La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Novembre – Décembre 2005 Version 1.01 1 État de l’art de la sécurité informatique Chapitre 1 – La sécurité des réseaux Auteurs : Stéphan GUIDARINI – Consultant.

Présentations similaires


Présentation au sujet: "Novembre – Décembre 2005 Version 1.01 1 État de l’art de la sécurité informatique Chapitre 1 – La sécurité des réseaux Auteurs : Stéphan GUIDARINI – Consultant."— Transcription de la présentation:

1 Novembre – Décembre 2005 Version État de l’art de la sécurité informatique Chapitre 1 – La sécurité des réseaux Auteurs : Stéphan GUIDARINI – Consultant Senior Sébastien DESSE – Expert Réseaux et Sécurité

2 Novembre – Décembre 2005 Version Programme

3 Novembre – Décembre 2005 Version Sommaire Sécurité des Réseaux  Généralités  Administration  Sécurité Niveau 1-3 (OSI)  Firewall  Relais applicatifs  Détection d’intrusions

4 Novembre – Décembre 2005 Version Généralités  Qu'est-ce que la sécurité d'un réseau ?  La sécurité d'un réseau est un niveau de garantie que l'ensemble des machines du réseau fonctionnent de façon optimale et que les utilisateurs des dites machines possèdent uniquement les droits qui leur ont été octroyé.  Il peut s’agir :  d'empêcher des personnes non autorisées d'agir sur le système de façon malveillante  d'empêcher les utilisateurs d'effectuer des opérations involontaires capables de nuire au système  de sécuriser les données en prévoyant les pannes  de garantir la non interruption d'un service

5 Novembre – Décembre 2005 Version Généralités  La sûreté de fonctionnement.  L ’objectif du concepteur est la prévision de la capacité de survie du système : la continuité de service  Il y a deux approches avec des objectifs et des moyens différents :  la disponibilité comprend la fiabilité (pannes) et la maintenabilité (réparation)  la crédibilité comprend l ’intégrité

6 Novembre – Décembre 2005 Version Généralités  La sûreté de fonctionnement (2)  Les solutions sont essentiellement matérielles :  une redondance de tout ou partie des matériels actifs  une redondance des liaisons télecoms des contrats de maintenance avec GTI et GTR  pour des serveurs type Firewall, Proxy…: technologie RAID, SAN, CLUSTER…  Backup/Restore : Operating System, configurations...

7 Novembre – Décembre 2005 Version Administration  L’accès aux équipements  Physique  Empêcher l’accès physique aux équipements  Bouton Marche/Arrêt  Port console  SNMP  Éviter le classique public / private  A désactiver si non utilisé  De préférence dans un VLAN d’administration  Faille de SNMP v2 publiée récemment  Attendre impatiemment la généralisation de SNMPv3

8 Novembre – Décembre 2005 Version Administration (2)  L’accès aux équipements  Telnet  Mot de passe à choisir judicieusement !!  Si possible utiliser des ACL pour filtrer les accès  De préférence dans un VLAN d’administration  Utiliser SSH  L’interface Web  A désactiver sur ce type d’équipement  Si nécessaire -> VLAN d’administration  Utiliser d’un protocole d’authentification tel que RADUIS ou Kerberos si disponible

9 Novembre – Décembre 2005 Version Administration (3)  Un certain nombre de services actifs par défaut peuvent / doivent être désactivés  C’est notamment le cas de l’IOS de Cisco qui est dérivé d’un Unix et qui a donc conservé un certain nombre de protocoles bien connus de ces environnement  Echo  Finger  Bootp  Et d’autres  DNS lookup  IP source-routing (routeurs ou commutateurs L3)  Directed-Broadcasts (routeurs ou commutateurs L3)  CDP (cisco, mais implémenté sur d’autres équipements)

10 Novembre – Décembre 2005 Version Sécurité Niveau 1->3 (OSI)

11 Novembre – Décembre 2005 Version Sécurité Niveau 1-2 (OSI)  Généralités  Niveau 1  Concentrateurs  Niveau 2  Commutateurs  Le cas du sans fil (WLAN)

12 Novembre – Décembre 2005 Version Généralités  L’identité est l’adresse MAC (IEEE)  Identifiant unique (48bits)  Peut être administrée localement  Elle identifie mais n’authentifie pas Adresse du Destinataire Adresse de l’expéditeur

13 Novembre – Décembre 2005 Version Généralités  Les protocoles rencontrés sont :  ARP – Address resolution protocol  CDP – Cisco Discovery protocol  STP – Spanning Tree Protocol 802.1d  VLAN – Virtual LAN 802.1q  VTP – VLAN Trunking Protocol (cisco)  Unicast Frames  Multicast Frames  Broadcast Frames

14 Novembre – Décembre 2005 Version Sécurité Niveau 1 Concentrateurs  Les concentrateurs (hub)  Diffusion des flux à tous  Il existe des mécanismes de bruitage  Il existe des mécanismes de filtrage (MAC)  l’adresse peut être usurpée  Induit une charge administrative importante  Disparaissent naturellement  Utiles pour les sondes de détection d’intrusions

