Académique Documents
Professionnel Documents
Culture Documents
Securite Reseaux
Securite Reseaux
http://www.guill.net/
Pourquoi les systmes sont-ils vulnrables?
Les mcanismes de scurit sur un exemple de rseau
Cryptographie : chiffrement et signature
Le commerce lectronique
Les firewalls
Les serveurs proxy
Les VPN
Les systmes de dtection d'intrusions
Cette page est inspire entre autre d'un article de Dorothy Denning qui sappelle " Protection and defense of
intrusion " et qui a valeur de rfrence dans le domaine de la scurit des rseaux.
Quest que la scurit ?
Faire de la scurit sur un rseau consiste s'assurer que celui qui modifie ou consulte des donnes du systme
en a l'autorisation et qu'il peut le faire correctement car le service est disponible.
Quelques chiffres
Aprs un test de 12 000 htes du Dpartement de la dfense amricaine, on retient que 1 3% des htes ont des
ouvertures exploitables et que 88% peuvent tre pntrs par les relations de confiance.
Notons que seules 4% de ces attaques sont dtects et que 5% de ces 4% sont rapportes.
Enfin, notons que le nombre de voleurs dinformations a augment de 250% en 5 ans, que 99% des grandes
entreprises rapportent au moins un incident majeur et que les fraudes informatiques et de tlcommunication ont
totaliss 10 milliards de dollars pour seuls les Etats-Unis.
1290 des plus grandes entreprises rapportent une intrusion dans leur rseau interne et 2/3 dentre elles cause de
virus.
Pourquoi les systmes sont vulnrables ?
- La scurit est cher et difficile. Les organisations nont pas de budget pour a.
- La scurit ne peut tre sr 100%, elle est mme souvent inefficace.
- La politique de scurit est complexe et base sur des jugements humains.
- Les organisations acceptent de courir le risque, la scurit nest pas une priorit.
- De nouvelles technologies (et donc vulnrabilits) mergent en permanence.
- Les systmes de scurit sont faits, grs et configurs par des hommes (errare humanum est !).
- Il nexiste pas dinfrastructure pour les clefs et autres lments de cryptographie.
- Ltat interdit la cryptographie dans certains cas (exportation, par exemple) dans certains pays, ce qui empche
1 sur 21
23/03/00 21:26
Cette page essaie, par un exemple concret et volontairement trs simple, de montrer les menaces qui psent sur
un rseau et les mthodes pour minimiser ces menaces. On va tudier le rseau classique suivant :
2 sur 21
23/03/00 21:26
3 sur 21
23/03/00 21:26
Tout ceci est le minimum en matire de scurit. Ils ne coutent quasiment rien. On les reprend un par un :
- authentification des utilisateurs par login et mot de passe.
- suppression des informations confidentielles des machines relies au rseau si elles n'ont pas besoin d'y tre.
- protection physique des machines contenant des informations sensibles (locaux ferms clef).
- contrle pour l'accs aux informations sensibles, avec un login dlivr uniquement pour ceux qui en ont besoin.
- sensibilisation des utilisateurs aux problmes de scurit.
- installation d'un logiciel anti-virus jour sur chaque poste.
Le problme des accs distants
Les donnes qui circulent sur Internet peuvent, priori tre vues de tous. Cela dit, il faut voir si quelqu'un irait
jusqu' couter le rseau pour obtenir les informations manipules par Dupond. Pour scuriser la liaison, mme en
passant par Internet, il faut utiliser ce qu'on appelle un VPN. Avec une liaison VPN (Virtual Private Network), les
donnes sont chiffres, et personne, priori, ne peut les lire. Tous ce passe exactement comme si Dupond tant
directement connect l'entreprise sans passer par Internet, d'o le nom de rseau priv virtuel.
Firewall et proxy
Afin d'viter que des attaques puissent venir d'internet par le routeur, il convient d'isoler le rseau interne de
l'entreprise. La mthode la plus connue est le firewall et le serveur proxy, mais il n'y a pas que a... Par exemple,
sur les routeurs, il est possible de faire du filtrage de paquets ou de la translation d'adresse pour qu'une personne
de l'extrieur ne puisse ni accder, ni voir ce qu'il y a l'intrieur.
