La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Sécurité - Internet Introduction à la problématique

Publié parAbélard Pouget Modifié depuis plus de 10 années

Présentations similaires

Présentation au sujet: "Sécurité - Internet Introduction à la problématique"— Transcription de la présentation:

1 Sécurité - Internet Introduction à la problématique
Eric Horlait Université Pierre et Marie Curie Laboratoire LIP6 4, place Jussieu 75252 Paris Cedex 05

2 Sécurité: la problématique - 1
Connaissance des risques Connaître les architectures Des machines Des Systèmes d ’exploitation Des Applications Des réseaux Connaître les Méthodes d ’Intrusion pour : Caractériser les Comportements Douteux Détecter les Tentatives d ’Intrusion

3 Sécurité: la problématique - 2
Connaissance des acteurs Connaître les Hackers pour : Comprendre leurs Motivations Estimer les Risques Se Protéger Efficacement Connaître l’Entreprise pour : S ’Intégrer aux Équipes Comprendre la Stratégie Gérer les Aspects Politiques

4 Sécurité: la problématique - 3
Connaissance des parades Connaître les Outils pour : Mettre en Place des Solutions Appropriées Bâtir des Plates-Formes de Sécurisation Fiables et Exploitables

5 Sécurité: la problématique - 4
Un phénomène lié: les logiciels libres Pourquoi? La place de ces logiciels par rapport aux systèmes commerciaux De la fiabilité De la sécurité Qui paye? Quelle limite? Système? Outils? Applications?

6 A quoi pensent les « Hackers »?
Access to computers should be unlimited and total. Always yield to the Hands-On Imperative All information should be free. Mistrust authority--promote decentralization. Hackers should be judged by their hacking. You can create art and beauty on a computer. Computers can change your life for the better.

7 Les hommes - 1 Profils généralistes Formation
ingénieurs réseaux / système … bureautique multi-tâches manque de temps pour la veille technologique préoccupations diverses âge: ans Formation pas de cursus universitaires pas de formations continues principalement une culture médiatique

8 Les hommes - 2 Pas vital pour le fonctionnement du SI
passe après les projets système / réseau décidé au dernier moment avec le reste du budget (=rien?) Pas valorisant pour le décisionnaire on ne sait que si çà ne marche pas suivi lourd en ressources humaines La démarche « qualité » pourra aider

9 Une culture médiatique - 1
Inadaptée et obsolète « pire » que dans les domaines classiques effraie sans donner de solutions Orientée par les éditeurs de solutions fabricants de firewalls éditeurs de logiciels de détection Mauvaise classification des risques orientés vers les actes visibles (virus etc.) pas ou peu de sensibilisation aux réels risques et conséquences d ’intrusion

10 Une culture médiatique - 2
Pas d ’implication dans le domaine niveau technique insuffisant confiance accordée aux éditeurs pas de « culture » on-line Les « projets » de sécurité arrivent après les projets techniques « Il faut faire fonctionner » « On sécurise après » SECURITE = REPARATION

11 Principaux types de projets - 1
Migration d ’architectures du monde fermé au monde ouvert notion de danger double: technique et sécurité par où commencer? Le plus simple=la technique Connexion INTERNET protection du réseau interne problématique « classique » spécification et déploiement rapides protection de services publics nombreux éléments à prendre en compte (services, plates-formes, accès etc.)

12 Principaux types de projets - 2
Connexion EXTRANET sectorisation du réseau interne problématique propre à chaque entreprise complexe, souvent politique protection des accès distants intégration de technologies de chiffrement et d ’authentification techniquement complexe à intégrer dans l ’existant évaluation des solutions proposées par les opérateurs

13 Principaux types de projets - 3
Audits internes validation de la sécurité « locale » externe validation de l ’architecture d ’interconnexion à internet validation de la sécurisation des accès distants analyse économique des résultats impact sur les choix techniques après coup!