15 Novembre – Décembre 2005 Version Sécurité Niveau 2 Commutateurs  Les commutateurs  But premier : Augmenter le nombre de domaines de broadcast en segmentant le réseau  Crée des réseaux locaux en faisant abstraction de l’organisation physique des équipements  Augmenter la sécurité des communications

16 Novembre – Décembre 2005 Version Sécurité Niveau 2 Commutateurs  Les commutateurs sont la cible d’attaques telles que :  ARP cache poisoning  ARP/DHCP spoofing  HSRP/VRRP spoofing  STP/VTP attacks  VLAN Jumping (ISL/DTP)

17 Novembre – Décembre 2005 Version Sécurité Niveau 2 Commutateurs  ARP cache poisoning

18 Novembre – Décembre 2005 Version Sécurité Niveau 2 Commutateurs  VLAN Jumping (ISL/DTP)  Problème des VLAN  Pas conçu pour faire de la sécurité mais permet de la renforcer  Les commutateurs multi-layer sont des points faibles des infrastructures réseaux (attention aux mauvaises configurations)  Attaques : VLAN « jumping » (injection de frame 802.1q) est possible si :  DTP (Dynamic Trunking Protocol) est activé  Et si le port est dans le même VLAN que le native VLAN (VLAN 1 par défaut)

19 Novembre – Décembre 2005 Version Sécurité Niveau 2 Commutateurs  Il existe des moyens de se protéger  Ne pas utiliser le VLAN 1 (VLAN par Défaut)  Filtrage des adresse MAC par port  Cisco « port security » par exemple  Activer le BPDU-Guard afin de filtrer le STP  Désactive un port si un BPDU est reçu via celui-ci  Limiter le taux de broadcast  A affiner en fonction du type d’équipement connecté sur le port  HSRP  Donner la plus élevée au routeur principal, la suivante au secondaire, etc…  Filtrer à l’aide d’ACL les flux HSRP entre équipement  Les commutateurs niveau 2/3/4/5/6/7/….  Concentrent en un seul point de nombreux problèmes de sécurité et sont donc à surveiller tout particulièrement

20 Novembre – Décembre 2005 Version Sécurité Niveau 2 Commutateurs  Il existe des moyens de se protéger (2)  Notion de Private VLAN  Le segment devient « Multi-Access Non Broadcast »  Des équipements d’un même VLAN ne peuvent pas communiquer directement entre eux  VTP (VLAN Trunking Protocol) - Cisco  Ne pas laisser la configurartion par default  Mode Server sans mot de passe  Affecter un domaine et un mot de passe  Server / Client / Transparent ?  DTP (Dynamic Trunking Protocol)  Les ports sont en mode auto par défaut  Choisir le mode Off pour tous les port non utilisés pour des interconnections de commutateurs

21 Novembre – Décembre 2005 Version Sécurité Niveau 2 Réseaux sans fil  Infrarouge, Bluetooth, 802.1b, …  Infrarouge peu utilisé pour le réseau  Bluetooth utilisé uniquement pour l’interconnexion de périphériques  (b)  Le réseau ne s’arrête pas à la porte de l’entreprise  Parking Visiteurs, rue…  Mettre en place un filtrage  Administration contraignante  Il est possible d’usurper

22 Novembre – Décembre 2005 Version Sécurité Niveau 2 Réseaux sans fil  (b) ou (g)  Les trames ne sont plus confinées dans un câble mais diffusées dans toute la pièce  Tout le monde peut écouter (comme un hub)  Mise en place de chiffrement  WEP -> souffre d’un manque de maturité  Facile à cracker (40 bits), 128 bits…  IPSec -> contraignant  Accès au réseau facilité  Faiblesse des mécanismes d’authentification  Vulnérable aux attaques du type Man in the Middle  Utilisation WPA s'appuie sur la famille 802.1x et le protocole EAP (Extensible Authentification Protocol)

23 Novembre – Décembre 2005 Version Sécurité Niveau 3 (OSI)  Généralités  Adressage privé  Sécurité & DHCP  ICMP  Les protocoles de routage  Filtrage IP

24 Novembre – Décembre 2005 Version Généralités  L’identité est l’adresse IP (pour Internet)  Identifiant de 32 bits  Aisément modifiable / usurpation facile  Identifie mais n’authentifie pas  N’intègre aucun mécanisme de sécurité  Les autres protocoles  Confinés au sein de l’entreprise  Moins d’outils de sécurisation à la disposition des administrateurs

25 Novembre – Décembre 2005 Version Généralités (2)  Les protocoles rencontrés sont :  IP – ICMP  RARP  HSRP / VRRP (redondance d’équipement)  RIP, RIPv2, IGRP, EIGRP, OSPF, BGP,…  Paquets Unicast  Paquets Multicast  Paquets Broadcast