Un firewall est une entit qui fait cette opration de filtrage. On va pouvoir analyser les donnes qui rentre et les
interdire si elles ne proviennent pas de quelqu'un de connu ou si elles ne rpondent pas une requte interne. Le
firewall, plac l'entre du rseau, constitue ainsi un unique point d'accs par o chacun est oblig de passer...
Le serveur Proxy, lui, permet de faire le relais au niveau des applications pour rendre les machines internes
invisibles l'extrieur. Si personne l'extrieur ne peut voir les machines internes, l'attaques est beaucoup plus
difficile, car l'attaquant est aveugle! N'oubliez quand mme pas que 80% des attaques proviennent de l'intrieur du
rseau et non de l'extrieur...
Logiciel de dtection systmatique d'erreurs
Les pirates utilisent des logiciel de test de la configuration pour reprer les failles du systme qu'ils attaquent. Je
ne citerai ici que Cops et Satan. Ces logiciels permettent de faon automatique de chercher les erreurs de
configuration ou les vulnrabilits du systme. Si vous les utilisez avant le pirate et que vous rparez ces failles,
ce sera moins facile pour lui!
Systme de dtection d'intrusions
Enfin, une fois que tout cela est en place, si vraiment vous tes paranoaques, vous pouvez utiliser un logiciel de
dtection d'intrusions. Comme pour une alarme dans une maison, ce logiciel met une alarme lorsqu'il dtecte que
quelqu'un de non-autoris est entr sur le rseau.
A l'heure actuelle, ces logiciels sont encore remarquablement inefficace car ils passent leur temps crier au loup
alors qu'il n'y a personne dans la bergerie...
Aprs scurisation
Voil ce que a donne, mais ne vous fiez pas aux apparences : quelqu'un qui a dcid d'entrer...
4 sur 21
23/03/00 21:26
5 sur 21
23/03/00 21:26
6 sur 21
23/03/00 21:26
7 milliards de dollars. Sur 250 000 sites, 100 000 ont un but commercial !
On retrouve sur Internet, et dans la vente en ligne, les mmes acteurs que dans la vie : le commerant, qui veut
tre pay, le consommateur, qui veut payer sans crainte et simplement, et la banque, qui se veut garant de la
bonne marche des oprations. Les produits qui fonctionnent le mieux (enqute de fvrier 1997) sont les produits
informatiques, les livres, CD et vidos, et tout ce qui touche aux voyages et loisirs.
Gnralement, les sites de vente mettent en ligne une description du produit et des photos (comme une vitrine), et
propose une commande en ligne avec plusieurs moyens de payement Cest justement laspect payement qui
est le point sensible de lchange.
Le problme du paiement sur Internet
Les paiements sont notamment limits par les lois du pays qui nautorisent pas forcement le libre chiffrement des
informations (cest le cas en France). Les internautes sont encore trs frileux pour la consommation sur Internet,
car ils ne savent pas ce quon fait de leur numro de carte de crdit lorsquils le donnent, et ont peur que quelquun
dautre ne le rcupre.
En rgle gnral, les sites de vente propose soit un paiement traditionnel (par chque), soit un paiement en ligne
(par carte de crdit). Les inconvnients du paiement traditionnel est vident en terme de dlais et dchange de
devises avec les pays trangers.
Deux possibilits existent pour le paiement en ligne. La premire possibilit est le porte-monnaie lectronique, qui
est gr par un organisme tiers et qui correspond une carte virtuel sur laquelle on dpose de largent. Cette
solution est gnralement utilise pour les produits de faible cot. La deuxime solution est le paiement
directement avec sa carte de crdit, comme tout autre achat. Cest la que les problmes de scurit commence et
que la peur des consommateurs se fait sentir.
