La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

1 "Sécurité? Hey, jai un FireWall!!" Concepts de défense en profondeur, analyse de la couche 8… Alexandre Amorison, Ir. Dr. Directeur du Centre Informatique.

Présentations similaires


Présentation au sujet: "1 "Sécurité? Hey, jai un FireWall!!" Concepts de défense en profondeur, analyse de la couche 8… Alexandre Amorison, Ir. Dr. Directeur du Centre Informatique."— Transcription de la présentation:

1

2 1 "Sécurité? Hey, jai un FireWall!!" Concepts de défense en profondeur, analyse de la couche 8… Alexandre Amorison, Ir. Dr. Directeur du Centre Informatique Faculté Polytechnique de Mons Académie Universitaire Wallonie-Bruxelles

3 2 Plan Introduction Concepts Expérience Couche 8 Conclusion Discussion…

4 3 Introduction

5 4 Sécurité, définition Cambridge Dictionary of English: "Ability to avoid being harmed by any risk, danger or threat" (Capacité à éviter d'être touché par toute forme de risque, de danger ou de menace) Larousse: "Situation dans laquelle quelqu'un, quelque chose nest exposé à aucun danger, à aucun risque dagression physique, daccident, de vol, de détérioration" Inaccessible! Autant de sécurité que nécessaire…

6 5 Sécurité, définition adaptée… Rafal's Definition: "Ability to avoid being harmed too much by reasonably predictable risks, dangers or threats" Capacité à éviter d'être trop touché par des risques, dangers ou menaces raisonnablement prévisibles

7 6 Pré-conclusion 1 Présomptueux de parler de sécurité, parlons de protection… Concepts –Modélisation et Gestion de risque –Défense en profondeur Partager une expérience –Perceptions personnelles –Environnement Microsoft… Nous pourrons en discuter Partager une perception et une vision personnelle, pas toujours académique et sans prétention d'exhaustivité. Quelques outils concrets

8 7 Pragmatisme Modélisation Equilibre entre usage et protection No perfect mousetrap, No silver bullet Défense en profondeur Règlements et procédures Concepts

9 8 Pragmatisme La sécurité étant inaccessible, il sagit de gestion de risque Sécurité Protection Investissement en sécurité = investissement pour quil narrive rien!! Peu convaincant

10 9 Modélisation Identification des menaces –STRIDE Identification des risques. –Connaître son infrastructure –Schéma en arbre des menaces, des cibles, des vulnérabilités Classification. –Risque = "criticité" * probabilité d'occurrence –DREAD Un réflexion personnelle: intégration du coût de la protection… Association de "petits" risques à solutions simples Elimination d'un risque à solution trop complexe / onéreuse (+?)

11 10 Modélisation, suite Evaluations financières, outil pour convaincre la direction… layer 8, nous allons y revenir… Processus cyclique Risk ModelLearn Control Track Analyze Plan Identify

12 11 Equilibre entre usages et protection Secure Usable Cheap

13 12 Equilibre… Bien choisir l'équilibre Information des utilisateurs Ex: Valeur du mot de passe… Ne pas encourager les mauvais comportements

14 13 Protection Protection: –en réponse à un risque Ex: mot de passe pc privé à domicile… –en fonction des coûts –en garantissant les usages

15 14 No perfect mousetrap!

16 15 No silver bullet! Loutil logiciel ou matériel qui règle tous les problèmes de sécurité nexiste pas… Dommage!! Plusieurs sites de défense: –Réseau / communications –Applications –Accès physique –Layer 8… attendons encore un peu Modèles en couches.

17 16 Défense en profondeur. Pensez aux Châteaux forts… People, policies, and process Physical security Perimeter Internal network Host Application Data

18 17 Règlements et procédures Règlement, stratégies Procédures de réaction Documentation, diagrammes (infrastructures, rôles, flux de données, …) No security by obscurity… La complexité est un ennemi

19 18 Pré-conclusion 2 La modélisation a un coût elle aussi, qui se justifie par la complexité de la structure à protéger La fin est dans les usages, non dans la sécurité Appliquer les règlements, les stratégies Nous passons à du concret?