26 Novembre – Décembre 2005 Version L’adressage privé  Recommandations IANA : RFC  Les numéros de réseaux suivants ne sont pas routés sur l’Internet  Isolation naturelle de son trafic privé par rapport au trafic Internet  Nécessite la présence d’un translateur d’adresses :  Network Address Translator  Le NAT ne se substitue pas au Firewall et/ou Proxy Serveur

27 Novembre – Décembre 2005 Version La translation d’adresse  Il s’agit d’un complément de service plus qu’un service de sécurité proprement dit  Localisation du translateur  Sur le firewall  Types de translations  privées vers publique  privée vers publique

28 Novembre – Décembre 2005 Version Sécurité & DHCP  Le DHCP  Peut être l’allié ou l’ennemi de la sécurité  Crée des problèmes de sécurité si les adresses sont attribuées au hasard  Sur le réseau l’identité est  Dans le monde réel l’identification se fait par rapport à la personne ou au poste utilisé  Le DHCP dans sa configuration la plus basique empêche personne/poste  Il existe des mécanismes palliatifs  Informations obtenues auprès du PDC (Domaine NT)  RFC 931/1413 (Identd)  Attribuer en fonction de MAC est une solution permettant d’augmenter la sécurité

29 Novembre – Décembre 2005 Version ICMP  Il n’est pas obligatoire d’interdire tous les messages ICMP  ICMP est utile, laisser passer :  source-quench, packet-too-big, don’t fragment  time-exceeded, echo request et echo reply dans certains cas  Eviter de laisser passer :  redirect, unreachable, parameter-problem,…

30 Novembre – Décembre 2005 Version Sécurité des routeurs  Les routeurs assurent les services essentiels au bon fonctionnement des infrastructures de communication  La compromission d’un routeur amène un certain nombre de problèmes favorisants la compromission des SI  La compromission des tables de routage peut amener à la dégradation des performances, des dénis de service et l’exposition des données sensibles  La compromission des moyens de contrôle d’accès d’un routeur peut amener à la divulgation d’informations sensibles et la facilitation d’attaques et dénis de services  En général un routeur bien configuré permet d’améliorer grandement le niveau de sécurité global du système d’information

31 Novembre – Décembre 2005 Version Principes et buts  Protection du routeur lui-même  protection physique  Le système d’exploitation  La sécurisation de la configuration  Administration du routeur  Les accès administrateur au routeur sont un problème essentiel  Réseau/Interfaces d’administration  Limitation des accès par un filtrage ou un protocole approprié  Mots de passe valables  Connexion sécurisée à l’équipement (IPSec/SSH)  Les mises à jour  Validité des images logicielles (source, corruption, bugs, …)  Journalisation  L’enregistrement systématique de l’activité de l’équipement via les protocoles de supervision (SNMP, Syslog, …) permet de disposer en temps de crise, des informations essentielles à l’identification et la résolution des problèmes

32 Novembre – Décembre 2005 Version Politique de sécurité du routeur  La sécurité du routeur doit être le reflet de la politique de sécurité globale du SI  Vision en couche de la sécurité du routeur

33 Novembre – Décembre 2005 Version Protocoles de routage  En général  Utiliser « passive-interface » pour toutes les interfaces ne devant pas participer au processus de routage  Journaliser les mises à jour  RIP : pas de mécanisme de sécurité, à éviter…  RIPv2 : prévoit l’authentification  IGRP : pas de mécanisme de sécurité  EIGRP : prévoit l’authentification des échanges  OSPF  Prévoit l’authentification des échanges (password MD5)  N’utiliser que des mises à jour Unicast (Pas de Broadcasts)  Il est possible de filtrer les MAJ reçues  BGP  Prévoit l’authentification des échanges  Ne pas utiliser le même mot de passe pour tous les routeurs  Si possible utiliser IPSEC

34 Novembre – Décembre 2005 Version Routeur filtrant  Le rôle principal du routeur filtre de paquets est de permettre ou d’empêcher le passage des paquets de données reçus  Le routeur examine tous les datagrammes par rapport à des règles de filtrage, basées sur le contenu informationnel de l’entête du datagramme  Le filtrage s’effectue aux niveaux 2,3,4 du modèle OSI  Méthode d’intrusion typiques contournant le filtrage de paquets : la fragmentation de paquet  Cette technique consiste à utiliser la propriété de fragmentation de IP afin de créer de tout petits fragments et de forcer l’en-tête TCP à être fragmentée elle aussi, l’espoir étant que seul le premier fragment sera analysé par le routeur, laissant alors passer tout le reste.

