INF4420: Éléments de Sécurité Informatique Module III : Sécurité des réseaux informatiques
Semaine 11, 12 et 13 – Sécurité des réseaux Où sommes-nous ? Semaine 1 – Intro Semaines 2, 3 et 4 – Cryptographie Semaine 6, 7 – Sécurité dans les SE (suite) Semaine 8 – Période de relâche Semaine 9 – Sécurité des BD et des applications Web Semaine 10 – Contrôle périodique Semaine 11, 12 et 13 – Sécurité des réseaux Risques spécifiques aux réseaux Des attaques, des attaques et encore des attaques Configuration sécuritaires et contre-mesures Semaine 14 – Gestion de la sécurité. Intervenants et modes d'intervention Aspects légaux et déontologiques
Module III – Sécurité des réseaux Semaine 11 Notions de bases sur les réseaux Risques spécifiques aux réseaux Analyse de risques par couche Attaques typiques par couche Attaques intra-couche Semaine 12 Configuration sécuritaire de réseaux Plan d'adressage, routage et NAT Pare-feux DMZ, VPN et serveurs mandataires Encore des attaques Dissection d'une attaque standard Attaques de déni de service (DOS) Pourriel et hameçonnage Semaine 13 Détection d'intrus (IDS) Protocoles sécuritaires de réseaux SSH SSL et TLS (HTTPS) IPSEC/IPv6 Un premier chapitre court et visant à présenter les problèmes et la terminologie
Configuration sécuritaire Principes de bastionnage de réseaux Bloquer tous le trafic non pertinent Paquets qui ne vont pas à la bonne place adresses IP vs. table de routage Applications/services non offerts (superflus) Ports fermés/ouverts Segmentation du réseau Utiliser des routeurs/passerelles/serveurs mandataires Cacher les adresses IP internes (par NAT) Protéger les services/serveurs critiques « Défense en profondeur » Principe de l’oignon Chaque niveau à un contexte différent Permet de mieux ajuster le modèle de sécurité
Network Address Translation Principe de base Le réseau interne est dans le domaine « privé » 10.*.*.* ou 192.168.*.* Non-routable (par défaut) vers l’extérieur ou sur l’Internet Pour les paquets sortant (priv_src_IP, priv_src_port) est associé à une nouvelle paire (public_src_IP, public_src_port) Ces associations sont conservés dans une table NAT Pour les paquets entrant On utilise le dest_port pour retrouver la bonne paire (priv_src_IP, priv_src_port) Implémenté par Routeur ou passerelle Coupe-feu Serveur mandataire
Réseaux privés virtuels (VPN) Objectifs Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles de façons sécuritaires à travers un réseau intermédiaires non sécurisé Techniques de base Tunneling Chaque sous réseau protégé par une passerelle VPN Encapsulation de paquet ( ≠ NAT) Ancien paquet devient message Nouvelle entête en fonction des passerelles Chiffrement Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou modification sur le réseau non-securisé Contrôle d’accès Seuls les paquets provenant des clients ou sous-réseaux autorisés sont ré-acheminés vers le réseau interne
Zone démilitarisée (DMZ) Objectif Permettre fournir des services de ou vers l’extérieur du réseau interne, tout en protégeant celui-ci Principe de base Créer une zone intermédiaire où se trouve les services strictement nécessaires Adresses des serveurs DMZ sont routables et accessibles de l’extérieur : tout le temps de l’intérieur : si pertinent Protégé par un coupe-feu/passerelle Isolé du réseau interne par un coupe-feu/passerelle
Services typiques dans une DMZ Services fournis à l’extérieur Serveur DNS (pour adresses DMZ seulement) Serveur SMTP Serveur Web Passerelle VPN Services fournis à l’intérieur Serveur mandataires Web M-à-j des fichiers du serveur Web Connexion avec serveur SMTP interne Connexion entre serveur Web et serveur de BD
Types de coupe-feu Selon l’implémentation Selon les fonctionnalités Matériel Pare-feu filtrant Parfois intégré dans le routeur « Network appliances » Combine d’autres fonctionalités Logiciel Serveur pare-feu dédié Pare-feu client ou individuel Selon les fonctionnalités Filtrage statique Filtrage dynamique Pare-feu d’application Pare-feu filtrant Serveur mandataire (proxy)