20 19 Expérience Sécurité physique Données Applications Machines Périphérie / Serveurs Réseau Utilisateurs Divers

21 20 Sécurité physique Si quelqu'un a un accès physique à votre machine, ce n'est plus votre machine… La cryptographie peut aider Sécurité physique –Contrôleurs de domaine –Serveurs de backup –Backups –Serveurs Sécurité physique sur le réseau… une utopie aujourd'hui dans une majorité de cas.

22 21 Données Pérennité –Tolérance de panne –Backup Fausse manœuvre - clichés instantanés, plus une tâche administrative Disaster recovery - réplication –Archivage Confidentialité –Sécurité locale type AGLP / ACLS –Right Management –Cryptographie (EFS) –Signature et cryptage ( ) (+?)

23 22 Applications Buffer Overflow! (+?) –Validation –Compilateur –Data Execution Prevention Signature de code Assistants et IDE (réduction des erreurs) Stratégies de restrictions logicielles

24 23 Machines Virus - antivirus Spyware – antispyware (hosts file) Rootkits – format! Configuration Pare feu local Mises à jour Days between patch and exploit Sasser Blaster Welchia/ Nachi Nimda 25 SQL Slammer 17

25 24 Périphérie / Serveurs Configuration Réduction de la surface d'attaque, SCW Publication et filtrage applicatif SSL, SSL Termination Authentification à l'entrée

26 25 Réseau DMZ… GRRR!!! –2 pare-feux, peut-être différents… –Une zone moins protégée?? –Dédoublement de l'infrastructure (réseau, authentification, …). –Augmentation de la complexité… Isolation d'une partie de réseau, oui, DMZ… non! Pare-feu… GRRR!!! (encore) –J'ai un pare-feu!! TCP port 80 : SBP Security Bypassing Protocol TCP port 443: ESBP Encrypted version –Outil de performance, IP / Port filtering Filtrage applicatif (http, smtp, rpc, …) Peu de règles et filtrage sortant! Implique une sécurité physique sur l'accès au réseau!

27 26 Réseau: une balle en argent? IPSEC! –AH –ESP Affranchissement partiel de la sécurité physique sur le réseau! Isolation des machines sensibles voire de toutes les machines gérées! Natif sur IPV6

28 27 Utilisateurs Mot de passe / passphrase! –Longueur (>15 caractères) –Durée de vie maximale –Durée de vie minimale –Complexité / enthropie Blocage de comptes Protocole d'authentification –Stockage hash –Stockage réversible Least Privilege + dédoublement "identité" –User pour tâches user –Admin pour tâches admin (exclusivement!) Information / Formation

29 28 Divers PKI Outils dinventaire logiciel File screening Combinaison Stratégie de restriction logicielles + least privilege FileMon, RegMon, … Stratégies de groupe Audit échecs et succès! VPN / quarantaine… en connaissance de cause Sécurité sur le courrier électronique

30 29 Pré-conclusion 3. Des outils : –Passphrase, stratégie de mot de passe et de compte. –IPSEC –Pare-feu applicatif –Comptes dadministration séparés –Réduction surface d'attaque SCW –Mise à jour, antivirus, … –Configurer les utilisateurs… C'est là qu'est l'os…

31 30 Layer 8 Extension du modèle OSI Attaque sur la couche 8 Ingénierie sociale Comment? Exemples Version "virtuelle" Et alors?

32 31 Extension du modèle OSI Couche 8inf: Utilisateur Couche 8mid: Politique Couche 8sup: Religieuse 1. physical 2. link 3. network 4. transport 5. session 6. presentation 7. application 8. human

33 32 Attaque sur la couche 8 Mesures de protections efficaces sur les réseaux, les systèmes, les applications La vulnérabilité se déplace vers le clavier… Mauvaise perception de risque: –Sur-estime ce qui n'est pas maitrisé, ce qui est sensationnel et rendu tel dans les médias –Sous-estime ce qui est banal Ingénierie sociale

