Cybercop scanner) En mode ASP ou MVA

Analyse de la surface Internet de lentreprise Service dport souvent factur l@IP Quelques noms : Intranode, Qualys,
103

1 - Etat de L'art de La Sécurité Informatique - Sécurité Des Réseaux - V 1.01

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

1 - Etat de L'art de La Sécurité Informatique - Sécurité Des Réseaux - V 1.01

Hochgeladen von

Copyright:

Verfügbare Formate

tat de lart de la scurit informatique

Chapitre 1 La scurit des rseaux

Novembre Dcembre 2005 Version 1.01

Conclusion Synthse Les dix commandements Sources dinformation

Sommaire Scurit des Rseaux

Novembre Dcembre 2005 Version 1.01

Novembre Dcembre 2005 Version 1.01

Novembre Dcembre 2005 Version 1.01

Utiliser dun protocole dauthentification tel que RADUIS ou Kerberos si disponible

Scurit Niveau 1->3 (OSI)

Novembre Dcembre 2005 Version 1.01

Scurit Niveau 1-2 (OSI)

Novembre Dcembre 2005 Version 1.01

Novembre Dcembre 2005 Version 1.01

Scurit Niveau 1 Concentrateurs

Disparaissent naturellement Utiles pour les sondes de dtection dintrusions

Scurit Niveau 2 Commutateurs

Scurit Niveau 2 Commutateurs

Novembre Dcembre 2005 Version 1.01

Scurit Niveau 2 Commutateurs

Novembre Dcembre 2005 Version 1.01

Scurit Niveau 2 Commutateurs

Attaques : VLAN jumping (injection de frame 802.1q) est possible si :

Novembre Dcembre 2005 Version 1.01

Scurit Niveau 2 Commutateurs

Activer le BPDU-Guard afin de filtrer le STP

Limiter le taux de broadcast

Les commutateurs niveau 2/3/4/5/6/7/.

Scurit Niveau 2 Commutateurs

VTP (VLAN Trunking Protocol) - Cisco

DTP (Dynamic Trunking Protocol)

Scurit Niveau 2 Rseaux sans fil

Mettre en place un filtrage par @MAC

Scurit Niveau 2 Rseaux sans fil

Accs au rseau facilit

Scurit Niveau 3 (OSI)

Novembre Dcembre 2005 Version 1.01

Les autres protocoles

Gestion dynamique d'une table de correspondance translation @IP,nport

Novembre Dcembre 2005 Version 1.01

Scurit & DHCP

Eviter de laisser passer :

Scurit des routeurs

Les mises jour

Politique de scurit du routeur

Novembre Dcembre 2005 Version 1.01

Routeur filtrant (2)

Routeur filtrant (3)

Novembre Dcembre 2005 Version 1.01

Novembre Dcembre 2005 Version 1.01

Les diffrents types de Firewall

Les bastions (Serveurs mandataires)

Ce que peut faire un Firewall

Lendroit idal pour la mise en place de VNP

Ce que ne peut pas faire un Firewall

Critres de filtrage (1)

Critres de filtrage (2)

Tous les Firewall ne proposent pas autant de fonctionnalits

Novembre Dcembre 2005 Version 1.01

Possibilit douvrir dynamiquement un port

Novembre Dcembre 2005 Version 1.01

Principe de fonctionnement (1)

Novembre Dcembre 2005 Version 1.01