La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

La scurit des rseaux

(c) Guillaume Desgeorge 2000 guill@guill.net

http://www.guill.net/
Pourquoi les systmes sont-ils vulnrables? Les mcanismes de scurit sur un exemple de rseau Cryptographie : chiffrement et signature Le commerce lectronique Les firewalls Les serveurs proxy Les VPN Les systmes de dtection d'intrusions

Pourquoi les systmes sont vulnrables

Cette page est inspire entre autre d'un article de Dorothy Denning qui sappelle " Protection and defense of intrusion " et qui a valeur de rfrence dans le domaine de la scurit des rseaux. Quest que la scurit ? Faire de la scurit sur un rseau consiste s'assurer que celui qui modifie ou consulte des donnes du systme en a l'autorisation et qu'il peut le faire correctement car le service est disponible. Quelques chiffres Aprs un test de 12 000 htes du Dpartement de la dfense amricaine, on retient que 1 3% des htes ont des ouvertures exploitables et que 88% peuvent tre pntrs par les relations de confiance. Notons que seules 4% de ces attaques sont dtects et que 5% de ces 4% sont rapportes. Enfin, notons que le nombre de voleurs dinformations a augment de 250% en 5 ans, que 99% des grandes entreprises rapportent au moins un incident majeur et que les fraudes informatiques et de tlcommunication ont totaliss 10 milliards de dollars pour seuls les Etats-Unis. 1290 des plus grandes entreprises rapportent une intrusion dans leur rseau interne et 2/3 dentre elles cause de virus. Pourquoi les systmes sont vulnrables ? - La scurit est cher et difficile. Les organisations nont pas de budget pour a. - La scurit ne peut tre sr 100%, elle est mme souvent inefficace. - La politique de scurit est complexe et base sur des jugements humains. - Les organisations acceptent de courir le risque, la scurit nest pas une priorit. - De nouvelles technologies (et donc vulnrabilits) mergent en permanence. - Les systmes de scurit sont faits, grs et configurs par des hommes (errare humanum est !). - Il nexiste pas dinfrastructure pour les clefs et autres lments de cryptographie. - Ltat interdit la cryptographie dans certains cas (exportation, par exemple) dans certains pays, ce qui empche

1 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

le cryptage systmatique au niveau du systme dexploitation. Pourquoi un systme ne peut tre sr 100% Il est impossible de garantir la scurit totale dun systme pour les raisons suivantes : - Les bugs dans les programmes courants et les systmes dexploitation sont nombreux. - La cryptographie a ses faiblesses : les mots de passe peuvent tre casss. - Mme un systme fiable peut tre attaqu par des personnes abusant de leurs droits. - Plus les mcanismes de scurit sont stricts, moins ils sont efficaces. - On peut sattaquer aux systmes de scurit eux-mmes Mthodes utilises pour les attaques - La ngligence interne des utilisateurs vis vis des droits et autorisations daccs. - Se faire passer pour un ingnieur pour obtenir des infos comme le mot de passe. - Beaucoup de mot de passe sont vulnrables une attaque systmatique. - Les clefs de cryptographie trop courtes peuvent tre casses. - Lattaquant se met lcoute sur le rseau et obtient des informations. - IP spoofing : changer son adresse IP et passer pour quelquun de confiance. - Injecter du code dans la cible comme des virus ou un cheval de Troie. - Exploitation des faiblesses des systmes dexploitation, des protocoles ou des applications. Outils des attaquants - Programmes et scripts de tests de vulnrabilit et derreurs de configuration (satan). - Injection de code pour obtenir laccs la machine de la victime (cheval de Troie). - Echange de techniques dattaques par forums et publications. - Utilisation massive de ressources pour dtruire des clefs par exemple. - Les attaquant utilisent des outils pour se rendre anonyme et invisible sur le rseau. Principales technologies de dfense Authentification : vrifier la vracit des utilisateurs, du rseau et des documents. Cryptographie : pour la confidentialit des informations et la signature lectronique. Contrles daccs aux ressources (physiquement aussi). Firewalls : filtrage des trames entre le rseau externe et le rseau interne. Audit : tudes des fichiers de log pour reprer des anomalies. Logiciels anti-virus (2/3 des attaques sont des virus). Programmes de tests de vulnrabilit et derreurs de configuration (satan). Dtection dintrusion : dtection des comportements anormaux dun utilisateur ou des attaques connues.

Exemple pour la scurit

Cette page essaie, par un exemple concret et volontairement trs simple, de montrer les menaces qui psent sur un rseau et les mthodes pour minimiser ces menaces. On va tudier le rseau classique suivant :

2 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

Description du rseau scuriser Nous avons un rseau d'entreprise, comportant un routeur, permettant l'accs Internet. Sous ce routeur se trouve le rseau interne, compos simplement d'un hub, reliant un serveur et des stations de travail. Sur ce serveur se trouve des informations sensibles qui pourrait intresser l'espion d'une autre entreprise. On y trouve aussi des bases de donnes utilises par plusieurs employs dans diverses applications, comme Durand et Dupond. Dupond est un commercial qui sillonne la France. Il peut se connecter au serveur de n'importe o grce Internet.

Identifier les informations protger Le serveur contient des informations sensibles : si personne ne consulte rgulirement ces informations, il n'y a aucune raison de les laisser sur le serveur connect au rseau... Il ne faut pas tent le diable, et les informations confidentielles ne resteront sur le rseau qui si c'est ncssaire! Une base de donnes est utilise par plusieurs employs mais contient des informations confidentielles. Dans ce cas, le serveur doit garder ces informations. Il faudra mettre sur le serveur un srieux contrle d'accs pour assurer l'authentification des utilisateurs qui ont besoin de ces donnes. Les autres requtes seront rejetes, mme si elles proviennent d'employs de l'entreprise. Chaque ordinateur ne sera accessible qu'avec un login et un mot de passe. Le serveur contient des informations confidentielles : il faut que le serveur soit physiquement protg... Rien ne sert de scuris le rseau pour empcher l'espionnage si quelqu'un peut s'emparer du disque dur! Politique de scurit Une fois que les informations sensibles sont repres, il s'agit de choisir une politique de scurit. On fait du caf, on s'installe dans la belle salle de runion, et on discute... pour se mettre d'accord sur la politique de scurit : on choisit ce qui est autoris et ce qui est interdit. Les outils mis en place par la suite respecteront cette politique de scurit, et devront mme la reflter. Sensibilisation des utilisateurs Une politique de scurit doit se faire avec les utilisateurs : ils doivent comprendre cette politique et respecter un certain nombre de rgle en relation avec cette politique. Par exemple, il parait vident qu'ils ne doivent communiquer leur login et mot de passe personne, pas mme leurs collgues. De mme, il est bien connu qu'il ne faut pas ouvrir les fichiers attachs au email venant de personnes inconnus o dont le contenu est suspect. Des notes d'informations devront sensibiliser les utilisateurs. Ces rgles s'appliquent tous, y compris l'administrateur du rseau... Les virus Deux tiers des attaques se font par virus : chaque poste doit dispos d'un logiciel anti-virus mis jour rgulirement! Les virus se transmettent principalement par disquettes, mais peuvent aussi se faire par mail. Les fichiers les plus susceptibles d'en contenir sont bien sr les xcutables (.com, .exe), mais galement tous les documents pouvant contenir des macros (Microsoft Office est un nid virus! Mfiez-vous surtout des macros Word)... Scurit minimum

