Securite 2014 Fond Blanc

Scurit des systmes
informatiques rpartis (I)

Lionel Brunie
Institut National des Sciences Appliques de Lyon
Lionel.Brunie@insa-lyon.fr
http://liris.cnrs.fr/lionel.brunie/version-francaise/cours-securite.html
Plan
Problmatique et concepts de base
Types de risques : intelligence conomique, catastrophes , piratage ,

cyber-guerre - Proprits de scurit des systmes informatiques
Elments mthodologiques
Techniques de base : chiffrement, signature, certificats, authentification
Modles de contrle daccs, confiance et rputation
Outils pour la scurit : pare-feux, analyseurs de trafic, testeurs de rseaux
Scurisation des rseaux : VLAN, IPsecure, VPN, DLP, ERM, IAM
Discussion
Conclusion
Objectifs du cours
A l issue de ce cours introductif, vous ne saurez pas grand chose
:-(
Mais vous aurez des ides (parfois prcises) sur beaucoup de
choses :-)
Objectifs de ce cours :
Introduction/sensibilisation la problmatique de la scurit

panorama des diffrentes composantes de cette problmatique
identification et matrise des concepts et techniques de base
La vie aprs ce cours
(r-)tudier les grands algorithmes de cryptage et protocoles dauthentification/PKI/

en attendant la suite du cours sur les attaques rseaux, tudier quelques documents de
recommandation pour administrateurs
tudier les technologies de scurisation rseau : IPsec, VLAN, VPN
tudier des mthodes danalyse de risques
why not ? Procdures de tolrance aux catastrophes, survivabilit, gestion de la confiance,
mcanismes de rputation, security patterns , march des PKI, etc.
Plan
Problmatique et principes de base
Types de risques : intelligence conomique, catastrophes ,

piratage , cyber-guerre - Proprits de scurit des systmes
informatiques
Techniques de base : chiffrement, signature, certificats,
authentification
Outils pour la scurit : pare-feux, analyseurs de trafic, testeurs de
rseaux
Discussion
Conclusion
Problmatique
Lentreprise volue dans un milieu hostile :
concurrence conomique espionnage conomique
gestion de ressources humaines ( tratres internes ingnierie
sociale)
vandalisme ( pirates )
catastrophes climatiques : inondations, feux, temptes, tremblements
de Terre
environnement politique : actes de guerre, actes terroristes
non-fiabilit des systmes et logiciels informatiques

Consquences des risques
Panne/Arrt
Diminution de la qualit de service
Perturbation interne de lentreprise
Perte dimage
Retard de la mise sur le march dun produit
Fuite de technologie
...
Mise en place indispensable dune

politique de prise en compte des risques
et de scurisation du SI
Prise en compte des risques

Evaluation des risques et de leur impact
Evaluation des cots de prise en charge
Dcision : 3 approches
ne rien faire : protection trop chre pour le risque encouru
sassurer (prendre une police dassurance)
se protger (attacher sa ceinture)
Pralable : analyse de risques classification des donnes/processus

Donnes vitales : logiciels clefs, plans de reprise, donnes
matresses , donnes dE/S critiques
Donnes essentielles : logs, historiques
Donnes importantes : documentations, donnes de test
Donnes utiles quoique
Mme analyse avec les processus mtier
Identifier et classer les risques
Scurit : quelques principes de base (I)

Mettre en place une politique globale de gestion des risques
Sparer les fonctions
Minimiser les privilges
Centraliser les changements
Cerner les IHM - Contrler et filtrer les E/S
Mettre en place des plans de sauvegarde et de reprise
Scurit : quelques principes de base (II)

Cibler les lments vitaux/essentiels
Utiliser des techniques de conception et de programmation
standardises
Monitorer lensemble des lments de lentreprise : systmes
informatiques, rseaux, personnel (traabilit)
Informer et former les personnels
Plan
Types de risques : intelligence conomique,

catastrophes , cyber-guerre - Proprits de
scurit des systmes informatiques
authentification
rseaux
Discussion
Conclusion
Intelligence conomique
La nouvelle frontire de lespionnage
Cest la ralit
Systme informatique : protection classique
Cibler les donnes stratgiques
Point crucial : les ressources humaines
Et si ca arrive ?
Tolrance aux catastrophes

Plan de sauvegarde / plan de reprise
Tout-tout-tout planifier !
Le responsable informatique nest quun des maillons : la gestion de catastrophes dpend
directement de la DG
Sauvegarde des donnes
Sauvegarde des logiciels
Procdures de reprise/informatique
site de secours
donnes de secours
procdure de reprise
rle des personnes
simulations grandeur relle
Piratage
Contrairement aux ides reues, les attaques viennent
trs majoritairement de l intrieur
Attaques pures vs spam
Dplacement du piratage pour le fun vers du piratage
organis voire mafieux
Ex : location de botnets
Attaques terroristes
Cyber-guerre
Ce sont les buzzwords du moment

Lpisode balte
Lpisode de la guerre en Gorgie
Le ver Stuxnet et ses descendants
Infrastructure informatique dun pays = composante

stratgique
Communications = lune des clefs du succs militaire
Scurit des systmes informatiques :

proprits OSI (I)
Authentification
authentification de lentit homologue
authentification de lorigine des donnes
Contrle daccs / droits (autorisations)

