Vous êtes sur la page 1sur 51

RSX103

Compl éments Réseaux e t


Ap plicati ons

Dia porama séance 1 0

La Sécurité (2)

Jean-Claude KOCH Révision A


In tro duction
Les atteintes à la sécurité… aux USA

RSX103 - Compléments Réseaux & Applications - JCK 3


… et en France

RSX103 - Compléments Réseaux & Applications - JCK 4


Qu  ’e st -ce que l a SÉC URITÉ ?

“Sit uat ion dan s l aqu el le qu el qu  ’un ou q uel qu e c ho se n  ’ est


expo sé à a ucu n da nge r ni a uc un risq ue ”

… In en visag ea ble en i nf or mat ique !

Po ur s  ’en rap pro che r, prot éger tou t c e q ui do it e t peu t


l ’ être :

Les RESSOURCES
Matérielles
Logicielles
Données

Leur DISPONIBILITÉ
Spatiale
Temporelle

RSX103 - Compléments Réseaux & Applications - JCK 5


… Ce q ue l  ’o n atte nd p our l es
ress ourc es :
Fiabil ité
Des matériels
Des logiciels
Des données

Co nfid ential ité


Des données

Di spo nibil ité


Selon besoins
Dés que souhaité
Où demandé

RSX103 - Compléments Réseaux & Applications - JCK 6


Les d éfauts d e fia bil ité .. .

Causes :
Défaillance des matériels
Pannes, incidents, inadéquation ...
Défaillance des programmes
Bogues, altérations orientées, virus ...
Interventions humaines
Maladresse, malveillance ou actions concertées
Altération de l ’environnement
Alimentation, contamination, climatisation …
Défauts d ’organisation
Exploitation, administration, surveillance …

Et remèdes :
- Architectures sécurisées - Plans de secours
- Contrôle des données - Sauvegardes
- Sécurisation des postes clés - Antivirus
- Protection environnement - Audits organisationnels
- Contrôles d ’accès

RSX103 - Compléments Réseaux & Applications - JCK 7


… Et c eux de confi dentialité !

Causes :
Moyens de protection inadaptés
Mauvaise utilisation des moyens disponibles
Divulgation d ’éléments secrets
Malfonctions des moyens de protection
Moralité des acteurs
Recherche enrichissement
Inadaptation des lois

Et remèdes :
Moyens adaptés et mise en œuvre correcte
Modification périodique des éléments sensibles
Précautions vis à vis des supports de contenus sensibles
Suivi des accès aux données sensibles

RSX103 - Compléments Réseaux & Applications - JCK 8


La pro tectio n d ans l es ré seaux :

Pro tect ion co nt re le s a cc ès n on au tor is és

Pro tect ion co nt re l es «  dé nis de s ervic es »

Pro tect ion co nt re l es a lt ér at io ns de s


don née s

Pro tect ion co nt re l  ’e xp loit at io n de s


don née s illég ale me nt a cc éd ées

RSX103 - Compléments Réseaux & Applications - JCK 9


Réfl exio n…

Le seul ordinateur parfait ement

sécuris é es t un ordina teur ét ei nt et

dé conne ct é…

Et encore !…

RSX103 - Compléments Réseaux & Applications - JCK 10


Les D EU X politiq ues d e s écurité :

« T out ce qui n’ est pas int erdit est autorisé »


+ Simple à mettre en œuvre
+ Bien perçue des utilisateurs
- Nombreux trous de sécurité

« T out ce qui n’ est pas auto risé es t inter dit »


- Mise en œuvre complexe et mouvante
- Mal perçue des utilisateurs
+ Nettement plus sûre

RSX103 - Compléments Réseaux & Applications - JCK 11


A m éditer . ..

L ’ imbécile dit :


‘ Ne mettez pas tous vos oeufs dans le même panier ’

Alors que le sage dit :


‘ Mettez tous vos œufs dans le même panier, et surveillez le bien ’

Et pour tant :
On peut toujours parvenir à percer le plus dur des blindages… sauf si ?

RSX103 - Compléments Réseaux & Applications - JCK 12


… Des rè gles d e l  ’in fo rmatiq ue !

