Vous êtes sur la page 1sur 103

tat de lart de la scurit informatique

Chapitre 1 La scurit des rseaux


Auteurs : Stphan GUIDARINI Consultant Senior Sbastien DESSE Expert Rseaux et Scurit
Novembre Dcembre 2005 Version 1.01

Introduction ? Quoi protger Contre qui ? Pourquoi? ? Qui croire Comment protger ? Quelle politique de scurit ?

Programme

Scurit des rseaux Gnralits Scurit niveau 1 Scurit niveau 2 Commutateurs Sans fil scurit niveau 3 Gnralits Protocoles de routage wall Fire Scurit niveau 7 Relais applicatifs Filtres applicatifs Dtection d'intrusions Network IDS

Scurit des con tenus & changes Introduction la cryptographie Utilisation de la cryptographie PPP/PPTP/L2TP Scurit des accs IPSEC de passe Authentification forte Authentification Mots TSL/SSL Single Sign On SHTTP - Kerberos RADIUS- TACACS/TACACS+ S/MIME 802.1x , Scurit Wifi (WEP, WPA, etc.) Les Infrastructures clef publique(PKI) PGP La rglementation Scurit des systmes et des applications Gnralits Scurit en environnement Microsoft Scurit en environnement Uni x Dtection d'intrusions au niveau systme Virus, Vers et chevaux de Troie

Novembre Dcembre 2005 Version 1.01

Conclusion Synthse Les dix commandements Sources dinformation

Sommaire Scurit des Rseaux


Gnralits Administration Scurit Niveau 1-3 (OSI) Firewall Relais applicatifs Dtection dintrusions

Novembre Dcembre 2005 Version 1.01

Gnralits
Qu'est-ce que la scurit d'un rseau ?
La scurit d'un rseau est un niveau de garantie que l'ensemble des machines du rseau fonctionnent de faon optimale et que les utilisateurs des dites machines possdent uniquement les droits qui leur ont t octroy. Il peut sagir :
d'empcher des personnes non autorises d'agir sur le systme de faon malveillante d'empcher les utilisateurs d'effectuer des oprations involontaires capables de nuire au systme de scuriser les donnes en prvoyant les pannes de garantir la non interruption d'un service
Novembre Dcembre 2005 Version 1.01

Gnralits
La sret de fonctionnement.
L objectif du concepteur est la prvision de la capacit de survie du systme : la continuit de service Il y a deux approches avec des objectifs et des moyens diffrents :
la disponibilit comprend la fiabilit (pannes) et la maintenabilit (rparation) la crdibilit comprend l intgrit

Novembre Dcembre 2005 Version 1.01

Gnralits
La sret de fonctionnement (2)
Les solutions sont essentiellement matrielles :
une redondance de tout ou partie des matriels actifs une redondance des liaisons tlecoms des contrats de maintenance avec GTI et GTR pour des serveurs type Firewall, Proxy: technologie RAID, SAN, CLUSTER Backup/Restore : Operating System, configurations...
Novembre Dcembre 2005 Version 1.01

Administration
Laccs aux quipements
Physique
Empcher laccs physique aux quipements
Bouton Marche/Arrt Port console

SNMP
viter le classique public / private A dsactiver si non utilis De prfrence dans un VLAN dadministration Faille de SNMP v2 publie rcemment Attendre impatiemment la gnralisation de SNMPv3

Novembre Dcembre 2005 Version 1.01

Administration (2)
Laccs aux quipements
Telnet
Mot de passe choisir judicieusement !! Si possible utiliser des ACL pour filtrer les accs De prfrence dans un VLAN dadministration Utiliser SSH

Linterface Web
A dsactiver sur ce type dquipement Si ncessaire -> VLAN dadministration

Utiliser dun protocole dauthentification tel que RADUIS ou Kerberos si disponible


Novembre Dcembre 2005 Version 1.01

Administration (3)
Un certain nombre de services actifs par dfaut peuvent / doivent tre dsactivs
Cest notamment le cas de lIOS de Cisco qui est driv dun Unix et qui a donc conserv un certain nombre de protocoles bien connus de ces environnement
Echo Finger Bootp

Et dautres
DNS lookup IP source-routing (routeurs ou commutateurs L3) Directed-Broadcasts (routeurs ou commutateurs L3) CDP (cisco, mais implment sur dautres quipements)
Novembre Dcembre 2005 Version 1.01

Scurit Niveau 1->3 (OSI)

Novembre Dcembre 2005 Version 1.01

10

Scurit Niveau 1-2 (OSI)


Gnralits Niveau 1
Concentrateurs

Niveau 2
Commutateurs Le cas du sans fil (WLAN)

Novembre Dcembre 2005 Version 1.01

11

Gnralits
Lidentit est ladresse MAC (IEEE)
Identifiant unique (48bits) Peut tre administre localement Elle identifie mais nauthentifie pas
Adresse du Destinataire Adresse de lexpditeur

Novembre Dcembre 2005 Version 1.01

12

Gnralits
Les protocoles rencontrs sont :
ARP Address resolution protocol CDP Cisco Discovery protocol STP Spanning Tree Protocol 802.1d VLAN Virtual LAN 802.1q VTP VLAN Trunking Protocol (cisco) Unicast Frames Multicast Frames Broadcast Frames
Novembre Dcembre 2005 Version 1.01

13

Scurit Niveau 1 Concentrateurs


Les concentrateurs (hub)
Diffusion des flux tous Il existe des mcanismes de bruitage Il existe des mcanismes de filtrage (MAC)
ladresse peut tre usurpe Induit une charge administrative importante

