État de l’art de la sécurité informatique Chapitre 1 – La sécurité des réseaux Auteurs : Stéphan GUIDARINI – Consultant Senior Sébastien DESSE – Expert Réseaux et Sécurité

Programme Œ  Ž  Introduction è Quoi protéger ? Contre qui Pourquoi Qui croire Comment protéger Quelle politique de sécurité Sécurité des réseaux Généralités Sécurité niveau 1 Sécurité niveau 2 Commutateurs Sans fil sécurité niveau 3 Protocoles de routage Fire wall Sécurité niveau 7 Relais applicatifs Filtres applicatifs Détection d'intrusions Network IDS Sécurité des con tenus & échanges Introduction à la cryptographie Utilisation de la cryptographie PPP/PPTP/L2TP IPSEC TSL/SSL SHTTP S/MIME Les Infrastructures à clef publique (PKI) PGP La réglementation Sécurité des accès Authentification Mots de passe – Authentification forte Single Sign On RADIUS - TACACS/TACACS+ Kerberos 802.1x , Sécurité Wifi (WEP, WPA, etc.) Sécurité des systèmes et des applications Sécurité en environnement Microsoft Sécurité en environnement Uni x Détection d'intrusions au niveau système Virus, Vers et chevaux de Troie Conclusion Synthèse Les dix commandements Sources d’information Œ  Ž 

Sommaire Sécurité des Réseaux Généralités Administration Sécurité Niveau 1-3 (OSI) Firewall Relais applicatifs Détection d’intrusions

Généralités Qu'est-ce que la sécurité d'un réseau ? La sécurité d'un réseau est un niveau de garantie que l'ensemble des machines du réseau fonctionnent de façon optimale et que les utilisateurs des dites machines possèdent uniquement les droits qui leur ont été octroyé. Il peut s’agir : d'empêcher des personnes non autorisées d'agir sur le système de façon malveillante d'empêcher les utilisateurs d'effectuer des opérations involontaires capables de nuire au système de sécuriser les données en prévoyant les pannes de garantir la non interruption d'un service

Généralités La sûreté de fonctionnement. L ’objectif du concepteur est la prévision de la capacité de survie du système : la continuité de service Il y a deux approches avec des objectifs et des moyens différents : la disponibilité comprend la fiabilité (pannes) et la maintenabilité (réparation) la crédibilité comprend l ’intégrité

Généralités La sûreté de fonctionnement (2) Les solutions sont essentiellement matérielles : une redondance de tout ou partie des matériels actifs une redondance des liaisons télecoms des contrats de maintenance avec GTI et GTR pour des serveurs type Firewall, Proxy…: technologie RAID, SAN, CLUSTER… Backup/Restore : Operating System, configurations...

Administration L’accès aux équipements Physique SNMP Empêcher l’accès physique aux équipements Bouton Marche/Arrêt Port console SNMP Éviter le classique public / private A désactiver si non utilisé De préférence dans un VLAN d’administration Faille de SNMP v2 publiée récemment Attendre impatiemment la généralisation de SNMPv3

Administration (2) L’accès aux équipements Telnet Mot de passe à choisir judicieusement !! Si possible utiliser des ACL pour filtrer les accès De préférence dans un VLAN d’administration Utiliser SSH L’interface Web A désactiver sur ce type d’équipement Si nécessaire -> VLAN d’administration Utiliser d’un protocole d’authentification tel que RADUIS ou Kerberos si disponible

Administration (3) Un certain nombre de services actifs par défaut peuvent / doivent être désactivés C’est notamment le cas de l’IOS de Cisco qui est dérivé d’un Unix et qui a donc conservé un certain nombre de protocoles bien connus de ces environnement Echo Finger Bootp Et d’autres DNS lookup IP source-routing (routeurs ou commutateurs L3) Directed-Broadcasts (routeurs ou commutateurs L3) CDP (cisco, mais implémenté sur d’autres équipements)

Sécurité Niveau 1->3 (OSI)

Sécurité Niveau 1-2 (OSI) Généralités Niveau 1 Concentrateurs Niveau 2 Commutateurs Le cas du sans fil (WLAN)

Adresse du Destinataire Adresse de l’expéditeur Généralités L’identité est l’adresse MAC (IEEE) Identifiant unique (48bits) Peut être administrée localement Elle identifie mais n’authentifie pas Adresse du Destinataire Adresse de l’expéditeur