35 Novembre – Décembre 2005 Version Routeur filtrant (2)  Les avantages :  Les solutions de sécurité sont encore majoritairement basées sur l’emploi unique de routeurs filtrants. Cela s’explique pour plusieurs raisons :  le coût généralement faible d’un routeur filtrant  les performances sont généralement bonnes  la transparence aux utilisateurs et aux applications  fiable car les contrôles sont simples et peu sujets à erreurs d’implémentation

36 Novembre – Décembre 2005 Version Routeur filtrant (3)  Les limites :  Les limites des routeurs filtrants sont mis en évidence par le besoin de contrôle du contenu informationnel des échanges :  Les performances du routeur diminuent avec le nombre de règles à appliquer  le routeur filtrant ne peut pas comprendre le contexte du service qu’il rend : il ne peut pas, par exemple bloquer l’entrée de mails ou de newsgroup concernant certains sujets  ne traite que des informations du type en-tête de trame  pas ou peu de statistiques sur l’usage des filtres  la protection du réseau connnecté à l’Internet est minimale

37 Novembre – Décembre 2005 Version Firewall

38 Novembre – Décembre 2005 Version Firewall – Plan  Définition  Différents types de Firewall  Ce que peut faire un Firewall  Principe / Architecture  Où placer un Firewall  Choisir son Firewall

39 Novembre – Décembre 2005 Version Définition  Un Firewall est un dispositif informatique qui permet le passage sélectif des flux d’information entre deux réseaux et qui neutralise les tentatives d’accès qui sont en désaccord avec la politique de sécurité en vigueur

40 Novembre – Décembre 2005 Version Les différents types de Firewall  Les boîtiers dédiés  Type « appliance »  Les routeurs  Simples listes de filtrage ou vrai Firewall  Les logiciels  OS ou logiciels dédiés  Les bastions (Serveurs mandataires)  Proxy

41 Novembre – Décembre 2005 Version Ce que peut faire un Firewall  Permet de concentrer la sécurité en un seul point et donc d’appliquer facilement la politique de sécurité sur une surface importante du réseau  Permet de surveiller les flux le traversant  Permet de mettre en place des DMZ  L’endroit idéal pour déployer du NAT  Permet de dissimuler le réseau protégé  L’endroit idéal pour la mise en place de VNP

42 Novembre – Décembre 2005 Version Ce que ne peut pas faire un Firewall  Ne protége pas des attaques qui ne le traverse pas !!!  Ne protége pas un segment de réseau contre les utilisateurs qui y sont connectés  Ne protége pas contre les attaques utilisant des protocoles autorisés  Ne protége pas contre les chevaux de Troie  Ne protége pas contre les virus  Ne peut pas se configurer tout seul !

43 Novembre – Décembre 2005 Version Critères de filtrage (1)  Action  Autoriser / Interdire / Jeter / Rediriger / Authentifier / …  Protocoles  TOS, …  ICMP  Type de message  TCP  Ports source, Port destination, Flags (SYN, ACK, FIN,…)  Les ports déterminent souvent le service associé  UDP  Port source, Port destination, …  Les ports déterminent souvent le service associé  Autres protocoles  ESP, AH, OSPF, …

44 Novembre – Décembre 2005 Version Critères de filtrage (2)  Les horaires  L’utilisateur  Les données contenues dans le datagramme  La charge du réseau  Plus généralement à partir de toute information que l’on est capable d’extraire d’un datagramme ou de l’environnement  Tous les Firewall ne proposent pas autant de fonctionnalités

45 Novembre – Décembre 2005 Version Stateful inspection  Le filtrage ne se fait plus uniquement par datagramme (packet filtering) mais avec une logique de session  Introduction d’une table des connexions  Introduction de modules spécifiques à chaque protocole, capables de tracer leur exécution et de s’assurer de leur bon déroulement  Numéros de séquence TCP, ouvertures de ports, phases de négociation, …  ex : ftp, http, h323, sip, rpc, rsh, telnet, …  Possibilité d’ouvrir dynamiquement un port  ex : ftp actif

46 Novembre – Décembre 2005 Version Principe de fonctionnement (1)  Création d’une liste de règles retranscrivant dans le langage du Firewall la politique de sécurité préalablement définie  J’autorise mon proxy à effectuer des requêtes HTTP vers Internet  J’autorise mon DNS à effectuer des requêtes (DNS) vers Internet  J’autorise les flux SMTP à l’intention de mon relais de messagerie  J’autorise les flux HTTP à l’intention de mon proxy Web  Je demande l’authentification pour les flux HTTP à l’intention de mon serveur Web Intranet  J’autorise les « ICMP echo » à sortir et les « ICMP reply » à entrer  J’interdit tout le reste

47 Novembre – Décembre 2005 Version Principe de fonctionnement (2) # Règles basiques (Any signifie « tout le monde ») access-list 100 permit tcp any eq www access-list 100 permit udp any eq domain access-list 100 permit tcp any host eq www access-list 100 permit tcp any host eq ftp # Permet de laisser passer tous les flux entre deux réseaux access-list 100 permit ip # Les messages ICMP access-list 100 permit icmp any echo-request access-list 100 permit icmp any echo-reply # Influence de l’ordre des régles (l’inverse ne sert à rien) access-list 100 deny host any eq telnet access-list 100 permit any eq telnet # Règle souvent implicite, à préciser tout de même pour plus de clarté access-list 100 deny ip any any Ordre de filtrage des datagrammes

