La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

-1- Sécurité - Internet Introduction à la problématique Eric Horlait Université Pierre et Marie Curie Laboratoire LIP6 4, place Jussieu 75252 Paris Cedex.

Présentations similaires


Présentation au sujet: "-1- Sécurité - Internet Introduction à la problématique Eric Horlait Université Pierre et Marie Curie Laboratoire LIP6 4, place Jussieu 75252 Paris Cedex."— Transcription de la présentation:

1 -1- Sécurité - Internet Introduction à la problématique Eric Horlait Université Pierre et Marie Curie Laboratoire LIP6 4, place Jussieu 75252 Paris Cedex 05 http://www.lip6.fr/rp/~eh Eric.Horlait@lip6.fr

2 -2- Sécurité: la problématique - 1 ä Connaissance des risques ä Connaître les architectures ä Des machines ä Des Systèmes d exploitation ä Des Applications ä Des réseaux ä Connaître les Méthodes d Intrusion pour : ä Caractériser les Comportements Douteux ä Détecter les Tentatives d Intrusion

3 -3- Sécurité: la problématique - 2 ä Connaissance des acteurs ä Connaître les Hackers pour : ä Comprendre leurs Motivations ä Estimer les Risques ä Se Protéger Efficacement ä Connaître lEntreprise pour : ä S Intégrer aux Équipes ä Comprendre la Stratégie ä Gérer les Aspects Politiques

4 -4- Sécurité: la problématique - 3 ä Connaissance des parades ä Connaître les Outils pour : ä Mettre en Place des Solutions Appropriées ä Bâtir des Plates-Formes de Sécurisation Fiables et Exploitables

5 -5- Sécurité: la problématique - 4 ä Un phénomène lié: les logiciels libres ä Pourquoi? ä La place de ces logiciels par rapport aux systèmes commerciaux ä De la fiabilité ä De la sécurité ä Qui paye? ä Quelle limite? ä Système? Outils? Applications?

6 -6- A quoi pensent les « Hackers »? ä Access to computers should be unlimited and total. ä Always yield to the Hands-On Imperative ä All information should be free. ä Mistrust authority--promote decentralization. ä Hackers should be judged by their hacking. ä You can create art and beauty on a computer. ä Computers can change your life for the better.

7 -7- Les hommes - 1 ä Profils généralistes ä ingénieurs réseaux / système … bureautique ä multi-tâches ä manque de temps pour la veille technologique ä préoccupations diverses ä âge: 35-40 ans ä Formation ä pas de cursus universitaires ä pas de formations continues ä principalement une culture médiatique

8 -8- Les hommes - 2 ä Pas vital pour le fonctionnement du SI ä passe après les projets système / réseau ä décidé au dernier moment avec le reste du budget (=rien?) ä Pas valorisant pour le décisionnaire ä on ne sait que si çà ne marche pas ä suivi lourd en ressources humaines ä La démarche « qualité » pourra aider

9 -9- Une culture médiatique - 1 ä Inadaptée et obsolète ä « pire » que dans les domaines classiques ä effraie sans donner de solutions ä Orientée par les éditeurs de solutions ä fabricants de firewalls ä éditeurs de logiciels de détection ä Mauvaise classification des risques ä orientés vers les actes visibles (virus etc.) ä pas ou peu de sensibilisation aux réels risques et conséquences d intrusion

10 -10- Une culture médiatique - 2 ä Pas d implication dans le domaine ä niveau technique insuffisant ä confiance accordée aux éditeurs ä pas de « culture » on-line ä Les « projets » de sécurité arrivent après les projets techniques ä « Il faut faire fonctionner » ä « On sécurise après » ä SECURITE = REPARATION

11 -11- Principaux types de projets - 1 ä Migration d architectures ä du monde fermé au monde ouvert ä notion de danger double: technique et sécurité ä par où commencer? Le plus simple=la technique ä Connexion INTERNET ä protection du réseau interne ä problématique « classique » ä spécification et déploiement rapides ä protection de services publics ä nombreux éléments à prendre en compte (services, plates-formes, accès etc.)

12 -12- Principaux types de projets - 2 ä Connexion EXTRANET ä sectorisation du réseau interne ä problématique propre à chaque entreprise ä complexe, souvent politique ä protection des accès distants ä intégration de technologies de chiffrement et d authentification ä techniquement complexe à intégrer dans l existant ä évaluation des solutions proposées par les opérateurs

13 -13- Principaux types de projets - 3 ä Audits ä internes ä validation de la sécurité « locale » ä externe ä validation de l architecture d interconnexion à internet ä validation de la sécurisation des accès distants ä analyse économique des résultats ä impact sur les choix techniques après coup!

14 -14- Sécurité Quelques exemples d attaques simples...

15 -15- Un utilisateur quelconque se connecte sur Internet Il récupère le code d un « exploit » Il le compile et l exécute Il est root Une attaque directe UNIX

16 -16- Un utilisateur quelconque se connecte sur Internet Il récupère le programme « sechole.exe » Il l exécute Son compte est ajouté au groupe Administrators Une attaque directe NT

17 -17- Sous NT la liste des mots de passe cryptés s obtient : par une attaque sur la base de registres « pwdump » en sniffant le réseau via le fichier de réparation « %systemroot%\repair\sam._ » Après le passage d un dictionnaire de 870 000 mots… Temps Réel : < 30s Après une attaque bête et néanmoins brutale sur l alphabet... 14 heures plus Tard Attaque des mots de passe

18 -18- Découverte de topologie

19 -19- Trace de protocole (1) 08 00 20 0a ac 96 08 00 20 0a 70 66 08 00 4f 00 00 7c cb c9 00 00 ff 01 b9 7f 84 e3 3d 05 c0 21 9f 06 07 27 04 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 08 00 a2 56 2f 00 00 00 29 36 8c 41 00 03 86 2b 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 36 37

20 -20- Attaque de datagrammes ä La structure des données est connue ä La structure des applications est connue et standard ä Une machine simple peut: ä Ecouter ä Analyser ä Créer

21 -21- Le « SPAM » ä Envoi d information inutile et volumineuse ä SPAM = argot ä Application visée: e-mail

22 -22- Une attaque de TCP ä Pendant la phase d établissement de connexion ä Interception ä Déguisement ä Quelle connexion est active?