3 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

Tout ceci est le minimum en matire de scurit. Ils ne coutent quasiment rien. On les reprend un par un : - authentification des utilisateurs par login et mot de passe. - suppression des informations confidentielles des machines relies au rseau si elles n'ont pas besoin d'y tre. - protection physique des machines contenant des informations sensibles (locaux ferms clef). - contrle pour l'accs aux informations sensibles, avec un login dlivr uniquement pour ceux qui en ont besoin. - sensibilisation des utilisateurs aux problmes de scurit. - installation d'un logiciel anti-virus jour sur chaque poste. Le problme des accs distants Les donnes qui circulent sur Internet peuvent, priori tre vues de tous. Cela dit, il faut voir si quelqu'un irait jusqu' couter le rseau pour obtenir les informations manipules par Dupond. Pour scuriser la liaison, mme en passant par Internet, il faut utiliser ce qu'on appelle un VPN. Avec une liaison VPN (Virtual Private Network), les donnes sont chiffres, et personne, priori, ne peut les lire. Tous ce passe exactement comme si Dupond tant directement connect l'entreprise sans passer par Internet, d'o le nom de rseau priv virtuel. Firewall et proxy Afin d'viter que des attaques puissent venir d'internet par le routeur, il convient d'isoler le rseau interne de l'entreprise. La mthode la plus connue est le firewall et le serveur proxy, mais il n'y a pas que a... Par exemple, sur les routeurs, il est possible de faire du filtrage de paquets ou de la translation d'adresse pour qu'une personne de l'extrieur ne puisse ni accder, ni voir ce qu'il y a l'intrieur. Un firewall est une entit qui fait cette opration de filtrage. On va pouvoir analyser les donnes qui rentre et les interdire si elles ne proviennent pas de quelqu'un de connu ou si elles ne rpondent pas une requte interne. Le firewall, plac l'entre du rseau, constitue ainsi un unique point d'accs par o chacun est oblig de passer... Le serveur Proxy, lui, permet de faire le relais au niveau des applications pour rendre les machines internes invisibles l'extrieur. Si personne l'extrieur ne peut voir les machines internes, l'attaques est beaucoup plus difficile, car l'attaquant est aveugle! N'oubliez quand mme pas que 80% des attaques proviennent de l'intrieur du rseau et non de l'extrieur... Logiciel de dtection systmatique d'erreurs Les pirates utilisent des logiciel de test de la configuration pour reprer les failles du systme qu'ils attaquent. Je ne citerai ici que Cops et Satan. Ces logiciels permettent de faon automatique de chercher les erreurs de configuration ou les vulnrabilits du systme. Si vous les utilisez avant le pirate et que vous rparez ces failles, ce sera moins facile pour lui! Systme de dtection d'intrusions Enfin, une fois que tout cela est en place, si vraiment vous tes paranoaques, vous pouvez utiliser un logiciel de dtection d'intrusions. Comme pour une alarme dans une maison, ce logiciel met une alarme lorsqu'il dtecte que quelqu'un de non-autoris est entr sur le rseau. A l'heure actuelle, ces logiciels sont encore remarquablement inefficace car ils passent leur temps crier au loup alors qu'il n'y a personne dans la bergerie... Aprs scurisation Voil ce que a donne, mais ne vous fiez pas aux apparences : quelqu'un qui a dcid d'entrer...

4 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

Cryptographie : chiffrement et signature

Le chiffrement Le chiffrement des donnes fut invent pour assurer la confidentialit des donnes. Il est assur par un systme de cl (algorithme) appliqu sur le message. Ce dernier est dcryptable par une cl unique correspondant au cryptage. Il existe lheure actuelle deux grands principes de cryptage : le cryptage symtrique bas sur lutilisation dune cl prive et le cryptage asymtrique qui, repose sur un codage deux cls, une prive et lautre publique. Le cryptage symtrique Le cryptage cl priv ou symtrique est bas sur une cl (ou algorithme) partage entre les deux parties communicantes. Cette mme cl sert crypter et dcrypter les messages. Les algorithmes de chiffrement les plus connus sont : Kerberos, DES (Data Encryption Standard) et RSA. Le principal problme est le partage de la cl : Comment une cl utilise pour scuriser peut tre transmise sur un rseau inscuris ? La difficult engendre par la gnration, le stockage et la transmission des cls (on appelle lensemble de ces trois processus le management des cls : key management) limite le systmes des cls prives surtout sur Internet. Pour rsoudre ces problmes de transmission de cls, les mathmaticiens ont invent le cryptage asymtrique qui utilise une cl prive et une cl public. Le cryptage asymtrique Ce systme de cryptage utilise deux cls diffrentes pour chaque utilisateur : une est prive et nest connue que de lutilisateur ; lautre est publique et donc accessible par tout le monde. Les cls publique et prive sont mathmatiquement lies par lalgorithme de cryptage de telle manire quun message crypt avec une cl publique ne puisse tre dcrypt quavec la cl prive correspondante. Une cl est

5 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

donc utilise pour le cryptage et lautre pour le dcryptage. Ce cryptage prsente lavantage de permettre le placement de signatures numriques dans le message et ainsi permettre lauthentification de lmetteur. Le principal avantage du cryptage cl publique est de rsoudre le problme de lenvoi de cl prive sur un rseau non scuris. Bien que plus lent que la plupart des cryptage cl prive il reste prfrable pour 3 raisons : - Plus volutif pour les systmes possdant des millions dutilisateurs - Authentification plus flexible - Supporte les signatures numriques Signature Dans toute transaction professionnelle, les deux parties doivent offrir une garantie de leur identit. La signature numrique et le certificat sont des moyens didentification de lmetteur du message. Signature numrique Le principe de la signature numrique consiste appliquer une fonction mathmatique sur une portion du message. Cette fonction mathmatique sappelle fonction de hachage et le rsultat de cette fonction est appel code de hachage. Ce code fait usage demprunte digitale du message. Il faut noter que la fonction est choisie de telle manire quil soit impossible de changer le contenu du message sans altrer le code de hachage. Ce code de hachage est ensuite crypt avec la cl prive de lmetteur et rajout au message. Lorsque le destinataire reoit le message, il dcrypte ce code grce la cl publique de la source puis il compare ce code un autre code quil calcule grce au message reu. Si les deux correspondent, le destinataire sait que le message na pas t altr et que son intgrit na pas t compromise. Le destinataire sait aussi que le message provient de lmetteur puisque seul ce dernier possde la cl prive qui a crypt le code. Ce principe de signature ft amlior avec la mise en place de certificats permettant de garantir la validit de la cl public fourni par lmetteur. Les certificats Pour assurer lintgrit des cls publiques, les cls publiques sont publies avec un certificat. Un certificat (ou certificat de cls publiques) est une structure de donnes qui est numriquement signe par une autorit certifie (CA : Certification Authority) une autorit en qui les utilisateurs peuvent faire confiance. Il contient une srie de valeurs, comme le nom du certificat et son utilisation, des informations identifiant le propritaire et la cl publique , la cl publique elle mme , la date dexpiration et le nom de lorganisme de certificats. Le CA utilise sa cl prive pour signer le certificat et assure ainsi une scurit supplmentaire. Si le rcepteur connat la cl publique du CA, il peut vrifier que le certificat provient vraiment de lautorit concerne et est assur que le certificat contient donc des informations viables et une cl publique valide.