Généralités Les protocoles rencontrés sont : ARP – Address resolution protocol CDP – Cisco Discovery protocol STP – Spanning Tree Protocol 802.1d VLAN – Virtual LAN 802.1q VTP – VLAN Trunking Protocol (cisco) Unicast Frames Multicast Frames Broadcast Frames

Sécurité Niveau 1 Concentrateurs Les concentrateurs (hub) Diffusion des flux à tous Il existe des mécanismes de bruitage Il existe des mécanismes de filtrage (MAC) l’adresse peut être usurpée Induit une charge administrative importante Disparaissent naturellement Utiles pour les sondes de détection d’intrusions

Sécurité Niveau 2 Commutateurs Les commutateurs But premier : Augmenter le nombre de domaines de broadcast en segmentant le réseau Crée des réseaux locaux en faisant abstraction de l’organisation physique des équipements Augmenter la sécurité des communications

Sécurité Niveau 2 Commutateurs Les commutateurs sont la cible d’attaques telles que : ARP cache poisoning ARP/DHCP spoofing HSRP/VRRP spoofing STP/VTP attacks VLAN Jumping (ISL/DTP)

Sécurité Niveau 2 Commutateurs ARP cache poisoning

Sécurité Niveau 2 Commutateurs VLAN Jumping (ISL/DTP) Problème des VLAN Pas conçu pour faire de la sécurité mais permet de la renforcer Les commutateurs multi-layer sont des points faibles des infrastructures réseaux (attention aux mauvaises configurations) Attaques : VLAN « jumping » (injection de frame 802.1q) est possible si : DTP (Dynamic Trunking Protocol) est activé Et si le port est dans le même VLAN que le native VLAN (VLAN 1 par défaut)

Sécurité Niveau 2 Commutateurs Il existe des moyens de se protéger Ne pas utiliser le VLAN 1 (VLAN par Défaut) Filtrage des adresse MAC par port Cisco « port security » par exemple Activer le BPDU-Guard afin de filtrer le STP Désactive un port si un BPDU est reçu via celui-ci Limiter le taux de broadcast A affiner en fonction du type d’équipement connecté sur le port HSRP Donner l’@IP la plus élevée au routeur principal, la suivante au secondaire, etc… Filtrer à l’aide d’ACL les flux HSRP entre équipement Les commutateurs niveau 2/3/4/5/6/7/…. Concentrent en un seul point de nombreux problèmes de sécurité et sont donc à surveiller tout particulièrement

Sécurité Niveau 2 Commutateurs Il existe des moyens de se protéger (2) Notion de Private VLAN Le segment devient « Multi-Access Non Broadcast » Des équipements d’un même VLAN ne peuvent pas communiquer directement entre eux VTP (VLAN Trunking Protocol) - Cisco Ne pas laisser la configurartion par default Mode Server sans mot de passe Affecter un domaine et un mot de passe Server / Client / Transparent ? DTP (Dynamic Trunking Protocol) Les ports sont en mode auto par défaut Choisir le mode Off pour tous les port non utilisés pour des interconnections de commutateurs

Sécurité Niveau 2 Réseaux sans fil Infrarouge, Bluetooth, 802.1b, … Infrarouge peu utilisé pour le réseau Bluetooth utilisé uniquement pour l’interconnexion de périphériques 802.11(b) Le réseau ne s’arrête pas à la porte de l’entreprise Parking Visiteurs, rue… Mettre en place un filtrage par @MAC Administration contraignante Il est possible d’usurper une @MAC

Sécurité Niveau 2 Réseaux sans fil 802.11 (b) ou (g) Les trames ne sont plus confinées dans un câble mais diffusées dans toute la pièce Tout le monde peut écouter (comme un hub) Mise en place de chiffrement WEP -> souffre d’un manque de maturité Facile à cracker (40 bits), 128 bits… IPSec -> contraignant Accès au réseau facilité Faiblesse des mécanismes d’authentification Vulnérable aux attaques du type Man in the Middle Utilisation WPA s'appuie sur la famille 802.1x et le protocole EAP (Extensible Authentification Protocol)

Sécurité Niveau 3 (OSI) Généralités Adressage privé Sécurité & DHCP ICMP Les protocoles de routage Filtrage IP