Confidentialit des donnes
en mode connect
en mode non-connect
sur des champs spcifiques
flux de donnes (observation)
Scurit des systmes informatiques :

proprits OSI (II)
Intgrit des donnes
mode non-connect (contrle des donnes) / mode connect
(donnes + ordre messages)
avec reprise/sans reprise
globale/par champ
Non-rpudiation (traabilit)
avec preuve de lorigine
avec preuve de la remise
Protection contre lanalyse du trafic
Scurit des systmes informatiques

CIA Triad
Confidentialit
Intgrit
Availability (Disponibilit)
Plan

informatiques
Techniques de base : chiffrement, signature, certificats, authentification

rseaux
Scurisation des rseaux : VLAN, Ipsecure, VPN, DLP, ERM, IAM
Discussion
Conclusion
Systme de management de la
scurit de linformation (SMSI)
SMSI = ensemble dlments permettant un organisme dtablir une

politique et des objectifs en matire de scurit de linformation, dappliquer
cette politique, datteindre ces objectifs et de le contrler [from CLUSIF]
Le SMSI inclut donc au minimum :
documentations
mthode danalyse des risques
processus de scurit mis en uvre
responsabilits
ressources
monitoring des activits lies la scurit
liste documente des volutions apportes
Exemples de normes : ISO 27K (notamment 27001 (mise en place SMSI),

27002 (ex 17799 bonnes pratiques), 27005), ISO 13335 (management
scurit), ISO 15408 (valuation/certification scurit Critres communs ),
ISO 31000 (management du risque)
Modle PDCA : Plan-Do-Check-Act (roue de Deming) : planifier-mettre en

uvre-surveiller-amliorer
Critres Communs (CC)

Concepts et relations de base
Source : Critres communs, partie 1
Echelle de risque
Exemple : nuclaire
Source : DCSSI
Echelle de risque dans les SI
Source : ANSSI
Rgles de dfense (ANSSI)
Mthodologies
Objectifs principaux :
Disponibilit
Intgrit
Confidentialit
Preuve
Triade CIA
Politique de scurit
Mthode danalyse de risques. Exemples :
EBIOS : Expression des Besoins et Identification des Objectifs
de Scurit (ANSSI)
Mehari (CLUSIF)
Elaboration dune politique de scurit

dun SI (PSSI) (ANSSI)
CONVENTIONS D'CRITURE
PHASE 0 : PRALABLES
Tche 1 : organisation projet
Tche 2 : constitution du rfrentiel
PHASE 1 : LABORATION DES LMENTS STRATGIQUES

Tche 1 : dfinition du primtre de la PSSI
Tche 2 : dtermination des enjeux et orientations stratgiques
Tche 3 : prise en compte des aspects lgaux et rglementaires
Tche 4 : laboration d'une chelle de besoins
Tche 5 : expression des besoins de scurit
Tche 6 : identification des origines des menaces
PHASE 2 : SLECTION DES PRINCIPES ET RDACTION DES RGLES

Tche 1 : choix des principes de scurit
Tche 2 : laboration des rgles de scurit
Tche 3 : laboration des notes de synthse
PHASE 3 : FINALISATION
Tche 1 : finalisation et validation de la PSSI
Tche 2 : laboration et validation du plan daction
Analyse de risques : EBIOS (I)

Origines des
attaques
Vulnrabilits
Risques et
Impacts
Entits
Elments
protger
Objectifs de scurit
Exigences fonctionnelles
Exigences dassurance
EBIOS (2010) (II)
MODULE 1 TUDE DU CONTEXTE

Activit 1.1 Dfinir le cadre de la gestion des risques
Activit 1.2 Prparer les mtriques
Activit 1.3 Identifier les biens
MODULE 2 ETUDE DES EVENEMENTS REDOUTES

Activit 2.1 Apprcier les vnements redouts
MODULE 3 ETUDES DES SCENARIOS DE MENACES

Activit 3.1 Apprcier les scnarios de menaces
MODULE 4 ETUDE DES RISQUES

Activit 4.1 Apprcier les risques
Activit 4.2 Identifier les objectifs de scurit
MODULE 5 ETUDE DES MESURES DE SECURITE

Activit 5.1 Formaliser les mesures de scurit mettre en uvre
Activit 5.2 Mettre en uvre les mesures de scurit
Cf. http://www.securite-informatique.gouv.fr et http://www.ssi.gouv.fr
Modle ISO 27001
1- Phase Plan
Dfinir le primtre du SMSI
Identifier et valuer les risques
Dfinir la politique de scurit
Analyser les risques et dfinir le plan de gestion des risques
Dfinir les mesures de scurit mettre en place
2- Phase Do
Allouer et grer les personnels et les moyens
Rdiger les procdures et documentations
Former les personnels
Mettre en uvre les mesures de scurit dfinies en phase 1
3- Phase Check
Monitorer le SI (en permanence)
Auditer (rgulirement) le SMSI (sur la base des documentations, des traces collectes et de
tests)
Identifier les dysfonctionnements et les risques nouveaux
4- Phase Act
Dfinir les actions engager pour traiter les faits constats en phase 3
Plan

informatiques

authentification

rseaux
Discussion
Conclusion
Techniques de base
Chiffrement
Authentification
Signature numrique
Contrle daccs
Chiffrement (I)
Cryptographie (criture cache) Stganographie (criture couverte)
Stganographie : tte des esclaves, Lord Bacon (codage binaire de caractres
cachs), tatouage images (filigranes)
Cryptographie : depuis lAntiquit (Csar (alphabet dcal))
Techniques de base
dcalages
substitutions mono(poly)alphabtiques
transpositions (permutations) arbitraires
chiffrement par blocs de bits
Cf. cours Marine Minier