Principes de fonctionnement Coupe-feu statique Principes de fonctionnement Examine paquet par paquet (« stateless ») Adresses IP src et dest Port src et dest Type de protocole Utilise des règles pour prendre action « block » ou « accept » Règle de routage : « IF src_IP = 123.45.*.* THEN block » adresses privées adresses internes/externes listes noires Règle d’application : « IF dest_port = 80 THEN accept » Par port de destination Évaluation séquentielle (!!) Limitations Pas de notion de connexion permet certains types d’attaques
Coupe-feu dynamique Principes de bases Limitations Examine paquet par paquet, mais essaie d’établir relations entre paquets UDP Associe paquet avec d’autre paquets sur mêmes ports et adresses En général, permet seulement réponses si requêtes originales venant d’adresses internes TCP Garde information sur état et direction de la session TCP Regarde en plus les flags TCP pour déterminer si hors-protocole Applications qui changent de port (e.g. FTP) Suit et autorise les ports éphémères utilisés par les applications Limitations Pas de connaissance de l’état de la connexion au niveau application Usurpation de port
Coupe-feu applicatif Principe de base Routeur filtrant Le coupe-feu regarde le message et interprète son contenu par rapport à l’application identifié par le port Routeur filtrant Bloque ou accepte en fonction du contenu du message Bon port pour type d’application Bonne séquence à niveau des protocoles d’application Serveurs mandataires (proxy) Agisse au nom du client d’application Déballe et remballe les paquets IP avec nouvel adresse et port src Autres fonctionnalités Authentification et contrôle d’accès VPN Anti-virus, anti-spam, filtrage de contenu Caching
Étapes d’une attaque standard sur le réseau Définitions et identification d’objectifs Quelle est la cible ? Reconnaissance Où se trouve la cible ? Caractérisation (« Fingerprinting ») Identification de vulnérabilité Pénétration Exploitation de vulnérabilité Exploitation Garder l’accès Ne pas se faire prendre Accomplir les objectifs
Attaques de déni de services (DoS) Objectifs Éliminer ou réduire la qualité de service d’un fournisseur de services Types Par vulnérabilité (« crippling DoS ») Par saturation (« Flood DoS ») Par absorption (« Black hole DoS ») Particularités Pas de pénétration Camouflage optionnel Pas de contre-mesures absolues !!
Attaque DoS distribuée (DDoS) Principe de base 1. Prendre le contrôle de plusieurs machines (« botnet ») 2. Utiliser ces machines pour générer des requêtes (saturation) Exemples SYN flooding SYN/ACK flooding Direct Indirect (backblast) Session/Application flooding TCP, HTTP, SQL « Spoofing » plus possible Défense Analyse de coût relatif Faire augmenter le coût de l’attaque
Crimes informatiques économiques Polluriel et hameçonnage Canulards Vente directe de produits Vente pyramidale Arnaques « nigériennes » Captures de comptes Fraudes publicitaires Modèle de revenu « par click » Génération de « faux » click Augmentation de priorité (« shilling ») Moteurs de recherche Systèmes de recommandation
Pourriel Contre-mesures Contre-contre-mesures Détecter courriels identiques Comparaison intégrale ou par fonction de hachage Bloquer une adresse IP si plusieurs courriels identiques/similaires Reconnaissance de pourriel Analyse par règles Contre-contre-mesures Utiliser des machines « jetables » (botnet) Générer des messages différents, mais équivalents Ajouts d’éléments aléatoires hors-message hachés différents Variations du message Texte mal écrit, mais lisible Message en HTML Texte dans une image Course d’armement entre pollueurs et constructeur de filtres
Hameçonnage bancaire Techniques de base Techniques avancées En apparence lien pointe sur vrai site Faux site a apparence identique Session redirigée vers vrai site (« ni vu, ni connu ») Techniques avancées DNS spoofing (serveurs DNS compromis ou empoisonné) Prendre le contrôle d’un serveur web existant Sans que le propriétaire s’en rende compte Pour éviter de se faire repérer Usager/NIP capturés re-acheminé par canal clandestin