La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr Un message avant de commencer : - les firewall (gardes barrière) ne suffisent plus pour protéger l’ensemble du SI. Ils ne sont plus suffisants pour détecterle « mal » dans l’information transportée dans les flux SMTP et HTTP par exemple. Il faut bien évidemment des antivirus et des antiSpam, mais cela ne suffit pas non plus. Il est bien évident que le comportement humain est primordial.
La vue simpliste, idéaliste En fait La vue simpliste, idéaliste Du chenapan au «criminel » Hackers, pirates, espions, Fraudeurs, Cyber-terroristes, … Internet Il n’y a pas de problème particulier créé par Internet Contenus dangereux (Virus, vers, sites mystifiés, bombes, Ch.de Troie, NON (plaisantins, vengeance, …) Tout le monde est gentil, évite les erreurs, fait attention, travaille sur place Les matériels et logiciels sont parfaits. NON (erreur de configuration, …) NON (on clique trop vite, on télécharge, …) NON (maison, déplacement, …), visiteurs, échanges avec les partenaires extérieurs (filiales, sous-traitants, fournisseurs, …) Réseau d’entreprise NON (failles, contrôles faibles par défaut, pas d’intégration de sécurité par défaut)
Indépendant de notre volonté, seules des législations contraignantes Que faire? Internet Indépendant de notre volonté, seules des législations contraignantes pourraient faire évoluer les choses ?????? Et peut-être une nouvelle génération de protocoles Internet (des travaux en cours) (1) Contrôler les accès, les flux, … (deux sens) (2) Cloisonner les « populations » Différencier les droits, contrôler les accès (services, ressources) et les flux inter-communautés) Réseau d’entreprise En (3) tout équipement et tout applicatif de service doit concourir à renforcer le niveau de sécurité. De plus il serait bien d’avoir une politique de sécurité centrale (cohérence) sur laquelle tout les modules s’appuient. En (6) les poste de travail sortant de l’entreprise doivent être soumis à contrôle particulier, les détenteurs de ces poste avoir une formation particulière. (5) (3) Renforcer la capacité des équipements et des applications à contrôler, détecter, alerter, corriger, interdire, protéger, … (5) Informer guide de bonnes pratiques (6) Contrôle du « nomadisme » (4) Surveillance (monitoring), métrologie, traces (logs).
Trois domaines d’intervention Le réglementaire et juridique (national, international) Le facteur humain Chartes, formation, information l’expertise les guides et recommandations les bonnes pratiques, obligations, … Les technologies
(services purement internes) Exemple de « cartographie » Réseau d’une université L'INTERNET Personnel, étudiant nomade Zône de contrôle Serveurs devant être Visibles de l’extérieur « Visiteurs » Serveurs Intranet (services purement internes) Chercheurs Administration Étudiants
Les domaines de technologies pouvant servir à sécuriser Métrologie, supervision, traces, logs PKI, EAM, SSO Clients légers Durcissement systèmes Authentification VPN Protection du poste de travail Chiffrement données Antivirus, AntiSPAM Proxy / Cache Analyse de contenu Détection d’intrusion Pare-feu Sécurisation du Wi-Fi du nomadisme Communateurs,routeurs (VLAN, filtres)