Cf. prsentation Stefan Katzenbeisser
Large-Scale Secure Forensic Watermarking -- Challenges and Solutions (colloque MDPS 2008)
(et son livre Information hiding : techniques for steganography and digital watermarking)
Un peu de culture (I)...
George SAND :
Je suis trs mue de vous dire que j'ai

bien compris l'autre soir que vous aviez
toujours une envie folle de me faire
danser. Je garde le souvenir de votre
baiser et je voudrais bien que ce soit
l une preuve que je puisse tre aime
par vous. Je suis prte vous montrer mon
affection toute dsintresse et sans calcul, et si vous voulez me voir aussi
vous dvoiler sans artifice mon me
toute nue, venez me faire une visite.
Nous causerons en amis, franchement.
Je vous prouverai que je suis la femme
sincre, capable de vous offrir l'affection
la plus profonde comme la plus troite
en amiti, en un mot la meilleure preuve
que vous puissiez rver, puisque votre
me est libre. Pensez que la solitude o j'habite est bien longue, bien dure et souvent
difficile. Ainsi en y songeant j'ai l'me
grosse. Accourrez donc vite et venez me la
faire oublier par l'amour o je veux me
mettre.
Un peu de culture (II)...

Rponse d'Alfred de MUSSET :
Quand je mets vos pieds un ternel hommage
Voulez-vous qu'un instant je change de visage ?
Vous avez captur les sentiments d'un cur
Que pour vous adorer forma le Crateur.
Je vous chris, amour, et ma plume en dlire
Couche sur le papier ce que je n'ose dire.
Avec soin, de mes vers lisez les premiers mots
Vous saurez quel remde apporter mes maux.
Rponse finale de George SAND :
Cette insigne faveur que votre cur rclame
Nuit ma renomme et rpugne mon me.
Sans doute un faux ! Mais ils schangrent de vraies lettres
cryptes
Voir aussi Sade...
Encore un peu de culture (Bacon)

C'est l'essaim des Djinns qui passe,
Et tourbillonne en sifflant.
Les ifs, que leur vol fracasse,
Craquent comme un pin brlant.
Leur troupeau lourd et rapide,
Volant dans l'espace vide,
Semble un nuage livide
Qui porte un clair au flanc.
Victor Hugo
Chiffrement symtrique ( clef secrte)

Exemples
Data Encryption Standard (DES) (IBM, 1975)
Advanced Encryption Standard (AES) (NIST, 2000)
Mcanismes mis en uvre
permutations classiques
permutations avec expansion
permutations avec rduction
substitutions
additions modulo 2 (XOR)
multiplication avec une matrice auxiliaire
Chiffrement asymtrique
( clef publique/clef prive) (1/3)
Exemples :
Algorithme de Rivest, Shamir et Adleman (RSA)
Algorithme dEl Gamal (utilis par GNU, PGP, Diffie-Helmann)
Cryptographie sur les courbes elliptiques (ECC)
Mcanismes mis en uvre

problmes mathmatiques NP-difficiles
RSA : fonction puissance et arithmtique finie (factorisation de grands
nombres)
El Gamal, ECC : logarithme discret
gnration de 2 clefs : une clef publique et une clef prive

dduction de la clef prive partir de la clef publique irralisable dans un
temps acceptable
Utilisations
Confidentialit : lexpditeur code le message avec la clef publique du
destinataire ; le message cod ne peut tre dcod que si lon dispose
de la clef prive
Authentification de lexpditeur : lexpditeur code le message avec sa
clef prive, le destinataire le dcode avec la clef publique
rq : codage clef prive expditeur + clef publique destinataire ; puis
double dcodage confidentialit + authentification
Intgrit : signature du message (hachage du contenu du message +
chiffrement avec la clef prive de lexpditeur - voir plus loin)
Challenge-rponse : voir plus loin
Confidentialit
Authentification : chiffrer avec

la clef prive de lexpditeur
Intgrit : ajouter une
signature
From Chassande-Daroux
Echange de donnes laide de clefs publiques (1/2)

Protocole de Needham Schroeder (1978)
pour clef publique (simplifi)
2) S envoie la Cl Publique de B A
Serveur dauthentification
Annuaire
3) A gnre un nombre alatoire, NA, et

lance un challenge B :
Dcrypte mon message M1(A, NA)

crypt avec ta clef publique et renvoie
NA pour me le prouver !
(Clefs Publiques de A & B)
4) B dcrypte M1 et demande S la Cl
Publique de A
S
1
5) S envoie la Cl Publique de A B
4
2
6) A son tour, B lance un challenge A :

Dcrypte mon message M2(NA, NB)
crypt avec ta clef pub. et renvoie NB !
5
3 M1
6 M2
7) A dcrypte M2 et renvoie M3(NB) B

crypt avec la clef publique de B pour
lui montrer quelle y est arrive
7 M3
1) A demande la Cl Publique de B
8) A et B peuvent maintenant dialoguer,

ventuellement en crant une Cl de
session prive partir de (NA, NB)
Echange de donnes laide de clefs publiques (2/2)

pour clef publique (simplifi)
Attention : ce protocole est vulnrable une
attaque de type Man in the Middle :
C initie le protocole avec A et relaie les
messages B en faisant croire B quil est
A ! => ltape 7, A envoie NB crypt avec
la clef de C => B croit changer avec A
mais il change en fait avec C et NA/NB sont
connus de C (i.e., C se fait passer pour A
auprs de B et pour B auprs de A !)
From Zeitoun
Solution : protocole de Needham-SchroederLowe : ltape 6, B envoie M2(NA, NB, B)

crypt avec la clef publique de A
Algorithme publi en 1978, dmontr faux (Gavin Lowe) en 1995-1996 !