La scurit du paiement
Les risques sont multiples. Le commerant peut modifier le montant dbiter ou vendre un produit qui nexiste pas
et que le client ne recevra jamais. Le client, lui, peut utiliser une carte qui nest pas la sienne, contester avoir
pass une commande ou avoir un dcouvert la banque. Enfin, une tiers personne peut rcuprer les informations
sur la carte de crdit et les utiliser
Il sagit donc de scuriser les changes en sassurant quils sont chiffrs (confidentialit), que ceux qui y
participent sont bien ceux quils disent tre (authentification), que les donnes nont pas t modifies (intgrit). Il
faut galement pouvoir certifier que les changes ont bien eu lieu (non rpudiation) et que le client peut payer.
Il existe plusieurs mcanismes pour assurer une certaine scurit :
- SSL : Secure Socket Layers : cest de loin le plus utilis, il assure le chiffrement des changes mais ne garantit
pas que le marchand va vous livrer, ni que le client peut payer. On sait que lchange est scuris car ladresse
http:// est remplace par https:// et un cadenas apparat en bas de votre navigateur.
- SET : Secure Electronic Transaction : chiffrement des donnes de la carte de crdit, signature des messages et
authentification des diffrents acteurs de lchange.
- C-SET : Chip Secure Electronic Transaction : Cest une extension de SET avec un lecteur de carte. Ces deux
systmes sont compatibles, mais C-SET permet de contrler davantage de chose de faon physique (vrification
de la carte, etc). Ce systme est aussi sr quun paiement par carte bancaire dans un magasin.
Dautres mcanismes de scurit existe mais ne devrait pas tre utiliss pour le paiement.
7 sur 21
23/03/00 21:26
ligne. Ce quil faut se dire, cest quon peut sans problme se fier une entreprise qui a pignon sur rue, comme
fnac.fr, amazon.com, ou internic.net et que dans ce cas, les craintes ne sont pas justifies. Par contre, il faut se
mfier des sites tape--lil inconnus jusque l Cest peut-tre pour a quil est difficile de faire sa place sur
Internet !
Le principal risque, en effet, est que le commerant en face vous ne soit pas srieux ou que son entreprise soit
fictive. Le risque de se faire voler son numro de carte bleue nest pas nul, mais il est improbable Pourquoi ?
Regardez le dernier ticket de paiement que vous avez reu en utilisant votre carte de crdit : ny voyez-vous pas le
numro de carte qui y figure ? Le commerant garde toujours un double de ce ticket alors pourquoi quelquun
irait dcrypter des numros de cartes de crdit sur Internet ? Vous avez dj donn votre numro de carte tous
les commerants de France et de Navarre !
Firewalls
Voici la traduction de quelques questions et rponses d'une FAQ sur les firewalls. Je me suis permis de ladapter
et dajouter certaines choses, ce qui nengage que moi Cette FAQ, en anglais, peut tre retrouve dans son
intgralit l'adresse suivante : http://www.interhack.net/pubs/fwfaq/ et http://www.clark.net/pub/mjr/pubs/fwfaq/
8 sur 21
23/03/00 21:26
9 sur 21
23/03/00 21:26
Les machines A doivent se connecter au rseau par lintermdiaire du serveur Proxy. Ce dernier sert de relais
entre le rseau et les machines cacher. Ainsi, les machines du rseau B auront l'impression de communiquer
avec le proxy, et non les machines A.
Pour les applications du rseau B, l'adresse IP du client sera celle du serveur Proxy. Par exemple, lors dune
connexion un serveur HTTP, le browser se connecte au serveur proxy et demande laffichage dune URL. Cest le
serveur proxy qui gre la requte et qui renvoie le rsultat votre browser.
Ainsi, en utilisant un numro de port diffrent, le proxy oblige toutes les requte passer par lui en supprimant les
trames dont le numro de port ne lui correspond pas.
De plus, le proxy possde un avantage supplmentaire en termes de performances. Si deux utilisateurs
demandent peu de temps dintervalle la mme page, celle-ci sera mmorise dans le proxy, et apparatra donc
beaucoup plus rapidement par la suite.
Ce procd est trs intressant en termes de scurit sur Internet, les machines sont protges. Le serveur proxy
peut filtrer les requtes, en fonctions de certaines rgles.
10 sur 21
23/03/00 21:26
11 sur 21
23/03/00 21:26
un rseau IP. PPTP permet le cryptage des donnes PPP encapsules mais aussi leur compression.