Disparaissent naturellement Utiles pour les sondes de dtection dintrusions


Novembre Dcembre 2005 Version 1.01

14

Scurit Niveau 2 Commutateurs


Les commutateurs
But premier : Augmenter le nombre de domaines de broadcast en segmentant le rseau Cre des rseaux locaux en faisant abstraction de lorganisation physique des quipements Augmenter la scurit des communications
Novembre Dcembre 2005 Version 1.01

15

Scurit Niveau 2 Commutateurs


Les commutateurs sont la cible dattaques telles que :
ARP cache poisoning ARP/DHCP spoofing HSRP/VRRP spoofing STP/VTP attacks VLAN Jumping (ISL/DTP)

Novembre Dcembre 2005 Version 1.01

16

Scurit Niveau 2 Commutateurs


ARP cache poisoning

Novembre Dcembre 2005 Version 1.01

17

Scurit Niveau 2 Commutateurs


VLAN Jumping (ISL/DTP)
Problme des VLAN
Pas conu pour faire de la scurit mais permet de la renforcer Les commutateurs multi-layer sont des points faibles des infrastructures rseaux (attention aux mauvaises configurations)

Attaques : VLAN jumping (injection de frame 802.1q) est possible si :


DTP (Dynamic Trunking Protocol) est activ Et si le port est dans le mme VLAN que le native VLAN (VLAN 1 par dfaut)

Novembre Dcembre 2005 Version 1.01

18

Scurit Niveau 2 Commutateurs


Il existe des moyens de se protger
Ne pas utiliser le VLAN 1 (VLAN par Dfaut) Filtrage des adresse MAC par port
Cisco port security par exemple

Activer le BPDU-Guard afin de filtrer le STP


Dsactive un port si un BPDU est reu via celui-ci

Limiter le taux de broadcast


A affiner en fonction du type dquipement connect sur le port

HSRP
Donner l@IP la plus leve au routeur principal, la suivante au secondaire, etc Filtrer laide dACL les flux HSRP entre quipement

Les commutateurs niveau 2/3/4/5/6/7/.


Concentrent en un seul point de nombreux problmes de scurit et sont donc surveiller tout particulirement Novembre Dcembre 2005 19
Version 1.01

Scurit Niveau 2 Commutateurs


Il existe des moyens de se protger (2)
Notion de Private VLAN
Le segment devient Multi-Access Non Broadcast Des quipements dun mme VLAN ne peuvent pas communiquer directement entre eux

VTP (VLAN Trunking Protocol) - Cisco


Ne pas laisser la configurartion par default
Mode Server sans mot de passe Affecter un domaine et un mot de passe Server / Client / Transparent ?

DTP (Dynamic Trunking Protocol)


Les ports sont en mode auto par dfaut Choisir le mode Off pour tous les port non utiliss pour des interconnections de commutateurs
Novembre Dcembre 2005 Version 1.01

20

Scurit Niveau 2 Rseaux sans fil


Infrarouge, Bluetooth, 802.1b,
Infrarouge peu utilis pour le rseau Bluetooth utilis uniquement pour linterconnexion de priphriques

802.11(b)
Le rseau ne sarrte pas la porte de lentreprise
Parking Visiteurs, rue

Mettre en place un filtrage par @MAC


Administration contraignante
Il est possible dusurper une @MAC
Novembre Dcembre 2005 Version 1.01

21

Scurit Niveau 2 Rseaux sans fil


802.11 (b) ou (g)
Les trames ne sont plus confines dans un cble mais diffuses dans toute la pice
Tout le monde peut couter (comme un hub) Mise en place de chiffrement
WEP -> souffre dun manque de maturit Facile cracker (40 bits), 128 bits IPSec -> contraignant

Accs au rseau facilit


Faiblesse des mcanismes dauthentification Vulnrable aux attaques du type Man in the Middle

Utilisation WPA s'appuie sur la famille 802.1x et le protocole EAP (Extensible Authentification Protocol) Novembre Dcembre 2005
Version 1.01

22

Scurit Niveau 3 (OSI)


Gnralits Adressage priv Scurit & DHCP ICMP Les protocoles de routage Filtrage IP

Novembre Dcembre 2005 Version 1.01

23

Gnralits
Lidentit est ladresse IP (pour Internet)
Identifiant de 32 bits Aisment modifiable / usurpation facile Identifie mais nauthentifie pas Nintgre aucun mcanisme de scurit

Les autres protocoles


Confins au sein de lentreprise Moins doutils de scurisation la disposition des administrateurs
Novembre Dcembre 2005 Version 1.01

24

Gnralits (2)
Les protocoles rencontrs sont :
IP ICMP RARP HSRP / VRRP (redondance dquipement) RIP, RIPv2, IGRP, EIGRP, OSPF, BGP, Paquets Unicast Paquets Multicast Paquets Broadcast
Novembre Dcembre 2005 Version 1.01

25

Ladressage priv
Recommandations IANA : RFC 1918.
Les numros de rseaux suivants ne sont pas routs sur lInternet
Classe A 10.0.0.0 Classe B 172.16.0.0 172.31.0.0 Classe C 192.168.0 192.168.255

Isolation naturelle de son trafic priv par rapport au trafic Internet Ncessite la prsence dun translateur dadresses :
Network Address Translator Le NAT ne se substitue pas au Firewall et/ou Proxy Serveur
Novembre Dcembre 2005 Version 1.01

26

La translation dadresse
Il sagit dun complment de service plus quun service de scurit proprement dit
Serveur SMTP . . TRANSLATEUR

INTERNET
ISP

FIREWALL

Socket Source
@priv1,1025 @priv2,1067 @priv3,1067 @pubA,3025 @pubA,3026 @pubA,3027