Prcaution de base dans les protocoles scuriss : toujours inclure lid de
lexpditeur (voire du destinataire) !
Echange de donnes laide dune clef secrte (1/3)

pour clef secrte (simplifi)
2) S envoie A le message M1 crypt avec

la Clef Secrte de A :
Annuaire
(Cls Secrtes de A & B)
M1 = [CSAB ; (CSAB)CPB]CPA
o CPA (resp. CPB) = clef secrte de A (resp. B)
et CSAB = clef de session
3) A dcrypte M1 et lance un challenge B :
Dcrypte le message M2=[CSAB]CPB et
renvoie un N crypt par CSAB
4) B dcrypte M2 et lance un challenge A :

Dcrypte mon message M3=[N]CSAB et
renvoie N-1
5) A dcrypte M3 et renvoie M4=[(N-1)]CSAB
2 M1
3 M2
4 M3
5 M4
6
1) A demande une Clef de Session pour

pouvoir parler avec B
6) A et B, srs lun de lautre, peuvent

dsormais senvoyer des messages avec
la Clef de Session CSAB

Protocole de Needham Schroeder pour clef secrte (simplifi)
Annuaire
Attention : protocole sensible aux attaques

de type Rejeu (Denning et Sacco (1981) :
si la clef de session est compromise, un attaquant
peut rejouer le challenge (tape 3) sans que
B puisse sen rendre compte.
Solution : estampille ou N unique ( nonce )

chang avant le dbut du protocole et
Inclus(e) dans le message M2 chang ltape 3
2 M1
3 M2
4 M3
5 M4
6

pour clef secrte (non simplifi)
Annuaire
S
2 M1
3 M2
4 M3
5 M4
6
1)
A B : Coucou, cest A ; je veux te parler
2)
B A : [A, N0]CPB
3)
A S : A, B, NA, [A, N0]CPB
4)
S A : [NA, CSAB, B, [CSAB, A, N0]CPB]CPA
5)
A B : [CSAB, A, N0]CPB
6)
B A : [NB]CSAB
7)
A B : [NB-1]CSAB
Echange de donnes (III)

Protocole dchange de clefs de Diffie-Hellman(-Merkle) (1976) (1/2)
Base mathmatique : logarithme discret trs difficile inverser lorsque p est grand
Alice et Bob choisissent :

un nombre premier p (grand)
un nombre entier g p (g = gnrateur)
g et p sont publics
Alice choisit un entier a ; Bob, un entier b ; a et b sont secrets

Alice calcule A = ga mod p ; Bob calcule B = gb mod p
Alice envoie A Bob

Bob envoie B Alice
Alice calcule Ba mod p = gba mod p ; Bob calcule Ab mod p = gab mod p
Ces deux valeurs sont gales : elles constituent la clef secrte partage par Alice
et Bob (analogie : mlange de 3 couleurs gp, a, b)
Possibilit de gnraliser n participants
Echange de donnes (III)

Protocole dchange de clefs de Diffie-Hellman(-Merkle) (1976) (2/2)
Attaque Man in the Middle (cf. diapo suivante) :
Carole intercepte A et envoie Bob sa valeur C en faisant croire
quelle est Alice
de mme, elle intercepte B et envoie Alice C en faisant croire
quelle est Bob
elle peut alors intercepter tous les messages changs entre
Alice et Bob
Raison de cette vulnrabilit : pas dauthentification de

lmetteur dun message (horreur !)
Solution : signature des messages (protocole StationTo-Station )
Sorcire in the middle !!!

A = ga mod p
C = gc mod p
gac mod p
C = gc mod p
Sorcire
Alice/Bob
B = gb mod p
gbc mod p
Signature numrique et certificats (1/3)
Les certificats sont dlivrs par des autorits de certification
Champs de base dun certificat :
clef publique du propritaire et algorithme de chiffrement utilis par le propritaire

nom propritaire
TTL (date limite de validit)
nom de lautorit
n de srie et version du certificat
signature de lautorit de certification (et algorithme de signature utilis)
Certificat dun acteur rseau : nom, clef publique pour lchange de clefs, clef
publique pour la signature, n, infos autres, TTL, signature de lautorit
Standard certificats : UIT : X509
Infrastructures de clefs publiques (PKI)
PGP/GPG

Fonctionnement (cf. diapo suivante) : vrification de
lintgrit dun document/message
Ct metteur-signataire-propritaire
document hach (SHA, MD*, Whirlpool) empreinte
empreinte chiffre avec la clef prive du propritaire-signataire
signature
envoi du document avec la signature ( document sign )
Ct destinataire
calcul de lempreinte par le destinataire

comparaison avec lempreinte signe par lexpditeur
galit des empreintes => document reu = document initial
ingalit des empreintes => document reu = altration du document
initial

M : message
KB+, KB- : clef publique/prive de B
KA+, KA- : clef publique/prive de A
H : fonction de hachage
Hash
H
Chiffreme
nt
Nud A
Dchiffrem
ent
Nud B
From Lucas Bouillot, 5IF
IGC - PKI
Entit Finale (EE : End Entity)
Autorit/oprateur de Certification (AC ou CA) - Service de validation
Dlivre et signe des certificats