Le schma suivant montre comment un paquet PPTP est assembl avant dtre transmis par un client distant vers
un rseau cible.
Lintrt de PPTP est de ne ncessiter aucun matriel supplmentaire car les deux logiciels dextrmit (le client
et le serveur) sont intgrs dans NT4. Par contre, il ne fonctionne que sous NT pour le moment.
12 sur 21
23/03/00 21:26
Fanion
Adresse : Le champ adresse correspond une adresse HDLC, or PPP ne permet pas un adressage
individuel des stations donc ce champ doit tre 0xFF (toutes les stations), toute adresse non
reconnue fera que la trame sera dtruite.
: Le champ contrle doit tre 0x03, ce qui correspond une trame HDLC non numrote.
Toute autre valeur fera que la trame sera dtruite.
contrle
: La valeur contenue dans ce champ doit tre impaire, loctet de poids fort tant pair. Ce
champ identifie le protocole encapsul dans le champ informations de la trame. Les diffrentes
valeurs utilisables sont dfinies dans la RFC « assign number » et reprsentent les
diffrents protocoles supports par PPP (OSI,IP,Decnet IV,IPX,), les NCP associs ainsi que les
LCP.
Protocole
FCS (Frame Check Sequence) : Ce champ contient la valeur du checksum de la trame. PPP vrifie le
contenu du FCS lorsquil reoit un paquet. Le contrle derreur appliqu par PPP est conforme
X25.
Le protocole LCP
Ce protocole de contrle de liens est charg de grer les options et les liens crs. LCP est utilis pour tablir,
maintenir, et fermer la liaison physique.
13 sur 21
23/03/00 21:26
Dans loptique dtre transportable sur un grande nombre denvironnements, PPP comprend un protocole de
contrle de liens LCP (Link Control Protocol) pour tablir, configurer, tester, et terminer le lien. LCP est utilis pour
manipuler les tailles variables des paquets, en effet selon le protocole dencapsulation slectionn dans le champ
protocole,la taille du champ options/donnes nest pas la mme. Ces fonctions de test permettent de dtecter un
lien boucl sur lui mme ou toute autre erreur classique de configuration. Dautres fonctionnalits optionnelles
comme lauthentification didentit des extrmits, et la dtermination de ltat du lien peuvent savrer
intressantes.
L en-tte est le suivant :
: Ce champ contient une valeur numrique qui sert la gestion des requtes et des
rponses.
: Longueur totale du paquet LCP. Ce paquet comprend le code, lidentifiant, la longueur
et les donnes.
Longueur
Donnes / Options
- Longueur : Longueur de la configuration doptions, cest dire la longueur des trois champs : type, longueur et
donnes.
- Type : Cet octet indique la configuration doptions ou de donnes choisie : Paquets de configurations, paquets de
fin de connexion, paquets dtruits ou paquets de test.
1 Introduction
14 sur 21
23/03/00 21:26
programmes sont courants et seront toujours exploitables par les attaquants. De plus, mme la cryptographie a
ses faiblesses et les mots de passe, par exemple, peuvent tre casss. Il n'existe pas d'organisation centralise
grant l'ensemble des clefs et autres lments de cryptographie. Enfin, mme un systme fiable peut tre attaqu
par des personnes abusant de leurs droits lgitimes.
Dorothy DENNING ajoute d'autres raisons dmontrant la vulnrabilits des systmes : la politique de scurit est
complexe et est base sur des jugements humains. On trouve notamment des faiblesses dues la gestion et la
configuration des systmes. Il y a aussi en permanence de nouvelles technologies qui mergent, et par l-mme,
de nouveaux points d'attaques. En dernier point, les organisations acceptent de courir ce risque, la scurit n'tant
pas leur principale priorit.
Pour exploiter ces faiblesses, les attaquants profitent de la ngligence des utilisateurs vis--vis de leurs droits et
autorisations d'accs, en se faisant passer pour un employ du service informatique dans le but d'obtenir des
informations. Ils peuvent aussi casser les clefs d'une longueur insuffisante ou les mots de passe par une attaque
systmatique. Ils peuvent se mettre l'coute sur le rseau pour obtenir des informations. Ils peuvent changer leur
adresse rseau pour se faire passer pour quelqu'un de confiance. Ils ont la possibilit d'injecter du code comme un
virus ou un cheval de Troie sur la cible. Enfin, ils peuvent exploiter les faiblesses des applications, des protocoles
ou des systmes d'exploitation.