Axiome :
Tous les programmes informatiques sont bogués.
Coro llair e 1 :
Les programmes de sécurité sont bogués.
Théorème :
Moins un programme en fait, moins il a de bogues.
Coro llair e 2 :
Les programmes de sécurité doivent être simples

Conclusion :
Les machines ‘ lourdes ’ seront isolées derrière des machines simples aux
fonctionnalités réduites : les ‘ firewalls ’

RSX103 - Compléments Réseaux & Applications - JCK 13


Les F ireWalls
Qu  ’e st-ce qu ’u n ‘F ire wall’ ?

Un ‘ par e- feu’ est généralement com posé de :

Un ensemble de filtres de paquets (niveau 3)

et / ou

Un ensemble de passerelles de niveaux 4 à 7

et / ou

Un ensemble de machines bastions

et / ou

Un ensemble de dispositifs de traçage et de journalisation

RSX103 - Compléments Réseaux & Applications - JCK 15


La pro tectio n p ar c oupe-fe ux

B Mur pare-feu interdisant la pénétration


C
des intrus dans la zone protégée

Second pare-feu, seulement


C
sur certaines fonctionnalités

A D

Une porte dérobée


D
non surveillée
E
B

La chambre forte, pour les


E
éléments vitaux

Les personnages en vert sont les honnêtes


Les personnages en violet sont les gardes
Zone publique, sans présence
A
d ’informations sensibles Les personnages en rouge sont les intrus

RSX103 - Compléments Réseaux & Applications - JCK 16


Les p rin cip aux p rotocole s de l ’In te rn et

7 HTTP TELNET FTP SMTP DNS NMTP


6
CON TRÔ LE S sur DO NNÉ ES

5 RP
C

CON TRÔ LE S sur PORT S


4 TCP UDP

ICMP
CO NT RÔ LE S sur ADRE SSES
3 IP IGMP

ARP/RARP

PPP
LLC
2 AAL LAP- RNIS LAP-B PQT
SLIP
MAC

Couche physique LANs Couche physique WANs Serial


1

Cerclés : les niveaux auxquels peuvent s’exercer les contrôles sécuritaires, et les éléments
pouvant y être contrôlés

RSX103 - Compléments Réseaux & Applications - JCK 17


32 bits

Les s tru ctu res IP


0 31

VER IHL SERVICE LGR TOTALE


4
IDENTIFICATION FLG
.P
V
DÉPLACEMENT (V 4) TC P & UD P
DURÉE VIE PROTOCOLE ICONTRÔLE
E
ADRESSEM M
IP SOURCE
A En VERT, les points de contrôle possibles au
ADRESSER IP DESTINATION
G niveau des structures de données
OPTIONS A
T BOURRAGE
A
D
... DONNÉES ...

32 bits 32 bits
0 31 0 31

PORT SOURCE PORT DESTINATION PORT SOURCE PORT DESTINATION


NUMÉRO de SÉQUENCE LONGUEUR MESSAGE TOTAL CONTROLE
.
NUMÉRO d'ACCUSÉ RÉCEPTION
P .P
.D
LNGR N.U. CODE TC FENÊTRE U
T E
G ...
EN
F.C.S. URGENCE ... DONNÉES
M
OPTIONS (Facultatif) N.U. SA
G ES
SE ... DONNÉES ...
M

RSX103 - Compléments Réseaux & Applications - JCK 18


Faib le sse s c oncernant le ro uta ge
TCP/I P

Les résolutions Nom <-> Adresse DNS peuvent être corrompues


facilement (service de proche en proche)

TCP nécessite des adresses valides à l ’établissement de la connexion,


pas UDP (Mode non connecté)

Dans un réseau local, les résolution d ’adresses IP<->MAC peuvent


être truquées

Les protocoles de routage contiennent de options de négociation de


route pouvant permettre le ‘déroutage’ vers une adresse indiscrète

Questi on : Com ment être SÛ R et OU VER T ?