Joue le rle de tiers de confiance
Oprateur de certification : travaille par dlgation de lAC
Service de validation : vrification des certificats, via, par ex., la publication de listes de
rvocation (CRL : Cert. Revoc. List))
Autorit d'Enregistrement (AE ou RA)
Autorit de Dpt (Repository) /Annuaire de publication
Affichage des certificats et des listes de rvocation
Autorit de Squestre
Rception et traitement des demandes de cration, renouvellement, rvocation de

certificats
Archivage des couples de clefs prive/publique (cf. perte clef prive => donnes cryptes
perdues)
Scurit nationale : obligations lgales
Certification croise/hirarchique
PKI (Discutable)Exemple
Discutable :
AC sur Internet
Source : scuritinfo
Authentification : Kerberos
Originellement : bas sur le DES
Fonctionnement (cf. diapo suivante)

Init : connexion (mdp ou non), rcupration clef de session Kg et ticket (avec TTL)
(encrypt avec mdp) ; envoi dune copie de la clef de session au Ticket granting server
(TGS) (cryptage clef partage par Kerberos et TGS)
Accs service : requte au TGS (ticket, nom du service, paramtres service) crypte clef
de session Kg ; si OK, retour par le TGS d un ticket de service encrypt avec une clef
partage Kp par le TGS avec le serveur + clef de session spcifique Ks ; le tout est crypt
par la clef de session globale Kg ; enfin, envoi par lutilisateur au service du ticket de
service (contenant Ks) encrypt par Kp + authentificateur (estampille...) crypt avec Ks
Envoi des donnes : cryptage avec Ks.
Rq : il existe beaucoup de variantes !!!
Protocole Kerberos simplifi
1- connexion (mdp)
client
5- [ticket]Kp
+ [auth]Ks
Kerberos : Serveur de clefs

TGS : Ticket Granting Server
Ktgs : clef partage Kerberos/TGS
Kg : clef de session entre client et TGS
Kerberos
TGS
2- [Kg]mdp
2- [Kg]Ktgs
3- [req]Kg
4 - [[ticket]Kp + Ks]Kg
Serveur
6- rcupration Ks
vrif auth
ticket : contient Ks
Ks : clef de session client/serveur
Kp : clef partage TGS/serveur
Protocole Kerberos (un peu moins) simplifi

Kerberos : Serveur de clefs
Kc : clef partage Kerberos/client
Ktgs : clef partage Kerberos/TGS
Kg : clef de session entre client et TGS
ticket1 : contient Kg
ticket2 : contient Ks
Ks : clef de session client/serveur
Kp : clef partage TGS/serveur
1- connexion (mdp) + req

client
5- [ticket2]Kp
+ [auth]Ks
Kerberos
TGS
2- [Kg + [ticket1]Ktgs]Kc
3- [ticket1]Ktgs
4 - [[ticket2]Kp + Ks]Kg
Serveur
6- rcupration Ks
vrif auth
Plan

informatiques
authentification

rseaux
Discussion
Conclusion
Modles de contrle daccs

Modlisation de la politique de contrle daccs
aux ressources du SI
Elments
Sujet : personne/systme qui manipule/accde des
ressources
Objet : ressource
Droit : type daccs accord au sujet sur lobjet
Conditions et contexte de la rgle
MAC : Mandatory Access Control

Notions de niveau de sensibilit et de niveau
daccrditation
1 ressource => 1 niveau accs
1 utilisateur => 1 niveau daccrditation
Accs <=> (accrditation >= accs ressource)
Simple pour une ressource, complexe pour un
grand ensemble de ressources et dutilisateurs
Peu flexible
DAC : Discretionary Access Control

1 ressource => 1 propritaire
Le propritaire dfinit les droits daccs
1 ressource => 1 politique (ensemble de droits) daccs
Mises en uvre : ACL (Access Control List) ou Capacits (ex :
certificat)
Simple
Souple
Lourd
RBAC : Role-Based Access Control

Dfinition de rles
1 utilisateurs => n rles
1 rle => des droits sur des objets
1 objet => des droits attribus certains rles
Extensions multiples pour prendre en compte le temps, le contexte,
etc.
Correspond bien la structure des organisations
Difficile grer si trs nombreux rles ; risque de dinfrence
dinformation en combinant des rles
ABAC : Attribute-Based Access

Control
Un utilisateur => des attributs
1 ressource => certains attributs doivent tre vrifis
Accs => prouver quon valide ces attributs
Autres modles de contrle daccs
Action-Based Access Control

Context-Based Access Control (CBAC)
RSBAC (Rule Set Based Access Control)
Policy-Based Access Control (PBAC)
Organization-Based Access Control (OrBAC)
Lattice-Based Access Control (LBAC)
Risk-Adaptive Access Control (RadAC)
Bell-LaPadula Confidentiality Model ( no read up, no
write down )
Biba Integrity Model ( no read down, no write up )

Du contrle daccs la confiance

et la rputation
Techniques classiques de contrle daccs valides pour des

environnements ferms
Nouveaux environnements ouverts (mobilit) => besoin dapproches

diffrentes
Confiance : change de certificats
Rputation : analyse de recommandations
Autres techniques utiles