Généralités L’identité est l’adresse IP (pour Internet) Identifiant de 32 bits Aisément modifiable / usurpation facile Identifie mais n’authentifie pas N’intègre aucun mécanisme de sécurité Les autres protocoles Confinés au sein de l’entreprise Moins d’outils de sécurisation à la disposition des administrateurs

Généralités (2) Les protocoles rencontrés sont : IP – ICMP RARP HSRP / VRRP (redondance d’équipement) RIP, RIPv2, IGRP, EIGRP, OSPF, BGP,… Paquets Unicast Paquets Multicast Paquets Broadcast

L’adressage privé Recommandations IANA : RFC 1918. Les numéros de réseaux suivants ne sont pas routés sur l’Internet Isolation naturelle de son trafic privé par rapport au trafic Internet Nécessite la présence d’un translateur d’adresses : Network Address Translator Le NAT ne se substitue pas au Firewall et/ou Proxy Serveur

La translation d’adresse Il s’agit d’un complément de service plus qu’un service de sécurité proprement dit Localisation du translateur Sur le firewall Types de translations N @ privées vers 1 @ publique 1 @ privée vers 1 @ publique

Sécurité & DHCP Le DHCP Peut être l’allié ou l’ennemi de la sécurité Crée des problèmes de sécurité si les adresses sont attribuées au hasard Sur le réseau l’identité est l’@IP Dans le monde réel l’identification se fait par rapport à la personne ou au poste utilisé Le DHCP dans sa configuration la plus basique empêche l’association @IP <-> personne/poste Il existe des mécanismes palliatifs Informations obtenues auprès du PDC (Domaine NT) RFC 931/1413 (Identd) Attribuer l’@IP en fonction de l’@ MAC est une solution permettant d’augmenter la sécurité

ICMP Il n’est pas obligatoire d’interdire tous les messages ICMP ICMP est utile, laisser passer : source-quench, packet-too-big, don’t fragment time-exceeded, echo request et echo reply dans certains cas Eviter de laisser passer : redirect, unreachable, parameter-problem,…

Sécurité des routeurs Les routeurs assurent les services essentiels au bon fonctionnement des infrastructures de communication La compromission d’un routeur amène un certain nombre de problèmes favorisants la compromission des SI La compromission des tables de routage peut amener à la dégradation des performances, des dénis de service et l’exposition des données sensibles La compromission des moyens de contrôle d’accès d’un routeur peut amener à la divulgation d’informations sensibles et la facilitation d’attaques et dénis de services En général un routeur bien configuré permet d’améliorer grandement le niveau de sécurité global du système d’information

Principes et buts Protection du routeur lui-même protection physique Le système d’exploitation La sécurisation de la configuration Administration du routeur Les accès administrateur au routeur sont un problème essentiel Réseau/Interfaces d’administration Limitation des accès par un filtrage ou un protocole approprié Mots de passe valables Connexion sécurisée à l’équipement (IPSec/SSH) Les mises à jour Validité des images logicielles (source, corruption, bugs, …) Journalisation L’enregistrement systématique de l’activité de l’équipement via les protocoles de supervision (SNMP, Syslog, …) permet de disposer en temps de crise, des informations essentielles à l’identification et la résolution des problèmes

Politique de sécurité du routeur La sécurité du routeur doit être le reflet de la politique de sécurité globale du SI Vision en couche de la sécurité du routeur

Protocoles de routage En général Utiliser « passive-interface » pour toutes les interfaces ne devant pas participer au processus de routage Journaliser les mises à jour RIP : pas de mécanisme de sécurité, à éviter… RIPv2 : prévoit l’authentification IGRP : pas de mécanisme de sécurité EIGRP : prévoit l’authentification des échanges OSPF Prévoit l’authentification des échanges (password MD5) N’utiliser que des mises à jour Unicast (Pas de Broadcasts) Il est possible de filtrer les MAJ reçues BGP Prévoit l’authentification des échanges Ne pas utiliser le même mot de passe pour tous les routeurs Si possible utiliser IPSEC

Routeur filtrant Le rôle principal du routeur filtre de paquets est de permettre ou d’empêcher le passage des paquets de données reçus Le routeur examine tous les datagrammes par rapport à des règles de filtrage, basées sur le contenu informationnel de l’entête du datagramme Le filtrage s’effectue aux niveaux 2,3,4 du modèle OSI Méthode d’intrusion typiques contournant le filtrage de paquets : la fragmentation de paquet Cette technique consiste à utiliser la propriété de fragmentation de IP afin de créer de tout petits fragments et de forcer l’en-tête TCP à être fragmentée elle aussi, l’espoir étant que seul le premier fragment sera analysé par le routeur, laissant alors passer tout le reste.