Localisation du translateur
Sur le firewall

Gestion dynamique d'une table de correspondance translation @IP,nport

Types de translations
N @ prives vers 1 @ publique 1 @ prive vers 1 @ publique 27

Novembre Dcembre 2005 Version 1.01

Scurit & DHCP


Le DHCP
Peut tre lalli ou lennemi de la scurit Cre des problmes de scurit si les adresses sont attribues au hasard
Sur le rseau lidentit est l@IP Dans le monde rel lidentification se fait par rapport la personne ou au poste utilis Le DHCP dans sa configuration la plus basique empche lassociation @IP <-> personne/poste Il existe des mcanismes palliatifs
Informations obtenues auprs du PDC (Domaine NT) RFC 931/1413 (Identd)

Attribuer l@IP en fonction de l@ MAC est une solution permettant daugmenter la scurit
Novembre Dcembre 2005 Version 1.01

28

ICMP
Il nest pas obligatoire dinterdire tous les messages ICMP
ICMP est utile, laisser passer :
source-quench, packet-too-big, dont fragment time-exceeded, echo request et echo reply dans certains cas

Eviter de laisser passer :


redirect, unreachable, parameter-problem,
Novembre Dcembre 2005 Version 1.01

29

Scurit des routeurs


Les routeurs assurent les services essentiels au bon fonctionnement des infrastructures de communication La compromission dun routeur amne un certain nombre de problmes favorisants la compromission des SI
La compromission des tables de routage peut amener la dgradation des performances, des dnis de service et lexposition des donnes sensibles La compromission des moyens de contrle daccs dun routeur peut amener la divulgation dinformations sensibles et la facilitation dattaques et dnis de services

En gnral un routeur bien configur permet damliorer grandement le niveau de scurit global du systme dinformation
Novembre Dcembre 2005 Version 1.01

30

Principes et buts
Protection du routeur lui-mme
protection physique Le systme dexploitation La scurisation de la configuration

Administration du routeur
Les accs administrateur au routeur sont un problme essentiel
Rseau/Interfaces dadministration Limitation des accs par un filtrage ou un protocole appropri Mots de passe valables Connexion scurise lquipement (IPSec/SSH)

Les mises jour


Validit des images logicielles (source, corruption, bugs, )

Journalisation
Lenregistrement systmatique de lactivit de lquipement via les protocoles de supervision (SNMP, Syslog, ) permet de disposer en temps de crise, des informations essentielles lidentification et la rsolution des problmes
Novembre Dcembre 2005 Version 1.01

31

Politique de scurit du routeur


La scurit du routeur doit tre le reflet de la politique de scurit globale du SI Vision en couche de la scurit du routeur

Novembre Dcembre 2005 Version 1.01

32

Protocoles de routage
En gnral
Utiliser passive-interface pour toutes les interfaces ne devant pas participer au processus de routage Journaliser les mises jour

RIP : pas de mcanisme de scurit, viter RIPv2 : prvoit lauthentification IGRP : pas de mcanisme de scurit EIGRP : prvoit lauthentification des changes OSPF
Prvoit lauthentification des changes (password MD5) Nutiliser que des mises jour Unicast (Pas de Broadcasts) Il est possible de filtrer les MAJ reues

BGP
Prvoit lauthentification des changes Ne pas utiliser le mme mot de passe pour tous les routeurs Si possible utiliser IPSEC Novembre Dcembre 2005 33
Version 1.01

Routeur filtrant
Le rle principal du routeur filtre de paquets est de permettre ou dempcher le passage des paquets de donnes reus Le routeur examine tous les datagrammes par rapport des rgles de filtrage, bases sur le contenu informationnel de lentte du datagramme Le filtrage seffectue aux niveaux 2,3,4 du modle OSI Mthode dintrusion typiques contournant le filtrage de paquets : la fragmentation de paquet
Cette technique consiste utiliser la proprit de fragmentation de IP afin de crer de tout petits fragments et de forcer len-tte TCP tre fragmente elle aussi, lespoir tant que seul le premier fragment sera analys par le routeur, laissant alors passer tout le reste.
Novembre Dcembre 2005 Version 1.01

34

Routeur filtrant (2)


Les avantages :
Les solutions de scurit sont encore majoritairement bases sur lemploi unique de routeurs filtrants. Cela sexplique pour plusieurs raisons :
le cot gnralement faible dun routeur filtrant les performances sont gnralement bonnes la transparence aux utilisateurs et aux applications fiable car les contrles sont simples et peu sujets erreurs dimplmentation Novembre Dcembre 2005
Version 1.01

35

Routeur filtrant (3)


Les limites :
Les limites des routeurs filtrants sont mis en vidence par le besoin de contrle du contenu informationnel des changes :
Les performances du routeur diminuent avec le nombre de rgles appliquer le routeur filtrant ne peut pas comprendre le contexte du service quil rend : il ne peut pas, par exemple bloquer lentre de mails ou de newsgroup concernant certains sujets ne traite que des informations du type en-tte de trame pas ou peu de statistiques sur lusage des filtres la protection du rseau connnect lInternet est minimale
Novembre Dcembre 2005 Version 1.01

36

Firewall

Novembre Dcembre 2005 Version 1.01

37

Firewall Plan
Dfinition Diffrents types de Firewall Ce que peut faire un Firewall Principe / Architecture O placer un Firewall Choisir son Firewall

Novembre Dcembre 2005 Version 1.01

38

Dfinition
Un Firewall est un dispositif informatique qui permet le passage slectif des flux dinformation entre deux rseaux et qui neutralise les tentatives daccs qui sont en dsaccord avec la politique de scurit en vigueur