Single Sign-On (SSO)
Identity-Based Encryption (IBE)
Fdration didentits (Shibboleth, OpenId, Liberty
Alliance, WS-Federation)
SAML (Security Assertion Markup Language) : change
dinformations (XML) dauthentification et de contrle
daccs
XACML : langage de description de politique de rgles
de contrle daccs
Plan

informatiques
authentification
Outils pour la scurit : pare-feux, analyseurs de

trafic, testeurs de rseaux
Scurisation des rseaux : VLAN, Ipsecure, VPN, DLP, ERM, IAM

Discussion
Conclusion
Firewalls : basics
All packets exchanged between the internal and the external
domains go through the FW that acts as a gatekeeper
external hosts see the FW only
internal and external hosts do not communicate directly
the FW can take very sophisticated decisions based on the protocol
implemented by the messages
the FW is the single access point => authentication + monitoring site
a set of flow rules allows decision taking
Firewalls : usages
Access control : usage restriction on some protocols/ports/services
Packet filtering
Authentication : only authorized users and hosts (machines)
Monitoring for further auditing
Compliance with the specified protocols
Virus detection
Isolation of the internal network from the Internet
Data encryption
Connection proxies (masking of the internal network)
Application proxies (masking of the real software)
Firewalls : architecture (I)

DMZ
(DeMilitarized Zone)
servers
DMZ router
Interior router
Exterior router
Outside world
Firewall
Internal network
Firewalls : architecture (I-bis)

servers
DMZ
Outside world
Firewall
Screening router: router which includes a FW
Internal network
Firewalls : architecture (II)

servers
Outside world
External firewall
DMZ
Internal firewall
Internal network
Firewalls : architecture (II-bis)

servers
DMZ
Internal firewall
External firewall
Outside world
DMZ
Internal network
Firewalls : architecture (III):

managing multiple subnetworks
DMZ
servers
DMZ
Firewall
DMZ
Outside world
Internal
subnetwork A
External/Internal
Firewall
Firewall
Backbone
Internal
subnetwork B
Firewalls : architecture (IV):

managing multiple exterior FW
Internet
Exterior
Firewall A/France
Exterior
Firewall B/Germany
servers
DMZ
Interior Firewall
Internal network
Internet
DMZ
Firewalls : architecture (V):

managing multiple DMZ
E.g. supplier
network
Servers A
DMZ A
External/Internal
Firewall A
Servers B
DMZ B
Internet
External/Internal
Firewall B
Internal
network
Firewalls : architecture (VI):

managing an internal FW
servers
DMZ
Outside world
External/Internal
Firewall
Internal network
Sensitive
area
Firewall
Sensitive
area
Firewalls : some recommendations

Bastion hosts
better to put the bastions in a DMZ than in an internal network

disable non-required services
do not allow user accounts
fix all OS bugs
safeguard the logs
run a security audit
do secure backups
Avoid to put in the same area entities which have very

different security requirements
Using proxies (I)

Proxies can be used to hide the real servers/the real
network
Exterior => Interior traffic
Gives the external user the illusion that she/he accesses to the interior
server
But intercepts the traffic to the server, analyzes the packets (checks the
compliance with the protocol, searches for keywords, etc.), logs the
requests
Interior => Exterior traffic

Give the internal user the illusion that she/he accesses to the exterior
server
But intercepts the traffic to the server, analyzes the packets (checks the
compliance with the protocol, searches for keywords, etc.), logs the
requests
Using proxies (II)

Advantage
knowledge of the service/protocol => efficiency and intelligent
filtering
Ex : session tracking, stateful connection
Disadvantages
one proxy per service !
may require modifications of the client
do not exist for all services
Static Network Address Translation (NAT) (I)
xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx
yyy.yyy.yyy.yyy
yyy.yyy.yyy.yyy
Internal network
From Arkoon Inc. tutorial
Static Network Address Translation (NAT) (II)

The FW maintains an address translation table
The FW transforms address xxx.xxx.xxx.xxx into
yyy.yyy.yyy.yyy in the field source address
xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx
The FW transforms
addressyyy.yyy.yyy.yyy
yyy.yyy.yyy.yyy into
address xxx.xxx.xxx.xxx in the field destination
address
xxx.xxx.xxx.xxx
Internal network
This operation
is transparent for both the exterior
and the interior hosts
xxx.xxx.xxx.xxx
Internal network
yyy.yyy.yyy.yyy
Static Network Address Translation (NAT) (III):

Applications
Non TCP/UDP based protocols
Pre-defined partnership addresses - Host
known/authenticated outside the LAN with a specific
address
Web server, mail.(traffic to Internet)
Application server (hidden behind a FW)

PAT : Port Address Translation (I)
Port 2033
Po
rt
80
Internal network
PAT : Port Address Translation (II)

Connections are open from an exterior host
Translation table
Use of lesser public addresses
Flexible management of server ports
PAT : Port Address Translation (III)

FW, @F
Web server
@IP1, port 80
U F:80
U IP1:80
F:80 U
IP1:80 U
Web server
U IP2:80
U F:81
IP2:80 U
F:81 U
User, @U
Web server
@IP2, port 80
Internal network
Translation Table @F
@F, port 80 @IP1 : port 80
@F, port 81 @IP2 : port 80
Masking (I)
Internal network
Masking (II)
Connections are open by internal hosts
Dynamic connection table (IP address + source port
number)
One single address is known outside (the FW address)
Spare IP addresses
FW, @F
IP1:1025W1
F:10000W1
Web server
@W1
W1F:10000
F:10001W1
W1IP1:1025
User1
@IP1
IP2:1025->W1
W1IP2:1025
W1F:10001
F:10000W2
IP2:1026W2
User2
@IP2
@IP2
Internal network
W2IP2:1026
W2F:10000
Translation table @F
@IP1: 1025W1 (10000)
@IP2: 1025W1 (10001)
@IP2: 1026W2 (10000)
Web server
@W2
Hacking and security tools (I)