Serveurs Intranet Chercheurs Administration Exemple d’une université L'INTERNET VPN Chiffrement des infos DMZ Routeur filtrant Relais mail, Web, DNS, Serveur VPN, … Proxy/cache WiFi Pare-feu (filtrage, NAT, relayage, serveur VPN, …) antivirus centralisé, antiSPAM, analyse de contenu, … « Visiteurs » Routeur filtrant VLAN Serveurs Intranet Chercheurs Le pare-feu a des fonctionnalités de : filtrage, NAT (statique, dynamique, port-forwarding, …) Contrôle de contenu (relai niveau application) PROXY avec authentification détection d’intrusion pour certains et même IPS, Il va pouvoir intégrer un anti-virus, ainsi qu’un anti SPAM, etc. Parler de NuFW Administration Étudiants Durcissement de systèmes, filtres, antivirus, analyse de Contenus, supervision, Traces, … AUTHENTIFICATION Pare-feu personnel antivirus, antispy(mal)ware, …
L'INTERNET Serveurs Intranet Honeypot Scanner de vulnérabilités DMZ IDS (Intrusion Detection System) N-IDS Métrologie Supervision Performance, … Scanner de vulnérabilités: Outils plus simple : www.nessus.org NESSUS Nmap www.saintcorporation.com SAINT http://www-arc.com/sara/ SARA IDS (les N-IDS, et les H-IDS) Outils plus simple www.snort.org SNORT (Sourcefire) TCPDUMP ETHEREAL Métrologie Netmet Serveurs Intranet
Séparation des communautés Par VLAN Internet Public Pare-feu On peut rajouter ici, sur le VLAN rose un détecteur de nomade en forme connecté sur le routeur. Ceci afin d’éviter des PC qui ramènent des vers/virus au bureau. PC-Nomades Intranet
VLAN Normalisation : normalisée au travers du protocole 802.q Objectifs Possibilité sur une même infrastructure physique de distinguer entre plusieurs ensembles de machines (réseaux logiques ou virtuels) limiter les domaines de broadcast optimiser les performances (partage de charge éventuel) sécuriser les groupes d ’usagers (contrôle inter-VLAN), les échanges de paquets entre VLAN passent par un élément de filtrage (routeur, …), Spanning-Tree par VLAN (suivant constructeur) administration centrale possible de l ’ensemble du réseau
Les VLANs D1 D3 D2 Communication interne VLAN administration Contrôle des flux inter segment Internet Les VLANs Routeur commutateurs D1 D3 D2 Les VLANS (réseaux virtuels) vont permettre: Limiter les domaines de broadcast Garantir une meilleure sécurité en permettant à des utilisateurs distants de partager des données Facilité la mobilité des utilisateurs (gestion dynamique de la mobilité) Les VLAN requièrent la couche 3 pour la communication entre eux. Communication interne VLAN administration Communication entre VLAN administration et VLAN pédagogie (avec NetflowSwithing de CISCO possibilité pour les paquets suivants de ne plus remonter au routeur)
VLAN Type de VLAN statique (par port ou par adresse MAC) dynamique numéro de port, (possibilité filtrage des adresses MAC par port) adresse MAC (possibilité associer @MAC/@IP) dynamique sous-réseau (IP), protocole (IP, IPX, IPv6, …) par authentification de machine(utilisateur) L ’identité du VLAN est traduite par un champs supplémentaire dans la trame Ethernet (le « tag ») Par adresse MAC Échange des tables d’adresse MAC entre commutateurs Tous les constructeurs (Cisco, Juniper, Foundry, Extreme, 3COM, HP, …) le proposent, actuellement on ne gère plus un réseau sans utilisation de VLAN, sauf toutes petites configurations à population homogène.
VLAN Les commutateurs Les matériels de routage Les serveurs configurés afin d ’identifier les machines et leur affecter un numéro de VLAN commutent les trames au sein d ’un même VLAN Peuvent avoir une certaine connaissance du niveau 3. Pourront servir (*) de proxy pour une certaine connaissance au niveau du routage. Configurer l ’adresse gateway sur les machines ne sera pas nécessaire. Les matériels de routage doivent appartenir à plusieurs VLAN Sur un même lien physique ils voient plusieurs interfaces logiques. Les serveurs Pour des raisons de performance appartiendront souvent à plusieurs VLANs évitant ainsi le passage par les routeurs. Doivent donc être bien protégés (bien administrés).