Firewall Internet
Novembre Dcembre 2005 Version 1.01

Rseau Interne

39

Les diffrents types de Firewall


Les botiers ddis
Type appliance

Les routeurs
Simples listes de filtrage ou vrai Firewall

Les logiciels
OS ou logiciels ddis

Les bastions (Serveurs mandataires)


Proxy
Novembre Dcembre 2005 Version 1.01

40

Ce que peut faire un Firewall


Permet de concentrer la scurit en un seul point et donc dappliquer facilement la politique de scurit sur une surface importante du rseau Permet de surveiller les flux le traversant Permet de mettre en place des DMZ Lendroit idal pour dployer du NAT
Permet de dissimuler le rseau protg

Lendroit idal pour la mise en place de VNP


Novembre Dcembre 2005 Version 1.01

41

Ce que ne peut pas faire un Firewall


Ne protge pas des attaques qui ne le traverse pas !!! Ne protge pas un segment de rseau contre les utilisateurs qui y sont connects Ne protge pas contre les attaques utilisant des protocoles autoriss Ne protge pas contre les chevaux de Troie Ne protge pas contre les virus Ne peut pas se configurer tout seul !
Novembre Dcembre 2005 Version 1.01

42

Critres de filtrage (1)


Action
Autoriser / Interdire / Jeter / Rediriger / Authentifier /

Protocoles
IP
@source, @destination, TOS,

ICMP
Type de message

TCP
Ports source, Port destination, Flags (SYN, ACK, FIN,) Les ports dterminent souvent le service associ

UDP
Port source, Port destination, Les ports dterminent souvent le service associ

Autres protocoles
ESP, AH, OSPF,
Novembre Dcembre 2005 Version 1.01

43

Critres de filtrage (2)


Les horaires Lutilisateur (!= @IP) @MAC Les donnes contenues dans le datagramme La charge du rseau Plus gnralement partir de toute information que lon est capable dextraire dun datagramme ou de lenvironnement

Tous les Firewall ne proposent pas autant de fonctionnalits

Novembre Dcembre 2005 Version 1.01

44

Stateful inspection
Le filtrage ne se fait plus uniquement par datagramme (packet filtering) mais avec une logique de session
Introduction dune table des connexions Introduction de modules spcifiques chaque protocole, capables de tracer leur excution et de sassurer de leur bon droulement
Numros de squence TCP, ouvertures de ports, phases de ngociation,
ex : ftp, http, h323, sip, rpc, rsh, telnet,

Possibilit douvrir dynamiquement un port


ex : ftp actif

Novembre Dcembre 2005 Version 1.01

45

Principe de fonctionnement (1)


Cration dune liste de rgles retranscrivant dans le langage du Firewall la politique de scurit pralablement dfinie
Jautorise mon proxy effectuer des requtes HTTP vers Internet Jautorise mon DNS effectuer des requtes (DNS) vers Internet Jautorise les flux SMTP lintention de mon relais de messagerie Jautorise les flux HTTP lintention de mon proxy Web Je demande lauthentification pour les flux HTTP lintention de mon serveur Web Intranet Jautorise les ICMP echo sortir et les ICMP reply entrer Jinterdit tout le reste

Novembre Dcembre 2005 Version 1.01

46

Principe de fonctionnement (2)


# Rgles basiques (Any access-list 100 permit access-list 100 permit access-list 100 permit access-list 100 permit signifie tout le monde ) tcp any 192.168.1.0 255.255.255.0 eq www udp any 192.168.1.0 255.255.255.0 eq domain tcp any host 192.168.3.10 eq www tcp any host 192.168.3.10 eq ftp

# Permet de laisser passer tous les flux entre deux rseaux access-list 100 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 # Les messages ICMP access-list 100 permit icmp 192.168.1.0 255.255.255.0 any echo-request access-list 100 permit icmp any 192.168.1.0 255.255.255.0 echo-reply # Influence de lordre des rgles (linverse ne sert rien) access-list 100 deny host 192.168.1.10 any eq telnet access-list 100 permit 192.168.1.0 any eq telnet # Rgle souvent implicite, prciser tout de mme pour plus de clart

access-list 100 deny ip any any

Novembre Dcembre 2005 Version 1.01

Ordre de filtrage des datagrammes

47

Architecture
Il est important de cloisonner les flux
Permet dviter quun service dfaillant compromette la scurit de lensemble de linfrastructure Permet de contrler les flux entre chaque change Architecture Multi-strates (n-tiers)
Chaque zone reoit un niveau de scurit, les primtres sont clairement dfinis et les changes parfaitement identifis Permet un meilleur cloisonnement et une meilleure sparation des flux Permet une meilleur protection des services en fonction de leur importance relative
Novembre Dcembre 2005 Version 1.01

48

O placer un Firewall
Exemple typique
Poste LAN Serveur Web

Internet Rseau Interne Firewall Flux entrants


Novembre Dcembre 2005 Version 1.01

Flux sortants

49

La DMZ
Zone dmilitarise
Serveur Web ou relais applicatif

Poste LAN

Internet Firewall Flux entrants Firewall

Rseau Interne Flux sortants

Novembre Dcembre 2005 Version 1.01

50

La DMZ (2)
Par la cration dune zone dmilitarise, le Firewall isole physiquement les rseaux interconnects. Des rgles spcifiques pour les accs Internet vers les serveurs et Intranet vers les serveurs sont donc possibles, Les flux directs de lInternet vers le rseau (et rciproquement) sont strictement interdits, Dans cette zone, on place gnralement :
les machines qui auront un accs direct avec lInternet (serveurs mandataires WEB, FTP, SMTP) et accessibles depuis lextrieur la machine supportant les sas applicatifs chargs du contrle lourd des flux (y compris les ventuelles identification/authentification)