Network auditing (probing)
Checks if the network presents security weaknesses (accessible ports,
badly configured services, etc.)
Network/Host Intrusion Detection Systems (NIDS/HIDS)

NIDS can be put before the FW, on the DMZ, on the internal network
NIDS are based on intrusion signatures and statistics (abnormal
behavior)
HIDS on sensitive hosts e.g. bastions, application servers
Hacking and security tools (II)
Sniffers : traffic snooping

Packet filtering tools
Proxy service tools
Firewall toolkits
Reference sites : CERT (CMU) and CERTs

(Computer Emergency Response Team), COAST
(Perdue Univ.), UREC (French, CNRS), CRU
(French, MEN)
Plan

piratage , cyber-guerre - Proprits de scurit des
systmes informatiques
authentification
Outils pour la scurit : pare-feux, analyseurs de trafic,
testeurs de rseaux
Scurisation des rseaux : VLAN, IPsecure, VPN,

DLP, ERM, IAM
Discussion
Conclusion
Rseaux virtuels (VLAN) (I)

Limiter les domaines de diffusion - Gestion de la bande
passante
Garantir la scurit par lisolation
Permettre la mobilit des utilisateurs
Ide : crer des rseaux logiques
Rseaux virtuels (VLAN) (II)

VLAN niveau 1 (physique) : Port Based VLAN
ensemble de ports physiques (commutateurs (switches))/segments ( trunks :
liaisons entre commutateurs/routeurs)
VLAN niveau 2 (liaison) : MAC Address Based VLAN

ensemble dadresses MAC
VLAN niveau 3 (rseau)

ensemble dadresse IP : Network Address Based VLAN
filtrage de protocoles : Protocol Based VLAN
VLAN de niveau suprieur

fond sur des rgles (ex : login)
fond sur un type de protocole de niveau suprieur (ex : h323)
Les commutateurs (switches) doivent tre compatibles

Tagging : modification de len-tte des paquets (norme 802.1Q)
Standards : IEEE 802.1Q, IEEE 802.1D, IEEE 802.1p, IEEE 802.10
IPsec(ure) (I)
Internet Security protocol, intgr IPv6
Objectifs : scuriser les trames IP
Confidentialit des donnes et protection partielle contre l'analyse du
trafic
Intgrit des donnes
Authentification des donnes et contrle d'accs continu
Protection contre le rejeu
IPsec(ure) (II)
Principes : ajout de champs dauthentification dans len-tte IP,

cryptage des donnes, hachage dintgrit
2 modes :
Transport : scurit de bout en bout (jusquaux htes)
Tunnel : scurit entre les 2 domaines
Avantage : scurisation niveau rseau (couche OSI 3)
Inconvnients : cot, interfaces complexes avec les autres protocoles
IPsec peur tre utilis pour crer des VPN
Rseaux Privs Virtuels (VPN) (I)
Interconnexion de LANs distribus via des tunnels audessus dune infrastructure partage (typiquement Internet ou
un rseau oprateur)
Alternative une ligne loue (dite ligne spcialise : LS )
Cryptage des donns, authentification, contrle dintgrit
Protocoles mis en uvre : IPsec, PPTP (Point to point

Tunneling Protocol), SSL/TLS
Principe de base : les paquets sont crypts leur sortie du

LAN source et dcrypts leur entre dans le LAN destination
Rseaux Privs Virtuels (VPN) (II)

Mobilit
les utilisateurs/collaborateurs connects Internet par modem/FAI peuvent
accder au VPN : client VPN client sur leur machine + attribution dynamique
dune adresse locale au VPN
Avantages
transparence
scurit
cot
disponibilit dInternet
Inconvnient
tous les LANs doivent tre scuriss (scurit globale)
infrastructure physique partage => qualit de service/performances moindres
quune LS
Data Loss Prevention (DLP)

Enterprise Right Management (ERM)
Identity and Access Management (IAM)
DLP : Monitoring des changes dinformation sensibles (ex : changes de

courriels, clefs USB) et limitation de laccs une information sensible dans
un primtre dfini
3 grandes fonctionnalits :
Network DLP (Data in Motion, DiM) (analyse niveau rseau)
Storage DLP (Data at Rest, DaR) (analyse niveau stockage)
Endpoint DLP (Data in Use, DiU) (analyse niveau hte)
Techniques mises en uvre :

analyse statistique (ex : baysienne) du contenu/des donnes
Analyse des transactions (source, destination, heure, etc.) linstar des pare-feux/IDS
Problmes :
faux positifs / faux ngatifs
transformation des donnes avant envoi
prise en compte complexe des processus mtier
Liens avec l Enterprise Right Management (ERM) et l Identity and Access

Management (IAM)
Plan
informatiques
authentification
rseaux
Discussion
Conclusion
Politique de scurit : finalits

