La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

1 Formation Sécurité réseaux Animée par Gauthier Catteau

Présentations similaires


Présentation au sujet: "1 Formation Sécurité réseaux Animée par Gauthier Catteau"— Transcription de la présentation:

1 1 Formation Sécurité réseaux Animée par Gauthier Catteau gauthier.catteau@ac-lille.fr

2 2 11 Octobre 2005 Déroulement de la formation ● Les enjeux de la sécurité ● Etat des lieux ● Les acteurs de la sécurité réseau ● Techniques et systèmes ● Comment se protéger ● Limites de la sécurité

3 3 11 Octobre 2005 Les enjeux de la sécurité ● Qu'est ce que la sécurité d'un système d'information ? – La SSI, c'est l'art de combiner un ensemble de mesures préventives et curatives, à la fois au plan technique et organisationnel en vue de faire face aux menaces que l'on aura pris soin, au préalable, d'identifier et de hiérarchiser. ● Que dois-je protéger, contre qui ou quoi ? – Crime mafieux, politique ou commerciale, le résultat est le même. Mon système d'information doit garder son intégrité et sa disponibilité.

4 4 11 Octobre 2005 Objectifs ● Lors de la mise en oeuvre d'un dispositif de sécurité, les objectifs suivants se dégagent: 1. La confidentialité des données: Les données ne doivent être connues que par les personnes y étant autorisées. 2. L’intégrité des données: Les données ne doivent être ni détruites ni modifiées de façon indue, que ce soit accidentellement ou par malveillance. 3. La disponibilité des données et des outils: Les données ne doivent pas être perdues, détruites ou rendues inaccessibles. Il s’agit de prévenir des failles de sécurité pouvant surgir lors de la perte de données et lors du recouvrement de ces données. 4. La traçabilité et la transparence des traitements: Il s’agit de journaliser et de suivre les actions et traitements de données afin de pouvoir détecter et, dans la mesure du possible, prévenir que la confidentialité, l'intégralité ou la disponibilité soient compromises.

5 5 11 Octobre 2005 Etat des lieux ● Multiplication des accès. ● Prise de consience encore faible. ● Vecteurs de risque. – Vers et virus. – Les attaques ciblées. ● Changement de cible: serveurs -> clients ● La sécurité commence par le contrôle à l'entrée des installations – « Empêcher toute personne non autorisée d’accéder aux installations utilisées pour le traitement de données »

6 6 11 Octobre 2005 La vulnérabilité des systèmes est due: ● Configuration – Système, applicatif... ● Code faillible – débordement de pile – Backdoor volontaire ou non. ● Et aussi... – Matériel pas adapté aux besoins – Contrat de maintenance non souscrit – Politique de sauvegarde – Négligence

7 7 11 Octobre 2005 Cartographie des types de Vulnérabilités Application SpecificOperating System Logic Error Network Design Protocol Forced Trust Violation TheftSabotage Social engineering Internal Spying Information Fishing Physical Protection PolicyData Protection Policy Policy Oversight Personnel Protection PolicyInformation Devulgance Policy EavesdroppingWeak passwords Weakness Custom Obscure Security Encryption Demande une intéraction avec la victime Immédiat Minutes Heures Jours Mois Années Secondes Automatisation Impossible Complétement automatisable Cause à effet Résultat instantané

8 8 11 Octobre 2005 Les acteurs de la sécurité réseau ● L'audit – Intranode – Qualys – Nessus ● Les boitiers de sécurité – Checkpoint – Cisco – Fortinet – Netasq – Arkoon ● La prévention – ISS – Snort ● Les antivirus – TrendMicro – Kaspersky – F-secure – Avast – Grisoft – Symantec – Clamav...

9 9 11 Octobre 2005 Techniques et systèmes ● Technique d'attaques et d'intrusions. ● Description d'une attaque. ● Fonction et utilité d'un scan de port. ● Ecoute de réseau (sniffing) ● Usurpation d'adresses (spoofing) ● Attaque par deni de service

10 10 11 Octobre 2005 Technique d'attaques et d'intrusions. ● Etude de l'utilisateur cible potentiel – Recherche les question concernant l'architecture dans les forums et listes de diffusions. – Analyse des entêtes mail pour découvrir l'architecture. ● Indentification de la cible – Type d'os, logiciels installés. ● Recherche de faille façile à exploiter. – Faille SSL, injection de code... ● Attaque est prise de contrôle du poste distant par élévation de privilège. ● Installation d'un rootkit et effacement des traces.

11 11 11 Octobre 2005 Attaques sur les applications Web ● Les différentes sortes d’attaques sur les applications Web sont les suivantes : – Interprétation des URLs – Mauvais contrôle des données entrées par l’utilisateur – Injection de code SQL – Attaques sur les identifiants de session – Cross Site Scripting (XSS)

12 12 11 Octobre 2005 Les composants d’une application Web et leurs vulnérabilités

13 13 11 Octobre 2005 Interprétation des URLS Les URLs utilisées dans le cadre d’une application Web sont du type : http://www.domaine.fr/chemin/fichier.ext?param1=x&param2=y Chacune de ces parties est susceptible d’être attaquée : – Protocole : on peut par exemple essayer de remplacer le protocole https:// par http:// afin de désactiver une authentification par certificat client. – Serveur : on peut le remplacer par son adresse IP ou par les noms de domaines d’autres sites hébergés sur le même serveur, afin d’avoir accès à d’autres parties du site. – Chemin : on peut tenter de naviguer dans l’arborescence pour accéder à des parties du site non autorisées ou pour remonter dans l’arborescence par l’utilisation de « /../../ », ou en utilisant des vulnérabilités particulières (le bug Unicode d’IIS, par exemple).