Routeur filtrant (2) Les avantages : Les solutions de sécurité sont encore majoritairement basées sur l’emploi unique de routeurs filtrants. Cela s’explique pour plusieurs raisons : le coût généralement faible d’un routeur filtrant les performances sont généralement bonnes la transparence aux utilisateurs et aux applications fiable car les contrôles sont simples et peu sujets à erreurs d’implémentation

Routeur filtrant (3) Les limites : Les limites des routeurs filtrants sont mis en évidence par le besoin de contrôle du contenu informationnel des échanges : Les performances du routeur diminuent avec le nombre de règles à appliquer le routeur filtrant ne peut pas comprendre le contexte du service qu’il rend : il ne peut pas, par exemple bloquer l’entrée de mails ou de newsgroup concernant certains sujets ne traite que des informations du type en-tête de trame pas ou peu de statistiques sur l’usage des filtres la protection du réseau connnecté à l’Internet est minimale

Firewall

Firewall – Plan Définition Différents types de Firewall Ce que peut faire un Firewall Principe / Architecture Où placer un Firewall Choisir son Firewall

Définition Un Firewall est un dispositif informatique qui permet le passage sélectif des flux d’information entre deux réseaux et qui neutralise les tentatives d’accès qui sont en désaccord avec la politique de sécurité en vigueur

Les différents types de Firewall Les boîtiers dédiés Type « appliance » Les routeurs Simples listes de filtrage ou vrai Firewall Les logiciels OS ou logiciels dédiés Les bastions (Serveurs mandataires) Proxy

Ce que peut faire un Firewall Permet de concentrer la sécurité en un seul point et donc d’appliquer facilement la politique de sécurité sur une surface importante du réseau Permet de surveiller les flux le traversant Permet de mettre en place des DMZ L’endroit idéal pour déployer du NAT Permet de dissimuler le réseau protégé L’endroit idéal pour la mise en place de VNP

Ce que ne peut pas faire un Firewall Ne protége pas des attaques qui ne le traverse pas !!! Ne protége pas un segment de réseau contre les utilisateurs qui y sont connectés Ne protége pas contre les attaques utilisant des protocoles autorisés Ne protége pas contre les chevaux de Troie Ne protége pas contre les virus Ne peut pas se configurer tout seul !

Critères de filtrage (1) Action Autoriser / Interdire / Jeter / Rediriger / Authentifier / … Protocoles IP @source, @destination, TOS, … ICMP Type de message TCP Ports source, Port destination, Flags (SYN, ACK, FIN,…) Les ports déterminent souvent le service associé UDP Port source, Port destination, … Autres protocoles ESP, AH, OSPF, …

Critères de filtrage (2) Les horaires L’utilisateur (!= @IP) @MAC Les données contenues dans le datagramme La charge du réseau Plus généralement à partir de toute information que l’on est capable d’extraire d’un datagramme ou de l’environnement Tous les Firewall ne proposent pas autant de fonctionnalités

Stateful inspection Le filtrage ne se fait plus uniquement par datagramme (packet filtering) mais avec une logique de session Introduction d’une table des connexions Introduction de modules spécifiques à chaque protocole, capables de tracer leur exécution et de s’assurer de leur bon déroulement Numéros de séquence TCP, ouvertures de ports, phases de négociation, … ex : ftp, http, h323, sip, rpc, rsh, telnet, … Possibilité d’ouvrir dynamiquement un port ex : ftp actif

Principe de fonctionnement (1) Création d’une liste de règles retranscrivant dans le langage du Firewall la politique de sécurité préalablement définie J’autorise mon proxy à effectuer des requêtes HTTP vers Internet J’autorise mon DNS à effectuer des requêtes (DNS) vers Internet J’autorise les flux SMTP à l’intention de mon relais de messagerie J’autorise les flux HTTP à l’intention de mon proxy Web Je demande l’authentification pour les flux HTTP à l’intention de mon serveur Web Intranet J’autorise les « ICMP echo » à sortir et les « ICMP reply » à entrer J’interdit tout le reste

