La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

"Sécurité? Hey, j’ai un FireWall!!"

Publié parAurelien Charlot Modifié depuis plus de 10 années

Présentations similaires

Présentation au sujet: ""Sécurité? Hey, j’ai un FireWall!!""— Transcription de la présentation:

1 "Sécurité? Hey, j’ai un FireWall!!"
Concepts de défense en profondeur, analyse de la couche 8… Alexandre Amorison, Ir. Dr. Directeur du Centre Informatique Faculté Polytechnique de Mons Académie Universitaire Wallonie-Bruxelles Présentation Logistique de la présentation (interruption, questions, …) Pourquoi la sécurité?

2 Plan Introduction Concepts Expérience Couche 8 Conclusion Discussion…

3 Introduction

4 Sécurité, définition Cambridge Dictionary of English: "Ability to avoid being harmed by any risk, danger or threat" (Capacité à éviter d'être touché par toute forme de risque, de danger ou de menace) Larousse: "Situation dans laquelle quelqu'un, quelque chose n’est exposé à aucun danger, à aucun risque d’agression physique, d’accident, de vol, de détérioration"   Inaccessible!  Autant de sécurité que nécessaire…

5 Sécurité, définition adaptée…
Rafal's Definition: "Ability to avoid being harmed too much by reasonably predictable risks, dangers or threats" Capacité à éviter d'être trop touché par des risques, dangers ou menaces raisonnablement prévisibles

6 Pré-conclusion 1 Présomptueux de parler de sécurité, parlons de protection… Concepts Modélisation et Gestion de risque Défense en profondeur Partager une expérience Perceptions personnelles Environnement Microsoft… Nous pourrons en discuter   Partager une perception et une vision personnelle, pas toujours académique et sans prétention d'exhaustivité.  Quelques outils concrets

7 Concepts Pragmatisme Modélisation Equilibre entre usage et protection
No perfect mousetrap, No silver bullet Défense en profondeur Règlements et procédures

8 Pragmatisme La sécurité étant inaccessible, il s’agit de gestion de risque Sécurité  Protection Investissement en sécurité = investissement pour qu’il n’arrive rien!! Peu convaincant

9 Modélisation Identification des menaces Identification des risques.
STRIDE Identification des risques. Connaître son infrastructure Schéma en arbre des menaces, des cibles, des vulnérabilités Classification. Risque = "criticité" * probabilité d'occurrence DREAD  Un réflexion personnelle: intégration du coût de la protection… Association de "petits" risques à solutions simples Elimination d'un risque à solution trop complexe / onéreuse (+?)

10 Modélisation, suite Evaluations financières, outil pour convaincre la direction…  layer 8, nous allons y revenir… Processus cyclique Risk Model Learn Control Track Analyze Plan Identify

11 Equilibre entre usages et protection
Secure Usable Cheap

12 Equilibre… Bien choisir l'équilibre Information des utilisateurs
Ex: Valeur du mot de passe… Ne pas encourager les mauvais comportements

13 Protection Protection: en réponse à un risque
Ex: mot de passe pc privé à domicile… en fonction des coûts en garantissant les usages

14 No perfect mousetrap!

15 No silver bullet! L’outil logiciel ou matériel qui règle tous les problèmes de sécurité n’existe pas… Dommage!! Plusieurs sites de défense: Réseau / communications Applications Accès physique Layer 8… attendons encore un peu  Modèles en couches.

16 People, policies, and process
Défense en profondeur. People, policies, and process Physical security Data Application Host Internal network Perimeter Pensez aux Châteaux forts…

17 Règlements et procédures
Règlement, stratégies Procédures de réaction Documentation, diagrammes (infrastructures, rôles, flux de données, …) No security by obscurity… La complexité est un ennemi

18 Pré-conclusion 2 La modélisation a un coût elle aussi, qui se justifie par la complexité de la structure à protéger La fin est dans les usages, non dans la sécurité Appliquer les règlements, les stratégies Nous passons à du concret?

19 Expérience Sécurité physique Données Applications Machines
Périphérie / Serveurs Réseau Utilisateurs Divers

20 Sécurité physique Si quelqu'un a un accès physique à votre machine, ce n'est plus votre machine…  La cryptographie peut aider Sécurité physique Contrôleurs de domaine Serveurs de backup Backups Serveurs Sécurité physique sur le réseau… une utopie aujourd'hui dans une majorité de cas.

21 Données Pérennité Confidentialité Tolérance de panne Backup Archivage
Fausse manœuvre - clichés instantanés, plus une tâche administrative Disaster recovery - réplication Archivage Confidentialité Sécurité locale type AGLP / ACLS Right Management Cryptographie (EFS) Signature et cryptage ( ) (+?)