48 Novembre – Décembre 2005 Version Architecture  Il est important de cloisonner les flux  Permet d’éviter qu’un service défaillant compromette la sécurité de l’ensemble de l’infrastructure  Permet de contrôler les flux entre chaque échange  Architecture Multi-strates (n-tiers)  Chaque zone reçoit un niveau de sécurité, les périmètres sont clairement définis et les échanges parfaitement identifiés  Permet un meilleur cloisonnement et une meilleure séparation des flux  Permet une meilleur protection des services en fonction de leur importance relative

49 Novembre – Décembre 2005 Version Où placer un Firewall  Exemple typique

50 Novembre – Décembre 2005 Version La DMZ  Zone démilitarisée

51 Novembre – Décembre 2005 Version La DMZ (2)  Par la création d’une zone démilitarisée, le Firewall isole physiquement les réseaux interconnectés. Des règles spécifiques pour les accès Internet vers les serveurs et Intranet vers les serveurs sont donc possibles,  Les flux directs de l’Internet vers le réseau (et réciproquement) sont strictement interdits,  Dans cette zone, on place généralement :  les machines qui auront un accès direct avec l’Internet (serveurs mandataires WEB, FTP, SMTP…°) et accessibles depuis l’extérieur  la machine supportant les “ sas applicatifs ” chargés du contrôle lourd des flux (y compris les éventuelles identification/authentification)

52 Novembre – Décembre 2005 Version Avantages et inconvénient d’une DMZ  Un intrus doit s’introduire dans plusieurs systèmes différents sans se faire détecter afin d’accéder au LAN  Varier les types de Firewall à un intérêt  Permet de définir des niveaux de sécurité  Permet de séparer ce qui doit être visible de ce qui ne doit pas l’être  Permet la mise en place de proxy/bastion afin d’éviter les accès directs (Int/Ext et Ext/Int)

53 Novembre – Décembre 2005 Version Autre exemple  Architecture n-tiers (3-tiers)

54 Novembre – Décembre 2005 Version Autre exemple (2)  L’utilisation de plusieurs DMZ permet de séparer les flux en fonction de leur sensibilité (une DMZ dédiée aux réseaux partenaires, une DMZ dédiée aux services Internet public…),  Le firewall externe est dédié à la gestion des flux complexes et évolutifs venant de l’Internet,  Le firewall interne est dédié à la gestion des flux assez stables provenant du firewall externe et du réseau interne.

55 Novembre – Décembre 2005 Version Règles de configuration (1)  Maîtriser les flux qui transitent  Autoriser explicitement les flux  Interdire tout le reste  L’ordre des règles à une importance  Protéger Internet comme vous protégez votre réseau  Le filtrage doit aussi empêcher vos utilisateur d’entamer des actions malveillantes (attaques, propagation de virus, … )  Faire du filtrage aussi sur les serveurs  Notamment sur les serveurs très exposés  Web, DNS, FTP, …  Le risque d’erreur sur les deux équipements simultanément est faible  Garder (et sauvegarder) les configurations antérieures et s’assurer qu’on est en mesure de palier à une défaillance du système (logique ou physique)

56 Novembre – Décembre 2005 Version Règles de configuration (2)  Interdire le source-routing  souvent nécessaire à l’IP spoofing  Configurer l’anti-spoofing  Interdire les datagrammes fragmentés  Source de Dénis de Service (DOS)  Rendent la détection d’intrusions difficile  Confiner au maximum les protocoles utilisant des attributions de ports dynamiques et aléatoires  RCP (NFS, NIS,…), FTP Actif, …  Confiner au maximum les protocoles qui sont intrinsèquement faible en terme de sécurité  NFS, NIS, ICQ, partage de fichier, protocoles inconnus ou non documentés

57 Novembre – Décembre 2005 Version Règles de configuration (3)  Un Firewall doit être administré  Le niveau de sécurité dépend en grande partie de la compétence des administrateurs et de leur disponibilité  Doit impérativement être maintenu à jour  La plus grande source de problèmes sont les version non à jour  Un Firewall doit être surveillé  Un maximum d’information doivent être collectées, stockées et analysées (si possible en temps réel)  Collectées  A partir d’un maximum d’équipements (Firewall, serveurs, …)  Stockées  Dans une base de données pour faciliter les traitements ultérieurs  Analyse des log  Il existe des outils pour aider l’administrateur  Permet la détection des incident et des tentatives d’intrusion  Doivent exister avant l’intrusion, après il est trop tard !