Commerce lectronique et paiement en ligne

Le commerce lectronique Le commerce lectronique, qui existait dj avec le minitel partir de 1980, vit avec Internet un vritable essor. Il sagit de toutes les transmissions de donnes pour des activits commerciales. Les enjeux conomiques pour ce type doprations, et notamment la vente en ligne, sont trs importants. On estime, dans le monde, quil y a 550 millions dinternautes pour un chiffre daffaire li au commerce lectronique de

6 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

7 milliards de dollars. Sur 250 000 sites, 100 000 ont un but commercial ! On retrouve sur Internet, et dans la vente en ligne, les mmes acteurs que dans la vie : le commerant, qui veut tre pay, le consommateur, qui veut payer sans crainte et simplement, et la banque, qui se veut garant de la bonne marche des oprations. Les produits qui fonctionnent le mieux (enqute de fvrier 1997) sont les produits informatiques, les livres, CD et vidos, et tout ce qui touche aux voyages et loisirs. Gnralement, les sites de vente mettent en ligne une description du produit et des photos (comme une vitrine), et propose une commande en ligne avec plusieurs moyens de payement Cest justement laspect payement qui est le point sensible de lchange. Le problme du paiement sur Internet Les paiements sont notamment limits par les lois du pays qui nautorisent pas forcement le libre chiffrement des informations (cest le cas en France). Les internautes sont encore trs frileux pour la consommation sur Internet, car ils ne savent pas ce quon fait de leur numro de carte de crdit lorsquils le donnent, et ont peur que quelquun dautre ne le rcupre. En rgle gnral, les sites de vente propose soit un paiement traditionnel (par chque), soit un paiement en ligne (par carte de crdit). Les inconvnients du paiement traditionnel est vident en terme de dlais et dchange de devises avec les pays trangers. Deux possibilits existent pour le paiement en ligne. La premire possibilit est le porte-monnaie lectronique, qui est gr par un organisme tiers et qui correspond une carte virtuel sur laquelle on dpose de largent. Cette solution est gnralement utilise pour les produits de faible cot. La deuxime solution est le paiement directement avec sa carte de crdit, comme tout autre achat. Cest la que les problmes de scurit commence et que la peur des consommateurs se fait sentir.

La scurit du paiement Les risques sont multiples. Le commerant peut modifier le montant dbiter ou vendre un produit qui nexiste pas et que le client ne recevra jamais. Le client, lui, peut utiliser une carte qui nest pas la sienne, contester avoir pass une commande ou avoir un dcouvert la banque. Enfin, une tiers personne peut rcuprer les informations sur la carte de crdit et les utiliser Il sagit donc de scuriser les changes en sassurant quils sont chiffrs (confidentialit), que ceux qui y participent sont bien ceux quils disent tre (authentification), que les donnes nont pas t modifies (intgrit). Il faut galement pouvoir certifier que les changes ont bien eu lieu (non rpudiation) et que le client peut payer. Il existe plusieurs mcanismes pour assurer une certaine scurit : - SSL : Secure Socket Layers : cest de loin le plus utilis, il assure le chiffrement des changes mais ne garantit pas que le marchand va vous livrer, ni que le client peut payer. On sait que lchange est scuris car ladresse http:// est remplace par https:// et un cadenas apparat en bas de votre navigateur. - SET : Secure Electronic Transaction : chiffrement des donnes de la carte de crdit, signature des messages et authentification des diffrents acteurs de lchange. - C-SET : Chip Secure Electronic Transaction : Cest une extension de SET avec un lecteur de carte. Ces deux systmes sont compatibles, mais C-SET permet de contrler davantage de chose de faon physique (vrification de la carte, etc). Ce systme est aussi sr quun paiement par carte bancaire dans un magasin. Dautres mcanismes de scurit existe mais ne devrait pas tre utiliss pour le paiement.

Conclusion : Faut-il avoir peur de payer sur Internet ? Aprs avoir pay des annes sur le minitel, on se pose la question de la scurit sur Internet pour le paiement en

7 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

ligne. Ce quil faut se dire, cest quon peut sans problme se fier une entreprise qui a pignon sur rue, comme fnac.fr, amazon.com, ou internic.net et que dans ce cas, les craintes ne sont pas justifies. Par contre, il faut se mfier des sites tape--lil inconnus jusque l Cest peut-tre pour a quil est difficile de faire sa place sur Internet ! Le principal risque, en effet, est que le commerant en face vous ne soit pas srieux ou que son entreprise soit fictive. Le risque de se faire voler son numro de carte bleue nest pas nul, mais il est improbable Pourquoi ? Regardez le dernier ticket de paiement que vous avez reu en utilisant votre carte de crdit : ny voyez-vous pas le numro de carte qui y figure ? Le commerant garde toujours un double de ce ticket alors pourquoi quelquun irait dcrypter des numros de cartes de crdit sur Internet ? Vous avez dj donn votre numro de carte tous les commerants de France et de Navarre !

Firewalls
Voici la traduction de quelques questions et rponses d'une FAQ sur les firewalls. Je me suis permis de ladapter et dajouter certaines choses, ce qui nengage que moi Cette FAQ, en anglais, peut tre retrouve dans son intgralit l'adresse suivante : http://www.interhack.net/pubs/fwfaq/ et http://www.clark.net/pub/mjr/pubs/fwfaq/

Qu'est-ce qu'un firewall? Un firewall est un systme ou un groupe de systme qui gre les contrles daccs entre deux rseaux. Plusieurs mthodes sont utilises lheure actuelle. Deux mcanismes sont utiliss : le premier consiste interdire le trafic, et le deuxime lautoriser. Certains firewalls mettent beaucoup dnergie empcher quiconque de passer alors dautres tendent tout laisser passer. La chose la plus importante comprendre est quil reprsente une politique de contrle daccs. Vous devez avoir une ide prcise de cette politique dans son ensemble pour savoir ce que vous devez autoriser ou interdire.

De quoi protge un firewall? Certains firewalls laissent uniquement passer le courrier lectronique. De cette manire, ils interdisent toute autre attaque quune attaque bas sur le service de courrier. Dautres firewalls, moins strictes, bloquent uniquement les services reconnus comme tant des services dangereux. Gnralement, les firewalls sont configurs pour protger contre les accs non authentifier du rseau externe. Ceci, plus quautre chose, empche les vandales de se logger sur des machines de votre rseau interne, mais autorise les utilisateurs de communiquer librement avec lextrieur. Les firewalls sont galement intressants dans le sens o ils constituent un point unique o laudit et la scurit peuvent tre imposs. Tous les changes passeront par lui. Il pourra donner des rsums de trafic, des statistiques sur ce trafic, ou encore toutes les connexions entre les deux rseaux.

De quoi ne protge pas un firewall? Un firewall ne protge pas des attaques qui ne passe pas par lui Certaines entreprises achtent des firewalls des prix incroyables alors que certains de leurs employs sont parfois connects par modem au monde extrieur. Il est important de noter quun firewall doit tre la mesure de la politique de scurit globale du rseau. Il ne sert rien de mettre une porte blinde sur une maison en bois Par exemple, un site contenant des documents top-secret na pas besoin dun firewall : il ne devrait tout simplement pas tre connect Internet, et devrait tre

8 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

isol du reste du rseau ! Une autre chose contre laquelle un firewall ne peut vous protger est les traitres et les idiots qui sont lintrieur de lentreprise Si un espion industriel dcide de faire sortir des donnes, il y arrivera, surtout sur disquette Il vaut mieux vrifier qui a accs aux informations que de mettre un firewall dans ce cas !