15 sur 21
23/03/00 21:26
informations sur les violations ventuelles de la scurit (tentatives de commandes non autorises) ainsi que les
informations statistiques sur le systme seront elles aussi ncessaires.
Notons que ces nombreuses informations occupent beaucoup de place et sont trs longues analyser. Ces
informations devront tre, au moins pour un temps, stockes quelque part avant d'tre analyses par le systme
de dtection d'intrusions.
16 sur 21
23/03/00 21:26
17 sur 21
23/03/00 21:26
limites.
- Les groupes de travail sur ce sujet sont relativement ferms et il n'y a pas de mthodologie gnrique de
construction. Aucun standard n'a pour l'instant vu le jour dans ce domaine. Des groupes y travaillent, notament au
sein de la DARPA et de l'IETF.
- Les mises jour de profils, de signatures d'attaques ou de faon de spcifier des rgles sont gnralement
difficiles. De plus, les systmes de dtection d'intrusions demande de plus en plus de comptence celui qui
administre le systme de scurit.
- Les systmes de dtection sont gnralement crits pour un seul environnement et ne s'adapte pas au systme
surveill alors que les systmes d'informations sont, la plupart du temps, htrognes et utiliss de plusieurs
faons diffrentes.
- Aucune donne n'a t pour l'instant publie pour quantifier la performance d'un systme de dtection
d'intrusions. De plus, pour tester ces systmes, les attaques sont de plus en plus difficile simuler.
De ces imperfections, on a tent de rpondre la question "Quelles sont les obligations d'un systme de
dtection d'intrusions?" et on en a dduit des conditions indispensables pour un bon fonctionnement de ces
systmes.
18 sur 21
23/03/00 21:26
19 sur 21
23/03/00 21:26
des agents mobiles. Ils peuvent tre corrompus et ils imposent une utilisation des ressources et que quelque soit
le systme. Enfin, certains attaquants russiront toujours obtenir des droits pendant quelques temps avant d'tre
dtects.
Enfin, quelques points resteront tudier, comme la performance, car il faut voir la rapidit avec laquelle l'agent
dtecte et remonte l'information d'intrusion, la taille du code, car les systmes de dtection sont complexes et les
agents risquent de demander d'assez gros programmes et le temps d'adaptation des agents un systme, car il y
aura un manque de connaissance de base tant donn que beaucoup de plates-formes et de configurations sont
diffrentes.
20 sur 21
23/03/00 21:26
Bibliographie
Dorothy Denning, "Protection and Defense of Intrusion", 1996
Ludovic M and Cdric Michel, "La dtection d'intrusions : bref aperu et derniers dveloppements", 1999
Aurobindo Sundaram, "An introduction to Intrusion Detection", 1996
L. M and V. Alanou, "Dtection d'intrusions dans un systme informatique : mthodes et outils", 1996
Stefan Axelsson, "Research in Intrusion-Detection Systems : A Survey", 1999
Herv Debar, "Dtection d'intrusions, une aide a la scurit pour l'accs mobile", 1999
Roland Buschkes, Dogan Kesdogan et Peter Reichl, "How to Increase Security in Mobile Networks by
Anomaly Detection", 1998
Stefano Martino, "A mobile agent approach to intrusion detection", 1999
Wayne Jansen, Peter Mell, Tom Karygiannis et Don Marks, "Applying Mobile Agents to Intrusion Detection
and Response", 1999
J.P. Anderson, "Computer Security Threat Monitoring and Surveillance", 1980
Mark Crosbie et Gene Spafford, "Active Defense of a Computer System using Autonomous Agents", 1995
Nadia Boukhatem, "Les agents mobiles et applications", 1999
S. Corson et J. Macker, "Request For Comments 2501", 1999
www.guill.net
Mars 2000
21 sur 21
23/03/00 21:26