La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

-1- Sécurité - Internet Introduction à la problématique Eric Horlait Université Pierre et Marie Curie Laboratoire LIP6 4, place Jussieu 75252 Paris Cedex.

Présentations similaires


Présentation au sujet: "-1- Sécurité - Internet Introduction à la problématique Eric Horlait Université Pierre et Marie Curie Laboratoire LIP6 4, place Jussieu 75252 Paris Cedex."— Transcription de la présentation:

1 -1- Sécurité - Internet Introduction à la problématique Eric Horlait Université Pierre et Marie Curie Laboratoire LIP6 4, place Jussieu Paris Cedex 05

2 -2- Sécurité: la problématique - 1 ä Connaissance des risques ä Connaître les architectures ä Des machines ä Des Systèmes d exploitation ä Des Applications ä Des réseaux ä Connaître les Méthodes d Intrusion pour : ä Caractériser les Comportements Douteux ä Détecter les Tentatives d Intrusion

3 -3- Sécurité: la problématique - 2 ä Connaissance des acteurs ä Connaître les Hackers pour : ä Comprendre leurs Motivations ä Estimer les Risques ä Se Protéger Efficacement ä Connaître lEntreprise pour : ä S Intégrer aux Équipes ä Comprendre la Stratégie ä Gérer les Aspects Politiques

4 -4- Sécurité: la problématique - 3 ä Connaissance des parades ä Connaître les Outils pour : ä Mettre en Place des Solutions Appropriées ä Bâtir des Plates-Formes de Sécurisation Fiables et Exploitables

5 -5- Sécurité: la problématique - 4 ä Un phénomène lié: les logiciels libres ä Pourquoi? ä La place de ces logiciels par rapport aux systèmes commerciaux ä De la fiabilité ä De la sécurité ä Qui paye? ä Quelle limite? ä Système? Outils? Applications?

6 -6- A quoi pensent les « Hackers »? ä Access to computers should be unlimited and total. ä Always yield to the Hands-On Imperative ä All information should be free. ä Mistrust authority--promote decentralization. ä Hackers should be judged by their hacking. ä You can create art and beauty on a computer. ä Computers can change your life for the better.

7 -7- Les hommes - 1 ä Profils généralistes ä ingénieurs réseaux / système … bureautique ä multi-tâches ä manque de temps pour la veille technologique ä préoccupations diverses ä âge: ans ä Formation ä pas de cursus universitaires ä pas de formations continues ä principalement une culture médiatique

8 -8- Les hommes - 2 ä Pas vital pour le fonctionnement du SI ä passe après les projets système / réseau ä décidé au dernier moment avec le reste du budget (=rien?) ä Pas valorisant pour le décisionnaire ä on ne sait que si çà ne marche pas ä suivi lourd en ressources humaines ä La démarche « qualité » pourra aider

9 -9- Une culture médiatique - 1 ä Inadaptée et obsolète ä « pire » que dans les domaines classiques ä effraie sans donner de solutions ä Orientée par les éditeurs de solutions ä fabricants de firewalls ä éditeurs de logiciels de détection ä Mauvaise classification des risques ä orientés vers les actes visibles (virus etc.) ä pas ou peu de sensibilisation aux réels risques et conséquences d intrusion

10 -10- Une culture médiatique - 2 ä Pas d implication dans le domaine ä niveau technique insuffisant ä confiance accordée aux éditeurs ä pas de « culture » on-line ä Les « projets » de sécurité arrivent après les projets techniques ä « Il faut faire fonctionner » ä « On sécurise après » ä SECURITE = REPARATION

11 -11- Principaux types de projets - 1 ä Migration d architectures ä du monde fermé au monde ouvert ä notion de danger double: technique et sécurité ä par où commencer? Le plus simple=la technique ä Connexion INTERNET ä protection du réseau interne ä problématique « classique » ä spécification et déploiement rapides ä protection de services publics ä nombreux éléments à prendre en compte (services, plates-formes, accès etc.)

12 -12- Principaux types de projets - 2 ä Connexion EXTRANET ä sectorisation du réseau interne ä problématique propre à chaque entreprise ä complexe, souvent politique ä protection des accès distants ä intégration de technologies de chiffrement et d authentification ä techniquement complexe à intégrer dans l existant ä évaluation des solutions proposées par les opérateurs

13 -13- Principaux types de projets - 3 ä Audits ä internes ä validation de la sécurité « locale » ä externe ä validation de l architecture d interconnexion à internet ä validation de la sécurisation des accès distants ä analyse économique des résultats ä impact sur les choix techniques après coup!

14 -14- Sécurité Quelques exemples d attaques simples...

15 -15- Un utilisateur quelconque se connecte sur Internet Il récupère le code d un « exploit » Il le compile et l exécute Il est root Une attaque directe UNIX

16 -16- Un utilisateur quelconque se connecte sur Internet Il récupère le programme « sechole.exe » Il l exécute Son compte est ajouté au groupe Administrators Une attaque directe NT

17 -17- Sous NT la liste des mots de passe cryptés s obtient : par une attaque sur la base de registres « pwdump » en sniffant le réseau via le fichier de réparation « %systemroot%\repair\sam._ » Après le passage d un dictionnaire de mots… Temps Réel : < 30s Après une attaque bête et néanmoins brutale sur l alphabet heures plus Tard Attaque des mots de passe

18 -18- Découverte de topologie

19 -19- Trace de protocole (1) a ac a f c cb c ff 01 b9 7f 84 e3 3d 05 c0 21 9f a2 56 2f c b a 0b 0c 0d 0e 0f a 1b 1c 1d 1e 1f a 2b 2c 2d 2e 2f

20 -20- Attaque de datagrammes ä La structure des données est connue ä La structure des applications est connue et standard ä Une machine simple peut: ä Ecouter ä Analyser ä Créer

21 -21- Le « SPAM » ä Envoi d information inutile et volumineuse ä SPAM = argot ä Application visée:

22 -22- Une attaque de TCP ä Pendant la phase d établissement de connexion ä Interception ä Déguisement ä Quelle connexion est active?