Que dire des virus? Les firewalls ne protge pas trs bien des virus. Il y a trop de manires diffrentes de coder des fichiers pour les transfrer. En dautres termes, un firewall ne pourra pas remplacer lattention et la conscience des utilisateurs qui doivent respecter un certain nombre de rgles pour viter les problme La premire tant bien videmment de ne jamais ouvrir un fichier attach un mail sans tre sr de sa provenance. Il faut prendre des mesures globales et importantes contre les virus. Avant de traquer les virus lentre du rseau, il faut sassurer que chaque poste de travail dispose dun anti-virus. Les virus passe galement trs facilement par disquette Les virus sur Internet son bien moins important que les virus sur disquette. Quoiquil en soit, de plus en plus de vendeurs de firewalls vous offrent des firewalls qui dtectent les virus. Ils permettent probablement darrter les virus simples. Ne comptez pas sur leur protection !

Quelles sont les points prendre en compte pour un firewall? Il y a un certain nombre de rgles qui doivent tre prise par le chanceux qui a reu la responsabilit de configurer et de grer le firewall. Le plus important est de reflter la politique de scurit choisit par lorganisation. Entre tout interdire et tout autoriser, il y a diffrent degrs de paranoa. Le choix final doit tre le rsultat dune politique globale de scurit plus que dune dcision dun ingnieur La deuxime est de savoir le degr de contrle que vous voulez. Aprs avoir analyss les risques, il faut dfinir ce qui doit tre autoris et interdit. Le troisime point est financier : cest de savoir le busget que vous allouez au firewall. Un firewall complet peut tre gratuit, ou coter 100 000 dollars. La solution gratuite, comme la configuration dun routeur, ne cote rien sinon beaucoup de temps et de caf. Dautres solutions coteront cher au dpart et peu ensuite Il est important de considrer le prix de dpart, mais aussi celui du support. Un firewall cote cher et prend beaucoup de temps administrer Vrifiez que vous avez des bijoux avant dacheter un coffre-fort hi-tech !

Qu'est-ce qu'un proxy?

Le but d'un serveur proxy est d'isoler une ou plusieurs machines pour les protger, comme indiqu sur le schma :

9 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

Les machines A doivent se connecter au rseau par lintermdiaire du serveur Proxy. Ce dernier sert de relais entre le rseau et les machines cacher. Ainsi, les machines du rseau B auront l'impression de communiquer avec le proxy, et non les machines A. Pour les applications du rseau B, l'adresse IP du client sera celle du serveur Proxy. Par exemple, lors dune connexion un serveur HTTP, le browser se connecte au serveur proxy et demande laffichage dune URL. Cest le serveur proxy qui gre la requte et qui renvoie le rsultat votre browser. Ainsi, en utilisant un numro de port diffrent, le proxy oblige toutes les requte passer par lui en supprimant les trames dont le numro de port ne lui correspond pas. De plus, le proxy possde un avantage supplmentaire en termes de performances. Si deux utilisateurs demandent peu de temps dintervalle la mme page, celle-ci sera mmorise dans le proxy, et apparatra donc beaucoup plus rapidement par la suite. Ce procd est trs intressant en termes de scurit sur Internet, les machines sont protges. Le serveur proxy peut filtrer les requtes, en fonctions de certaines rgles.

Les VPN et le protocole PPP

Quest-ce quun VPN ? Les rseaux privs virtuels (VPN : Virtual Private Network) permettent lutilisateur de crer un chemin virtuel scuris entre une source et une destination. Avec le dveloppement dInternet, il est intressant de permettre ce processus de transfert de donnes scuris et fiable. Grce un principe de tunnel (tunnelling) dont chaque extrmit est identifie, les donnes transitent aprs avoir t chiffres. Un des grands intrts des VPN est de raliser des rseaux privs moindre cot. En chiffrant les donnes, tout se passe exactement comme si la connexion se faisait en dehors dInternet. Il faut par contre tenir compte de la toile, dans le sens o aucune qualit de service nest garantie. Comment marche un VPN ? Le principe du VPN est bas sur la technique du tunnelling. Cela consiste construire un chemin virtuel aprs avoir identifi lmetteur et le destinataire. Ensuite la source chiffre les donnes et les achemine en empruntant ce chemin virtuel. Les donnes transmettre peuvent appartenir un protocole diffrent dIP. Dans ce cas le protocole de tunnelling encapsule les donnes en rajoutant une entte. Permettant le routage des trames dans le tunnel. Le tunneling est lensemble des processus dencapsulation, de transmission et de dsencapsulation.

10 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

A quoi sert un VPN ? Auparavant pour interconnecter deux LANs distants, il ny avait que deux solutions, soit les deux sites distants taient relis par une ligne spcialise permettant de raliser un WAN entre les deux sites soient les deux rseaux communiquaient par le RTC. Une des premire application des VPN est de permettre un hte distant daccder lintranet de son entreprise ou celui dun client grce Internet tout en garantissant la scurit des changes. Il utilise la connexion avec son fournisseur daccs pour se connecter Internet et grce aux VPN, il cre un rseau priv virtuel entre lappelant et le serveur de VPN de lentreprise. Cette solution est particulirement intressantes pour des commerciaux sillonnant la France : ils peuvent se connecter de faon scurise et do ils veulent aux ressources de lentreprise. Cela dit, les VPN peuvent galement tre utilis lintrieur mme de lentreprise, sur lintranet, pour lchange de donnes confidentielles. Services des VPN Ces VPN nont pas comme seul intrt lextension des WAN moindre cot mais aussi lutilisation de services ou fonctions spcifiques assurant la QoS et la scurit des changes. Les fonctionnalits de scurit sont matures mais par contre la rservation de bandes passantes pour les tunnels est encore un service en dveloppement limit par le concept mme dInternet. La qualit de service (QoS) est une fonctionnalit importante des VPN nest pas encore une technologie assez mature et les solutions proposes sur le march lheure actuelle ne permettent que des garanties sur des rseaux locaux propritaires, cest pourquoi peu dISP proposent leurs clients des solutions VPN. La scurit des changes est assure plusieurs niveaux et par diffrentes fonctions comme le cryptage des donnes, lauthentification des deux extrmits communicantes et le contrle daccs des utilisateurs aux ressources. Principaux protocoles de VPN Il existe sur le march trois principaux protocoles : - PPTP (Point to Point Tunnelling Protocol) de Microsoft - L2F (Layer Two Forwarding) de Cisco - L2TP (Layer Two Tunnelling Protocol) de lIETF

PPTP (Point to Point Tunnelling Protocol) Cest un protocole de niveau 2 qui encapsule des trames PPP dans des datagrammes IP afin de les transfrer sur

11 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

un rseau IP. PPTP permet le cryptage des donnes PPP encapsules mais aussi leur compression. Le schma suivant montre comment un paquet PPTP est assembl avant dtre transmis par un client distant vers un rseau cible.

Lintrt de PPTP est de ne ncessiter aucun matriel supplmentaire car les deux logiciels dextrmit (le client et le serveur) sont intgrs dans NT4. Par contre, il ne fonctionne que sous NT pour le moment.

L2F (Layer Two Forwarding) L2F est un protocole de niveau 2 qui permet un serveur daccs distant de vhiculer le trafic sur PPP et transfrer ces donnes jusqu un serveur L2F (routeur). Ce serveur L2F dsencapsule les paquets et les envoie sur le rseau. Il faut noter que contrairement PPTP et L2PT , L2F na pas besoin de client. Ce protocole est progressivement remplac par L2TP qui est plus souple.