14 Quelques exemples d ’attaques simples ...
Sécurité Quelques exemples d ’attaques simples ...

15 Une attaque directe UNIX
Un utilisateur quelconque se connecte sur Internet Il récupère le code d ’un « exploit » Il le compile et l ’exécute Il est root

16 Une attaque directe NT Un utilisateur quelconque se connecte sur Internet Il récupère le programme « sechole.exe » Il l ’exécute Son compte est ajouté au groupe Administrators

17 Attaque des mots de passe
Sous NT la liste des mots de passe cryptés s ’obtient : par une attaque sur la base de registres « pwdump » en sniffant le réseau via le fichier de réparation « %systemroot%\repair\sam._ » Après le passage d ’un dictionnaire de mots… Temps Réel : < 30s Après une attaque bête et néanmoins brutale sur l ’alphabet... 14 heures plus Tard

18 Découverte de topologie

19 Trace de protocole (1) 08 00 20 0a ac 96 08 00 20 0a 70 66 08 00 4f 00
00 7c cb c ff 01 b9 7f 84 e3 3d 05 c0 21 9f a2 56 2f 00 c b a 0b 0c 0d 0e 0f a 1b 1c 1d 1e 1f a 2b 2c 2d 2e 2f

20 Attaque de datagrammes
La structure des données est connue La structure des applications est connue et standard Une machine simple peut: Ecouter Analyser Créer

21 Le « SPAM » Envoi d ’information inutile et volumineuse SPAM = argot
Application visée:

22 Une attaque de TCP Pendant la phase d ’établissement de connexion
Interception Déguisement Quelle connexion est active?

23 Le déguisement Modification des adresses Intervention dans un dialogue
Attaque des routages

24 FTP et la sécurité Problème protocolaire Problème d ’utilisation

25 Mots de passe Transport dans le réseau Sensible à l ’écoute
Besoin d ’authentification

26 La place des architectures de réseaux
Sécurité La place des architectures de réseaux

27 La sécurité dans les réseaux
D'où viennent les problèmes? Distribution des informations et des machines. Réseaux mondiaux: Nombre d ’utilisateurs élevé, utilisateurs inconnus. Réseaux locaux: 80% des « attaques » Commerce et paiement: Le paradoxe du nombre et de la confiance! Les techniques Cryptographie principalement L ’information se protège et se transmet facilement, pour la confiance, les choses sont plus délicates Les limites réglementaires et/ou techniques Besoin de contrôle des autorités. Problèmes douaniers / Lieu et méthode de taxation. Comment exercer réellement un contrôle?

28 La sécurité dans les réseaux
Plusieurs niveaux doivent être considérés: Le contrôle d ’accès: qui travaille sur ma machine? Le contrôle des données: mes informations sont-elles secrètes? Un point central: la confiance et comment la partager? Qui est vulnérable? Réseau local Il est très facile d ’accès pour ses utilisateurs. C ’est le point faible pour les informations. Le réseau longue distance Il concentre de nombreux utilisateurs. C ’est le point faible pour le contrôle d ’accès.

29 La sécurité: les méthodes
Une trilogie « vitale »: Audit Analyse des besoins, des risques Les outils techniques Cryptographie Contrôle Logiciels ou matériels de surveillance Une seule étape vous manque … et tout est dépeuplé!

30 La sécurité: contrôle d ’accès
Les éléments principaux à contrôler: Les machines, les applications, les utilisateurs, les données Les outils techniques: Analyse des informations: passerelles filtrantes pour un traitement au niveau des protocoles de communication. Gestion de mots de passe, de signatures, de certificats à un niveau logique plus élevé. Le contrôle par journalisation, par vraisemblance. La « traçabilité » des échanges

31 Attaque « système » Lecture du fichier des mots de passe
Modification /bin/login Utilisation des serveurs ftp Utilisation des scripts CGI Exploitation des bugs de logiciels (souvent messagerie)

32 Attaque logicielle Virus et vers Cheval de Troie
Virus arrive volontairement Ver arrive « seul » Cheval de Troie Installé « normalement » Activation à distance

33 Quelques éléments techniques
Introduction Quelques éléments techniques

34 Les menaces Passives Actives
Ecoute (sans modification des informations) Actives Ajout, brouillage, déguisement Répudiation, divulgation

