Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parAbélard Pouget Modifié depuis plus de 10 années
1
Sécurité - Internet Introduction à la problématique
Eric Horlait Université Pierre et Marie Curie Laboratoire LIP6 4, place Jussieu 75252 Paris Cedex 05
2
Sécurité: la problématique - 1
Connaissance des risques Connaître les architectures Des machines Des Systèmes d ’exploitation Des Applications Des réseaux Connaître les Méthodes d ’Intrusion pour : Caractériser les Comportements Douteux Détecter les Tentatives d ’Intrusion
3
Sécurité: la problématique - 2
Connaissance des acteurs Connaître les Hackers pour : Comprendre leurs Motivations Estimer les Risques Se Protéger Efficacement Connaître l’Entreprise pour : S ’Intégrer aux Équipes Comprendre la Stratégie Gérer les Aspects Politiques
4
Sécurité: la problématique - 3
Connaissance des parades Connaître les Outils pour : Mettre en Place des Solutions Appropriées Bâtir des Plates-Formes de Sécurisation Fiables et Exploitables
5
Sécurité: la problématique - 4
Un phénomène lié: les logiciels libres Pourquoi? La place de ces logiciels par rapport aux systèmes commerciaux De la fiabilité De la sécurité Qui paye? Quelle limite? Système? Outils? Applications?
6
A quoi pensent les « Hackers »?
Access to computers should be unlimited and total. Always yield to the Hands-On Imperative All information should be free. Mistrust authority--promote decentralization. Hackers should be judged by their hacking. You can create art and beauty on a computer. Computers can change your life for the better.
7
Les hommes - 1 Profils généralistes Formation
ingénieurs réseaux / système … bureautique multi-tâches manque de temps pour la veille technologique préoccupations diverses âge: ans Formation pas de cursus universitaires pas de formations continues principalement une culture médiatique
8
Les hommes - 2 Pas vital pour le fonctionnement du SI
passe après les projets système / réseau décidé au dernier moment avec le reste du budget (=rien?) Pas valorisant pour le décisionnaire on ne sait que si çà ne marche pas suivi lourd en ressources humaines La démarche « qualité » pourra aider
9
Une culture médiatique - 1
Inadaptée et obsolète « pire » que dans les domaines classiques effraie sans donner de solutions Orientée par les éditeurs de solutions fabricants de firewalls éditeurs de logiciels de détection Mauvaise classification des risques orientés vers les actes visibles (virus etc.) pas ou peu de sensibilisation aux réels risques et conséquences d ’intrusion
10
Une culture médiatique - 2
Pas d ’implication dans le domaine niveau technique insuffisant confiance accordée aux éditeurs pas de « culture » on-line Les « projets » de sécurité arrivent après les projets techniques « Il faut faire fonctionner » « On sécurise après » SECURITE = REPARATION
11
Principaux types de projets - 1
Migration d ’architectures du monde fermé au monde ouvert notion de danger double: technique et sécurité par où commencer? Le plus simple=la technique Connexion INTERNET protection du réseau interne problématique « classique » spécification et déploiement rapides protection de services publics nombreux éléments à prendre en compte (services, plates-formes, accès etc.)
12
Principaux types de projets - 2
Connexion EXTRANET sectorisation du réseau interne problématique propre à chaque entreprise complexe, souvent politique protection des accès distants intégration de technologies de chiffrement et d ’authentification techniquement complexe à intégrer dans l ’existant évaluation des solutions proposées par les opérateurs
13
Principaux types de projets - 3
Audits internes validation de la sécurité « locale » externe validation de l ’architecture d ’interconnexion à internet validation de la sécurisation des accès distants analyse économique des résultats impact sur les choix techniques après coup!
14
Quelques exemples d ’attaques simples ...
Sécurité Quelques exemples d ’attaques simples ...
15
Une attaque directe UNIX
Un utilisateur quelconque se connecte sur Internet Il récupère le code d ’un « exploit » Il le compile et l ’exécute Il est root
16
Une attaque directe NT Un utilisateur quelconque se connecte sur Internet Il récupère le programme « sechole.exe » Il l ’exécute Son compte est ajouté au groupe Administrators
17
Attaque des mots de passe
Sous NT la liste des mots de passe cryptés s ’obtient : par une attaque sur la base de registres « pwdump » en sniffant le réseau via le fichier de réparation « %systemroot%\repair\sam._ » Après le passage d ’un dictionnaire de mots… Temps Réel : < 30s Après une attaque bête et néanmoins brutale sur l ’alphabet... 14 heures plus Tard
18
Découverte de topologie
19
Trace de protocole (1) 08 00 20 0a ac 96 08 00 20 0a 70 66 08 00 4f 00
00 7c cb c ff 01 b9 7f 84 e3 3d 05 c0 21 9f a2 56 2f 00 c b a 0b 0c 0d 0e 0f a 1b 1c 1d 1e 1f a 2b 2c 2d 2e 2f
20
Attaque de datagrammes
La structure des données est connue La structure des applications est connue et standard Une machine simple peut: Ecouter Analyser Créer
21
Le « SPAM » Envoi d ’information inutile et volumineuse SPAM = argot
Application visée:
22
Une attaque de TCP Pendant la phase d ’établissement de connexion
Interception Déguisement Quelle connexion est active?