RSX103 - Compléments Réseaux & Applications - JCK 19
Les trois n ive aux d e c oupe-fe ux ( 1)

Le rou teu r fil trant

Zone ‘ militarisée ’
INTERNE
T
Routeur
filtrant

INTRANET

- Filtre sur les adresses flux sortant + Installation simple


- Filtre sur les adresses flux + Possibilité de translation d ’adresses
entrants - Contenus non évalués
- Filtre sur les protocoles - Paramétrages parfois lourds
- Filtre sur les n°de ports - Moyens d ’administration rudimentaires

RSX103 - Compléments Réseaux & Applications - JCK 20


Comme nt fo nctio nne u n r outeur fil trant

Déf inition de rè gle s :


Identification du protocole à filtrer
Tests sur l ’adresse IP source
Tests sur l ’adresse IP destination
Tests sur le numéro de port source
Tests sur le numéro de port destination
Tests sur le code ACK du segment TCP (@ retour)

Act ion selon les règles :


Accepter (Forward)
Rejeter (Drop)
Soumettre à la règle suivante (Next)
Journaliser (Report)

Note : La translation d ’adresse est une fonction de sécurisation importante


permettant d’isoler le réseau local de l ’extérieur. Difficile à mettre en œuvre en
cas d’Extranet.

RSX103 - Compléments Réseaux & Applications - JCK 21


Exemple de règle s de filtr age
N° protocol source destination ACK On actions
address port address port schedule match No
match
1 any - n.a. 193.52.86.* n.a. n.a. Real time Next Drop

2 ICMP - n.a. 193.52.86.1 n.a. n.a. n.a. Report next

3 UDP - n.a. 193.52.86.1 53 n.a. n.a. Drop next

4 ICMP 193.52.86.1 n.a. - n.a. n.a. n.a. Forward next

5 UDP 193.52.86.1 53 - n.a. n.a. n.a. Forward Next

6 TCP 178.45.65.25 80 193.52.86.1 0 - n.a. Drop Next

7 TCP 193.52.86.1 0 178.45.65.* 80 0 n.a . Forward Next

8 TCP 193.52.86.1 0 178.45.65.* 80 1 n.a. Forward Next

9 TCP 178.45.65.12 80 193.52.86.1 0 1 n.a. Forward Drop

1 - Tentative d ’émission hors période autorisée : Refusé


2 - Paquets ICMP (message supervision réseau)venant de l ’extérieur :Journalisé
3 - Paquets UDP vers port 53 (DNS) venant de l ’extérieur : Refusé
4 - Paquets de contrôle venant du réseau interne : Accepté
5 - Paquets UDP provenant du réseau interne port 53 (DNS) : Accepté
6 - Paquet http depuis une machine interdite d ’accès Web : Refusé
7 - Paquet de demande de connexion vers port 80 (http) d ’un réseau identifié : Accepté
8 - Paquet de données de connexion vers même réseau : Accepté
9 - Paquet de données de connexion depuis machine identifiée : Accepté
Tout autre paquet sera rejeté (Drop final)

RSX103 - Compléments Réseaux & Applications - JCK 22


Les trois n ive aux d e c oupe-fe ux ( 2)
Le Pr oxy

Zone ‘ militarisée ’

Proxy

INTERNE
T
Routeur
filtrant

INTRANET

+ Plus efficace
- Passerelle au niveau applicatif + Possibilité de translation d ’adresses
- Tampon serveur(s) externes + Ergonomie d ’administration
- Analyse des contenus (dont anti-virus) - Installation plus compliquée
- Chiffrement - Administration lourde
- Journalisation et traçage - Coût élevé pour bonnes performances
- Inadapté si serveur public

RSX103 - Compléments Réseaux & Applications - JCK 23


Les proxie s
Rôle i nit ial du pr oxy : Cach e a u ni veau a ppl ica tif

PROXY
AP PL IC ATIO N - SE RVEUR

Demande page

APPLICATION - CLIENT
RESEAU O Page
Demande conditionnelle
présente
selon date MAJ
?

N
Renvoi
Retour conditionnel MAJ page cache
+ récente
?
N
O
Demande page
Envoi
Stockage nouvelle page
nouvelle page
Renvoi nouvelle page

RSX103 - Compléments Réseaux & Applications - JCK 24


Les trois n ive aux d e c oupe-fe ux ( 3)
Le b astio n

Zone ‘ militarisée ’

Proxy
Zone & filtres
‘ démilitarisée ’
INTERNE
T
Routeur

INTRANET
Bastion

- Gestion des connexions externes + Libère de la gestion des accès publics


- Souvent également serveur applicatif public + Possibilité de leurres et pièges
- Ne doit pas contenir de ressources sensibles - Difficulté d ’administration
- Peu de protection serveur public