Principe de fonctionnement (2) # Règles basiques (Any signifie « tout le monde ») access-list 100 permit tcp any 192.168.1.0 255.255.255.0 eq www access-list 100 permit udp any 192.168.1.0 255.255.255.0 eq domain access-list 100 permit tcp any host 192.168.3.10 eq www access-list 100 permit tcp any host 192.168.3.10 eq ftp # Permet de laisser passer tous les flux entre deux réseaux access-list 100 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 # Les messages ICMP access-list 100 permit icmp 192.168.1.0 255.255.255.0 any echo-request access-list 100 permit icmp any 192.168.1.0 255.255.255.0 echo-reply # Influence de l’ordre des régles (l’inverse ne sert à rien) access-list 100 deny host 192.168.1.10 any eq telnet access-list 100 permit 192.168.1.0 any eq telnet # Règle souvent implicite, à préciser tout de même pour plus de clarté access-list 100 deny ip any any Ordre de filtrage des datagrammes

Architecture Il est important de cloisonner les flux Permet d’éviter qu’un service défaillant compromette la sécurité de l’ensemble de l’infrastructure Permet de contrôler les flux entre chaque échange Architecture Multi-strates (n-tiers) Chaque zone reçoit un niveau de sécurité, les périmètres sont clairement définis et les échanges parfaitement identifiés Permet un meilleur cloisonnement et une meilleure séparation des flux Permet une meilleur protection des services en fonction de leur importance relative

Où placer un Firewall Exemple typique

La DMZ Zone démilitarisée

La DMZ (2) Par la création d’une zone démilitarisée, le Firewall isole physiquement les réseaux interconnectés. Des règles spécifiques pour les accès Internet vers les serveurs et Intranet vers les serveurs sont donc possibles, Les flux directs de l’Internet vers le réseau (et réciproquement) sont strictement interdits, Dans cette zone, on place généralement : les machines qui auront un accès direct avec l’Internet (serveurs mandataires WEB, FTP, SMTP…°) et accessibles depuis l’extérieur la machine supportant les “ sas applicatifs ” chargés du contrôle lourd des flux (y compris les éventuelles identification/authentification)

Avantages et inconvénient d’une DMZ Un intrus doit s’introduire dans plusieurs systèmes différents sans se faire détecter afin d’accéder au LAN Varier les types de Firewall à un intérêt Permet de définir des niveaux de sécurité Permet de séparer ce qui doit être visible de ce qui ne doit pas l’être Permet la mise en place de proxy/bastion afin d’éviter les accès directs (Int/Ext et Ext/Int)

Autre exemple Architecture n-tiers (3-tiers)

Autre exemple (2) L’utilisation de plusieurs DMZ permet de séparer les flux en fonction de leur sensibilité (une DMZ dédiée aux réseaux partenaires, une DMZ dédiée aux services Internet public…), Le firewall externe est dédié à la gestion des flux complexes et évolutifs venant de l’Internet, Le firewall interne est dédié à la gestion des flux assez stables provenant du firewall externe et du réseau interne.

Règles de configuration (1) Maîtriser les flux qui transitent Autoriser explicitement les flux Interdire tout le reste L’ordre des règles à une importance Protéger Internet comme vous protégez votre réseau Le filtrage doit aussi empêcher vos utilisateur d’entamer des actions malveillantes (attaques, propagation de virus, … ) Faire du filtrage aussi sur les serveurs Notamment sur les serveurs très exposés Web, DNS, FTP, … Le risque d’erreur sur les deux équipements simultanément est faible Garder (et sauvegarder) les configurations antérieures et s’assurer qu’on est en mesure de palier à une défaillance du système (logique ou physique)

Règles de configuration (2) Interdire le source-routing souvent nécessaire à l’IP spoofing Configurer l’anti-spoofing Interdire les datagrammes fragmentés Source de Dénis de Service (DOS) Rendent la détection d’intrusions difficile Confiner au maximum les protocoles utilisant des attributions de ports dynamiques et aléatoires RCP (NFS, NIS,…), FTP Actif, … Confiner au maximum les protocoles qui sont intrinsèquement faible en terme de sécurité NFS, NIS, ICQ, partage de fichier, protocoles inconnus ou non documentés

Règles de configuration (3) Un Firewall doit être administré Le niveau de sécurité dépend en grande partie de la compétence des administrateurs et de leur disponibilité Doit impérativement être maintenu à jour La plus grande source de problèmes sont les version non à jour Un Firewall doit être surveillé Un maximum d’information doivent être collectées, stockées et analysées (si possible en temps réel) Collectées A partir d’un maximum d’équipements (Firewall, serveurs, …) Stockées Dans une base de données pour faciliter les traitements ultérieurs Analyse des log Il existe des outils pour aider l’administrateur Permet la détection des incident et des tentatives d’intrusion Doivent exister avant l’intrusion, après il est trop tard !