(recommandations de lANSSI)
Sensibiliser aux risques pesant sur les systmes d'information et aux

moyens disponibles pour s'en prmunir
Crer une structure charge d'laborer, de mettre en uvre des
rgles, consignes et procdures cohrentes pour assurer la scurit
des systmes informatiques
Promouvoir la coopration entre les diffrents services et units de
l'tablissement pour l'laboration et la mise en uvre des rgles,
consignes et procdures dfinies
Susciter la confiance dans le systme d'information de
l'tablissement
Faciliter la mise au point et l'usage du systme d'information pour
tous les utilisateurs autoriss de l'tablissement
Rien ne sert (CRU) (I)
de se payer un super coffre-fort pour protger quelques pacotilles

et de laisser l'accs libre une cave remplie de grands crus
classs !
il faut identifier ce qu'il faut rellement protger
il faut dfinir des objectifs de scurit
de construire des remparts la Vauban pour se protger de

l'aviation !
il faut identifier les risques dattaques
d'utiliser un marteau pilon pour craser une mouche !

les moyens utiliss pour se protger doivent tre adapts au risque
la scurit doit avoir un cot raisonnable
Rien ne sert (II)
d'acheter une super porte blinde et d'oublier de fermer la fentre !

la scurit est une chane : si un maillon est faible, tout casse
une cohrence doit tre assure
et surtout la scurit doit tre vue globalement
d'employer un (et un seul) gourou prchant des formules secrtes

et de contraindre les enfants assister aux offices
la scurit doit tre simple et comprise (un minimum) par tous
la convivialit ne doit pas trop en souffrir
suffisamment de libert (ouverture) doit tre accorde
Addendum (cf. prsentation Arkoon) : la scurit ne doit pas entraver

le fonctionnement de lentreprise, ses processus mtier, ses
processus internes
Some practical recommendations
Source inconnue
Cf. cours sur les patrons de scurit (security patterns)
Plan

informatiques
authentification
rseaux
Discussion
Conclusion
Conclusion
Scurit = comprhension du fonctionnement de lentreprise + de la mthodologie +

un peu de technique + du bon sens + de la sensibilisation
Il existe des outils puissants mais aussi beaucoup de failles de scurit
Outils techniques : IP secure, VLAN, VPN, IDS, pare-feux, DLP, ERM
Outils mthodologiques : PSSI, SMSI, security patterns, survivabilit, confiance, rputation
Passage dune logique de piratage par un individu un spectre composite de menaces :

espionnage industriel et militaire, surveillance, criminalisation et mafia, attaques grande
chelle, cyberguerre
Le facteur humain est central
Complexification : entreprise ouverte , externalisation, cloudification ; botnets,

advanced persistent threats (APT) , advanced evasion techniques
Ncessit dune prise en compte globale au niveau de lentreprise

Securite 2014 Fond Blanc

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Securite 2014 Fond Blanc

Transféré par

Droits d'auteur :

Formats disponibles

Scurit des systmes

informatiques rpartis (I)

Problmatique et concepts de base

Types de risques : intelligence conomique, catastrophes , piratage ,

Techniques de base : chiffrement, signature, certificats, authentification

Modles de contrle daccs, confiance et rputation

Outils pour la scurit : pare-feux, analyseurs de trafic, testeurs de rseaux

Scurisation des rseaux : VLAN, IPsecure, VPN, DLP, ERM, IAM

Introduction/sensibilisation la problmatique de la scurit

La vie aprs ce cours

(r-)tudier les grands algorithmes de cryptage et protocoles dauthentification/PKI/

Types de risques : intelligence conomique, catastrophes ,

Consquences des risques

Mise en place indispensable dune

Prise en compte des risques

Pralable : analyse de risques classification des donnes/processus

Scurit : quelques principes de base (I)

Scurit : quelques principes de base (II)

Problmatique et principes de base

Types de risques : intelligence conomique,

Tolrance aux catastrophes

Ce sont les buzzwords du moment

Infrastructure informatique dun pays = composante

Scurit des systmes informatiques :

Contrle daccs / droits (autorisations)

Scurit des systmes informatiques :

Protection contre lanalyse du trafic

Scurit des systmes informatiques

Problmatique et principes de base

Techniques de base : chiffrement, signature, certificats, authentification

SMSI = ensemble dlments permettant un organisme dtablir une

Le SMSI inclut donc au minimum :

Exemples de normes : ISO 27K (notamment 27001 (mise en place SMSI),

Modle PDCA : Plan-Do-Check-Act (roue de Deming) : planifier-mettre en

Critres Communs (CC)

Source : Critres communs, partie 1

Echelle de risque dans les SI

Rgles de dfense (ANSSI)

Elaboration dune politique de scurit

PHASE 1 : LABORATION DES LMENTS STRATGIQUES

PHASE 2 : SLECTION DES PRINCIPES ET RDACTION DES RGLES

Analyse de risques : EBIOS (I)

EBIOS (2010) (II)

MODULE 1 TUDE DU CONTEXTE

MODULE 2 ETUDE DES EVENEMENTS REDOUTES

MODULE 3 ETUDES DES SCENARIOS DE MENACES

MODULE 4 ETUDE DES RISQUES

MODULE 5 ETUDE DES MESURES DE SECURITE

Modle ISO 27001

Problmatique et principes de base

Techniques de base : chiffrement, signature, certificats,

Modles de contrle daccs, confiance et rputation

Cf. cours Marine Minier

Un peu de culture (I)...

Je suis trs mue de vous dire que j'ai

Un peu de culture (II)...

Voir aussi Sade...

Encore un peu de culture (Bacon)

Chiffrement symtrique ( clef secrte)

Mcanismes mis en uvre

Mcanismes mis en uvre

gnration de 2 clefs : une clef publique et une clef prive

Authentification : chiffrer avec

Echange de donnes laide de clefs publiques (1/2)