35 La sécurité: firewalls
INTERNET Routeur Firewall Routeur Firewall

36 Signature électronique
PB PA B A Empreinte A PA Empreinte ? Nom Nom Date Date

37 Serveur de sécurité B A B A Serveur Demande de clé KS KA(KS) KB(KS)
KS(Message) Serveur KA(Message) XXXXX XXXXX KB(Message) B A XXXXX

38 Le répertoire comme serveur de sécurité
Besoin de nommage Gestion des adresses ISO - ex CCITT IETF X500 - ISO 9594 DNS Utilisateur DUA DSA DSA DSA DSA

39 LDAP Protocole d ’accès au répertoire X500 Utilisant TCP/IP
Simplifiant un peu les codages Faire bénéficier le monde IP des avantages de ce système par rapport au DNS

40 Sécurité - réglementation
Avant 1986 (décret loi du 14/4/1939) Décret du 18/2/1986 Loi du 29/12/90 - décret SCSSI Loi de Juillet 1996 Simple déclaration pour l'authentification et l'intégrité des messages Demanded'autorisation pour le reste SCSSI, 18 rue du Dr Zamenhof 92131 ISSY LES MOULINEAUX

41 Sécurité -Réglementation
Loi de Juillet 1996 Libéralisation de l’authentification Utilisation du cryptage possible Tiers de confiance (Key Escrow) Algorithmes possibles? Organisation de l’INTERNET Les décrets d’applications (fin 96?) Parus en février 1998

Télécharger ppt "Sécurité - Internet Introduction à la problématique"

Présentations similaires

Sécurité informatique

Sécurité informatique
[number 1-100].

[number 1-100].
Qualité du Premier Billot. 2 3 Défauts reliés à labattage.

Qualité du Premier Billot. 2 3 Défauts reliés à labattage.
1. Résumé 2 Présentation du créateur 3 Présentation du projet 4.

1. Résumé 2 Présentation du créateur 3 Présentation du projet 4.
Botnet, défense en profondeur

Botnet, défense en profondeur
Certification et échanges numériques : usage du certificat dans les applications de sécurité Pascal COLIN Directeur Général Matinée Standarmedia – 27.

Certification et échanges numériques : usage du certificat dans les applications de sécurité Pascal COLIN Directeur Général Matinée Standarmedia – 27.
Les numéros 30 60 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60.

Les numéros
La sécurité en toute simplicité Solution daccès logique By ADDEXA.

La sécurité en toute simplicité Solution daccès logique By ADDEXA.
DUDIN Aymeric MARINO Andrès

DUDIN Aymeric MARINO Andrès
Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000

Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000
Conception de la sécurité pour un réseau Microsoft

Conception de la sécurité pour un réseau Microsoft
Formation au portail SIMBAD

Formation au portail SIMBAD
Vue d'ensemble Implémentation de la sécurité IPSec

Vue d'ensemble Implémentation de la sécurité IPSec
Architecture de réseaux

Architecture de réseaux
Initiation et perfectionnement à lutilisation de la micro-informatique Publier des films sur DailyMotion (sur Mac et sur PC) ©Yves Roger Cornil www.communautes-numeriques.net.

Initiation et perfectionnement à lutilisation de la micro-informatique Publier des films sur DailyMotion (sur Mac et sur PC) ©Yves Roger Cornil
Réseaux Privés Virtuels

Réseaux Privés Virtuels
La politique de Sécurité

La politique de Sécurité
FLSI602 Génie Informatique et Réseaux

FLSI602 Génie Informatique et Réseaux
User management pour les entreprises et les organisations Auteur / section: Gestion des accès.

User management pour les entreprises et les organisations Auteur / section: Gestion des accès.
MARDI 19 NOVEMBRE 2013 NEVERS COMMUNIQUER AVEC UN PETIT BUDGET 1.

MARDI 19 NOVEMBRE 2013 NEVERS COMMUNIQUER AVEC UN PETIT BUDGET 1.

Présentations similaires

Annonces Google