Le filtrage
Contrôler les flux entre « domaines » Avant d’écrire des filtres Filtrage IP Contrôler les flux entre « domaines » Avant d’écrire des filtres une phase d’étude déterminer/constituer les domaines ’ ’ les flux inter-domaines Tout ceci en prenant en compte la PSSI de l’entreprise Produire les filtres et les appliquer Avec un « scanner » vérifier si l’objectif est atteint Un conseil expliciter les filtres au travers de schémas Cela permet de mieux comprendre la politique mise en oeuvre
tous les champs de l’en-tête paquet (ou presque) Filtrage IP Traitement au niveau 3-4 ISO (IP/TCP) Activé dans un matériel de type « routeur » A noter que les commutateurs intègrent actuellement de telles fonctionnalités (cartes spéciales, ou en natif) Se base sur les information du paquet IP adresses source et destination type de protocole ports source et destination QoS, (flux données, vidéo, voix, SNMP, …) Bits spéciaux : SYN, ACK, RST, … tous les champs de l’en-tête paquet (ou presque)
Les informations utiles pour le filtrage Données En-tête TCP En-tête IP En-tête Eth Ports source et destination (identification de l'application) Les bits ACK, RST, SYN Adresse Mac type de protocole (IP, IPX, ...) ---> ne nous concerne pas. Premier paquet --> pas d'ACK tous les autres l'ont, dans les 2 sens SYN sans ACK --> connexion Adresse source, destination Type de protocole supérieur (TCP, UDP,ICMP,EGP, ...) Options IP (source-routing, ...) En TCP (mode connecté) pour casser une session il suffit de « droper » le paquet d ’initialisation
x11 6000 les clients en général 1024 512 Serveur Client Services RPC (ypbind, lock) les clients en général 1024 rcp, rsh, rlogin Services RPC "root" (ypserv, status, mountd, ...) Clients RPC "root" (ypserv, status, mountd, ...) 560 Services Unix (rlogind, rhsd, ...) 512 Services "officiels" (telnetd, ftpd, smtpd, httpd, ...) Portmap 111 Serveur Client Allocation ports TCP
les clients en général Serveur Client Allocation ports UDP Services RPC (ypbind, lock) 1525 archie RPC(ypbind, lock,) talk, ... 1024 rcp, rsh, rlogin Services RPC "root" (ypserv, status, mountd, ...) Clients RPC "root" (ypserv, status, mountd, ...) 560 Services Unix 512 Services "officiels" Portmap 111 Serveur Client Allocation ports UDP
Il y a plus de type voir les rfcs. Paquets ICMP --> Type et Code (information de filtrage) Type: Destination unreachable Time exceeded Parameter Problem Source Squench Redirect Echo ou Echo Reply TimeStamp ou TimeStampReply Information Request ou Information Reply Code: précisions supplémentaires Il y a plus de type voir les rfcs.
Informations « hors » paquet IP Interface d'entrée (pour IN et pour OUT) Interface physique (eth0, …) ou logique (No de VLAN) Paquet : en transit, généré en local, à destination du système local Fréquence même type de paquet (détection de DoS, attaques, …) Etc.
Principes pour le filtrage (1) Le filtrage est basé sur les adresses. Il faut qu'elles soient correctes (pas de spoofing). Il faut donc une vérification de cohérence en entrée (depuis l'extérieur comme l'intérieur) Un paquet ne satisfait pas les règles --> "drop" Un message de log si violation des règles cela peut faire beaucoup de log, qui va regarder? Faut-il renvoyer un ICMP (erreur) ---> NON, cela pourrait aider les "pirates" a comprendre la politique sécurité du site et l’architecture réseau Bien faire attention a différencier IN de OUT de FORWARD et les interfaces d’entrée, de sortie, etc.
Principes pour le filtrage (2) Faire attention à l’ordre des règles Chaque paquet est analysé par rapport aux règles, Dès qu’une règle est satisfaite : Elle est appliquée au paquet, L’analyse s’achève, Les règles qui suivent ne sont pas pris en compte, Si aucune règle ne s’applique c’est la règle par défaut Faire en sorte que la règle par défaut soit: « Tout interdire, sauf ce qui est explicitement autorisé »
Les caractéristiques par protocole port-s port-d Telnet C--->S TCP X>1023 23 S-->C TCP 23 X Smtp C--->S X>1023 25 S--->C TCP 25 X Nntp C--->S X>1023 119 S--->C 119 X DNS C--->S Tcp/Udp X>1023 53 S--->S 53 53 DNS (transfert de zone/primaire --> secondaire) idem. Si filtres mal mis --> secondaire isole NTP C-->S Udp X>1023 123 NTP S--->S Udp 123 123
Les caractéristiques par protocole port-s port-d Ftp C-->S TCP Y>1023 21 (session de contrôle) S-->C 21 Y « » S-->C 20 Z>1023 (sessions données) C-->S Z 20 Pb
Les caracteristiques par protocoles (suite) port-s port-d Http C-->S TCP X>1023 80 Proxy-Http " » X>1023 8080 X11 « TCP X>1023 6000 (ou 6001, …) Syslog C-->S UDP X>1023 514 port-s port-d SNMP UDP X>1023 161,162
Il reste le P2P qui représente plus de difficulté. Les caracteristiques par protocoles (suite) "r-command" TCP X<=1023 512 (rexec) 513 (rlogin) 514 (rsh,rcp,rdist) Ne pas laisser passer RPC (YP, NIS, NFS, ...) TCP/UDP Z alloué par le port mapper Portmapper TCP/UDP 111 Autoriser au compte goutte 111 depuis l ’extérieur Il reste le P2P qui représente plus de difficulté.