58 Novembre – Décembre 2005 Version Autres considérations  Nécessite des compétences et de l’attention  Ne pas ce fier à la convivialité de l’interface  Une erreur de configuration peut anéantir la politique de sécurité  Varier au maximum les produits et solutions  En matière de sécurité l’hétérogénéité est un avantage si l’administration est effectuée correctement  Le Firewall peut être la cible d’attaques  Le Firewall peut être un maillon faible  « Single point of faillure »

59 Novembre – Décembre 2005 Version Choisir son Firewall (1)  Quelles seront ses fonctionnalités ?  Le Firewall est chargé d’appliquer la politique de sécurité que vous avez défini, il est donc important qu’il soit adapté à celle-ci et au niveau de sécurité que vous souhaitez atteindre  Quels services doit-il offrir ?  Accès Internet, DMZ, accès internes, VPN, …  Quel niveau de sécurité doit-il offrir ?  Les exigences d’une petite entreprise ne sont pas les mêmes que celle d’une banque ou d’un société qui fait du e-business  Quel sera sa charge ?  Évaluation REALISTE de la quantité de flux à traiter  Quel niveau de fiabilité (résilience) doit-on atteindre ?  Si votre activité repose essentiellement sur Internet ou vos liaisons avec vos partenaires il est bon de s’assurer de la disponibilité des équipement et des services (providers…)

60 Novembre – Décembre 2005 Version Choisir son Firewall (2)  Quelles sont vos contraintes ?  De quel budget disposez vous ?  Quelles sont les ressources (Homme) dont vous disposez ?  Administrateur sécurité ?  Quelles sont les compétences dont vous disposez ?  Acquis, Formations, Intervenants  Dans quel environnement évoluez vous ?  Contraintes politiques (Contructeurs/OS interdits)  Peut-on faire évoluer ces contraintes ?  Où seront installées les équipements ? Législation ?  Concurrence Internationale ? Faut-il se méfier des produits importés ?

61 Novembre – Décembre 2005 Version Choisir son Firewall (3)  Évaluer les produits disponibles  Il n’y a pas de réponse à la question :  « Quel est le meilleur Firewall ? »  La vrai question qu’il faut se poser est :  « Quel est le meilleur Firewall dans votre contexte ? »  Prix  Matériel, Logiciel, Assistances, Maintenance, Administration, Installation  Supervision & Administration  Quels sont les outils disponibles ?  Évolutivité  Du matériel, des performances, des services  Adéquation avec les besoins ?

62 Novembre – Décembre 2005 Version L’offre en matière de Firewall  LARGE !  Produits commerciaux  Arkoon, CA, Checkpoint, Cisco, Matra, Netasq, Nokia, Stonesoft, WatchGuard, …  Deux Leaders : Checkpoint, Cisco  Des aspects marketing qui font souvent perdre de vue le but premier d’un Firewall  Opensoure  Netfilters/Ipchains (Linux), Ipfilter (Unix), PacketFilter (BSD)  Des fonctionnalités et une modularité importante  Une administration peu conviviale  Rester critique, essayer  Il n’existe pas de produit cumulant tous les avantages

63 Novembre – Décembre 2005 Version Relais applicatifs

64 Novembre – Décembre 2005 Version Présentation  Un relais applicatif se place entre un client et un serveur interceptant les requêtes et les relayant  Pour masquer la structure interne d’un réseau  Du réseau privé vers Internet  Toutes les requêtes des clients d’un LAN sont masquées par le proxy diminuant ainsi la surface visible du réseau  Permet aussi de simplifier la configuration d’un Firewall en limitant les autorisations de sortie à une seule machine  D’Internet vers le réseau privé  Le serveur n’est pas directement adressé diminuant ainsi son exposition (serveur Web masqué par un Proxy)  On parle de Reverse-Proxy  L’adresse publique du serveur est en fait celle du proxy  Pour filtrer les accès à la manière d’un Firewall  Pour mettre en place des mécanismes d’authentification et de contrôle d’accès  Pour maintenir un cache des fichiers échangés de manière à diminuer la consommation de bande passante

65 Novembre – Décembre 2005 Version Architecture (1)

66 Novembre – Décembre 2005 Version Architecture (2)

67 Novembre – Décembre 2005 Version Architecture (3)

68 Novembre – Décembre 2005 Version Les protocoles supportés  Un relais applicatif peut être spécifique à un protocole  HTTP, HTTPs, FTP, SMTP, NNTP, …  Mais il peut être aussi générique  SOCKS  Dans ce cas le relais ne « comprend pas » le protocole il se contente de relayer les requêtes avec son adresse comme adresse source  Peut effectuer la redirection de flux vers des machines spécifiques en fonction de critères prédéfinis  Permet de faire du NAT (Network Address Translation)  Permet également l’encapsulation d’un protocole dans un autre  ex : IRC dans HTTP

69 Novembre – Décembre 2005 Version Filtres applicatifs

70 Novembre – Décembre 2005 Version Présentation  Filtrage applicatif  Relais applicatif + filtrage des échanges d’une application  Filtrage d’URL (type Websense)  Filtrage Antivirus, blocage d’applets Java, ActiveX  Modification ou conversion du contenu  Conversion de protocole (ex : SMTP -> NNTP)  Modification d’un jeu de caractére (ex: japonais vers ANSI)  Spécifique à chaque protocole  Avantages  Une plus grande finesse dans le contrôle des échanges