RSX103 - Compléments Réseaux & Applications - JCK 25


Les b astions

Reçoit les connexions venant de l ’extérieur

Souvent serveur en zone publique

Données et programmes sont des copies

La conformité des copies est strictement suivie

Les originaux sont conservés en zone sécurisée

Possibilité de fausses « back doors » surveillées

Chiens de garde (Watch-dogs) et alertes

Fonctions leurres (Pot de miel): fausses données, commandes dangereuses rendues

anodines…

Une attaque réussie d ’un bastion ne doit pas compromettre l ’ensemble du réseau

RSX103 - Compléments Réseaux & Applications - JCK 26


Archit ectu re «  C eintu re & bre tell es »
(S cre ened D ual Ho med Ga tewa y)

Zone ‘ militarisée ’

Proxy 2
Proxy 1 & filtres

INTERNE
T
Routeur1 Routeur2

Zone
‘démilitarisée’

INTRANET
Bastion

La zone ‘militarisée’ est accessible via translation d ’adresse

RSX103 - Compléments Réseaux & Applications - JCK 27


Les V irus
Les vir us : Défi nit ion

C’est un programme, le plus souvent écrit en binaire et intégré à un


autre programme, qui va s ’exécuter lors de l ’activation de ce dernier.

Les effets en sont diver s :


Blocage ou transformation d’une fonction
Actions imprévues (ex : modification d’écrans…)
Destruction de ressources (y compris de matériels !)
Effacement données mémoire ou disque
Émission d ’informations vers divers destinataires
Inhibition de fonctions de sécurité
Ouverture de « portes dérobées »

…Et bien souvent maintenant plusieurs de ces diverses actions


simultanément !

RSX103 - Compléments Réseaux & Applications - JCK 29


Les V irus
Finalités :
Vandalisme gratuit (Pour l’auteur !)
Marquer sa trace (Avec ou sans humour !)
Affirmer sa puissance (ou sa compétence)
Espionnage (données, système, applicatifs …ou internaute !)
Détournement de valeurs (monétaires ou autres)
Utilisation propre ou revente infos confidentielles
Actes de sabotage
Les moy ens :
Virus ou bombes dans différentes couches système
Vers (Worms) dans les mails (Pièce jointes)
Virus dans macros outils bureautiques
Courriers indésirables (Spamming)
Espiogiciels (Spywares)
Pirates « zombies »
Opérations « Phishing »
Prise de contrôle à distance (Bots)
Virus Web dans appliquettes (applets)
Programmes implantés dans serveurs P2P
Fenêtres indésirables dans navigateur (Pop Up)
Chevaux de Troie (Trojians) ouvrant des « back-doors »
Faux virus (Hawks) incitant à auto-détruire son système
RSX103 - Compléments Réseaux & Applications - JCK 30
Mo yens d e l utt e sp écifi ques

Recherche signatures connues

Calcul de mots de contrôle pour fichiers

Recherche séquences instructions douteuses

Signalement modification programmes système

Analyse avant utilisation supports amovibles

Authentification origine codes téléchargés

Certification des serveurs

Éradication codes parasites ou mise en quarantaine

Surveillance des ports, blocage des inutilisés

Surveillance des requêtes ActiveX, applets, cookies

RSX103 - Compléments Réseaux & Applications - JCK 31


Or ganis ation de la l utte anti-v irale

Environ 65.000 virus identifiés (2004)


Communauté de lutte anti-virale (une cinquantaine de participants)
Information par utilisateurs
Mise en place de « pots de miel »
Prélèvement & analyse de tous les échantillons suspects
Diffusion à toute la communauté de ces échantillons
Passage au test de tous les produits concurrents (MiniMavis fédère une
vingtaine d’éditeurs – en 2004)
Utilisation d’un identifiant commun
Mise « en éprouvette » : Injection dans un fac-similé de réseau Internet
Analyse des actions et modes de propagation
Rédaction de la « fiche d’identification » du virus (Adaptée au moteur)
Diffusion de cette fiche à travers des MaJ propres à chaque éditeur

RSX103 - Compléments Réseaux & Applications - JCK 32


Viru s & bomb es systè me

Mémoire RAM

Programme
porteur Réseau

Exécution programme porteur


Programme
vecteur Exécution programme vecteur
VIRUS
Explosion
Support à
amovible l ’exécution
Fichiers système

