Sécurité des Réseaux Informatiques Par Arnaud DEGAVRE & Gihed MEFTAH DESS Réseaux – Université Claude Bernard Lyon 1 Promo 2000
Sommaire L'informatique et l'entreprise La protection des données Actions des pirates Statistiques Un peu de vocabulaire Les différentes attaques possibles Méthodes les plus répandues Mesures pratiques Évaluer sa sécurité : outils Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 2
L'informatique et l'entreprise A l'aube du 3ème millénaire, toute entreprise, quelque soit sa taille, est informatisée. Son informatique s'étend à tous ses services : Production, Administration, Gestion, Recherche, Etc. Système d'information communicant mise en réseau de ces services Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 3
L'informatique et l'entreprise L'informatique est un outil utilisé par : Le personnel sédentaire Réseau local (si un seul site) Réseau distant (si plusieurs sites) Le personnel itinérant Ouverture du réseau interne vers l'extérieur Autant de risques pour les données Mise en place d'une politique de sécurité Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 4
La protection des données La sécurité des données se définit par : La disponibilité Offrir à l'utilisateur un système qui lui permette de continuer ses travaux en tout temps. Peut être interrompue à la suite d'un sinistre tel que la panne, la rupture physique du réseau, l'erreur, la malveillance, etc. L'intégrité Garantir la qualité de l'information dans le temps. Peut être détériorée suite à des erreurs telles que saisie d'information erronée voire illicite, destruction partielle ou totale de l'information, etc. La confidentialité Se prémunir contre l'accès illicite à l'information par des personnes non autorisées. Peut être piratée, détournée, etc. Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 5
Actions des pirates Simple accès au réseau, Destruction, dommages ou modification des données, Contrôle du système, en refusant l'accès aux utilisateurs privilégiés, Génération des messages dont le destinataire est le réseau piraté (spamming), Implémentation de procédures provocant la défaillance, le ré-amorçage, l'immobilisation… du réseau. Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 6
Statistiques… Selon Computer Security Institute, sur 520 sites interrogés en 1998 : 64% ont signalés des violations de sécurité, 25% ont souffert d'attaque par déni de service, 25% ont fait l'objet d'une intrusion à distance, 54% ont indiqué qu'Internet constituait le point d'entrée pour les intrus. Selon un chercheur en sécurité : Dan Farmer Les sites, testés directement par le chercheur, sont ceux des banques, des organismes de crédit, etc. Plus de 65% des sites testés sont vulnérables aux attaques les plus connus, Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 7
Statistiques… Selon Ernst & Young De nombreuses cibles possédaient des pare-feu. Selon Ernst & Young Étude portant sur 4 000 directeurs informatiques interrogés sur une grande variété de points concernant la sécurité Internet et le e-commerce sécurisé 35% n'employaient pas de systèmes de détection d'intrusion, 50% ne surveillaient pas les connexions Internet, 60% ne possédaient aucune stratégie écrite pour répondre aux incidents de sécurité. Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 8
Un peu de vocabulaire… Écoute passive Substitution Rôle du sniffer : vol de l'information, de mot de passe. Substitution Spoofing : trucage de la source (se faire passer pour un autre). Cheval de Troie (trojan) Traitement frauduleux sous le couvert d'un programme autorisé. Déni de service Rendre impossible l'accès à un service en le neutralisant ou en le submergeant. Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 9
Un peu de vocabulaire… Bombe logique Flood Capture de frappe Tout programme qui provoque le plantage d'un système (en général malveillant). Flood Un ou plusieurs outils qui permettent d'inonder la file d'attente de connexion d'un système exploitant TCP/IP et provoquant ainsi un déni de service. Capture de frappe Utilitaire qui capture à l'insu de l'utilisateur sa frappe ; utilisé pour obtenir le nom et mot de passe d'un utilisateur. Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 10
Les différentes attaques possibles Attaques sur les systèmes Intégrité du système, Exécution de processus non autorisée, Cheval de Troie, Etc. Attaques sur les protocoles de communication Intrusion, Attaques du noyau (IP snoofing, TCP flooding, etc.), Exploiter les failles des protocoles (ICMP, UDP, etc.), Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 11
Les différentes attaques possibles Attaques sur l'information Propagation d'un virus dans l'entreprise, Écoute des données échangées sur le réseau, Modification des données pendant leur transport, Etc. Attaques sur les applications Applications à risque (DNS, SNMP, HTTP, NFS, FTP, SMTP, etc.), Attaquer des applications connues (Oracle, Office…), Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 12
Méthodes les plus répandues… Système D ou "ingénierie sociale" Terme utilisé par les hackers pour une technique d’intrusion sur un système qui repose sur les points faibles des personnes qui sont en relation avec un système informatique. Piéger les gens en leur faisant révéler leur mot de passe ou toute autre information qui pourrait compromettre la sécurité du système informatique. Deviner le mot de passe d’un utilisateur. Les gens qui peuvent trouver des informations sur un utilisateur, peuvent utiliser ces informations pour deviner le mot de passe de ce dernier (le prénom de ses enfants, leur date de naissance ou bien encore la plaque d’immatriculation de sa voiture sont tout à fait candidats à être des mots de passe). Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 13