71 Novembre – Décembre 2005 Version Remarques  En cas de débits importants l’impact sur les performances peut être important  ex : Filtrage Antivirus SAS Telnet SAS Telnet SAS Telnet SAS Telnet SAS Telnet SAS SMTP SAS FTP SAS HTTP

72 Novembre – Décembre 2005 Version L’offre en matière relais et filtres applicatifs  Relais applicatifs  Apache  iplanet (Netscape)  ISA server (Microsoft)  M>Wall (Matra)  NetWall (Bull)  Squid  …  Filtres applicatifs  Cache engine (Cisco)  DeleGate – Proxy / Firewall / Filtres App  Interscan VirusWall – AntiVirus (Trend Micro)  Websense – Filtrage d’URL  WebShield – AntiVirus (McAfee)  …

73 Novembre – Décembre 2005 Version Exemple d’architecture

74 Novembre – Décembre 2005 Version Exemple d’architecture

75 Novembre – Décembre 2005 Version Détection d’intrusions

76 Novembre – Décembre 2005 Version Détection d’intrusions - plan  Introduction et principes généraux  Caractéristiques techniques  La détection d’intrusions réseau (NIDS)  Outils complémentaires  Conclusion partielle  Nous reviendrons sur la détection d’intrusions dans les chapitres suivants (Systèmes et Services)

77 Novembre – Décembre 2005 Version Détection d’intrusions Définition  Faux positif :  Détection d'attaque(s) en absence d’attaques  Faux négatif :  Absence de détection en présence d'attaque(s) Il est préférable d’avoir des faux positifs que des faux négatifs

78 Novembre – Décembre 2005 Version Détection d’intrusions Introduction  Seulement 5 à 15% des intrusions sont détectées… Nombre total de transactions Faux positif Faux négatif Attaques détectées Attaques Notifications IDS

79 Novembre – Décembre 2005 Version Stratégie  La détection d’intrusions doit être vue comme une composante (couche) importante de la stratégie de sécurité de l’entreprise  Les IDS du système d’information doivent faire l’objet d’une surveillance et d’une maintenance TRES régulière  Sa fonction de base reste la surveillance  même si certains IDS peuvent adopter un comportement actif

80 Novembre – Décembre 2005 Version Catégories  Les NIDS (Network IDS)  Les HIDS (Host IDS)  Les NIDS et HIDS sont complémentaires  Chaque approche à ses avantages et inconvénients  Ils ne sont pas des solutions miracle, mais ils sont indispensables

81 Novembre – Décembre 2005 Version Le processus IDS  Obtenir les informations  Les flux et les événements  L’intégrité des systèmes et données  Les analyser  Réagir  Avertir les administrateurs de toute activité anomale  En influant sur la configuration des systèmes de sécurité (! Danger)

82 Novembre – Décembre 2005 Version Ce que peut faire un IDS  Renforcer la sécurité du SI  Surveiller l’application de la politique de sécurité de l’entreprise en :  Reconnaissant les (tentatives) attaques  Internes et externes  Surveillant l’activité des utilisateurs  Palliant à des problèmes de configuration  Faille d’un firewall (problème de configuration, port normalement ouvert ex: www, …),  Faille d’un logiciel pour lequel il n’existe pas encore de correctif

83 Novembre – Décembre 2005 Version Critères de choix d’un IDS  Fiabilité  Peu de faux positif  Pas ou peu de faux négatif  Réactivité  Mises à jour rapides et personnalisables  Facilité de mise en œuvre  Performance  Multicanal

84 Novembre – Décembre 2005 Version Caractéristiques IDS Systèmes de Détection d’intrusions Source de données Méthode de détection Analyse des données Utilisation Comportement après détection Audit réseau Audit système Audit applicatif Alertes IDS Approche comportementale Approche par scénarios Centralisée Distribuée Périodique Continue Informatif Défensif

85 Novembre – Décembre 2005 Version Méthodes de détection  Approche comportementale  Basé sur l’hypothèse qu’une intrusion implique un usage anormal du système et donc un comportement inhabituel d’un utilisateur  Répond à la question :  « le comportement actuel de l’utilisateur est-il cohérent avec son comportement passé ? »  Vue synthétique du comportement utilisateur  Obtenu grâce à un modèle statistique

86 Novembre – Décembre 2005 Version Méthodes de détection  Les avantages  Pas besoin d’une base d’attaques  Détection d’intrusions inconnues possible  Les inconvénients  En cas de changement important de l’environnement de travail déclenchement d’un flot d’alertes (risque de faux positif)  Un utilisateur peut changer lentement de comportement de manière à habituer le système à un comportement intrusif (risque de faux négatif)

87 Novembre – Décembre 2005 Version Méthodes de détection  Approche par scénarios  Fonctionne grâce à une base de données d’attaques ou d’actions litigieuses  La détection d’attaques se fait par des méthodes d’analyse de signature (patern matching)  Répond à la question :  « Le comportement actuel de l’utilisateur correspond t’il à un comportement intrusif connu »

88 Novembre – Décembre 2005 Version Méthodes de détection  Les avantages  prise en compte du comportement exact des utilisateurs  Peu de faux positifs en théorie  Les inconvénients  Base de scénarios difficile à créer et à maintenir (risque de faux négatif)  Pas de détection d’attaques inconnues

89 Novembre – Décembre 2005 Version Les produits  Classification des produits

90 Novembre – Décembre 2005 Version Analyse des données  Centralisée  Un seul administrateur / Une console  Convient pour des structures modestes ou intégrant de très bon personnels/outils  Distribuée  Distribution de la surveillance sur les différentes entités de l’entreprise  Les personnels ont-ils tous les moyen d’assumer cette charge ?