Programme contaminé

Système
d ’exploitation

RSX103 - Compléments Réseaux & Applications - JCK 33


Anatomie d  ’un ve r : Me liss a (0 6/99)

Mr Durand reçoit un mail Voici le document que


vous avez demandé...
« Message important de Mr Dupont »

Accède à
HKEY_CURRENT_USER\
Software\MicrosoftOffice... Gmqhheripo lkbngjj
k:jbc kjbv jb jb jkfvkf

BASE de REGISTRES jbcjkl jbjb jbv kji, dl,n

Infecte les
bskcv vf!lfhlvb kjbv klk
hsmdvlgmk<wgvmmnvn
flkv kbfmqv kjbvmklqv n

Déverrouille documents Word jbv gmsdkg vomr mmoaùv


sdvih!lkv mhi mi oihih loihi

W
bjhvc vboiùppù oj ihoih liinml

sécurité
Macrovirus
WORD

Voic
i
Efface clé vou le docu
s av m
e z d ent qu
ema e
ndé
... Envoie le mail
Clé « Melisa ? aux 50 premières
» O adresses du carnet

N
Crée un nouveau
« Message important de … »
et y attache son document

Utilisation de l ’interface MAPI (Accessible par tout langage) pour envoyer automatiquement via les
listes de diffusion à travers Outlook Express
RSX103 - Compléments Réseaux & Applications - JCK 34
Desc rip tion d ’u n autr e : B ug b ear
(2 003)
Alia s Tanatos

Vers dans pièce jointe de mails de provenances diverses, de MicroSoft


ou encore du FAI. Le message était soit un texte vierge, soit repris dans
les archives « messages reçus ».
Actions r éal isées :
Désactive les anti-virus les plus courants
Place un espiogiciel (Bot) pour la capture des saisies clavier et en transmet
les contenus par mail.
( N° cartes crédits et codes secrets ne le sont plus! )

Place un « Cheval de Troie » dans le système qui ouvre une porte (port n°
36794) à un « visiteur » ultérieur

RSX103 - Compléments Réseaux & Applications - JCK 35


Pr in cip e d e l  ’E spiogicie l ( SpyWare ou
Bot)
Installe un fichier historique (sous racine ou un des répertoires Windows
standards)
qui servira à stocker les informations capturée

Surveillance de certaines activités : Ou de contenus :


Sites Web visités Carnets d ’adresses
Mails envoyés/reçus Codes licences des programmes
Frappes clavier Fichiers compta
Programmes exécutés Documents textes (mots clés)
... ...

Recopie des informations prélevées et sélectionnées dans le fichier historique

Attente d’une prochaine connexion, et transfert du fichier historique vers un site en


attente
Sous forme de cookie ou via un agent SMTP intégré (ou autres procédés spécifiques)

Effacement éventuel de toutes traces


RSX103 - Compléments Réseaux & Applications - JCK 36
Les «  p rogrès » e n c ours .. .

Désactivation ou sabotage des Anti-virus (de plus en plus fréquent)


Propagation par courrier avec agent SMTP incorporé
Propagation via RPC, SQL, Chat Relay…
Virus présent sous forme de diverses « briques » inoffensives dans le
système, reconstitué sous forme active uniquement en mémoire vive :
Transmis via des commandes d ’origine distante
Ex : Sapphire (250.000 serveurs infectés le 27/01/2003) via MS SQL Serveur.
« Puzzle » dont les différents morceaux sont chargés au moment de
l ’exécution (Souvent via le P2P)
Ex : Benjamin par MS SQL Serveur.
Code viral contenu dans une image ou un son (Qui sera extrait par un
composant anodin, puis exécuté)
Ex : Belgado (05/2002) via un morceau Hard Rock (Metallica)
Message d’intox « Psychologique » pour déjouer la méfiance:
Photo d’un (d ’une) ami(e) chèr(e)
Réponse à courrier réellement envoyé (avec Re:…)
Courriers d’origines « sûre » (Microsoft, fournisseur d’accès, banque…)

RSX103 - Compléments Réseaux & Applications - JCK 37


Qu elques conseils :

Ch ois ir un bon anti-virus


Efficace
Fiable
Avec mises à jour
…Et pas cher !
Le mett re à jour régulière ment
Via « Live Update »
…Attention à certains sites qui peuvent profiter de votre visite pour
un examen approfondi de votre config (ou placer des WebBugs) !
Édict er des règles str ictes vis à v is des :
Mails
Supports amovibles
Sites Internet (jeux et autres X)

RSX103 - Compléments Réseaux & Applications - JCK 38


Les p rin cip es d es anti.. .