Autres considérations Nécessite des compétences et de l’attention Ne pas ce fier à la convivialité de l’interface Une erreur de configuration peut anéantir la politique de sécurité Varier au maximum les produits et solutions En matière de sécurité l’hétérogénéité est un avantage si l’administration est effectuée correctement Le Firewall peut être la cible d’attaques Le Firewall peut être un maillon faible « Single point of faillure »

Choisir son Firewall (1) Quelles seront ses fonctionnalités ? Le Firewall est chargé d’appliquer la politique de sécurité que vous avez défini, il est donc important qu’il soit adapté à celle-ci et au niveau de sécurité que vous souhaitez atteindre Quels services doit-il offrir ? Accès Internet, DMZ, accès internes, VPN, … Quel niveau de sécurité doit-il offrir ? Les exigences d’une petite entreprise ne sont pas les mêmes que celle d’une banque ou d’un société qui fait du e-business Quel sera sa charge ? Évaluation REALISTE de la quantité de flux à traiter Quel niveau de fiabilité (résilience) doit-on atteindre ? Si votre activité repose essentiellement sur Internet ou vos liaisons avec vos partenaires il est bon de s’assurer de la disponibilité des équipement et des services (providers…)

Choisir son Firewall (2) Quelles sont vos contraintes ? De quel budget disposez vous ? Quelles sont les ressources (Homme) dont vous disposez ? Administrateur sécurité ? Quelles sont les compétences dont vous disposez ? Acquis, Formations, Intervenants Dans quel environnement évoluez vous ? Contraintes politiques (Contructeurs/OS interdits) Peut-on faire évoluer ces contraintes ? Où seront installées les équipements ? Législation ? Concurrence Internationale ? Faut-il se méfier des produits importés ?

Choisir son Firewall (3) Évaluer les produits disponibles Il n’y a pas de réponse à la question :  « Quel est le meilleur Firewall  ? » La vrai question qu’il faut se poser est : « Quel est le meilleur Firewall dans votre contexte ? » Prix Matériel, Logiciel, Assistances, Maintenance, Administration, Installation Supervision & Administration Quels sont les outils disponibles ? Évolutivité Du matériel, des performances, des services Adéquation avec les besoins ?

L’offre en matière de Firewall LARGE ! Produits commerciaux Arkoon, CA, Checkpoint, Cisco, Matra, Netasq, Nokia, Stonesoft, WatchGuard, … Deux Leaders : Checkpoint, Cisco Des aspects marketing qui font souvent perdre de vue le but premier d’un Firewall Opensoure Netfilters/Ipchains (Linux), Ipfilter (Unix), PacketFilter (BSD) Des fonctionnalités et une modularité importante Une administration peu conviviale Rester critique, essayer Il n’existe pas de produit cumulant tous les avantages

Relais applicatifs

Présentation Un relais applicatif se place entre un client et un serveur interceptant les requêtes et les relayant Pour masquer la structure interne d’un réseau Du réseau privé vers Internet Toutes les requêtes des clients d’un LAN sont masquées par le proxy diminuant ainsi la surface visible du réseau Permet aussi de simplifier la configuration d’un Firewall en limitant les autorisations de sortie à une seule machine D’Internet vers le réseau privé Le serveur n’est pas directement adressé diminuant ainsi son exposition (serveur Web masqué par un Proxy) On parle de Reverse-Proxy L’adresse publique du serveur est en fait celle du proxy Pour filtrer les accès à la manière d’un Firewall Pour mettre en place des mécanismes d’authentification et de contrôle d’accès Pour maintenir un cache des fichiers échangés de manière à diminuer la consommation de bande passante

Architecture (1)

Architecture (2)

Architecture (3)