34 33 Ingénierie sociale Persuader quelqu'un de faire quelque chose –Manière "douce"… –Pas trop à l'écart de son comportement normal –James Bond le fait tout le temps!... Ma fille de 3 ans aussi… Contourne les mesures de protection Exploite la volonté de bien faire son travail et d'aider les autres Génère un compromis: demande plausible, génératrice d'ennuis si elle n'est pas satisfaite, …

35 34 Comment? Transfert de responsabilité –"Je vais m'en occuper pour toi…" Bénéfice personnel –"Regarde comme ce serait mieux pour toi…" –"Je t'invite à diner?" Morale –"Tu ne trouve pas ça terrible, ce n'est pas normal, tu dois m'aider!" Culpabilité –"Quoi, tu ne veux pas m'aider?" Identification –" C'est exactement pareil pour moi, j'ai le même problème…" Désire d'aider –"S'il te plaiiiiiittttt" Coopération –"On est trop fort ensemble, quelle équipe, tu t'occupes de ça et je fais le reste!" …

36 35 Exemples Badge / uniformes Ouverture de porte contrôlée Transport de matériel Téléphone Helpdesk! Poubelles…

37 36 Version "virtuelle"

38 37 Et alors? Souvent plus simple de "pirater" une personne qu'un système Pas de paranoïa, mais une information… un peu de vigilance

39 38 Pré-conclusion 4 Les machines sont de mieux en mieux protégées…et les utilisateurs?

40 39 Conclusions Quand un truc ne vas plus, regarder si la stratégie de sécurité ne le bloque pas (pare-feu, ipsec, antivirus!) Intégration de la sécurité dans la gestion de projet, de développement ou de déploiement, avec une communication forte entre les disciplines (SOA, Role Based) Corriger la cause d'un problème plutôt que de lever la mesure de protection… La bonne solution n'est que très rarement la meilleure solution

41 40 Conclusions

42 41 Références Rafal Lukawiecki, Strategic Consultant Project Botticelli Ltd Jesper M. Johansson, Ph.D., Security Solutions Engineer Security Business & Technology Unit Microsoft Corporation. Steve Riley, Security Program Manager Microsoft Corporation. Mark Russinovich, Winternals Software

43 42 Questions? Réflexions annexes: –Le réchauffement de la planète et la taille de la banquise –Si Goliath pouvait gagner…

44 43 Ressources Modélisation STRIDE, Arborescence, DREAD Cryptographie, utilisation Buffer Overflow

45 44 Modélisation: STRIDE Spoofing (usurpation d'identité) Tampering (falsification de données) Repudiation Information disclosure (divulgation) Denial of Service Elevation of Privilege

46 45 Modélisation:Arborescence de menace Obtient le mot de passe dun utilisateur (I) (S) (E) 1.1 Recherche une connexion avec une authentification de base Utilise SSL/TLS 1.2 Compromet la banque de données des informations de connexion du serveur A besoin dun accès physique au serveur 1.3 Un logiciel malveillant lit le mot de passe local de lutilisateur Lutilisateur « installe » un virus lisant le mot de passe Installe du code malveillant sur lordinateur A besoin dun accès physique à la machine

47 46 Modélisation: DREAD Damage potential (Dommages potentiels) Reproductibility (Reproductibilité) Exploitability (Exploitabilité) Affected Users (Utilisateurs affectés) Discoverability (Découvrabilité) Risque : moyenne (Valeurs /10)

48 47 Symmetric Key Cryptography Encryption The quick brown fox jumps over the lazy dog AxCv;5bmEseTfid3) fGsmWe#4^,sdgfMwi % The quick brown fox jumps over the lazy dog Decryption Plain-text input Plain-text output Cipher-text Same key (shared secret)

49 48 Public Key Encryption Encryption The quick brown fox jumps over the lazy dog Py75c%bn&*)9|fDe^ mdFg$5knvMdrkveg Ms The quick brown fox jumps over the lazy dog Decryption Clear-text Input Clear-text Output Cipher-text Different keys Recipients public key Recipients private key privat e public