23 -23- Le déguisement ä Modification des adresses ä Intervention dans un dialogue ä Attaque des routages

24 -24- FTP et la sécurité ä Problème protocolaire ä Problème d utilisation

25 -25- Mots de passe ä Transport dans le réseau ä Sensible à l écoute ä Besoin d authentification

26 -26- Sécurité La place des architectures de réseaux

27 -27- La sécurité dans les réseaux ä D'où viennent les problèmes? ä Distribution des informations et des machines. ä Réseaux mondiaux: Nombre d utilisateurs élevé, utilisateurs inconnus. ä Réseaux locaux: 80% des « attaques » ä Commerce et paiement: Le paradoxe du nombre et de la confiance! ä Les techniques ä Cryptographie principalement ä L information se protège et se transmet facilement, pour la confiance, les choses sont plus délicates ä Les limites réglementaires et/ou techniques ä Besoin de contrôle des autorités. ä Problèmes douaniers / Lieu et méthode de taxation. ä Comment exercer réellement un contrôle?

28 -28- La sécurité dans les réseaux ä Plusieurs niveaux doivent être considérés: ä Le contrôle d accès: qui travaille sur ma machine? ä Le contrôle des données: mes informations sont-elles secrètes? ä Un point central: la confiance et comment la partager? ä Qui est vulnérable? ä Réseau local ä Il est très facile d accès pour ses utilisateurs. C est le point faible pour les informations. ä Le réseau longue distance ä Il concentre de nombreux utilisateurs. C est le point faible pour le contrôle d accès.

29 -29- La sécurité: les méthodes ä Une trilogie « vitale »: ä Audit ä Analyse des besoins, des risques ä Les outils techniques ä Cryptographie ä Contrôle ä Logiciels ou matériels de surveillance ä Une seule étape vous manque … et tout est dépeuplé!

30 -30- La sécurité: contrôle d accès ä Les éléments principaux à contrôler: ä Les machines, les applications, les utilisateurs, les données ä Les outils techniques: ä Analyse des informations: passerelles filtrantes pour un traitement au niveau des protocoles de communication. ä Gestion de mots de passe, de signatures, de certificats à un niveau logique plus élevé. ä Le contrôle par journalisation, par vraisemblance. La « traçabilité » des échanges

31 -31- Attaque « système » ä Lecture du fichier des mots de passe ä Modification /bin/login ä Utilisation des serveurs ftp ä Utilisation des scripts CGI ä Exploitation des bugs de logiciels (souvent messagerie)

32 -32- Attaque logicielle ä Virus et vers ä Virus arrive volontairement ä Ver arrive « seul » ä Cheval de Troie ä Installé « normalement » ä Activation à distance

33 -33- Introduction Quelques éléments techniques

34 Les menaces ä Passives ä Ecoute (sans modification des informations) ä Actives ä Ajout, brouillage, déguisement ä Répudiation, divulgation

35 -35- La sécurité: firewalls Routeur Firewall Routeur Firewall INTERNET

36 -36- Signature électronique A PAPA B PBPB Empreinte A Nom Date ? Empreinte Nom Date PAPA

37 -37- Serveur de sécurité A B Serveur Demande de clé K S K A (K S ) K B (K S ) K B (K S ) K S (Message) A B Serveur K A (Message) XXXXX K B (Message)

38 Le répertoire comme serveur de sécurité ä Besoin de nommage ä Gestion des adresses ä ISO - ex CCITT ä IETF ä X500 - ISO 9594 ä DNS Utilisateur DUA DSA

39 -39- LDAP ä Protocole d accès au répertoire X500 ä Utilisant TCP/IP ä Simplifiant un peu les codages ä Faire bénéficier le monde IP des avantages de ce système par rapport au DNS

40 Sécurité - réglementation ä Avant 1986 (décret loi du 14/4/1939) ä Décret du 18/2/1986 ä Loi du 29/12/90 - décret ä SCSSI ä Loi de Juillet 1996 ä Simple déclaration pour l'authentification et l'intégrité des messages ä Demanded'autorisation pour le reste ä SCSSI, 18 rue du Dr Zamenhof ä ISSY LES MOULINEAUX

41 Sécurité -Réglementation ä Loi de Juillet 1996 ä Libéralisation de lauthentification ä Utilisation du cryptage possible ä Tiers de confiance (Key Escrow) ä Algorithmes possibles? ä Organisation de lINTERNET ä Les décrets dapplications (fin 96?) ä Parus en février 1998


Télécharger ppt "-1- Sécurité - Internet Introduction à la problématique Eric Horlait Université Pierre et Marie Curie Laboratoire LIP6 4, place Jussieu 75252 Paris Cedex."

Présentations similaires


Annonces Google