Novembre Dcembre 2005 Version 1.01

51

Avantages et inconvnient dune DMZ


Un intrus doit sintroduire dans plusieurs systmes diffrents sans se faire dtecter afin daccder au LAN
Varier les types de Firewall un intrt

Permet de dfinir des niveaux de scurit Permet de sparer ce qui doit tre visible de ce qui ne doit pas ltre Permet la mise en place de proxy/bastion afin dviter les accs directs (Int/Ext et Ext/Int)

Novembre Dcembre 2005 Version 1.01

52

Autre exemple
Architecture n-tiers (3-tiers)
Serveur Web Base de donnes

Poste LAN

Internet Firewall Flux entrants


Novembre Dcembre 2005 Version 1.01

Rseau Interne Firewall Flux sortants

53

Autre exemple (2)


Lutilisation de plusieurs DMZ permet de sparer les flux en fonction de leur sensibilit (une DMZ ddie aux rseaux partenaires, une DMZ ddie aux services Internet public), Le firewall externe est ddi la gestion des flux complexes et volutifs venant de lInternet, Le firewall interne est ddi la gestion des flux assez stables provenant du firewall externe et du rseau interne.
Novembre Dcembre 2005 Version 1.01

54

Rgles de configuration (1)


Matriser les flux qui transitent
Autoriser explicitement les flux Interdire tout le reste

Lordre des rgles une importance Protger Internet comme vous protgez votre rseau
Le filtrage doit aussi empcher vos utilisateur dentamer des actions malveillantes (attaques, propagation de virus, )

Faire du filtrage aussi sur les serveurs


Notamment sur les serveurs trs exposs
Web, DNS, FTP,

Le risque derreur sur les deux quipements simultanment est faible

Garder (et sauvegarder) les configurations antrieures et sassurer quon est en mesure de palier une dfaillance du systme (logique ou physique) Novembre Dcembre 2005 55
Version 1.01

Rgles de configuration (2)


Interdire le source-routing
souvent ncessaire lIP spoofing

Configurer lanti-spoofing Interdire les datagrammes fragments


Source de Dnis de Service (DOS) Rendent la dtection dintrusions difficile

Confiner au maximum les protocoles utilisant des attributions de ports dynamiques et alatoires
RCP (NFS, NIS,), FTP Actif,

Confiner au maximum les protocoles qui sont intrinsquement faible en terme de scurit
NFS, NIS, ICQ, partage de fichier, protocoles inconnus ou non documents
Novembre Dcembre 2005 Version 1.01

56

Rgles de configuration (3)


Un Firewall doit tre administr
Le niveau de scurit dpend en grande partie de la comptence des administrateurs et de leur disponibilit Doit imprativement tre maintenu jour
La plus grande source de problmes sont les version non jour

Un Firewall doit tre surveill


Un maximum dinformation doivent tre collectes, stockes et analyses (si possible en temps rel)
Collectes
A partir dun maximum dquipements (Firewall, serveurs, )

Stockes
Dans une base de donnes pour faciliter les traitements ultrieurs

Analyse des log


Il existe des outils pour aider ladministrateur Permet la dtection des incident et des tentatives dintrusion Doivent exister avant lintrusion, aprs il est trop tard !
Novembre Dcembre 2005 Version 1.01

57

Autres considrations
Ncessite des comptences et de lattention
Ne pas ce fier la convivialit de linterface Une erreur de configuration peut anantir la politique de scurit

Varier au maximum les produits et solutions


En matire de scurit lhtrognit est un avantage si ladministration est effectue correctement

Le Firewall peut tre la cible dattaques Le Firewall peut tre un maillon faible
Single point of faillure
Novembre Dcembre 2005 Version 1.01

58

Choisir son Firewall (1)


Quelles seront ses fonctionnalits ?
Le Firewall est charg dappliquer la politique de scurit que vous avez dfini, il est donc important quil soit adapt celle-ci et au niveau de scurit que vous souhaitez atteindre

Quels services doit-il offrir ?


Accs Internet, DMZ, accs internes, VPN,

Quel niveau de scurit doit-il offrir ?


Les exigences dune petite entreprise ne sont pas les mmes que celle dune banque ou dun socit qui fait du e-business

Quel sera sa charge ?


valuation REALISTE de la quantit de flux traiter

Quel niveau de fiabilit (rsilience) doit-on atteindre ?


Si votre activit repose essentiellement sur Internet ou vos liaisons avec vos partenaires il est bon de sassurer de la disponibilit des quipement et des services (providers) Novembre Dcembre 2005
Version 1.01

59

Choisir son Firewall (2)


Quelles sont vos contraintes ?
De quel budget disposez vous ? Quelles sont les ressources (Homme) dont vous disposez ?
Administrateur scurit ?

Quelles sont les comptences dont vous disposez ?


Acquis, Formations, Intervenants

Dans quel environnement voluez vous ?


Contraintes politiques (Contructeurs/OS interdits) Peut-on faire voluer ces contraintes ? O seront installes les quipements ? Lgislation ? Concurrence Internationale ? Faut-il se mfier des produits imports ?
60

Novembre Dcembre 2005 Version 1.01

Choisir son Firewall (3)


valuer les produits disponibles
Il ny a pas de rponse la question :
Quel est le meilleur Firewall ?

La vrai question quil faut se poser est :


Quel est le meilleur Firewall dans votre contexte ?