Ant i-virus :
Base de signatures
Séquences de code critiques
Mots de contrôle sur exécutables
Détection de toute tentative de modification de programme
(protection accès bibliothèques système et autres)
Ant i-E spi ogi ci el :
Interdiction des cookies (ou du moins signalement)
Vérification des tâches de fond et des services activés
Analyser les adresses datagrammes sortants
Ant i-S pam :
Base de donnée des sites Spam
(Contournée par utilisation de relais de messagerie)
Règles de filtrage (Adresses, structure, termes, caractères…)
Cumul d ’éléments divers (méthode heuristique)

RSX103 - Compléments Réseaux & Applications - JCK 39


La sécurité sous J ava
Tous les systèmes Microsoft sont idéalement conçus pour abriter des virus…
Un peu comme une boîte de Pétri qui contiendrai la meilleure culture pour leur
développement -James Gosling 1996 (Créateur de Java)

Vérificateur : Vérification du bytecode


Barrière mémoire : La géographie mémoire n ’est pas prise en compte par le compilateur. Pas
de pointeurs.
Chargeur : Une classe ne peut accéder qu ’aux objets se trouvant dans son espace de noms ou
dans celui de l ’appelante. Chaque classe est chargée dans le navigateur avant de s ’exécuter.
Accès fichiers : Les primitives d ’accès implémentent des listes de contrôle aux valeurs par
défaut très restrictives. Boite de dialogue en cas de tentative non autorisée.
Niveaux d ’accès : Différents modes de sécurité
none = uniquement ressources locales
host = uniquement sur serveur d ’origine du code
firewall = accès aux seules ressources du domaine protégé
unrestricted = accès sans restriction

Serveurs certifiés : Applets provenant de sources réputées sûres

RSX103 - Compléments Réseaux & Applications - JCK 40


La sécurité sous J ava
Qui est à la f ois :

Langage

Compilateur

Int erprêt eur

Pro gramm es

S.E . à code mobile

Système sécurisé

RSX103 - Compléments Réseaux & Applications - JCK 41


No tio n d e «  byte codes »

SERVEUR WEB

Applet
CLIENT

bytecodes
compilateur
vérificateur

Page WEB
bytecodes

chargeur

interpreteur

Pages
WEB

RSX103 - Compléments Réseaux & Applications - JCK 42


La p rin cip e d e la sécurit é centra lisé e

RSX103 - Compléments Réseaux & Applications - JCK 43


La s écurité des R éseaux Radio
Les défauts d e s écurité d es R adio -L ans

Réseau Local Radio

WarDriving Brouillage

MiM (Man in the Middle)

RSX103 - Compléments Réseaux & Applications - JCK 45


… et mê me d es ra dio-télé phones et PD A

Ceux-ci, communiquant via « bluetooth » ou maintenant WiFi peuvent

être piratés de l’extérieur !

Envoi de SMS via votre portable

Extraction et/ou destruction de vos annuaires

Extraction et/ou destruction de votre agenda

...

RSX103 - Compléments Réseaux & Applications - JCK 46


La sécurité avec le s «  util is ateurs
nomades »

Le protocole 802.1x est destiné à permettre la communication sécurisée avec les différents
serveurs de gestion de la sécurité.
Radius = Remote Access Dial-In User Service = Service d’Accès Distant Intermittent

RSX103 - Compléments Réseaux & Applications - JCK 47


La lu tte contr e l a vuln érabili té d es
rése aux

RSX103 - Compléments Réseaux & Applications - JCK 48


Les p roduits sécurité (1 )

RSX103 - Compléments Réseaux & Applications - JCK 49


Les p roduits sécurité (2 )

RSX103 - Compléments Réseaux & Applications - JCK 50


Les p roduits sécurité (3 )

RSX103 - Compléments Réseaux & Applications - JCK 51