L2TP (Layer Two Tunnelling Protocol) Microsoft et Cisco, reconnaissant les mrites des deux protocoles L2F et PPTP , se sont associs pour crer le protocoles L2TP. Ce protocole runit les avantages de PPTP et L2F. L2TP est un protocole rseau qui encapsule des trames PPP pour les envoyer sur des rseaux IP, X25, relais de trames ou ATM. Lorsquil est configur pour transporter les donnes sur IP, L2TP peut tre utilis pour faire du tunnelling sur Internet. Mais L2TP peut aussi tre directement mis en uvre sur des supports WAN (relais de trames) sans utiliser la couche de transport IP. On utilise souvent ce protocole pour crer des VPN sur Internet. Dans ce cas, L2TP transporte des trames PPP dans des paquets IP. Il se sert dune srie de messages L2TP pour assurer la maintenance du tunnel et dUDP pour envoyer les trames PPP dans du L2TP.

12 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

PPP : Point-to-Point Protocol Introduction PPP fut dvelopp pour transfrer des donnes sur des liens synchrones ou asynchrones entre deux points en utilisant HDLC comme base dencapsulation et un Frame Check Sequence (FCS) HDLC pour la dtection des erreurs. Cette liaison permet le full duplex et garantit lordre darrive des paquets. Une fonctionnalit intressante de ce protocole est le multiplexage simultan de plusieurs protocoles de niveau 3 du modle OSI. Ce protocole encapsule des paquets IP,IPX et NetBEUI, dans des trames PPP, puis transmet ces paquets PPP encapsuls travers la liaison point point. PPP est donc utilis entre un client distant et un serveur daccs distant. Le protocole PPP est dcrit dans la RFC 1331. Format de la trame PPP

Fanion

: sparateur de trame. Un seul drapeau est ncessaire entre 2 trames.

Adresse : Le champ adresse correspond une adresse HDLC, or PPP ne permet pas un adressage

individuel des stations donc ce champ doit tre 0xFF (toutes les stations), toute adresse non reconnue fera que la trame sera dtruite.
contrle

: Le champ contrle doit tre 0x03, ce qui correspond une trame HDLC non numrote. Toute autre valeur fera que la trame sera dtruite. : La valeur contenue dans ce champ doit tre impaire, loctet de poids fort tant pair. Ce champ identifie le protocole encapsul dans le champ informations de la trame. Les diffrentes valeurs utilisables sont dfinies dans la RFC « assign number » et reprsentent les diffrents protocoles supports par PPP (OSI,IP,Decnet IV,IPX,), les NCP associs ainsi que les LCP.
Protocole

: De longueur comprise entre 0 et 1500 octets, ce champ contient le datagramme du protocole suprieur indiqu dans le champ »protocole ». Sa longueur est dtecte par le drapeau de fin de trame, moins 2 octets de contrle
Informations FCS (Frame Check Sequence) : Ce champ contient la valeur du checksum de la trame. PPP vrifie le

contenu du FCS lorsquil reoit un paquet. Le contrle derreur appliqu par PPP est conforme X25.

Le protocole LCP Ce protocole de contrle de liens est charg de grer les options et les liens crs. LCP est utilis pour tablir, maintenir, et fermer la liaison physique.

13 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

Dans loptique dtre transportable sur un grande nombre denvironnements, PPP comprend un protocole de contrle de liens LCP (Link Control Protocol) pour tablir, configurer, tester, et terminer le lien. LCP est utilis pour manipuler les tailles variables des paquets, en effet selon le protocole dencapsulation slectionn dans le champ protocole,la taille du champ options/donnes nest pas la mme. Ces fonctions de test permettent de dtecter un lien boucl sur lui mme ou toute autre erreur classique de configuration. Dautres fonctionnalits optionnelles comme lauthentification didentit des extrmits, et la dtermination de ltat du lien peuvent savrer intressantes. L en-tte est le suivant :

Code : Dfinit , sur un octet, le type de paquet LCP : 1 : Configure request - 2 : Configure Ack - 3 : Configure NAK - 4 : Configure Reject - 5 : Terminate Request - 6 : Terminate Ack - 7 : Code Reject - 8 : Protocol Reject - 9 : Echo Request - 10 : Echo Reply - 11 : Discard Request - 12 : Link quality report Identifiant

: Ce champ contient une valeur numrique qui sert la gestion des requtes et des

rponses. : Longueur totale du paquet LCP. Ce paquet comprend le code, lidentifiant, la longueur et les donnes.
Longueur Donnes / Options

: Ce champ de taille variable peut contenir une ou plusieurs configuration doptions. Le format dune configuration doptions LCP possde 3 champs : type, longueur et donnes.
- Longueur : Longueur de la configuration doptions, cest dire la longueur des trois champs : type, longueur et donnes. - Type : Cet octet indique la configuration doptions ou de donnes choisie : Paquets de configurations, paquets de fin de connexion, paquets dtruits ou paquets de test.

Les systmes de dtection d'intrusions

Ce rapport est une partie de ma recherche bibliographique de DEA : c'est une synthse d'article de recherche sur la dtection d'intrusions fate en fvrier 2000.

1 Introduction

1.1 Pourquoi les systmes sont-ils vulnrables?

La scurit est devenue un point crutial des systmes d'informations. Cependant, les organisations sont peu ou pas protges contre les attaques sur leur rseau ou les htes du rseau. Dorothy DENNING, aprs avoir donn des chiffres montrant l'importance du nombre d'attaques dans le monde, nous donne des raisons visant dmontrer la vulnaribilit des systmes d'informations. La premire raison qui fait que les systmes sont mal protgs est que la scurit cote chre. Les organismes n'ont pas de budget allou ce domaine. Elle souligne galement que la scurit ne peut tre sr 100%, voire qu'elle est mme souvent innefficace. Aurobino SUNDARAM nous en donne les raisons : les bugs dans les

14 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

programmes sont courants et seront toujours exploitables par les attaquants. De plus, mme la cryptographie a ses faiblesses et les mots de passe, par exemple, peuvent tre casss. Il n'existe pas d'organisation centralise grant l'ensemble des clefs et autres lments de cryptographie. Enfin, mme un systme fiable peut tre attaqu par des personnes abusant de leurs droits lgitimes. Dorothy DENNING ajoute d'autres raisons dmontrant la vulnrabilits des systmes : la politique de scurit est complexe et est base sur des jugements humains. On trouve notamment des faiblesses dues la gestion et la configuration des systmes. Il y a aussi en permanence de nouvelles technologies qui mergent, et par l-mme, de nouveaux points d'attaques. En dernier point, les organisations acceptent de courir ce risque, la scurit n'tant pas leur principale priorit. Pour exploiter ces faiblesses, les attaquants profitent de la ngligence des utilisateurs vis--vis de leurs droits et autorisations d'accs, en se faisant passer pour un employ du service informatique dans le but d'obtenir des informations. Ils peuvent aussi casser les clefs d'une longueur insuffisante ou les mots de passe par une attaque systmatique. Ils peuvent se mettre l'coute sur le rseau pour obtenir des informations. Ils peuvent changer leur adresse rseau pour se faire passer pour quelqu'un de confiance. Ils ont la possibilit d'injecter du code comme un virus ou un cheval de Troie sur la cible. Enfin, ils peuvent exploiter les faiblesses des applications, des protocoles ou des systmes d'exploitation.

