Quelques éléments sur la sécurité informatique au LRI Jean-Claude Barbet - LRI
Quelques définitions... Sécurité : « Etat qui permet d’assurer la disponibilité, l’intégrité et la confidentialité d’un système d’information. » Une politique de sécurité est un ensemble d’actions qui doit prévenir les risques d’indisponibilité, de perte de confidentialité, de modification frauduleuse des informations. Ces risques sont liés à des vulnérabilités connues à un instant donné. Une compromission résulte de l’exploitation d’une vulnérabilité visant à remettre en cause l’état de sécurité.
Les vulnérabilités D’ordre organisationnel : Interdire les accès depuis l’extérieur ? Pas de visiteurs ? - Interdire Windows et Unix ? - Arrêter les machines toutes les nuits pour les patcher ?
Quelques chiffres Le CERT-RENATER a publié 290 avis de vulnérabilités depuis le début de l’année 2003 VULN289 11/09/2003 RPCSS Vulnerabilities in Microsoft Windows VULN285 04/09/2003 Unchecked buffer in Microsoft Access Snapshot Viewer Could Allow Code Execution VULN284 04/09/2003 Flaw in Visual Basic for Applications Could Allow Arbitrary Code Execution VULN283 04/09/2003 Buffer Overrun in WordPerfect Converter Could Allow Code Execution VULN278 27/08/2003 Security Vulnerability in the Solaris 9 in.ftpd(1M) Server May Allow Unauthorized "root" Access VULN277 27/08/2003 RedHat: GDM allows local user to read any file VULN274 26/08/2003 SGI: Sendmail DNS Map Vulnerability VULN270 21/08/2003 Microsoft: Unchecked Buffer in MDAC Function Could Enable System Compromise VULN267 21/08/2003 Cisco: CiscoWorks Application Vulnerabilities En moyenne une vingtaine de scans de ports par jour sur le réseau du LRI
Conclusion... 1 Le monde est dangereux 2 Nous sommes vulnérables
Fondement de la politique de sécurité informatique du LRI Cloisonnement des réseaux, à l’aide d’un switch/routeur filtrant : R O U T E Internet SAS U-Psud LRI interne ENSEIGNEMENT EXPERIENCES
Tout ce qui n’est pas autorisé, est interdit. FILTRAGE IP Communication TCP/IP : (IP Client / Port Client) (IP Serveur / Port Serveur) Ensemble de rêgles ( permit, deny) appliquées sur chaque interface du routeur pour les communications TCP/IP access-list 100 permit tcp any host 129.175.15.1 eq 22 access-list 100 permit tcp any host 129.175.15.1 established access-list 100 deny tcp any host 129.175.15.1 Tout ce qui n’est pas autorisé, est interdit.
Réseau SAS ( services accessibles de l’extérieur ) Réseau LRI INTERNE( le plus fermé possible...) Réseau ENSEIGNEMENT(accès très restreint...car libre-service) Réseau EXPERIENCE ( règles particulières...mais très restreint vers LRI INTERNE)
Réseau EXPERIENCE : Accès selon besoin depuis extérieur AUCUN accès des machines EXPERIENCE vers INTERNE (sauf DHCP) Réseau WiFi, etc...
Avantages SSH SSH remplace avantageusement les « r-commandes » : rlogin, rsh, rcp par slogin ssh scp. De plus il gère de façon transparente l’affichage X-Windows Permet une authentification forte (RSA) basée sur un couple (clé secrète, clé publique) par utilisateur.
SSH améliore la sécurité, mais... un password peut être trouvé autrement que par l’écoute du réseau. SSH est un service qui peut lui-même contenir des vulnérabilités..
Difficultés propres au LRI Demande de connectivité forte. Comportement de type « télé-travail ». « Vieille » culture informatique...et étudiants « hackers » Grande diversité des outils utilisés. par exemple le mail : Eudora, Netscape, Outlook, /bin/mail, elm, pine exmh, vm/emacs, mutt, kmail, Sylpheed, etc...
Description du dernier piratage sur la machine lri.lri.fr Connexion avec login-password valide sur lri.lri.fr. Exploitation d’une faille locale (priocnt) Passage en mode su Effacement des traces Chargement, compilation d’un serveur ssh Chargement, compilation d’un sniffer Récupération de mots de passe sur des connexions ftp sortantes