Sécurité des systèmes et des réseaux télécoms Gérard Peliks Marketing Solutions Entreprise EADS TELECOM gerard.peliks@eads-telecom.com
Plan Un monde plein de menaces Comment se protéger ? Deux applications La protection périphérique de l’Intranet L’authentification forte du nomade Le chiffrement des échanges (VPN) La protection du poste de travail La protection des informations Deux applications La téléphonie sur IP Les réseaux sans fil pour une entreprise étendue et sécurisée
Attaques et vulnérabilités répertoriées par le CERT 2003 Total d’incidents reportés (1988-2002): 182463 Attacks and their costs The CERT (Computer Emergency Response Team – www.cert.org) is a group of international organizations that keeps statistics about the number of attacks that have occurred on networks and vulnerabilities discovered in systems (only those about it is notified). It was notified about 6 attacks in 1988, 252 in 1990, 2412 in 1995, 21756 in 2000, 52658 in 2001 and 73359 during the first three quarters of 2002. This means that the number of attacks is explosive and that we are all threatened. It is interesting to compare reported incidents with weaknesses discovered in computer systems and notified to the CERT. These incidents can be very dangerous if they take advantage of these weaknesses. Gartner Research estimates that by 2003, 50% of SMEs will be attacked through the Internet and the amount of damage in France will be close to 2 billion Euros. The 2 to 5% of computer budgets spent by Companies for security seem modest considering the risks incurred. An FBI study carried out in 2001 indicates that Web attacks had doubled, that 64% of all Companies had suffered financial losses after attacks on their information systems, and that for 70% of these Companies the Internet was the cause of the problem. According to an enquiry carried out by Datamonitor in 2002, the cost of damage caused by attacks on networks is now US 15 billion per year, and this figure is increasing every year. Total de vulnérabilités reportées (1995-2002): 9162
Principaux accidents de sécurité en coûts Source OMNI Consulting Group 2002 aux USA et en Europe
LA PROTECTION PERIPHERIQUE Pour que l’Intranet soit un réseau privé
Le Firewall, une protection périphérique ? Firewall DMZ Réseau non protégé Réseau protégé Danger
Les différents niveaux de sécurité Précision du filtrage, haute sécurité Pourquoi le traitement applicatif ? U A … paquets … Entête Données applicatives Filtre de paquets avancé Traitement applicatif Filtre de paquets dynamique Filtre de paquets
L’AUTHENTIFICATION FORTE Qu’est-ce que c’est ?
Internet et l’entreprise Clients - Fournisseurs - Partenaires - Clients - Fournisseurs - Partenaires - Clients - Fournisseurs - Partenaires - Partenaires Clients Fournisseurs Entreprise
“Sur internet, personne ne sait que tu es un chien” On the Internet, no-one knows you’re a dog! What we need to do is create the same levels of trust for the electronic world as we are used to in the traditional, paper-based world. Image RSA “Sur internet, personne ne sait que tu es un chien”
Quel média pour l’authentification ? Par ce qu’on est Par ce qu’on sait Par ce qu’on a Le fait d’utiliser le réseau Internet pour de l’accès à distance ou pour une connexion à partir de l’Intranet laisse planer un sérieux doute sur le niveau de sécurité offert par les systèmes d’authentification traditionnels reposant sur la fourniture d’un mot de passe. En effet, ces derniers ne sont pas sûrs (interception, craquage…) et peuvent être utilisés pour pénétrer le système d’information de l’entreprise. Pour répondre à cette difficulté, il est donc nécessaire de déployer des solutions d’authentification forte. Les deux principales sont : O/ Les mots de passe dynamiques (qui ne sont valides qu’une seule fois) : ils prennent la forme soit d’un logiciel, soit d’un boîtier semblable à une calculatrice, soit à une carte à puce. o/ Les certificats électroniques accompagnés du principe de clefs publiques et privées : ils sont stockés sur l’ordinateur (déconseillé), sur un token ou une carte à puce. Par une combinaison de deux de ces facteurs
LE RESEAU PRIVE VIRTUEL (VPN) Grandeur et servitude