Types de filtrage Statique Dynamique Les premiers à apparaître L’ensemble des règles est fixe et n’évolue pas suivant les applications utilisées. Dynamique Prennent en compte les environnements H323, RTSP, SIP, FTP, … Dynamique avec contrôle des contenus Idem ci-dessus + vérification des commandes pour les flux SMTP, HTTP, SQLNet, FTP, …
Exemple d’environnement de filtrage Netfilter / « iptables» Environnement sous Linux Netfilter : partie opérationnelle intégrée noyau Iptables : partie commande (action admin) Autres environnements « libres » IP Filter pour Unix libres et intégré sour FreeBSD et NetBSD Packet Filter sous OpenBSD
Netfilter / « iptables» Des règles classées par « chaîne » Chaînes par défaut = IN, OUT, FORWARD Chaînes utilisateur possible Un paquet satisfait une règle action et arrêt chaîne Les politiques par défaut en fin des règles Prise en compte « état du trafic » pour situer le paquet NEW, ESTABLISHED, RELATED, INVALID
Chaîne utilisateur
« INTER_NET » (réseau d’interco) S_ML ROUTER_ADDR (adresse IP routeur) FW_EXT (addresse IP) « INTER_NET » (réseau d’interco) S_ML S_WEB AP1000 IF_EXT IF_PUB IF_WL WL_NET (réseau sans fil) PUBLIC_NET (réseau public) IF_INT Positionner le serveur DHCP Idem serveur DNS Idem serveur OPENVPN SERVEUR TOTO INTRA_NET (réseau interne)
Et ensuite? Du filtrage dynamique (stateful inspection) Un adressage privé interne et du NAT Protéger le service DNS en architecturant correctement Protéger la messagerie (antiSPAM, antiVirus) Contrôler le contenus des flux HTTP entrants et l’accès aux sites distants Portables : Des VPNs pour leur connexion distante Les contrôler avant leur connexion au réseau local Protéger les données par du chiffrement …
Filtrage dynamique (stateful inspection de CheckPoint) Certaines application utilisent des ports dynamiques Il faudrait autoriser tous ces ports en permanence trop dangereux Filtrage dynamique (CheckPoint, CBAC cisco, …) Filtrage basé sur le contexte d’une connexion (application), Examen du contenu d’un flux détection de demande d’ouverture sur un(des) port(s) dynamique(s), On ajoute pour un instant des règles dans les listes de règles, Elles seront supprimées après fermeture de la connexion ou Time-out. Les protocoles concernés : FTP (passive), H323, ToIP, RCMD, …
Le NAT (Network Address Translation) Traduction d’adresses; privées <--> publiques machines internes non accessibles directement Rend la vie plus difficile aux pirates Un atout pour la sécurité certes, mais en complément de sérieux filtrages et autres contrôles.