22 Applications Buffer Overflow! (+?) Signature de code
Validation Compilateur Data Execution Prevention Signature de code Assistants et IDE (réduction des erreurs) Stratégies de restrictions logicielles

23 Days between patch and exploit
Machines Virus - antivirus Spyware – antispyware (hosts file) Rootkits – format! Configuration Pare feu local Mises à jour Sasser 151 180 331 Blaster Welchia/ Nachi Nimda 25 SQL Slammer 17 Days between patch and exploit

24 Périphérie / Serveurs Configuration
Réduction de la surface d'attaque, SCW Publication et filtrage applicatif SSL, SSL Termination Authentification à l'entrée

25 Réseau DMZ… GRRR!!! Pare-feu… GRRR!!! (encore)
2 pare-feux, peut-être différents… Une zone moins protégée?? Dédoublement de l'infrastructure (réseau, authentification, …). Augmentation de la complexité… Isolation d'une partie de réseau, oui, DMZ… non! Pare-feu… GRRR!!! (encore) J'ai un pare-feu!! TCP port 80 : SBP Security Bypassing Protocol TCP port 443: ESBP Encrypted version Outil de performance, IP / Port filtering Filtrage applicatif (http, smtp, rpc, …) Peu de règles et filtrage sortant!  Implique une sécurité physique sur l'accès au réseau!

26 Réseau: une balle en argent?
IPSEC! AH ESP Affranchissement partiel de la sécurité physique sur le réseau! Isolation des machines sensibles voire de toutes les machines gérées! Natif sur IPV6

27 Utilisateurs Mot de passe / passphrase! Blocage de comptes
Longueur (>15 caractères) Durée de vie maximale Durée de vie minimale Complexité / enthropie Blocage de comptes Protocole d'authentification Stockage hash Stockage réversible Least Privilege + dédoublement "identité" User pour tâches user Admin pour tâches admin (exclusivement!) Information / Formation

28 Divers PKI Outils d’inventaire logiciel File screening
Combinaison Stratégie de restriction logicielles + least privilege FileMon, RegMon, … Stratégies de groupe Audit échecs et succès! VPN / quarantaine… en connaissance de cause Sécurité sur le courrier électronique

29 Pré-conclusion 3. Des outils :
Passphrase, stratégie de mot de passe et de compte. IPSEC Pare-feu applicatif Comptes d’administration séparés Réduction surface d'attaque SCW Mise à jour, antivirus, … Configurer les utilisateurs… C'est là qu'est l'os…

30 Layer 8 Extension du modèle OSI Attaque sur la couche 8
Ingénierie sociale Comment? Exemples Version "virtuelle" Et alors?

31 Extension du modèle OSI
8. human Couche 8inf: Utilisateur Couche 8mid: Politique Couche 8sup: Religieuse 7. application 6. presentation 5. session 4. transport 3. network 2. link 1. physical

32 Attaque sur la couche 8 Mesures de protections efficaces sur les réseaux, les systèmes, les applications La vulnérabilité se déplace vers le clavier… Mauvaise perception de risque: Sur-estime ce qui n'est pas maitrisé, ce qui est sensationnel et rendu tel dans les médias Sous-estime ce qui est banal  Ingénierie sociale

33 Ingénierie sociale Persuader quelqu'un de faire quelque chose
Manière "douce"… Pas trop à l'écart de son comportement normal James Bond le fait tout le temps!... Ma fille de 3 ans aussi… Contourne les mesures de protection Exploite la volonté de bien faire son travail et d'aider les autres Génère un compromis: demande plausible, génératrice d'ennuis si elle n'est pas satisfaite, …

34 Comment? Transfert de responsabilité Bénéfice personnel Morale
"Je vais m'en occuper pour toi…" Bénéfice personnel "Regarde comme ce serait mieux pour toi…" "Je t'invite à diner?"  Morale "Tu ne trouve pas ça terrible, ce n'est pas normal, tu dois m'aider!"  Culpabilité "Quoi, tu ne veux pas m'aider?" Identification " C'est exactement pareil pour moi, j'ai le même problème…" Désire d'aider "S'il te plaiiiiiittttt"  Coopération "On est trop fort ensemble, quelle équipe, tu t'occupes de ça et je fais le reste!" 