50 49 Hybrid Encryption (Real World) As above, repeated for other recipients or recovery agents Digital Envelope Other recipients or agents public key (in certificate) in recovery policy Launch key for nuclear missileRedHeatis... Symmetric key encrypted asymmetrically (e.g., RSA) Digital Envelope Users public key (in certificate) RNG Randomly- Generated symmetric session key Symmetric encryption (e.g. DES) *#$fjda^ju539!3t t389E 5e%32\^kd

51 50 *#$fjda^ju539!3t t389E 5e%32\^kd Launch key for nuclear missileRedHeatis... Launch key for nuclear missileRedHeatis... Symmetric decryption (e.g. DES) Digital Envelope Asymmetric decryption of session key (e.g. RSA) Symmetric session key Session key must be decrypted using the recipients private key Digital envelope contains session key encrypted using recipients public key Recipients private key Hybrid Decryption

52 51 Symmetric encryption DES, IDEA, RC2, RC5 DES (Data Encryption Standard) is the most popular –Keys very short: 56 bits –Brute-force attack took 3.5 hours on a machine costing US$1m in Today it probably is done real-time. –Triple DES (3 DES) not much more secure but may thwart NSA –Just say no, unless value of data is minimal IDEA (International Data Encryption Standard) –Similar to DES, but not from NSA –128 bit keys RC2 & RC5 (by R. Rivest) –RC2 is older and RC5 newer (1994) - similar to DES and IDEA

53 52 Standard replacement for DES for US government, and, probably for all of us as a result… –Winner of the AES (Advanced Encryption Standard) competition run by NIST (National Institute of Standards and Technology in US) in –Comes from Europe (Belgium) by Joan Daemen and Vincent Rijmen. X-files stories less likely (unlike DES). Symmetric block-cipher (128, 192 or 256 bits) with variable keys (128, 192 or 256 bits, too) Fast and a lot of good properties, such as good immunity from timing and power (electric) analysis Construction deceptively similar to DES (S-boxes, XORs etc.) but really different Symmetric encryption Rijndael

54 53 Symmetric encryption RC4 Symmetric –Fast, streaming encryption R. Rivest in 1994 –Originally secret, but published on sci.crypt Related to one-time pad, theoretically most secure But! It relies on a really good random number generator –And that is the problem

55 54 Asymmetric encryption RSA, DSA, ElGamal, ECC –Very slow and computationally expensive – need a computer –Very secure Rivest, Shamir, Adleman – 1978 –Popular and well researched –Strength in todays inefficiency to factorise into prime numbers –Some worries about key generation process in some implementations DSA (Digital Signature Algorithm) – NSA/NIST thing –Only for digital signing, not for encryption –Variant of Schnorr and ElGamal sig algorithm ElGamal –Relies on complexity of discrete logarithms ECC (Elliptic Curve Cryptography) –Really hard maths and topology –Better than RSA, in general and under a mass of research

56 55 Hash functions MD5, SHA Hash functions – not encryption at all! Goals: –Not reversible: cant obtain the message from its hash –Hash much shorter than original –Two messages wont have the same hash MD5 (R. Rivest) –512 bits hashed into 128 –Mathematical model still unknown –But it resisted major attacks SHA (Secure Hash Algorithm) –US standard based on MD5

57 56 What Does Cryptography Solve? Confidentiality –Your data/service provides no useful information to unauthorised people Integrity –If anyone tampers with your asset it will be immediately evident Authenticity –We can verify that asset is attributable to its authors or caretakers Non-repudiation –The author or owner or caretaker of asset cannot deny that they are associated with it Identity –We can verify who is the specific individual entity associated with your asset

58 57 Buffer Overflow BuffersOther vars EBP EIP Args void func(char *p, int i) { int j = 0; CFoo foo; int (*fp)(int) = &func; char b[128]; strcpy(b,p); } Function return address Exception handlers Function pointers Virtual methods All determine execution flow Bad things happen if *p points to data longer than b


Télécharger ppt "1 "Sécurité? Hey, jai un FireWall!!" Concepts de défense en profondeur, analyse de la couche 8… Alexandre Amorison, Ir. Dr. Directeur du Centre Informatique."

Présentations similaires


Annonces Google