Groupe de Travail NAT CNRS Aperçu de NAT Interne Extérieur 10.4.4.5 SA 192.2.2.2 SA 10.1.1.1 Internet 10.1.1.1 Table NAT Adresses IP locales Vision globale des adresses 10.1.1.1 192.2.2.2 10.4.4.5 192.3.3.6 Groupe de Travail NAT CNRS
Différentes catégories de NAT: Statique (une adresse privée pour une publique) peu d’intérêt, atouts pour la sécurité à démontrer. Dynamique une adresse privée pour une publique mais partage des adresses publiques par plusieurs adresses privées suivant les flux Surcharge adresses internes Une adresse publique pour plusieurs privées On traduit un couple adressePrivée-Source/portSource1 en adressePubliqueSource/portSource2 pour un certain temps. « Overlapping » distribution de charge TCP Autres objectifs que la sécurité
Protection du DNS Questions: Réponses conduisent à : Qui a le droit d’utiliser le DNS? Pour quel type de résolution? Réponses conduisent à : Une architecture cible séparant les différents services DNS Une politique limitant les accès et donc les risques. Menaces sur le DNS : fuite d’information par canaux cachés corruption de résolution DNS permettant d’abuser les utilisateurs diriger les utilisateurs à leur insu vers des sites pirates pour leur dérober des informations sensibles. limiter au strict minimum l’usage des requêtes récursives s’assurer de l’intégrité des transactions. déni de services par l’acceptation de requêtes illégales ou par corruption de données dans les zones hébergées par les serveurs internes. seuls les IPS peuvent quelque chose sur ce type d’attaque; il faut aussi restreindre les transferts de zones interdire les récursions contrôler les requêtes simples restreindre les notifications
INTERNET DNS interne DNS Externe DNS cache DMZ DMZ Internet DMZ production Proxy HTTP Serveur SMTP DNS cache DHCP
INTERNET DNS interne DNS Externe DNS cache DMZ DMZ Internet DMZ production un poste quelconque du réseau interne ne pourra pas résoudre un domaine externe, car le DNS cache interne Ne transmettra pas (forward) la requête au DNS cache en DMZ. De cette façon il n’y aura pas de risque de canaux cachés DNS. Proxy HTTP Serveur SMTP DNS cache DHCP
Authentification des accès HTTP (antiSpyware, Antivirus, …) Contrôle des contenus (antiSpyware, Antivirus, …) INTERNET 4 3 DNS interne DNS Externe DNS cache DMZ DMZ Internet DMZ production Proxy HTTP Annuaire d’authentification Le proxy HTTP peut très bien faire partie du système pare feu. L’authentification des usagers est optionnelle suivant la politique de l’entreprise Cette architecture oblige à configurer la « passerelle HTTP » sur les navigateurs des postes. il est préférable d’utiliser les capacités des matériels de routage à dérouter les paquets vers le proxy sans que les utilisateurs ne voient rien (il faut cependant les prévenir) 1 2 5
Lutte antiSpam Ce n’est plus une option C’est un élément de la politique de sécurité Mettre en œuvre et prévenir les utilisateurs
Composants de l’architecture MX = Mail eXchanger Concentre bonne partie des fonctions antiSPAM, notamment le Greylist de même y mettre des fonctions antiVirus. Soit sur ce serveur, ou sur un serveur appelé (via API milter de sendmail) y mettre ces fonctions permet de rejeter le message tout de suite sans générer un accusé. MDA = Mail Delivery Agent MUA = Message User Agent MSA = Message Soumission Agent y forcer l’authentification SMTP. Empêche les botnets (stupides encore). Mais force à tout configurer. faire un traitement anti virus car des virus peuvent se propager en interne. Le routage sortant
Exemple d’architecture de messagerie Mail entrant INTERNET Mail sortant authentification Routeur sortant MX MSA Filtrage antiSPAM antiVirus DMZ Internet DMZ Serveur De boîte aux lettres Annuaire d’authentification Des solutions antiSPAM (logiciels libres) peuvent par exemple être : JcheckMail ou encore SpamAssassin pour l’antivirus on pensera à ClamAV par exemple. IMAPS
Et ensuite ? Surveiller, … Détecter les intrusions et alerter: Outils de type IDS Mieux les contrecarrer si l’on en détecte Outils de type IPS Mettre en place de la métrologie Détecter les anomalies de trafic, des flux étranges, des variations anormales, … Utiliser des outils de supervision tels NAGIOS Détecter des anomalies de fonctionnement des applications, Identifier des utilisations anormales de ressources, …
IDS / IPS Détection les attaques classiques : Basée sur des signatures d’attaques connues. Et surtout analyser les contenus HTTP : Protection contre l’exploitation des failles navigateurs Détection de spyware, malware, contenus avec virus On peut également d’office bloquer certains type/format de contenus Et repérer dans l’autre sens les commandes douteuses Machine infectée ou « chenapan » interne L’IDS se contente de poster une alerte L’IPS va de plus dropper les paquets et couper la session. L’un et l’autre peuvent être intégrés dans un produit pare-feu ou être des modules séparés.
Métrologie Utilité : Types d’environnement Connaître le profil d’utilisation du réseau Cartographie des flux. A quoi sert le réseau? Comprendre! Aider à prévoir la stratégie d’évolution des infrastructures Détecter d’éventuels incidents Flux « non habituels », pics de trafic bizarres, … Types d’environnement « sniffer » sur le réseau : NTOP, … En accès direct (ou via SNMP) sur les logs routeurs : Mrtg, NetMet, … D’après Renater 90% des incidents pourraient être détectés par la métrologie