23
Le déguisement Modification des adresses Intervention dans un dialogue
Attaque des routages
24
FTP et la sécurité Problème protocolaire Problème d ’utilisation
25
Mots de passe Transport dans le réseau Sensible à l ’écoute
Besoin d ’authentification
26
La place des architectures de réseaux
Sécurité La place des architectures de réseaux
27
La sécurité dans les réseaux
D'où viennent les problèmes? Distribution des informations et des machines. Réseaux mondiaux: Nombre d ’utilisateurs élevé, utilisateurs inconnus. Réseaux locaux: 80% des « attaques » Commerce et paiement: Le paradoxe du nombre et de la confiance! Les techniques Cryptographie principalement L ’information se protège et se transmet facilement, pour la confiance, les choses sont plus délicates Les limites réglementaires et/ou techniques Besoin de contrôle des autorités. Problèmes douaniers / Lieu et méthode de taxation. Comment exercer réellement un contrôle?
28
La sécurité dans les réseaux
Plusieurs niveaux doivent être considérés: Le contrôle d ’accès: qui travaille sur ma machine? Le contrôle des données: mes informations sont-elles secrètes? Un point central: la confiance et comment la partager? Qui est vulnérable? Réseau local Il est très facile d ’accès pour ses utilisateurs. C ’est le point faible pour les informations. Le réseau longue distance Il concentre de nombreux utilisateurs. C ’est le point faible pour le contrôle d ’accès.
29
La sécurité: les méthodes
Une trilogie « vitale »: Audit Analyse des besoins, des risques Les outils techniques Cryptographie Contrôle Logiciels ou matériels de surveillance Une seule étape vous manque … et tout est dépeuplé!
30
La sécurité: contrôle d ’accès
Les éléments principaux à contrôler: Les machines, les applications, les utilisateurs, les données Les outils techniques: Analyse des informations: passerelles filtrantes pour un traitement au niveau des protocoles de communication. Gestion de mots de passe, de signatures, de certificats à un niveau logique plus élevé. Le contrôle par journalisation, par vraisemblance. La « traçabilité » des échanges
31
Attaque « système » Lecture du fichier des mots de passe
Modification /bin/login Utilisation des serveurs ftp Utilisation des scripts CGI Exploitation des bugs de logiciels (souvent messagerie)
32
Attaque logicielle Virus et vers Cheval de Troie
Virus arrive volontairement Ver arrive « seul » Cheval de Troie Installé « normalement » Activation à distance
33
Quelques éléments techniques
Introduction Quelques éléments techniques
34
Les menaces Passives Actives
Ecoute (sans modification des informations) Actives Ajout, brouillage, déguisement Répudiation, divulgation
35
La sécurité: firewalls
INTERNET Routeur Firewall Routeur Firewall
36
Signature électronique
PB PA B A Empreinte A PA Empreinte ? Nom Nom Date Date
37
Serveur de sécurité B A B A Serveur Demande de clé KS KA(KS) KB(KS)
KS(Message) Serveur KA(Message) XXXXX XXXXX KB(Message) B A XXXXX
38
Le répertoire comme serveur de sécurité
Besoin de nommage Gestion des adresses ISO - ex CCITT IETF X500 - ISO 9594 DNS Utilisateur DUA DSA DSA DSA DSA
39
LDAP Protocole d ’accès au répertoire X500 Utilisant TCP/IP
Simplifiant un peu les codages Faire bénéficier le monde IP des avantages de ce système par rapport au DNS
40
Sécurité - réglementation
Avant 1986 (décret loi du 14/4/1939) Décret du 18/2/1986 Loi du 29/12/90 - décret SCSSI Loi de Juillet 1996 Simple déclaration pour l'authentification et l'intégrité des messages Demanded'autorisation pour le reste SCSSI, 18 rue du Dr Zamenhof 92131 ISSY LES MOULINEAUX
41
Sécurité -Réglementation
Loi de Juillet 1996 Libéralisation de l’authentification Utilisation du cryptage possible Tiers de confiance (Key Escrow) Algorithmes possibles? Organisation de l’INTERNET Les décrets d’applications (fin 96?) Parus en février 1998
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.