23 -23- Le déguisement ä Modification des adresses ä Intervention dans un dialogue ä Attaque des routages

24 -24- FTP et la sécurité ä Problème protocolaire ä Problème d utilisation

25 -25- Mots de passe ä Transport dans le réseau ä Sensible à l écoute ä Besoin d authentification

26 -26- Sécurité La place des architectures de réseaux

27 -27- La sécurité dans les réseaux ä D'où viennent les problèmes? ä Distribution des informations et des machines. ä Réseaux mondiaux: Nombre d utilisateurs élevé, utilisateurs inconnus. ä Réseaux locaux: 80% des « attaques » ä Commerce et paiement: Le paradoxe du nombre et de la confiance! ä Les techniques ä Cryptographie principalement ä L information se protège et se transmet facilement, pour la confiance, les choses sont plus délicates ä Les limites réglementaires et/ou techniques ä Besoin de contrôle des autorités. ä Problèmes douaniers / Lieu et méthode de taxation. ä Comment exercer réellement un contrôle?

28 -28- La sécurité dans les réseaux ä Plusieurs niveaux doivent être considérés: ä Le contrôle d accès: qui travaille sur ma machine? ä Le contrôle des données: mes informations sont-elles secrètes? ä Un point central: la confiance et comment la partager? ä Qui est vulnérable? ä Réseau local ä Il est très facile d accès pour ses utilisateurs. C est le point faible pour les informations. ä Le réseau longue distance ä Il concentre de nombreux utilisateurs. C est le point faible pour le contrôle d accès.

29 -29- La sécurité: les méthodes ä Une trilogie « vitale »: ä Audit ä Analyse des besoins, des risques ä Les outils techniques ä Cryptographie ä Contrôle ä Logiciels ou matériels de surveillance ä Une seule étape vous manque … et tout est dépeuplé!

30 -30- La sécurité: contrôle d accès ä Les éléments principaux à contrôler: ä Les machines, les applications, les utilisateurs, les données ä Les outils techniques: ä Analyse des informations: passerelles filtrantes pour un traitement au niveau des protocoles de communication. ä Gestion de mots de passe, de signatures, de certificats à un niveau logique plus élevé. ä Le contrôle par journalisation, par vraisemblance. La « traçabilité » des échanges

31 -31- Attaque « système » ä Lecture du fichier des mots de passe ä Modification /bin/login ä Utilisation des serveurs ftp ä Utilisation des scripts CGI ä Exploitation des bugs de logiciels (souvent messagerie)

32 -32- Attaque logicielle ä Virus et vers ä Virus arrive volontairement ä Ver arrive « seul » ä Cheval de Troie ä Installé « normalement » ä Activation à distance

33 -33- Introduction Quelques éléments techniques

34 Les menaces ä Passives ä Ecoute (sans modification des informations) ä Actives ä Ajout, brouillage, déguisement ä Répudiation, divulgation

35 -35- La sécurité: firewalls Routeur Firewall Routeur Firewall INTERNET

36 -36- Signature électronique A PAPA B PBPB Empreinte A Nom Date ? Empreinte Nom Date PAPA

37 -37- Serveur de sécurité A B Serveur Demande de clé K S K A (K S ) K B (K S ) K B (K S ) K S (Message) A B Serveur K A (Message) XXXXX K B (Message)

38 Le répertoire comme serveur de sécurité ä Besoin de nommage ä Gestion des adresses ä ISO - ex CCITT ä IETF ä X500 - ISO 9594 ä DNS Utilisateur DUA DSA

39 -39- LDAP ä Protocole d accès au répertoire X500 ä Utilisant TCP/IP ä Simplifiant un peu les codages ä Faire bénéficier le monde IP des avantages de ce système par rapport au DNS

40 Sécurité - réglementation ä Avant 1986 (décret loi du 14/4/1939) ä Décret 86-250 du 18/2/1986 ä Loi du 29/12/90 - décret 92-1358... ä SCSSI ä Loi de Juillet 1996 ä Simple déclaration pour l'authentification et l'intégrité des messages ä Demanded'autorisation pour le reste ä SCSSI, 18 rue du Dr Zamenhof ä 92131 ISSY LES MOULINEAUX

41 Sécurité -Réglementation ä Loi de Juillet 1996 ä Libéralisation de lauthentification ä Utilisation du cryptage possible ä Tiers de confiance (Key Escrow) ä Algorithmes possibles? ä Organisation de lINTERNET ä Les décrets dapplications (fin 96?) ä Parus en février 1998


Télécharger ppt "-1- Sécurité - Internet Introduction à la problématique Eric Horlait Université Pierre et Marie Curie Laboratoire LIP6 4, place Jussieu 75252 Paris Cedex."

Présentations similaires


Annonces Google