Prix
Matriel, Logiciel, Assistances, Maintenance, Administration, Installation

Supervision & Administration


Quels sont les outils disponibles ?

volutivit
Du matriel, des performances, des services

Adquation avec les besoins ?


Novembre Dcembre 2005 Version 1.01

61

Loffre en matire de Firewall


LARGE !
Produits commerciaux
Arkoon, CA, Checkpoint, Cisco, Matra, Netasq, Nokia, Stonesoft, WatchGuard, Deux Leaders : Checkpoint, Cisco Des aspects marketing qui font souvent perdre de vue le but premier dun Firewall

Opensoure
Netfilters/Ipchains (Linux), Ipfilter (Unix), PacketFilter (BSD)
Des fonctionnalits et une modularit importante Une administration peu conviviale

Rester critique, essayer


Il nexiste pas de produit cumulant tous les avantages
Novembre Dcembre 2005 Version 1.01

62

Relais applicatifs

Novembre Dcembre 2005 Version 1.01

63

Prsentation
Un relais applicatif se place entre un client et un serveur interceptant les requtes et les relayant
Pour masquer la structure interne dun rseau
Du rseau priv vers Internet
Toutes les requtes des clients dun LAN sont masques par le proxy diminuant ainsi la surface visible du rseau Permet aussi de simplifier la configuration dun Firewall en limitant les autorisations de sortie une seule machine

DInternet vers le rseau priv


Le serveur nest pas directement adress diminuant ainsi son exposition (serveur Web masqu par un Proxy) On parle de Reverse-Proxy Ladresse publique du serveur est en fait celle du proxy

Pour filtrer les accs la manire dun Firewall Pour mettre en place des mcanismes dauthentification et de contrle daccs Pour maintenir un cache des fichiers changs de manire diminuer la consommation de bande passante Novembre Dcembre 2005
Version 1.01

64

Architecture (1)
Serveur Web

@publique visible/NAT

Internet Relais applicatif (Proxy)

Clients Web
Novembre Dcembre 2005 Version 1.01

65

Architecture (2)
Serveur Web

Internet

Relais applicatif (Proxy) Clients Web


Novembre Dcembre 2005 Version 1.01

66

Architecture (3)
Serveur Web Internet

@publique du serveur Web

Internaute

Relais applicatif (Reverse Proxy)

Novembre Dcembre 2005 Version 1.01

67

Les protocoles supports


Un relais applicatif peut tre spcifique un protocole
HTTP, HTTPs, FTP, SMTP, NNTP,

Mais il peut tre aussi gnrique


SOCKS
Dans ce cas le relais ne comprend pas le protocole il se contente de relayer les requtes avec son adresse comme adresse source

Peut effectuer la redirection de flux vers des machines spcifiques en fonction de critres prdfinis Permet de faire du NAT (Network Address Translation) Permet galement lencapsulation dun protocole dans un autre
ex : IRC dans HTTP
Novembre Dcembre 2005 Version 1.01

68

Filtres applicatifs

Novembre Dcembre 2005 Version 1.01

69

Prsentation
Filtrage applicatif
Relais applicatif + filtrage des changes dune application
Filtrage dURL (type Websense) Filtrage Antivirus, blocage dapplets Java, ActiveX Modification ou conversion du contenu
Conversion de protocole (ex : SMTP -> NNTP) Modification dun jeu de caractre (ex: japonais vers ANSI)

Spcifique chaque protocole

Avantages
Une plus grande finesse dans le contrle des changes
Novembre Dcembre 2005 Version 1.01

70

Remarques
En cas de dbits importants limpact sur les performances peut tre important
ex : Filtrage Antivirus
SAS Telnet SAS SMTP Telnet SAS SAS Telnet FTP SAS SAS HTTP Telnet Novembre Dcembre 2005 Version 1.01

71

Loffre en matire relais et filtres applicatifs


Relais applicatifs
Apache iplanet (Netscape) ISA server (Microsoft) M>Wall (Matra) NetWall (Bull) Squid Cache engine (Cisco) DeleGate Proxy / Firewall / Filtres App Interscan VirusWall AntiVirus (Trend Micro) Websense Filtrage dURL WebShield AntiVirus (McAfee)

Filtres applicatifs

Novembre Dcembre 2005 Version 1.01

72

Exemple darchitecture
ZONE DEMILITARISEE PRIVEE ZONE DEMILITARISEE PUBLIQUE
PASSERELLES ANTIVIRUS SERVEURS DE CACHE SERVEURS WEB ACCELERATEUR SSL

COMMUTATEURS NIV 4/7

ISP 1
POSTES DE TRAVAIL

Internet

ROUTEURS D'ACCES EQUILIBREURS DE LIENS FIREWALLS EXTERNE FIREWALLS INTERNE

ISP 2
SERVEURS DATABASE SERVEURS APPLICATIONS

RESEAU INTERNE PRIVE

S.A.N.

BAIES DE STOCKAGE

LIBRAIRIES DE SAUVEGARDE

Novembre Dcembre 2005 Version 1.01

RESEAU PRODUCTION

73

Exemple darchitecture
Ordinateur portable

Rseau RNIS

Annexes Bois de l'Aune & 3 Sautets


Plate-formes de gestion (AGORA, OCEAN, EPP, etc.)
Routeur distant

RESEAU INTERNET

PASSERELLE RPV RACINE

Serveur d'accs TELETRAVAIL

LS Transfix 128 256 Kbps

RESEAU NIVEAU 1
LS Transfix 128 256 Kbps
Routeur Central

Inspections Acadmiques 05 & 13

Serveur Tlmatique COSMOS


Tunnel IPSEC Tunnel IPSEC

Routeur distant

RESEAU RENATER

LS Transfix 1920 Kbps


Tunnel IPSEC

Routeur FT

Routeur Interco Cisco 2611

RESEAU NIVEAU 3

PASSERELLES DE SECURITE

RESEAU BUREAUTIQUE RECTORAT

Inspections Acadmiques 04 & 84

Plate-formes d'insfrastructure Portails Web (DNS, Annuaire, Messagerie, etc.)