1.2 Introduction la scurit des systmes d'informations

Etant donn le nombre de systmes attaqus ces dernires annes et les enjeux financiers qu'ils abritent, les systmes d'informations se doivent aujourd'hui d'tre protgs contre les anomalies de fonctionnement provenant soit d'une attitude intentionnellement malveillante d'un utilisateur, soit d'une faille rendant le systme vulnrable. Du fait du nombre toujours croissant de personnes ayant accs ces systmes par le biais d'Internet, la politique de scurit se concentre gnralement sur ce point d'entre du rseau interne. La mise en place d'un pare-feu est devenu indispensable afin d'interdire l'accs aux paquets indsirables. On peut, de cette faon, proposer une vision restreinte du rseau interne vu de l'extrieur et filtrer les paquets en fonction de certaines caractristiques telles qu'une adresse ou un port de communication. Cependant, ce systme de forteresse est insuffisant s'il n'est pas accompagn d'autres protections. Citons la protection physique des informations par des accs contrls aux locaux, la protection contre les failles de configuration par des outils d'analyse automatique des vulnrabilits du systme, ou encore la protection par des systmes d'authentification fiables pour que les droits accords chacun soient clairement dfinis et respects, ceci afin de garantir la confidentialit et l'intgrit des donnes. Faire de la scurit sur des systmes d'informations consiste s'assurer que celui qui modifie ou consulte des donnes du systme en a l'autorisation et qu'il peut le faire correctement car le service est disponible. Mme en mettant en place tous ces mcanismes, il reste encore beaucoup de moyens pour contourner ces protections. Pour les complter, une surveillance permanente ou rgulire des systmes peut tre mise en place : ce sont les systmes de dtection d'intrusions. Ils ont pour but d'analyser tout ou partie des actions effectues sur le systme afin de dtecter d'ventuelles anomalies de fonctionnement.

1.3 L'audit de scurit

L'audit de scurit permet d'enregistrer tout ou partie des actions effectues sur le systme. L'analyse de ses informations permet de dtecter d'ventuelles intrusions. Les systmes d'exploitation disposent gnralement de systmes d'audit intgrs, certaines applications aussi. Les diffrents vnements du systmes sont enregistrs dans un journal d'audit qui devra tre analys frquemment, voire en permanence. Sur les rseaux, il est indispensable de disposer d'une base de temps commune pour estampiller les vnements. Voici les types d'informations collecter sur les systmes pour permettre la dtection d'intrusions. On y trouve les informations sur les accs au systme (qui y a accd, quand et comment), les informations sur l'usage fait du systme (utilisation du processeur, de la mmoire ou des entres/sorties) et les informations sur l'usage fait des fichiers. L'audit doit galement permettre d'obtenir des informations relatives chaque application (le lancement ou l'arrt des diffrents modules, les variables d'entre et de sortie et les diffrentes commandes excutes). Les

15 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

informations sur les violations ventuelles de la scurit (tentatives de commandes non autorises) ainsi que les informations statistiques sur le systme seront elles aussi ncessaires. Notons que ces nombreuses informations occupent beaucoup de place et sont trs longues analyser. Ces informations devront tre, au moins pour un temps, stockes quelque part avant d'tre analyses par le systme de dtection d'intrusions.

2 Classification des systmes de dtection d'intrusions

Pour classer les systmes de dtection d'intrusions, on peut se baser sur plusieurs variables. La principale diffrence retenue est l'approche utilise, qui peut tre soit comportementale, soit par scnarios. Nous verrons ensuite d'autres paramtres permettant de classer les diffrents systmes de dtection d'intrusions.

2.1 Approche comportementale et approche par scnarios

Dans les traces d'audit, on peut chercher deux choses diffrentes. La premire correspond l'approche comportementale, c'est--dire qu'on va chercher savoir si un utilisateur a eu un comportement dviant par rapport ses habitudes. Ceci signifierait qu'il essaye d'effectuer des oprations qu'il n'a pas l'habitude de faire. On peut en dduire, soit que c'est quelqu'un d'autre qui a pris sa place, soit que lui mme essaye d'attaquer le systme en abusant de ses droits. Dans les deux cas, il y a intrusion. La deuxime chose que l'on peut chercher dans les traces d'audit est une signature d'attaque. Cela correspond l'approche par scnarios. Les attaques connues sont rpertories et les actions indispensables de cette attaque forment sa signature. On compare ensuite les actions effectues sur le systme avec ces signatures d'attaques. Si on retrouve une signature d'attaque dans les actions d'un utilisateur, on peut en dduire qu'il tente d'attaquer le systme par cette mthode. Plusieurs mthodes diffrentes peuvent tre mises en oeuvre pour dtecter le comportement dviant d'un individu par rapport un comportement antrieur considr comme normal par le systme. La mthode statistique se base sur un profil du comportement normal de l'utilisateur au vu de plusieurs variables alatoires. Lors de l'analyse, on calcule un taux de dviation entre le comportement courant et le comportement pass. Si ce taux dpasse un certain seuil, le systme dclare qu'il est attaqu. Les systmes experts, eux, visent reprsenter le profil d'un individu par une base de rgles cre en fonction de ses prcdentes activits et recherchent un comportement dviant par rapport ces rgles. Une autre mthode consiste prdire la prochaine commande de l'utilisateur avec une certaine probabilit. Notons galement l'utilisation des rseaux de neurones pour apprendre les comportements normaux des utilisateurs ou encore l'utilisation de la mthode dte "d'immunologie" se basant sur le comportement normal du systme et non des utilisateurs. De mme que pour l'approche comportementale, plusieurs mthodes peuvent tre utlises pour grer les signatures d'attaques. Les systmes experts les reprsentent sous forme de rgles. La mthode dite du "Pattern Matching" (reconnaissance de forme) reprsente les signatures d'attaques comme des suites de lettres d'un alphabet, chaque lettre correspondant un vnement. Les algorithmes gntiques sont galement utiliss pour analyser efficacement les traces d'audit. Les signatures d'attaques peuvent tre galement vues comme une squence de changements d'tats du systme. La simple analyse de squences de commandes a t rapidement abandonne car elle ne permettait pas la dtection d'attaques complexes. Pour l'approche par scnarios, le poids donn chaque entit (audit, base de signatures d'attaques et mcanisme d'analyse) et la faon dont elles sont mises en relation est dcisif pour obtenir un systme de dtection efficace. Chacune des deux approches a ses avantages et ses inconvnients, et les systmes de dtection d'intrusions implmentent gnralement ces deux aspects. Avec l'approche comportementale, on a la possibilit de dtecter une intrusion par une attaque inconnue jusqu'alors. Par contre, le choix des paramtres est dlicat, ce systme de mesures n'est pas prouv exact, et on obtient beaucoup de faux positifs, c'est--dire que le systme croit tre attaqu alors qu'il ne l'est pas. Qui plus est, un utilisateur peut apprendre la machine le comportement qu'il souhaite, notamment un comportement totalement anarchique ou encore changer lentement de comportement. Avec l'approche par scnarios, on peut prendre en compte les comportements exacts des attaquants potentiels. Les inconvnients sont dans la base de rgles qui doit tre bien construite et les performances qui sont limites par l'esprit humain qui les a conues. Notons galement que l'approche par scnarios ne permet videmment pas de dtecter une attaque inconnue jusque l.

16 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

2.2 Autres mthodes de classification des systmes de dtection d'intrusions

Si la classification la plus utilise est celle de l'approche comportementale et de l'approche par scnarios, il est possible de classer les systmes de dtection d'intrusions en fonction d'autres paramtres : On peut classer les systmes en fonction de la rponse qu'il apporte l'intrusion qu'ils ont dtecte. Certains systmes se contentent d'mettre une alarme l'administrateur (rponse passive) tandis que d'autres essayent de contrer l'attaque en cours (rponse active). Il y a pour l'instant deux principaux mcanismes de rponse implments : les alarmes qui permettent de prvenir rapidement l'administrateur et le filtrage des paquets venant de l'attaquant. Les systmes peuvent tre classs en fonction de la provenance de leurs donnes d'audit, selon qu'elles viennent du systme, des applications ou des paquets du rseau. Certains systmes surveillent en permanance le systme d'informations tandis que d'autres se contentent d'une analyse priodique. On peut trs bien envisager de se baser sur d'autres paramtres comme le dlai de dtection, c'est--dire si le systme dtecte les intrusions en temps rel ou non, sa capacit de traiter les donnes de faon distribue, sa capacit rpondre aux attaques sur lui-mme ou encore son degr d'interoprabilit avec d'autres systmes de dtection d'intrusions.