91 Novembre – Décembre 2005 Version Utilisation  Périodique (Traitement par lots)  Historiquement l’analyse des fichiers d’audit se faisait périodiquement  Manque de réactivité  Se retrouve plus dans les HIDS  Continue (Temps-Réel)  Analyse le flot de données au fur et a mesure  Plus réactif mais nécessite l’attention permanente des superviseurs

92 Novembre – Décembre 2005 Version Comportement après détection  Notification  Supervision réseau : Syslog, SNMP Trap, …  Administrateur (humains) : SMS, , …  Parades  Modification de la configuration d’un système  Typiquement un ajout d’ACL sur un Firewall  Reset de connexion  Éventuellement la désactivation d’un compte utilisateur ou l’arrêt d’un service…

93 Novembre – Décembre 2005 Version Network IDS (NIDS) Sommaire  Présentation  Principe de fonctionnement  Avantages  Inconvénients  Comment les placer ?  Aperçu de l’offre

94 Novembre – Décembre 2005 Version Les NIDS (Network IDS)  Définition  Représente la majorité des offres  Basés le plus souvent sur une approche par scénarios  Inutiles lors de l’utilisation du chiffrement  Disposent le plus souvent de 2 interfaces  Une pour écouter le réseau  L’autre pour l’administration  Ne sont pas à l’abri d’une attaque

95 Novembre – Décembre 2005 Version NIDS, Principe de fonctionnement  Modèle CDIF

96 Novembre – Décembre 2005 Version Avantages des NIDS  Quelques NDIS bien placés peuvent surveiller un très large réseau  Permettent de détecter des attaques utilisant des failles pour lesquels il n’existe pas encore de correctif  Possibilité d’écrire des règles personnalisées  Temps Réel  Faible impact sur le réseau (transparent)  Quasiment invisible, relativement sécurisé

97 Novembre – Décembre 2005 Version Inconvénients des NIDS  Ne peuvent pas analyser les flux chiffrés  IPSec, HTTPs, SSH, …  Le flux analysé peut ne pas être représentatif de ce qui se passe réellement  Certains IDS ont du mal à traiter  Des flux fragmentés  Des paquets mal formés  Peuvent parfois être la cible d’attaques

98 Novembre – Décembre 2005 Version Inconvénients des NIDS  Difficile à mettre en œuvre en environnement commuté  Le commutateur doit avoir un port capable de rediriger les flux qui le traverse  Il n’est pas possible de rediriger tout le trafic  Peut être intégré aux commutateurs  Problèmes de performances  Base d’attaques relativement limitée  Peut avoir du mal à surveiller des réseau haut débit

99 Novembre – Décembre 2005 Version Comment les placer ?  Différents emplacement d’intérêt variable

100 Novembre – Décembre 2005 Version Comment les placer (2)?  Exemple concret.

101 Novembre – Décembre 2005 Version Aperçu de l’offre  Comparatifs.

102 Novembre – Décembre 2005 Version IDS conclusion  L’offre évolue rapidement mais encore beaucoup de techniques de détection d’intrusions n’en sont qu’au stade de la recherche  La détection d’intrusions est destinée à des experts  Maintenance et supervision exigeante  Analyse des alertes Faux positifs et Faux négatifs  Elle nécessite de la méthode  Gestion des incidents, procédures d’escalade  Collecte d’informations et poursuites  Ne pas se fier au discourt marketing  C’est un composant optionnel de l’infrastructure de sécurité que l’on ne peut mettre en place que si l’on dispose de personnel correctement formé ayant du temps à consacrer à cette tâche.

103 Novembre – Décembre 2005 Version Outils d’audit de sécurité  Externe ou interne  Manuel ou automatisé  Tests intrusifs par des experts sécurité  Donne un aperçu non exhaustifs des problèmes de sécurité  Logiciels (Nessus, Cybercop scanner…)  En mode ASP ou MVA  Analyse de la surface Internet de l’entreprise  Service déporté souvent facturé à  Quelques noms : Intranode, Qualys, …


Télécharger ppt "Novembre – Décembre 2005 Version 1.01 1 État de l’art de la sécurité informatique Chapitre 1 – La sécurité des réseaux Auteurs : Stéphan GUIDARINI – Consultant."

Présentations similaires


Annonces Google