LS Transfix 256 Kbps

Routeur distant

Routeur

RESEAU NIVEAU 2
Routeur/Firewall Routeur/Firewall

ADMINISTRATION CENTRALE

AUTRES ACADEMIES
Plate-formes d'insfrastructure (Proxy, Anti-virus, etc.) Plate-formes d'application (ASIE, SIAM, GAIA, etc.)

Serveurs d'accs
Rseau RNIS

Novembre Dcembre 2005 Version 1.01

74

Dtection dintrusions

Novembre Dcembre 2005 Version 1.01

75

Dtection dintrusions - plan


Introduction et principes gnraux Caractristiques techniques La dtection dintrusions rseau (NIDS) Outils complmentaires Conclusion partielle Nous reviendrons sur la dtection dintrusions dans les chapitres suivants (Systmes et Services)
Novembre Dcembre 2005 Version 1.01

76

Dtection dintrusions Dfinition


Faux positif :
Dtection d'attaque(s) en absence dattaques

Faux ngatif :
Absence de dtection en prsence d'attaque(s)

Il est prfrable davoir des faux positifs que des faux ngatifs

Novembre Dcembre 2005 Version 1.01

77

Dtection dintrusions Introduction


Seulement 5 15% des intrusions sont dtectes
Attaques dtectes Faux positif Faux ngatif

Attaques

Notifications IDS

Novembre Dcembre 2005 Version 1.01

Nombre total de transactions

78

Stratgie
La dtection dintrusions doit tre vue comme une composante (couche) importante de la stratgie de scurit de lentreprise Les IDS du systme dinformation doivent faire lobjet dune surveillance et dune maintenance TRES rgulire Sa fonction de base reste la surveillance
mme si certains IDS peuvent adopter un comportement actif

Novembre Dcembre 2005 Version 1.01

79

Catgories
Les NIDS (Network IDS) Les HIDS (Host IDS) Les NIDS et HIDS sont complmentaires
Chaque approche ses avantages et inconvnients

Ils ne sont pas des solutions miracle, mais ils sont indispensables

Novembre Dcembre 2005 Version 1.01

80

Le processus IDS
Obtenir les informations
Les flux et les vnements Lintgrit des systmes et donnes

Les analyser Ragir


Avertir les administrateurs de toute activit anomale En influant sur la configuration des systmes de scurit (! Danger)
Novembre Dcembre 2005 Version 1.01

81

Ce que peut faire un IDS


Renforcer la scurit du SI Surveiller lapplication de la politique de scurit de lentreprise en :
Reconnaissant les (tentatives) attaques
Internes et externes

Surveillant lactivit des utilisateurs Palliant des problmes de configuration


Faille dun firewall (problme de configuration, port normalement ouvert ex: www, ), Faille dun logiciel pour lequel il nexiste pas encore de correctif
Novembre Dcembre 2005 Version 1.01

82

Critres de choix dun IDS


Fiabilit
Peu de faux positif Pas ou peu de faux ngatif

Ractivit
Mises jour rapides et personnalisables

Facilit de mise en uvre Performance Multicanal


Novembre Dcembre 2005 Version 1.01

83

Caractristiques IDS
Audit rseau Source de donnes Audit systme Audit applicatif Alertes IDS Mthode de dtection Analyse des donnes Utilisation Comportement aprs dtection
Novembre Dcembre 2005 Version 1.01

Approche comportementale Approche par scnarios Centralise Distribue Priodique Continue Informatif Dfensif 84

Systmes de Dtection dintrusions

Mthodes de dtection
Approche comportementale
Bas sur lhypothse quune intrusion implique un usage anormal du systme et donc un comportement inhabituel dun utilisateur Rpond la question :
le comportement actuel de lutilisateur est-il cohrent avec son comportement pass ?

Vue synthtique du comportement utilisateur Obtenu grce un modle statistique


Novembre Dcembre 2005 Version 1.01

85

Mthodes de dtection
Les avantages
Pas besoin dune base dattaques Dtection dintrusions inconnues possible

Les inconvnients
En cas de changement important de lenvironnement de travail dclenchement dun flot dalertes (risque de faux positif) Un utilisateur peut changer lentement de comportement de manire habituer le systme un comportement intrusif (risque de faux ngatif)
Novembre Dcembre 2005 Version 1.01

86

Mthodes de dtection
Approche par scnarios
Fonctionne grce une base de donnes dattaques ou dactions litigieuses La dtection dattaques se fait par des mthodes danalyse de signature (patern matching) Rpond la question :
Le comportement actuel de lutilisateur correspond til un comportement intrusif connu
Novembre Dcembre 2005 Version 1.01

87

Mthodes de dtection
Les avantages
prise en compte du comportement exact des utilisateurs
Peu de faux positifs en thorie

Les inconvnients
Base de scnarios difficile crer et maintenir (risque de faux ngatif) Pas de dtection dattaques inconnues
Novembre Dcembre 2005 Version 1.01

88

Les produits
Classification des produits

Novembre Dcembre 2005 Version 1.01

89

Analyse des donnes


Centralise
Un seul administrateur / Une console Convient pour des structures modestes ou intgrant de trs bon personnels/outils