3 Les systmes de dtection d'intrusions actuels

3.1 Modle de base d'un systmes de dtection d'intrusions
Le premier systme de dtection d'intrusions a t propos en 1980 par James ANDERSON. Il en existe maintenant beaucoup d'autres, commerciaux ou non. La majorit de ses systmes se basent sur les deux approches, comportementale et par scnarios. Stefan AXELSSON donne un modle d'architecture de base pour un systme de dtection d'intrusions. Du systme surveill, un module s'occupe de la collecte d'informations d'audit, ces donnes tant stockes quelque part. Le module de traitement des donnes intragit avec ces donnes de l'audit et les donnes en cours de traitement, ainsi qu'avec les donnes de rfrence (signatures, profils) et de configuration entres par l'administrateur du systme de scurit. En cas de dtection, le module de traitement remonte une alarme vers l'administrateur du systme de scurit ou vers un module. Une rponse sera ensuite apport sur le systme surveill par l'entit alerte. Les imperfections de ce type de systmes monolithiques et mme des systmes de dtection d'intrusions en gnral sont prendre en compte. Stefano Martino souligne que si un certain nombre de techniques ont t dveloppes jusque l pour les systmes de dtection d'intrusions, la plupart analysent des vnements au niveau local et se contentent de remonter une alarme sans agir. Ils dtectent de plus les activits dangereuses d'un utilisateur sans se proccuper du code dangereux.

3.2 Imperfections dans les implmentations actuelles

Dans la plupart des cas, les systmes de dtection d'intrusions sont faits d'un seul bloc ou module qui se charge de toute l'analyse. Ce systme monolithique demande qu'on lui fournisse beaucoup de donnes d'audit, ce qui utilise beaucoup de ressources de la machine surveille. L'aspect monolithique pose galement des problmes de mises jour et constitue un point d'attaque unique pour ceux qui veulent s'introduire dans le systme d'informations. D'autres imperfections plus gnrales sont relevables dans les systmes de dtection d'intrusions actuels : - Mme en implmentant les deux types d'approches, certaines attaques sont indcelables et les systmes de dtection sont eux-mme attaquables. Les approches comportementale et par scnarios ont elles-mmes leurs

17 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

limites. - Les groupes de travail sur ce sujet sont relativement ferms et il n'y a pas de mthodologie gnrique de construction. Aucun standard n'a pour l'instant vu le jour dans ce domaine. Des groupes y travaillent, notament au sein de la DARPA et de l'IETF. - Les mises jour de profils, de signatures d'attaques ou de faon de spcifier des rgles sont gnralement difficiles. De plus, les systmes de dtection d'intrusions demande de plus en plus de comptence celui qui administre le systme de scurit. - Les systmes de dtection sont gnralement crits pour un seul environnement et ne s'adapte pas au systme surveill alors que les systmes d'informations sont, la plupart du temps, htrognes et utiliss de plusieurs faons diffrentes. - Aucune donne n'a t pour l'instant publie pour quantifier la performance d'un systme de dtection d'intrusions. De plus, pour tester ces systmes, les attaques sont de plus en plus difficile simuler. De ces imperfections, on a tent de rpondre la question "Quelles sont les obligations d'un systme de dtection d'intrusions?" et on en a dduit des conditions indispensables pour un bon fonctionnement de ces systmes.

3.3 Conditions de fonctionnement des systmes de dtection d'intrusions

Stefano MARTINO souligne qu'un systme de dtection d'intrusions vise augmenter la fiabilit d'un rseau et en devient donc un composant critique. Un systme de dtection d'intrusions, quelque soit son architecture, doit : tourner en permanence sans superviseur humain. tre tolrant aux fautes et rsister aux attaques. utiliser un minimum de ressources du systme surveill. dtecter les dviations par rapport un comportement normal. tre facilement adaptable un rseau spcifique. s'adapter aux changements avec le temps. tre difficile tromper. Les conditions appliquer aux systmes de dtection d'intrusions peuvent tre classes en deux parties : les conditions fonctionnelles, c'est--dire ce que le systme de dtection se doit de faire, et les conditions de performances, c'est--dire comment il se doit de le faire. Un systme de dtection d'intrusions se doit videmment de faire une surveillance permanente et d'mettre une alarme en cas de dtection. Il doit de fournir suffisamment d'informations pour rparer le systme et de dterminer l'tendu des dommages et la responsabilit de l'intrus. Il doit tre modulable et configurable pour s'adapter aux plates-formes et aux architectures rseaux. Il doit pouvoir assurer sa propre dfense, comme supporter que tout ou partie du systme soit hors-service. La dtection d'anomalies doit avoir un faible taux de faux positifs. Le systme de dtection doit tirer les leons de son exprience et tre frquemment mis jour avec de nouvelles signatures d'attaques. De plus, il doit pouvoir grer les informations apportes par chacune des diffrentes machines et discuter avec chacune d'entre elles. En cas d'attaques, il doit tre capable d'apporter une rponse automatique, mme aux attaques coordonnes ou distribues. Ensuite, le systme de dtection devra galement pouvoir travailler avec d'autres outils, et notamment ceux de diagnostic de scurit du systme. Il faudra, lors d'une attaque, retrouver les premiers vnements de corruption pour rparer correctement le systme d'informations. Enfin, il va de soi qu'il ne doit pas crer de vulnrabilits supplmentaires et qu'il doit aussi surveiller l'administrateur systme. Les vnements anormaux ou les brches dans la scurit doivent tre rapports en temps rel pour minimiser les dgts. Le systme de dtection d'intrusions ne devra pas donner un lourd fardeau au matriel surveill, ni interfrer avec les oprations qu'il traite. Il doit pouvoir s'adapter la taille du rseau qu'il surveille. Pour pallier un certain nombre de ses problmes et remplir ses conditions, la technologie des agents mobiles a t applique aux systmes de dtection d'intrusions. Le paragraphe suivant explique le principe, les avantages et les inconvnients des agents mobiles.

18 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

4 Utilisation des agents mobiles dans les systmes de dtection d'intrusions

Une alternative l'utilisation d'un module monolithique pour la dtection d'intrusions est la mise en oeuvre de processus indpendants.

4.1 Qu'est-ce qu'un agent mobile ?

Un agent mobile est un programme autonome qui peut se dplacer de son propre chef, de machine en machine sur un rseau htrogne dans le but de dtecter et combattre les intrusions. Cet agent mobile doit tre capable de s'adapter son environnement, de communiquer avec d'autres agents, de se dplacer et de se protger. Pour ce dernier point, une des fonctions de l'agent doit tre l'identification et l'authentification pour donner l'emplacement et l'identit de celui qui l'a lanc. Ainsi, Chaque agent est un programme lger, insuffisant pour faire un systme de dtection d'intrusions entier car il n'a qu'une vision restreinte du systme. Si plusieurs agents cooprent, un systme de dtection plus complet peut tre construit, permettant l'ajout et le retrait d'agents sans reconstruire l'ensemble du systme. La premire caractristique dont ont peut tirer des avantages est la mobilit des agents. Le fait qu'il n'y ait pas de programme principal qui se sert des autres modules comme esclaves mais plutt la prsence de plusieurs entits intelligentes qui collaborent, fait que si une des entits s'arrte, le systme continue de fonctionner.