Les protocoles supportés Un relais applicatif peut être spécifique à un protocole HTTP, HTTPs, FTP, SMTP, NNTP, … Mais il peut être aussi générique SOCKS Dans ce cas le relais ne « comprend pas » le protocole il se contente de relayer les requêtes avec son adresse comme adresse source Peut effectuer la redirection de flux vers des machines spécifiques en fonction de critères prédéfinis Permet de faire du NAT (Network Address Translation) Permet également l’encapsulation d’un protocole dans un autre ex : IRC dans HTTP

Filtres applicatifs

Présentation Filtrage applicatif Avantages Relais applicatif + filtrage des échanges d’une application Filtrage d’URL (type Websense) Filtrage Antivirus, blocage d’applets Java, ActiveX Modification ou conversion du contenu Conversion de protocole (ex : SMTP -> NNTP) Modification d’un jeu de caractére (ex: japonais vers ANSI) Spécifique à chaque protocole Avantages Une plus grande finesse dans le contrôle des échanges

Remarques En cas de débits importants l’impact sur les performances peut être important ex : Filtrage Antivirus SAS Telnet SMTP FTP HTTP

L’offre en matière relais et filtres applicatifs Relais applicatifs Apache iplanet (Netscape) ISA server (Microsoft) M>Wall (Matra) NetWall (Bull) Squid … Filtres applicatifs Cache engine (Cisco) DeleGate – Proxy / Firewall / Filtres App Interscan VirusWall – AntiVirus (Trend Micro) Websense – Filtrage d’URL WebShield – AntiVirus (McAfee)

Exemple d’architecture

Exemple d’architecture

Détection d’intrusions

Détection d’intrusions - plan Introduction et principes généraux Caractéristiques techniques La détection d’intrusions réseau (NIDS) Outils complémentaires Conclusion partielle Nous reviendrons sur la détection d’intrusions dans les chapitres suivants (Systèmes et Services)

Détection d’intrusions Définition Faux positif : Détection d'attaque(s) en absence d’attaques Faux négatif : Absence de détection en présence d'attaque(s) Il est préférable d’avoir des faux positifs que des faux négatifs

Détection d’intrusions Introduction Seulement 5 à 15% des intrusions sont détectées… Attaques détectées Faux négatif Faux positif Notifications IDS Attaques Nombre total de transactions

Stratégie La détection d’intrusions doit être vue comme une composante (couche) importante de la stratégie de sécurité de l’entreprise Les IDS du système d’information doivent faire l’objet d’une surveillance et d’une maintenance TRES régulière Sa fonction de base reste la surveillance même si certains IDS peuvent adopter un comportement actif

Catégories Les NIDS (Network IDS) Les HIDS (Host IDS) Les NIDS et HIDS sont complémentaires Chaque approche à ses avantages et inconvénients Ils ne sont pas des solutions miracle, mais ils sont indispensables

Le processus IDS Obtenir les informations Les analyser Réagir Les flux et les événements L’intégrité des systèmes et données Les analyser Réagir Avertir les administrateurs de toute activité anomale En influant sur la configuration des systèmes de sécurité (! Danger)

Ce que peut faire un IDS Renforcer la sécurité du SI Surveiller l’application de la politique de sécurité de l’entreprise en : Reconnaissant les (tentatives) attaques Internes et externes Surveillant l’activité des utilisateurs Palliant à des problèmes de configuration Faille d’un firewall (problème de configuration, port normalement ouvert ex: www, …), Faille d’un logiciel pour lequel il n’existe pas encore de correctif

Critères de choix d’un IDS Fiabilité Peu de faux positif Pas ou peu de faux négatif Réactivité Mises à jour rapides et personnalisables Facilité de mise en œuvre Performance Multicanal

Approche comportementale Approche par scénarios Caractéristiques IDS Audit réseau Source de données Audit système Audit applicatif Alertes IDS Approche comportementale Méthode de détection Approche par scénarios Systèmes de Détection d’intrusions Centralisée Analyse des données Distribuée Périodique Utilisation Continue Informatif Comportement après détection Défensif

Méthodes de détection Approche comportementale Basé sur l’hypothèse qu’une intrusion implique un usage anormal du système et donc un comportement inhabituel d’un utilisateur Répond à la question : « le comportement actuel de l’utilisateur est-il cohérent avec son comportement passé ? » Vue synthétique du comportement utilisateur Obtenu grâce à un modèle statistique

Méthodes de détection Les avantages Les inconvénients Pas besoin d’une base d’attaques Détection d’intrusions inconnues possible Les inconvénients En cas de changement important de l’environnement de travail déclenchement d’un flot d’alertes (risque de faux positif) Un utilisateur peut changer lentement de comportement de manière à habituer le système à un comportement intrusif (risque de faux négatif)