Distribue
Distribution de la surveillance sur les diffrentes entits de lentreprise
Les personnels ont-ils tous les moyen dassumer cette charge ?
Novembre Dcembre 2005 Version 1.01

90

Utilisation
Priodique (Traitement par lots)
Historiquement lanalyse des fichiers daudit se faisait priodiquement Manque de ractivit Se retrouve plus dans les HIDS

Continue (Temps-Rel)
Analyse le flot de donnes au fur et a mesure Plus ractif mais ncessite lattention permanente des superviseurs
Novembre Dcembre 2005 Version 1.01

91

Comportement aprs dtection


Notification
Supervision rseau : Syslog, SNMP Trap, Administrateur (humains) : SMS, E-mail,

Parades
Modification de la configuration dun systme
Typiquement un ajout dACL sur un Firewall Reset de connexion ventuellement la dsactivation dun compte utilisateur ou larrt dun service
Novembre Dcembre 2005 Version 1.01

92

Network IDS (NIDS) Sommaire


Prsentation Principe de fonctionnement Avantages Inconvnients Comment les placer ? Aperu de loffre

Novembre Dcembre 2005 Version 1.01

93

Les NIDS (Network IDS)


Dfinition Reprsente la majorit des offres Bass le plus souvent sur une approche par scnarios Inutiles lors de lutilisation du chiffrement Disposent le plus souvent de 2 interfaces
Une pour couter le rseau Lautre pour ladministration

Ne sont pas labri dune attaque


Novembre Dcembre 2005 Version 1.01

94

NIDS, Principe de fonctionnement


Modle CDIF

Novembre Dcembre 2005 Version 1.01

95

Avantages des NIDS


Quelques NDIS bien placs peuvent surveiller un trs large rseau Permettent de dtecter des attaques utilisant des failles pour lesquels il nexiste pas encore de correctif Possibilit dcrire des rgles personnalises Temps Rel Faible impact sur le rseau (transparent) Quasiment invisible, relativement scuris
Novembre Dcembre 2005 Version 1.01

96

Inconvnients des NIDS


Ne peuvent pas analyser les flux chiffrs
IPSec, HTTPs, SSH,

Le flux analys peut ne pas tre reprsentatif de ce qui se passe rellement Certains IDS ont du mal traiter
Des flux fragments Des paquets mal forms

Peuvent parfois tre la cible dattaques


Novembre Dcembre 2005 Version 1.01

97

Inconvnients des NIDS


Difficile mettre en uvre en environnement commut
Le commutateur doit avoir un port capable de rediriger les flux qui le traverse
Il nest pas possible de rediriger tout le trafic

Peut tre intgr aux commutateurs


Problmes de performances Base dattaques relativement limite

Peut avoir du mal surveiller des rseau haut dbit


Novembre Dcembre 2005 Version 1.01

98

Comment les placer ?


Diffrents emplacement dintrt variable
Serveur Station de supervision Commutateur (NIDS)

Serveur Web

NIDS

2
NIDS

Internet
4 Firewall (NIDS)
NIDS

1
99

Novembre Dcembre 2005 Version 1.01

Comment les placer (2)?


Exemple concret.
Ordinateur portable

Rseau RNIS

Annexes Bois de l'Aune & 3 Sautets

Routeur distant

RESEAU INTERNET

PASSERELLE RPV RACINE

Serveur d'accs TELETRAVAIL

LS Transfix 128 256 Kbps

RESEAU NIVEAU 1
Sonde SNORT
Routeur Central

LS Transfix 128 256 Kbps

Inspections Acadmiques 05 & 13

RRTHD
Tunnel IPSEC Tunnel IPSEC

Routeur distant

Serveur de logs
POS 155 Mbps Fibre Optique Fast-Ethernet

RESEAU RENATER

Tunnel IPSEC

CPE IP Routeur Cisco 7200 VXR

RESEAU NIVEAU 3
Commutateur Niv. 3 Extreme Network Summit 48si

PASSERELLES DE SECURITE RESEAU BUREAUTIQUE RECTORAT

LS Transfix 256 Kbps

Inspections Acadmiques 04 & 84

Routeur distant

Sonde SNORT

RESEAU NIVEAU 2
Routeur/Firewall Routeur/Firewall

Serveurs d'accs

ADMINISTRATION CENTRALE

AUTRES ACADEMIES
Firewall Etablissement

Novembre Dcembre 2005 Version 1.01

100

Collecte Voix Completel

Aperu de loffre
Comparatifs.

Novembre Dcembre 2005 Version 1.01

101

IDS conclusion
Loffre volue rapidement mais encore beaucoup de techniques de dtection dintrusions nen sont quau stade de la recherche La dtection dintrusions est destine des experts
Maintenance et supervision exigeante Analyse des alertes Faux positifs et Faux ngatifs

Elle ncessite de la mthode


Gestion des incidents, procdures descalade Collecte dinformations et poursuites

Ne pas se fier au discourt marketing


Cest un composant optionnel de linfrastructure de scurit que lon ne peut mettre en place que si lon dispose de personnel correctement form ayant du temps consacrer cette tche.
Novembre Dcembre 2005 Version 1.01

102

Outils daudit de scurit


Externe ou interne Manuel ou automatis
Tests intrusifs par des experts scurit
Donne un aperu non exhaustifs des problmes de scurit

Logiciels (Nessus, Cybercop scanner) En mode ASP ou MVA


Analyse de la surface Internet de lentreprise Service dport souvent factur l@IP Quelques noms : Intranode, Qualys,
Novembre Dcembre 2005 Version 1.01

103