35 Exemples Badge / uniformes Ouverture de porte contrôlée
Transport de matériel Téléphone Helpdesk! Poubelles…

36 Version "virtuelle"

37 Et alors? Souvent plus simple de "pirater" une personne qu'un système
Pas de paranoïa, mais une information… un peu de vigilance

38 Pré-conclusion 4 Les machines sont de mieux en mieux protégées…et les utilisateurs?

39 Conclusions Quand un truc ne vas plus, regarder si la stratégie de sécurité ne le bloque pas (pare-feu, ipsec, antivirus!) Intégration de la sécurité dans la gestion de projet, de développement ou de déploiement, avec une communication forte entre les disciplines (SOA, Role Based) Corriger la cause d'un problème plutôt que de lever la mesure de protection… La bonne solution n'est que très rarement la meilleure solution

40 Conclusions

41 Références Rafal Lukawiecki, Strategic Consultant Project Botticelli Ltd Jesper M. Johansson, Ph.D., Security Solutions Engineer Security Business & Technology Unit Microsoft Corporation. Steve Riley, Security Program Manager Microsoft Corporation . Mark Russinovich, Winternals Software

42 Questions? Réflexions annexes:
Le réchauffement de la planète et la taille de la banquise Si Goliath pouvait gagner…

43 Ressources Modélisation STRIDE, Arborescence, DREAD
Cryptographie, utilisation Buffer Overflow

44 Modélisation: STRIDE Spoofing (usurpation d'identité)
Tampering (falsification de données) Repudiation Information disclosure (divulgation) Denial of Service Elevation of Privilege

45 Modélisation:Arborescence de menace
Obtient le mot de passe d’un utilisateur (I)  (S)  (E) 1.1 Recherche une connexion avec une authentification de base 1.2 Compromet la banque de données des informations de connexion du serveur 1.3 Un logiciel malveillant lit le mot de passe local de l’utilisateur 1.3.1 L’utilisateur « installe » un virus lisant le mot de passe 1.3.2 Installe du code malveillant sur l’ordinateur A besoin d’un accès physique au serveur Utilise SSL/TLS A besoin d’un accès physique à la machine

46 Modélisation: DREAD Damage potential (Dommages potentiels)
Reproductibility (Reproductibilité) Exploitability (Exploitabilité) Affected Users (Utilisateurs affectés) Discoverability (Découvrabilité)  Risque : moyenne (Valeurs /10)

47 Symmetric Key Cryptography
Plain-text input Cipher-text Plain-text output “The quick brown fox jumps over the lazy dog” “The quick brown fox jumps over the lazy dog” Decryption Encryption Same key (shared secret)

48 Public Key Encryption Recipient’s private key Recipient’s public key
Clear-text Output Clear-text Input Cipher-text “The quick brown fox jumps over the lazy dog” “The quick brown fox jumps over the lazy dog” Encryption Decryption public private Different keys Recipient’s public key Recipient’s private key

49 Hybrid Encryption (Real World)
RNG Randomly- Generated symmetric “session” key Symmetric encryption (e.g. DES) *#$fjda^j u539!3t t389E 5e%32\^kd Launch key for nuclear missile “RedHeat” is... Symmetric key encrypted asymmetrically (e.g., RSA) Digital Envelope User’s public key (in certificate) As above, repeated for other recipients or recovery agents Digital Envelope Other recipient’s or agent’s public key (in certificate) in recovery policy

50 Hybrid Decryption *#$fjda^j u539!3t t389E 5e%32\^kd Launch key for nuclear missile “RedHeat” is... Symmetric decryption (e.g. DES) Digital Envelope Asymmetric decryption of “session” key (e.g. RSA) Symmetric “session” key Session key must be decrypted using the recipient’s private key Digital envelope contains “session” key encrypted using recipient’s public key Recipient’s private key

51 Symmetric encryption DES, IDEA, RC2, RC5
S/MIME, SSL, Kerberos DES (Data Encryption Standard) is the most popular Keys very short: 56 bits Brute-force attack took 3.5 hours on a machine costing US$1m in Today it probably is done real-time. Triple DES (3 DES) not much more secure but may thwart NSA Just say no, unless value of data is minimal IDEA (International Data Encryption Standard) Similar to DES, but “not” from NSA 128 bit keys RC2 & RC5 (by R. Rivest) RC2 is older and RC5 newer (1994) - similar to DES and IDEA .NET Fx PGP S/MIME, SSL .NET Fx

52 Symmetric encryption Rijndael
.NET Fx Standard replacement for DES for US government, and, probably for all of us as a result… Winner of the AES (Advanced Encryption Standard) competition run by NIST (National Institute of Standards and Technology in US) in Comes from Europe (Belgium) by Joan Daemen and Vincent Rijmen. “X-files” stories less likely (unlike DES). Symmetric block-cipher (128, 192 or 256 bits) with variable keys (128, 192 or 256 bits, too) Fast and a lot of good properties, such as good immunity from timing and power (electric) analysis Construction deceptively similar to DES (S-boxes, XORs etc.) but really different