Méthodes de détection Approche par scénarios Fonctionne grâce à une base de données d’attaques ou d’actions litigieuses La détection d’attaques se fait par des méthodes d’analyse de signature (patern matching) Répond à la question : « Le comportement actuel de l’utilisateur correspond t’il à un comportement intrusif connu »

Méthodes de détection Les avantages Les inconvénients prise en compte du comportement exact des utilisateurs Peu de faux positifs en théorie Les inconvénients Base de scénarios difficile à créer et à maintenir (risque de faux négatif) Pas de détection d’attaques inconnues

Les produits Classification des produits

Analyse des données Centralisée Distribuée Un seul administrateur / Une console Convient pour des structures modestes ou intégrant de très bon personnels/outils Distribuée Distribution de la surveillance sur les différentes entités de l’entreprise Les personnels ont-ils tous les moyen d’assumer cette charge ?

Utilisation Périodique (Traitement par lots) Continue (Temps-Réel) Historiquement l’analyse des fichiers d’audit se faisait périodiquement Manque de réactivité Se retrouve plus dans les HIDS Continue (Temps-Réel) Analyse le flot de données au fur et a mesure Plus réactif mais nécessite l’attention permanente des superviseurs

Comportement après détection Notification Supervision réseau : Syslog, SNMP Trap, … Administrateur (humains) : SMS, E-mail, … Parades Modification de la configuration d’un système Typiquement un ajout d’ACL sur un Firewall Reset de connexion Éventuellement la désactivation d’un compte utilisateur ou l’arrêt d’un service…

Network IDS (NIDS) Sommaire Présentation Principe de fonctionnement Avantages Inconvénients Comment les placer ? Aperçu de l’offre

Les NIDS (Network IDS) Définition Représente la majorité des offres Basés le plus souvent sur une approche par scénarios Inutiles lors de l’utilisation du chiffrement Disposent le plus souvent de 2 interfaces Une pour écouter le réseau L’autre pour l’administration Ne sont pas à l’abri d’une attaque

NIDS, Principe de fonctionnement Modèle CDIF

Avantages des NIDS Quelques NDIS bien placés peuvent surveiller un très large réseau Permettent de détecter des attaques utilisant des failles pour lesquels il n’existe pas encore de correctif Possibilité d’écrire des règles personnalisées Temps Réel Faible impact sur le réseau (transparent) Quasiment invisible, relativement sécurisé

Inconvénients des NIDS Ne peuvent pas analyser les flux chiffrés IPSec, HTTPs, SSH, … Le flux analysé peut ne pas être représentatif de ce qui se passe réellement Certains IDS ont du mal à traiter Des flux fragmentés Des paquets mal formés Peuvent parfois être la cible d’attaques

Inconvénients des NIDS Difficile à mettre en œuvre en environnement commuté Le commutateur doit avoir un port capable de rediriger les flux qui le traverse Il n’est pas possible de rediriger tout le trafic Peut être intégré aux commutateurs Problèmes de performances Base d’attaques relativement limitée Peut avoir du mal à surveiller des réseau haut débit

Comment les placer ? Différents emplacement d’intérêt variable

Comment les placer (2)? Exemple concret.

Aperçu de l’offre Comparatifs.

IDS conclusion L’offre évolue rapidement mais encore beaucoup de techniques de détection d’intrusions n’en sont qu’au stade de la recherche La détection d’intrusions est destinée à des experts Maintenance et supervision exigeante Analyse des alertes Faux positifs et Faux négatifs Elle nécessite de la méthode Gestion des incidents, procédures d’escalade Collecte d’informations et poursuites Ne pas se fier au discourt marketing C’est un composant optionnel de l’infrastructure de sécurité que l’on ne peut mettre en place que si l’on dispose de personnel correctement formé ayant du temps à consacrer à cette tâche.

Outils d’audit de sécurité Externe ou interne Manuel ou automatisé Tests intrusifs par des experts sécurité Donne un aperçu non exhaustifs des problèmes de sécurité Logiciels (Nessus, Cybercop scanner…) En mode ASP ou MVA Analyse de la surface Internet de l’entreprise Service déporté souvent facturé à l’@IP Quelques noms : Intranode, Qualys, …