Passerelle Tunnel Réseau privé Réseau privé Réseau non protégé
Tunnel client Firewall Réseau privé Réseau non protégé Poste nomade Passerelle tunnel Tunnel client Réseau privé Réseau non protégé Poste nomade
Le mécanisme des clés asymétriques Nom : ... Valable : du … au … Numéro de série: ... Qualité : ... Service : ... Société : ... Émis par : ... e-mail : ... Algorithme : … clé publique Nom : ... Valable : du … au … Numéro de série: ... Qualité : ... Service : ... Société : ... Émis par : ... e-mail : ... Algorithme : … clé publique clé publique clé publique clé privée clé publique Clé A Clé A Clé B Nom : ... Valable : du … au … Numéro de série: ... Qualité : ... Service : ... Société : ... Émis par : ... e-mail : ... Algorithme : … clé publique Clé B Nom : ... Valable : du … au … Numéro de série: ... Qualité : ... Service : ... Société : ... Émis par : ... e-mail : ... Algorithme : … clé publique clé publique Message clair Message clair Message chiffré Nom : ... Valable : du … au … Numéro de série: ... Qualité : ... Service : ... Société : ... Émis par : ... e-mail : ... Algorithme : … clé publique clé publique Autorité de Confiance PKI Nom : ... Valable : du … au … Numéro de série: ... Qualité : ... Service : ... Société : ... Émis par : ... e-mail : ... Algorithme : … clé publique clé publique Nom : ... Valable : du … au … Numéro de série: ... Qualité : ... Service : ... Société : ... Émis par : ... e-mail : ... Algorithme : … clé publique clé publique
Attaque d’un poste client durant un VPN Agresseur attaque attaque attaque rebond Réseau protégé Réseau non protégé Poste nomade
COMPATIBILITE ET INTEROPERABILITE IPSec AH DES/3DES/AES SHA1 MD5 ESP IP RSA Compatibilité et interopérabilité avec tous types de flux, protocoles, algorithmes, standards …
LA PROTECTION DU DISQUE Contre la perte d’informations
La protection des informations du poste nomade
La protection des informations du poste nomade La " partition T: " confidentielle apparaît, son contenu est déchiffré.
La protection des informations du poste nomade X La " partition T: " confidentielle disparaît, son contenu est chiffré.
La Téléphonie sécurisée sur IP The secure Telephony over IP offer provides integrators with a preintegrated, certified, robust and tested convergence solution (up to 250 encrypted voice channels, no loss of QoS). It can be deployed as being dedicated to a specific application (for example a call center), or for all flows in the information system. With this solution, security is no longer an inhibiting factor for distribution of telephony over IP. EADS TELECOM now offers secure convergence solutions expected by the market.
Migration de la base installée des PBX PBX traditionnels Carte IP Succession 6500 Telephonie sur IP M6500 IP OU IP backbone M6500 Migration vers IP
La sécurité pour la ToIP Media Gateway Serveurs DMZ Voix Gestion distante IP Client VPN Autre DMZ WAN Site distant Passerelle VPN Internet Télétravail SOHO LAN Client VPN LAN commun (VLAN) IP phone Telephony Software PC Manager Local
Le problème des réseaux sans fils Une menace majeure
INTEGRATION et ADMINISTRATION Le sans fil Facilité d’installation Sensibilité au brouillage Coût inférieur Déni de service Mobilité Saturation des fréquences Destruction physique SECURITE ?? APPLICATIONS BACKBONE IP ACCES INTEGRATION et ADMINISTRATION SECURITE
La sécurité des réseaux sans fil Intranet SSID 802.11b Authentication faible Chiffrement faible (WEP RC4) Contrôle d’intégrité faible Code mac 802.11i Bonne authentification 802.1x / EAP Bon chiffrement (AES) Bon contrôle d’intégrité Internet
La sécurité pour le réseau sans fil DMZ Sans fil bulle de risque Internet Intranet terminaux mobiles Serveur réseau Points d’accès
L’ENTREPRISE ETENDUE Pour concilier sécurité et mobilité dans et hors de l’entreprise
Vers l’entreprise étendue et sécurisée 3 NOMADES FILIALE 1 FILIALE 2 1 ENTREPRISE FOURNISSEURS PARTENAIRES 2 Une entreprise = plusieurs interfaces privilégiées avec l’extérieur Admin centralisée, SSO Une entreprise = plusieurs sites
Questions ? Je vous remercie pour votre attention Gérard Peliks Responsable Solutions de Sécurité Marketing Solutions Entreprise EADS TELECOM gerard.peliks@eads-telecom.com +33 1 34 60 88 82