53 Symmetric encryption RC4
Fast, streaming encryption R. Rivest in 1994 Originally secret, but “published” on sci.crypt Related to “one-time pad”, theoretically most secure But! It relies on a really good random number generator And that is the problem PPTP

54 Asymmetric encryption RSA, DSA, ElGamal, ECC
Very slow and computationally expensive – need a computer Very secure Rivest, Shamir, Adleman – 1978 Popular and well researched Strength in today’s inefficiency to factorise into prime numbers Some worries about key generation process in some implementations DSA (Digital Signature Algorithm) – NSA/NIST thing Only for digital signing, not for encryption Variant of Schnorr and ElGamal sig algorithm ElGamal Relies on complexity of discrete logarithms ECC (Elliptic Curve Cryptography) Really hard maths and topology Better than RSA, in general and under a mass of research SSL, PGP .NET Fx .NET Fx

55 Hash functions MD5, SHA Hash functions – not encryption at all! Goals:
Not reversible: can’t obtain the message from its hash Hash much shorter than original Two messages won’t have the same hash MD5 (R. Rivest) 512 bits hashed into 128 Mathematical model still unknown But it resisted major attacks SHA (Secure Hash Algorithm) US standard based on MD5 S/MIME, SSL, PGP, Digital Sigs .NET Fx .NET Fx

56 What Does Cryptography Solve?
Confidentiality Your data/service provides no useful information to unauthorised people Integrity If anyone tampers with your asset it will be immediately evident Authenticity We can verify that asset is attributable to its authors or caretakers Non-repudiation The author or owner or caretaker of asset cannot deny that they are associated with it Identity We can verify who is the specific individual entity associated with your asset

57 Buffer Overflow EBP EIP Buffers Other vars Args All determine
Function return address Exception handlers Function pointers Virtual methods All determine execution flow Buffers Other vars EBP EIP Args void func(char *p, int i) { int j = 0; CFoo foo; int (*fp)(int) = &func; char b[128]; strcpy(b,p); } Bad things happen if *p points to data longer than b

Télécharger ppt ""Sécurité? Hey, j’ai un FireWall!!""

Présentations similaires

Mais vous comprenez qu’il s’agit d’une « tromperie ».

Mais vous comprenez qu’il s’agit d’une « tromperie ».
Sécurité informatique

Sécurité informatique
Les Cases Cachées 3 2 Les Verbes ER Tu/ manger Je/ parler Elles/

Les Cases Cachées 3 2 Les Verbes ER Tu/ manger Je/ parler Elles/
Le Nom L’adjectif Le verbe Objectif: Orthogram

Le Nom L’adjectif Le verbe Objectif: Orthogram
ORTHOGRAM PM 3 ou 4 Ecrire: « a » ou « à » Référentiel page 6

ORTHOGRAM PM 3 ou 4 Ecrire: « a » ou « à » Référentiel page 6
Vocabulaire 6.2 Français II Bon voyage ! 1.

Vocabulaire 6.2 Français II Bon voyage ! 1.
Licence pro MPCQ : Cours

Licence pro MPCQ : Cours
Distance inter-locuteur

Distance inter-locuteur
État de l’art de la sécurité informatique

État de l’art de la sécurité informatique
Botnet, défense en profondeur

Botnet, défense en profondeur
Les numéros 30 60 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60.

Les numéros
Les identités remarquables

Les identités remarquables
Cours MIAGE « Architectures Orientées Services » Henry Boccon-Gibod 1 Architectures Orientées Services Composants de Service Exemple pratique de développement.

Cours MIAGE « Architectures Orientées Services » Henry Boccon-Gibod 1 Architectures Orientées Services Composants de Service Exemple pratique de développement.
Conception de la sécurité pour un réseau Microsoft

Conception de la sécurité pour un réseau Microsoft
Vue d'ensemble Implémentation de la sécurité IPSec

Vue d'ensemble Implémentation de la sécurité IPSec
Architecture de réseaux

Architecture de réseaux
Réseaux Privés Virtuels

Réseaux Privés Virtuels
LES TRIANGLES 1. Définitions 2. Constructions 3. Propriétés.

LES TRIANGLES 1. Définitions 2. Constructions 3. Propriétés.
FLSI602 Génie Informatique et Réseaux

FLSI602 Génie Informatique et Réseaux
Minimisation Techniques 1 Assimilation Algorithms: Minimisation Techniques Yannick Trémolet ECMWF Data Assimilation Training Course March 2006.

Minimisation Techniques 1 Assimilation Algorithms: Minimisation Techniques Yannick Trémolet ECMWF Data Assimilation Training Course March 2006.

Présentations similaires

Annonces Google