14 14 11 Octobre 2005 Mauvais contrôle des données entrées par l’utilisateur ● La règle à adopter est de ne jamais faire confiance à du code tournant côté client, comme des applets Java par exemple. En effet, ce code pourra toujours être décompilé, analysé et modifié pour effectuer les tâches voulues par un attaquant. ● D’autre part, il existe des caractères spéciaux dont la signification, au sein d’une chaîne alphanumérique, peut respecter une syntaxe particulière au niveau d’un langage de programmation ou d’un système d’exploitation, ce qui peut conduire à l’exécution de commandes hostiles. Ces caractères figurent parmi les suivants : ! @ $ % ^ & * ( ) - _ + ` ~ \ | [ ] { } ; : ' " ? /,. > <

15 15 11 Octobre 2005 Injection SQL L’injection SQL peut être une conséquence directe d’un mauvais contrôle des données entrées par l’utilisateur. En effet, les caractères « ‘ » et « ; » peuvent être utilisés pour enchaîner plusieurs requêtes SQL à la suite l’une de l’autre. Considérons par exemple une page HTML comprenant un formulaire d’authentification avec un champ Login et un champ Password. La requête SQL tournant sur le serveur est la suivante : SELECT user FROM table_users WHERE champ_login=’login’ AND champ_password=’password’ Si maintenant un attaquant saisit la chaîne suivante dans le champ Login : Administrateur’; -- La requête exécutée finalement sera la suivante: SELECT user FROM table_users WHERE champ_login=’Administrateur’; --’ AND champ_password=’password’ Le résultat est un contournement de l’authentification : on se retrouve logué en tant qu’Administrateur.

16 16 11 Octobre 2005 Description d'une attaque.

17 17 11 Octobre 2005 Fonction et utilité d'un scan de port.

18 18 11 Octobre 2005 Ecoute de réseau (sniffing)

19 19 11 Octobre 2005 Usurpation d'adresses (spoofing)

20 20 11 Octobre 2005 Attaque par deni de service

21 21 11 Octobre 2005 Comment se protéger ● Exemple d'architecture ● Limiter les risques ● Mise en place de filtrage IP ● Cloisonnement ● Relais ● Mandataire ● VPN, chiffrement ● Intégrité des données ● Respecter la confidentialité des données ● Assurer la preuve de son identité

22 22 11 Octobre 2005 Exemple d'architecture

23 23 11 Octobre 2005 Limiter les risques Pour les failles applicatives, système et la configuration ● Arrêt des services non nécessaires ● Installation des correctifs de sécurité (après validation pour éviter le risque de régression) ● Remplacer les logiciels dont le niveau de sécurité ne peut pas être amélioré (si possible) ● Former les administrateurs et les développeurs

24 24 11 Octobre 2005 Filtrage IP ● Configuration d'un parfeu. – Présentation de Fwbuilder.

25 25 11 Octobre 2005 Cloisonnement

26 26 11 Octobre 2005 Relais

27 27 11 Octobre 2005 Mandataire ● Les mandataires ou « proxy » ont un roles de plus en plus important dans une architecture sécurisé. – Eviter l'accès direct à internet des clients. – Filtrage d'url. ● Warez sources de virus et backdoor. – Filtrage protocolaire. ● Un tunnel http(s) permet de faire transiter tout sorte de flux. ● Utilisation de proxy cache devant les serveurs.

28 28 11 Octobre 2005 VPN, chiffrement

29 29 11 Octobre 2005 Intégrité des données ● Contrôle d'intégrité – Technique permettant de surveiller la modification de fichiers sensibles. – Utilisation d'une fonction de hachage pour calculer une empreinte numérique infalsifiable. ● Inconvéniant: – Détection de la modification à posteriori. – Obligation d'avoir une base d'empreinte sur une machine saine et protégée.

30 30 11 Octobre 2005 Respecter la confidentialité des données

31 31 11 Octobre 2005 Assurer la preuve de son identité

32 32 11 Octobre 2005 Limites de la sécurité ● Les limites du filtrage réseau – Les attaques de niveau 2 – VPN et SSL – Les postes nomades qui passent leur temps à entrer et sortir. ● Limites de la détection d'intrusion. – Fragmentation IP et Segmentation TCP. – Fenêtre d'analyse limitée dans le temps.

33 33 11 Octobre 2005 Conclusion ● La sécurité est un tout – Bon sens, prudence et professionnalisme – Formation des utilisateurs et veille technologique

34 34 11 Octobre 2005 Fin Merci pour votre attention.


Télécharger ppt "1 Formation Sécurité réseaux Animée par Gauthier Catteau"

Présentations similaires


Annonces Google