Protection contre les menaces – Prévention

Jean-Marc Robert
Génie logiciel et des TI
Plan de la présentation
 Introduction
 Prévention
 Routeurs
 Pare-feu
 Systèmes de prévention d’intrusion
 Conclusions

Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 2

Introduction
 La sécurité informatique repose sur deux grands principes:
 Veille technologique  Connaissez bien vos ennemis.
 Analyse des besoins  Connaissez-vous vous-même.

Connais ton ennemi et connais-toi toi-même; eussiez-vous cent

guerres à soutenir, cent fois vous serez victorieux.
Sun Tzu, 4ième siècle av.

Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 3

Analyse des besoins
 La politique de sécurité est la pierre angulaire de la sécurité d’un
système informatique.
 Détermine les actifs à protéger et les objectifs à atteindre.

 L’atteinte de ces objectifs repose sur les trois grands piliers de la

sécurité informatique:
 Prévention
 Détection
 Réaction

 Defence-in-depth: Utilisation de plusieurs moyens (parfois redondants) afin

de protéger les actifs et de réduire les risques auxquels ils sont exposés.

Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 4

Prévention
 Prévenir l’occurrence d’une attaque.
 Effectuer une veille technologique afin de découvrir les menaces
découlant des nouvelles vulnérabilités.
 Déployer les correctifs remédiant aux vulnérabilités des logiciels (patch).
 Déployer une architecture basée la séparation des réseaux.
 N’allouer que le trafic légitime – configuration statique.
 Par défaut bloquer tout trafic.
 Allouer explicitement seulement le trafic désiré.
 Bloquer tout trafic ayant été identifié comme malveillant.
 Reconnaissance basée sur des signatures d’attaques.
 Reconnaissance basée sur la détection d’anomalie.

Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 5

 Modèle OSI Modèle TCP/IP

Couche application Couche application

Couche de présentation

Couche de session

Couche de transport TCP

Couche de réseau IP

Couche de liaison Couche de liaison

Couche physique Couche physique

Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 6

Filtrer les paquets: Access Control List (ACL)
 Routeur
 Les routeurs de périphérie peuvent être configurés afin de filtrer les
paquets entrant ou sortant du réseau local.
 Pare-feu
 Dispositif contrôlant les flots d’information entre deux réseaux utilisant
des politiques de sécurité différentes.

Finance

Internet
RH
R&D

Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 7

Filtrer les paquets: Access Control List (ACL)
Source IP Source Port Dest. IP Dest. Port Action
0.0.0.0 Any 152.168.1.0/24 Any Deny
10.0.0.0/8 Any 152.168.1.0/24 Any Deny
127.0.0.0/8 Any 152.168.1.0/24 Any Deny
192.168.0.0/16 Any 152.168.1.0/24 Any Deny
152.168.1.0/24 Any Any Any Deny
Any Any 152.168.1.3 25 Allow
Any Any 152.168.1.2 80 Allow
Any Any 152.168.1.0/24 Any Deny

 Trafic entrant
 Pas d’adresses illégales ou locales
 Permet de prévenir le IP spoofing
 Aucun paquet provenant de l’Internet ne devrait utiliser une adresse de 152.168.1.0/24

Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 8

Filtrer les paquets: Access Control List (ACL)
Source IP Source Port Dest. IP Dest. Port Action
0.0.0.0 Any 152.168.1.0/24 Any Deny
10.0.0.0/8 Any 152.168.1.0/24 Any Deny
127.0.0.0/8 Any 152.168.1.0/24 Any Deny
192.168.0.0/16 Any 152.168.1.0/24 Any Deny
152.168.1.0/24 Any Any Any Deny
Any Any 152.168.1.3 25 Allow
Any Any 152.168.1.2 80 Allow
Any Any 152.168.1.0/24 Any Deny

 Trafic entrant
 Serveur SMTP et Serveur Web
 Seules communications permises
 L’ordre des règles est important.

Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 9

Filtrer les paquets: Access Control List (ACL)
 Comment permettre à un site web distant de répondre à un
usager du réseau 152.168.1.0/24 sans ouvrir tous les ports
éphémères?

Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 10

Pare-feu à états
 Permettre à une connexion provenant du réseau local d’ouvrir un
tel port pour un intervenant extérieur.
 Ainsi, la source locale (adresse IP et port UDP/TCP) ouvre la porte pour
un destinataire extérieur (adresse IP et port UDP/TCP).
 Ce destinataire ne peut alors communiquer qu’avec la source initiale.

 Les ports éphémères sont bloqués de façon générale.

Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 11

Pare-feu à états – table d’états
 Dispositif permettant de filtrer les paquets selon les informations
se retrouvant dans l’entête de TCP/IP (ou UDP/IP) ainsi que
l’état de la connexion.
 Le pare-feu doit maintenir une table de connexions permettant de
conserver l’état de chacune d’elles.
 Par exemple, bloquer le trafic UDP/25 entrant à moins qu’il ne réponde à une requête
provenant du réseau local.

 Si aucune information se retrouve dans la table, les ACL sont utilisés.

Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 12

Pare-feu à états – table d’états
Source IP Source Port Dest. IP Dest. Port État
152.168.1.12 1030 80.210.1.3 80 Établi
152.168.1.13 1031 173.22.1.1 80 Établi

 De cette façon, avant de vérifier les ACLs, la table d’états est

vérifiée.
 Si une connexion initiée de l’intérieur du réseau local utilise un port
éphémère, l’autre intervenant peut « entrer » par ce port.

 Donc, il serait possible de bloquer les ports éphémères en entrée

(tel que présenté précédemment).

Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 13

Filtrer les paquets – Difficultés
 Après l’étude de 37 architectures réseau (télecom, financier,
energie, media, santé, …):

Table 1. Complexité de la configuration.

Description Minimum Maximum Average
Règles 5 2,671 144.0
Objets 24 5,847 968.0
 Postes, sous-réseaux, et groupes
Interfaces 2 13 4.0

A. Wool. A Quantitative Study of Firewall Configuration Errors. IEEE Computer, 2004.

Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 14

 Filtrer les paquets – Difficultés
Erreurs
1 No stealth rule –connexions au pare-feu non filtrées
2-4 Check Point implicit rules – Présence de règles par défaut
5 Insecure firewall management – Connexion au Firewall via telnet
6 Too many management machines – Gestion à partir de # postes
7 External management machines – Gestion à partir de postes externes
8 NetBIOS service –connexions NetBIOS non filtrées! Souvent
attaqués
9 Portmapper/Remote Procedure Call service - port 111 non bloqué
10 Zone-spanning objects – règles portant sur deux zones d’ @ ip
11 “Any” service on inbound – Voir 8 et 9
12 “Any” destination on outbound – connexions sortantes non limitées
Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 15
Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 16
Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 17
 Modèle OSI Modèle TCP/IP

Couche application Couche application

Couche de présentation

Couche de session

Couche de transport TCP

Couche de réseau IP

Couche de liaison Couche de liaison

Couche physique Couche physique

Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 18

Pare-feu proxy
 Comment bloquer les flots d’information en se basant sur le
contenu applicatif des paquets?
 Comment bloquer les logiciels malveillants spécifiques à un
protocole (p.e. ActiveX ou JavaScript pour HTTP, virus pour
SMTP)?
 Solution:
 Utiliser un dispositif interceptant la communication entre deux
intervenants.
 Ce dispositif devrait pouvoir interpréter les informations applicatives afin
de pouvoir prendre une décision le plus juste possible.
 Par exemple, la reconstruction des paquets IP fragmentés.

Le man-in-the middle autorisé!

Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 19
Pare-feu proxy – schématiquement

Internet

R&D 2.TCP/80 – HTTP Get

134.154.24.4  23.14.3.41
3.Response
1.TCP/80 – HTTP Get 23.14.3.41 134.154.24.4
192.168.1.12  134.154.24.4
4.Response Proxy Serveur
134.154.24.4  192.168.1.12 134.154.24.4 23.14.3.41
seule adresse connue
Client à l’extérieur
192.168.1.12

Réseau local – Environnement sécurisé Internet – Environnement hostile

Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 20

Pare-feu proxy – types
 Niveau applicatif (application-level proxy)
 Spécifique à un protocole applicatif (p.e. HTTP, NTP, SMTP, …)
 Analyse le paquet au niveau applicatif.
 Beaucoup plus exigent au niveau des ressources.

 Niveau circuit (circuit-level proxy)

 Création d’un circuit entre le client et le serveur.
 Niveau Session dans le modèle OSI.
 Aucune analyse au niveau applicatif.
 Peut supporter plusieurs protocoles.

Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 21

Pare-feu application-level proxy
 HTTP
 Authentification de l’usager.
 Bloque l’accès aux url inappropriés.
 Bloque les ActiveX ou JavaScript.
 Bloque certaines commandes (p.e.
http delete)
 …
Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10
 SMTP
 Authentification de l’usager.
 Bloque les ActiveX ou JavaScript.
 Bloque les courriels avec pièces
jointes.
 Bloque certaines extensions de
MIME.
 Analyse les pièces jointes à la
recherche de virus.
 …
 La différence entre un SMTP
proxy-server et le serveur SMTP
n’est pas très clair puisque le
SMTP serveur est déjà un
intermédiaire.
22
Pare-feu proxy – sommaire
Pour
 Décision prise selon les données applicatives.
 Validation du protocole.
 Authentification des usagers.
 À noter que cela aurait pu être mentionné aussi pour les autres types de pare-feu car
la démarcation entre ces diverses fonctionnalités n’est pas très clair.
 Création de fichiers d’audit exhaustifs
 Au niveau applicatif puisque le pare-feu a accès à toute l’information (et non
seulement l’entête).
Contre
 Problèmes de performance.
 Dépendant de l’application.
 Nombre limité de proxy applicatifs.
 Bris de la communication client/serveur  Bris du lien de confiance?
 Table de connexions peut être la cible d’une attaque DoS.

Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 23

Pare-feu – architecture
 Les pare-feu peuvent être installés à divers endroits dans
l’infrastructure de réseau.

 Rappel: Le pare-feu sert à séparer deux réseaux utilisant des

politiques de sécurité différentes.

Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 24

Pare-feu – architecture de base (dual-home)

Internet

R&D

 Le pare-feu repose sur un ordinateur sécurisé (bastion host)

ayant deux cartes réseau.
 Nombre minimal de services – avec les ports fermés.
 Services mis à jour régulièrement.
 Nombre limité de comptes usager – avec des mots de passe robustes.

Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 25

Zone démilitarisée
Zone tampon d'un réseau d'entreprise, située entre le réseau
local et Internet, derrière le coupe-feu, qui correspond à un
réseau intermédiaire regroupant des serveurs publics (HTTP,
SMTP, FTP, DSN, etc.), et dont le but est d'éviter toute
connexion directe avec le réseau interne et de prévenir celui-
ci de toute attaque extérieure depuis le Web.

Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 26

Pare-feu DMZ

Local SMTP Internet

DNS

HTTP

 Restreindre les flots

 Internet / DMZ
 DMZ / Local
 Internet / Local

Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 27

Pare-feu DMZ

Local Internet

HTTP SMTP DNS

 Restreindre les flots

 Internet / Local
 Internet / DMZ
 DMZ / Local
 Le pare-feu a simplement trois cartes réseau.
 Toutefois, un seul ordinateur doit être compromis pour que tout s’écroule.

Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 28

Pare-feu DMZ – politique de sécurité
 Les flots d’information de l’Internet vers le DMZ et du DMZ
vers le réseau local ne doivent pas compromettre l’intégrité
des informations se retrouvant dans le DMZ ou le réseau local.

 Les flots d’information du réseau local vers le DMZ et du

DMZ vers l’Internet ne doivent pas compromettre
l’intégrité et la confidentialité des informations se retrouvant
dans le réseau local ou le DMZ.

Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 29

Pare-feu DMZ – politique de sécurité
 Quatre grands principes:
 Moindre privilège
 Un sujet ne doit avoir que les privilèges minimales afin de compléter ses tâches.
 Séparation des privilèges
 Un sujet ne doit pas être autorisé seulement en se basant sur une condition unique.
 Protégé par défaut
 À moins d’être explicitement autorisé, un sujet ne doit pas avoir accès à un objet.
 Économie de moyen
 Les mécanismes de sécurité doivent être le plus simple possible afin d’éviter des
failles (logicielles ou matérielles) pouvant être exploitées.

Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 30

Pare-feu DMZ – pare-feu externe
 Cacher les adresses utilisées par les serveurs dans le DMZ.
 Le pare-feu externe expose seulement son adresse IP.
 Bloquer tout trafic illégitime.
 Provenant directement de l’Internet pour accéder au réseau local.
 Provenant du réseau local pour accéder directement à l’Internet.
 Offrir des proxy applicatifs (p.e. SMTP, DNS, HTTP, FTP)
 Filtres de premier niveau: jeux de caractères, longueur de lignes, …
(vérification syntaxique)
 Filtres applicatifs: virus, vers, … (toutefois, ces vérifications peuvent être
redondantes)

 Économie de moyen + Séparation des privilèges

 Protégé par défaut

Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 31

Pare-feu DMZ – pare-feu interne
 Cacher les adresses utilisées par le réseau local.
 Network Address Translation (NAT).

 Bloquer tout trafic illégitime.

 Seulement le trafic X de ou vers un serveur du DMZ est permis.
 Exception: Trafic administratif
 Serveur d’administration local serveur DMZ (SSH)

 Économie de moyen + Séparation des privilèges

 Protégé par défaut

Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 32

Pare-feu DMZ – les serveurs proxy
 Analyser les trafic applicatifs.

 Mettre en œuvre des filtres complexes.

 Par exemple, décompresser un fichier joint à un courriel afin de
rechercher des vers ou virus.

 Principaux dispositifs afin de mettre en œuvre la politique

de sécurité.
 Complémentent les proxy applicatifs du pare-feu.
 Dans certains cas, il peut y avoir redondance.

Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 33

Pare-feu – conclusions
 Les pare-feu offrent maintenant beaucoup de fonctionnalités
en plus de filtrer les paquets.
 Network Address Translation (NAT)
 Utilisation d’adresses privées pour l’intérieur du réseau local.
 10.0.0.0/8 172.16.0.0/16 192.168.0.0/16
 Ces adresses doivent correspondre à une adresse publique.
 Une adresse publique + ports  Nombreuses adresses privées + ports (limités)
 Dynamic Host Configuration Protocol (DHCP)
 Serveur allouant les adresses IP dans le réseau local
 Virtual Private Networks (VPN)
 Permettant aux usagers distants d’établir une communication sécurisée avec le réseau
local.

Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 34

Conclusions
 Nombreux dispositifs existent afin d’offrir une solution
technologique sécurisée.

 Afin de déterminer la solution la plus adéquate, il faut

absolument
 Connaître ses besoins.
 Politique de sécurité détaillant les objectifs pour les divers actifs.
 Connaître ses ennemis
 Veille technologique vulnérabilité, menaces, …

Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 35

Terminologie et définitions
Les définitions en italique ainsi que les termes français
proviennent de grand dictionnaire terminologique de
l’Office de la langue française du Québec.
(http://www.oqlf.gouv.qc.ca/ressources/gdt.html)

Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 36