Méthodes les plus répandues… Spoofing : usurpation d'adresse IP Cible : serveur(s) de l'entreprise même protégé(s) par un pare-feu But : tromper la machine cible pour obtenir un droit d'accès Méthode : L'@ IP de l'agresseur sera un client certifié par le serveur Construction d'une route source jusqu'au serveur Riposte : Chiffrer les sessions avec ssh Filtrer les paquet IP issus de l'Internet mais arborant une adresse source locale Lire les avis du CERT 95-01 CERT 96-21 Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 14
Méthodes les plus répandues Ping de la mort (Ping Of Death) Cible : serveurs et routeurs But : Paniquer la machine et la bloquant en déclenchant une série de refus de connexion (deny of service) Affaiblir l'adversaire, l'empêcher d'agir Méthode : Envoyer un paquet 1 octet plus gros que le datagramme du ping Fragmentation du ping et à l'arrivée le serveur se bloque en tentant de recoller les fragments. L'écho répond dans le vide Variante du flooding. Riposte : La plupart des systèmes sont protégés contre cette attaque : les outils de ping sont limités à 65500 octets Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 15
Méthodes les plus répandues Attaque frontale Cible : toute machine connectée à Internet protégée par un identifiant et un mot de passe But : obtenir les droits sur cette machine pour remonter vers le serveur Méthode : Tentative par telnet (même sécurisé) ou ftp Moulinette pour trouver mot de passe Riposte Mot de passe dynamique Calculette du type Secure ID Questions bloquantes posées durant la session d'identification Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 16
Méthodes les plus répandues Cheval de Troie (Trojan) Cible : système d'exploitation de la machine déjà attaquée But : récupérer les données Méthode : C'est un programme p de petite taille caché dans un autre programme P. Lorsque P est lancé, p se lance également et ouvre les ports. p verrouille alors tous les programmes de protection et d'identification Riposte : Les Antivirus Les patchs Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 17
Méthodes les plus répandues Mail Bomber Cible : machine recevant des e-mails But : planter la machine car un système planté est vulnérable Méthode : bombarder de mails une machine Il existe des programmes (UpYours) qui permettent de lancer depuis n'importe quelle machine sur Internet, une multitude (certains génèrent 1000 e-mails/min) de mails vers une personne sans qu'elle sache l'expéditeur. Riposte : Mettre en place une partition pour le répertoire de mails Mettre un quota disque par personne Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 18
Mesures pratiques Mots de passe Sauvegardes Antivirus Ports ouverts Droits sur les serveurs ftp Scripts CGI SSL pour les données sensibles Restriction IP Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 19
Évaluer sa sécurité : outils SATAN Security Analysis Tool for Auditing Networks Package logiciel comprenant Pages HTML pour l'interface et la documentation, Scripts Perl pour la collecte d'informations et l'analyse, Programmes C de tests. Détection de machines et de réseaux, Détection des services disponibles, Détection de bugs connus, Analyse des résultats Par machine, Par réseau, Par service, Par application vulnérable (bug). Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 20
Évaluer sa sécurité : outils COPS Computer Oracle and Password System Ensemble de programmes qui vérifient ou détectent : Les permissions de certains fichiers, répertoires, Les mots de passe, Le contenu des fichiers passwd et group, Les programmes lancés dans etc/rc et cron, Les fichiers SUID root, L'accès à certains fichiers (.profile,.cshrc…), L'installation correcte de ftp anonyme, Certains trous de sécurité (montage NFS…). Audit de sécurité sur une machine UNIX Peut être exécuté sans être root Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 21
Évaluer sa sécurité : outils Internet Scanner Safesuite Suite logicielle d'audit pour tester la sécurité réseau, Test de 140 vulnérabilités, Scan des sites Web, firewalls, routeurs, serveurs NT et Unix, périphériques TCP/IP, Recommandation des corrections appropriées, Configurable et automatisable, Planification périodique des scans, Priorité de niveaux de vulnérabilité, Etc. Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 22
Évaluer sa sécurité Audit en temps réel : Système de détection et de réponse aux attaques en temps réel (en surveillant le réseau), Ex : Agent RealSecure de Firewall-1 Caractéristiques : Reconnaissance des modèles d’attaques, Détection et réponse automatique, Reporting détaillé, Mise à jour fréquente des reconnaissances de modèles d’attaques, Capture des intrus en temps réel, Surveillance du trafic réseau. Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 23
Quelques sites… http://security.web-france.com/ http://www.cru.fr/securite/ Comité Réseaux des Universités http://www.cert.org Computer Emergency Response Team http://www.w3.org/Security/ http://www.urec.cnrs.fr/securite/ Unité Réseaux du CNRS http://www.scssi.gouv.fr/document/index.html Service Central de la Sécurité des Systèmes d'Information Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 24
Merci de votre attention Des questions ? Fin de la présentation Merci de votre attention Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 25