4.2 Avantages et inconvnients des agents mobiles

Si les agents n'apportent pas fondamentalement de nouvelles capacits, ils apportent nanmoins des rponses aux imperfections soulignes prcdemment. Stefano MARTINO fait d'ailleurs une analogie entre le systme immunitaire humain et cette approche : chaque cellule ou agent doit combattre les intrus avant que a ne deviennent une menace pour le systme. Quatre classes peuvent tre faites pour caractriser ces avantages : La flexibilit : on a la possibilit d'adapter le nombre d'agents la taille du systme d'informations ainsi que d'avoir des agents entrans en fonction du systme surveill. L'efficacit : les agents affectent moins les performances de chaque machine puisqu'ils peuvent travailler sur les ressources ayant uniquement rapport avec leur champ de vision. Le gain au niveau de l'change d'informations, sur le rseau notamment, est loin d'tre ngligeable. La fiabilit : c'est la tolrance aux fautes. Si un agent est hors-service, il reste d'autres agents qui peuvent se reproduire. Le systme de dfense n'est pas annihil par la compromission d'un seul agent, un agent corrompu ne donnnant pas une image fausse de l'ensemble du systme aux autres agents. La portabilit : les agents supportent plus facilement les systmes distribus, et donc la fois l'aspect hte et l'aspect rseau. Notons par exemple que ce systme permet de dtecter les attaques distribues, c'est--dire des aux attaques simultanes de plusieurs personnes rparties sur un rseau. En plus de ses avantages, il y en a encore un certain nombre. L'architecture par agents mobiles est naturelle et prsente une plus grande rsistance aux attaques puisqu'elle se base sur un systme autre que hirarchique. Qui plus est, elle est base sur une excution asynchrone et une certaine autonomie, ce qui fait que les agents mobiles sont dsolidariss du reste pour une plus grande tolrance aux fautes. Enfin, les agents mobiles prsentent la capacit de s'adapter dynamiquement aux changements et peuvent donc ragir plus rapidement. Si les systmes par agents mobiles ont des avantages indniables, ils ont galement des inconvnients notables. Il est clair que le codage et le dploiement sera difficile pour assurer un code code sr avec beaucoup de fonctionnalits. Il y a d'autres inconvnients : quand les agents se dplacent, un noeud dpourvu d'agent est vulnrable pendant un moment. De plus, si les agents ont besoin d'un apprentissage, ce temps peut tre long. Il souligne ensuite quelques unes des imperfections des systmes de dtection d'intrusions qui ne sont pas corriges par le systme

19 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

des agents mobiles. Ils peuvent tre corrompus et ils imposent une utilisation des ressources et que quelque soit le systme. Enfin, certains attaquants russiront toujours obtenir des droits pendant quelques temps avant d'tre dtects. Enfin, quelques points resteront tudier, comme la performance, car il faut voir la rapidit avec laquelle l'agent dtecte et remonte l'information d'intrusion, la taille du code, car les systmes de dtection sont complexes et les agents risquent de demander d'assez gros programmes et le temps d'adaptation des agents un systme, car il y aura un manque de connaissance de base tant donn que beaucoup de plates-formes et de configurations sont diffrentes.

4.3 Conclusion et perspectives pour les agents mobiles

Si les agents mobiles apportent des avantages importants, les inconvnients qu'ils engendent du mme coup ne sont pas ngligeable. Cependant, l'approche par agents mobiles semble pouvoir donner des rsultats meilleurs que les autres technologies et la recherche va dvelopper une nouvelle architecture pour cette technologie. Les avantages des agents mobiles pourront tre exploits de plusieurs faons : en prvoyant de la surveillance en plus de la dtection, en fournissant une rponse aux attaques et en augmentant la fiabilit du systme. On peut aussi tirer profit de la diversit en reprsentant les signatures d'attaques par une mthode diffrente pour chaque agent.

5 Perspectives pour la recherche

Les tendances de la recherche vont de la machine vers le rseau, d'un systme centralis vers un systme distribu, vers une plus grande interoprabilit des systmes et vers une plus grande rsistance aux attaques. Les constantes de la recherche sont l'utilisation d'un systme hybride (approche comportementale et par scnarios) permettant de la dtection en temps rel. Beaucoup de chercheurs se penchent sur le problme de l'amlioration du nombre de faux positifs et d'attaques non dtects. Les mcanismes idaux de rponses aux attaques consisteraient supprimer l'action de l'intrus dans la cible, teindre la cible et protger le reste du rseau. Dans le cas des attaques internes, il faudrait bloquer l'attaquant, teindre sa machine ou tre capable de remonter l'attaquant trs rapidement pour surveiller ses actions. Enfin, il faudrait que le systme de dtection puisse toujours modifier les tables de filtrage des routeurs et pare-feux, ce qui est dj le cas de certains systmes du commerce. L'approche par agents mobiles apportent l aussi une solution puisqu'il n'est pas ncessaire d'avoir un serveur de scurit dans le sens o les agents peuvent automatiquement se mouvoir dans le rseau et installer les composants appropris sur les lments qu'il faut. Ils peuvent traquer les attaquants et rassembler des preuves de faon automatique ou encore effectuer des oprations sur la machine de l'attaquant, sur la machine cible ou sur le rseau en les mettant, par exemple, en quarantaine. Un certain nombre de questions restent ouvertes : Quels types d'intrusions est-on sr de dtecter ? De quelles donnes d'audit a-t-on besoin pour prendre la dcision qu'il y a eu intrusion ? Quels sont les types d'attaques contre les systmes de dtection mme ? Quand est-on sr que le systme de dtection d'intrusions n'est pas compromis et si c'est le cas, que faire ? Quelle quantit minimum de ressources peut prendre un systme de dtection pour tre efficace ? A ces questions, on peut en ajouter une autre : Comment peut-on rduire le taux de faux positif? La rponse passera sans doute par ces deux autres questions : Quelles mthodes et mcanismes permettent de dtecter les scnarios d'attaques complexes? Comment peut-on faire cooprer les diffrents systmes de dtection d'intrusions?

20 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

Bibliographie
Dorothy Denning, "Protection and Defense of Intrusion", 1996 Ludovic M and Cdric Michel, "La dtection d'intrusions : bref aperu et derniers dveloppements", 1999 Aurobindo Sundaram, "An introduction to Intrusion Detection", 1996 L. M and V. Alanou, "Dtection d'intrusions dans un systme informatique : mthodes et outils", 1996 Stefan Axelsson, "Research in Intrusion-Detection Systems : A Survey", 1999 Herv Debar, "Dtection d'intrusions, une aide a la scurit pour l'accs mobile", 1999 Roland Buschkes, Dogan Kesdogan et Peter Reichl, "How to Increase Security in Mobile Networks by Anomaly Detection", 1998 Stefano Martino, "A mobile agent approach to intrusion detection", 1999 Wayne Jansen, Peter Mell, Tom Karygiannis et Don Marks, "Applying Mobile Agents to Intrusion Detection and Response", 1999 J.P. Anderson, "Computer Security Threat Monitoring and Surveillance", 1980 Mark Crosbie et Gene Spafford, "Active Defense of a Computer System using Autonomous Agents", 1995 Nadia Boukhatem, "Les agents mobiles et applications", 1999 S. Corson et J. Macker, "Request For Comments 2501", 1999

www.guill.net Mars 2000

21 sur 21

23/03/00 21:26