Synthèse sur la protection informatique

Transcription

1 Synthèse sur la protection informatique I. Problématique de la sécurité... 2 II.Introduction à la sûreté de fonctionnement... 6 Notion de haute disponibilité... 6 Évaluation des risques... 7 Tolérance aux pannes... 8 La sauvegarde... 8 III.L équilibrage de charge... 8 Répartition de charge... 9 BENZAOUCHE Samy BTS SIO

2 I. Problématique de la sécurité SE PROTEGER DE QUI? Dans un premier temps, il faut essayer de déterminer contre qui on essaye de se protéger. Tenter d évaluer le degré d exposition de l entreprise. Plus une entreprise est exposée, plus grand est le risque qu elle soit piratée. Pour cela, il faut tenter de déterminer les motivations potentielles des pirates. Les motivations potentielles des pirates peuvent être classées en trois grandes catégories : La motivation pseudo-intellectuelle. C est en réalité de l orgueil pur et simple. C est une des motivations les plus répandues, une des plus tenaces. Le pirate tente de se prouver qu il est plus fort que ceux qui ont écrit un logiciel de sécurité, que les responsables de la sécurité, que l architecte qui a défini la politique de sécurité Cette catégorie de pirate n est pas la plus dangereuse en soi, mais peut provoquer des dégâts considérables. On y trouve les faiseurs de virus, les chercheurs de failles, les apprentis pirates, les taggeurs de site, les vengeurs masqués La motivation vénale. Un moteur de motivation très puissant. L argent constitue le noyau principal des pirates dans le monde. Ce ne sont pas forcément les plus exposés médiatiquement. Ce sont les voleurs de numéros de cartes bancaires, de code d accès, de détournements de tous bords, les spécialistes du phishing Aujourd hui, les plus dangereux sont structurés autour d organisations mafieuses très organisées et très puissantes. La motivation idéologique. La catégorie la plus dangereuse. On y trouve les pirates les plus extrêmes. Ce sont également les plus incontrôlables. Cela peut aller des anti-ogm jusqu aux fanatiques religieux ou politiques de tous bords. PROTEGER QUOI? Une entreprise se doit de protéger ce qui est aujourd hui devenu un outil de travail à part entière, son système d information. Cela englobe : Les éléments d infrastructure : commutateurs, routeurs, firewalls, proxies Si l accès aux serveurs est inopérant, l accès aux données l est également. Les systèmes d exploitation : Un plantage ou des failles dans la sécurité peuvent entrainer des dysfonctionnements dans les applications ou rendre les données vulnérables. Les applications elles-mêmes. Les applications sont les éléments les plus fragiles, car elles ont souvent été, et sont bien souvent encore, développées sans souci de sécurisation particulier. On a longtemps cru que sécuriser l infrastructure et les systèmes était suffisant pour protéger les applications. Il n en est rien, et les attaques actuelles les plus courantes le démontrent : phishing, SQL injection, attaques DNS, spam SMTP, attaques http Les données. C est le but final de la sécurité, faire en sorte que seuls les utilisateurs habilités aient accès aux données, qu elles ne soient pas détruites par malveillance, altérées volontairement On recourt de plus en plus à la protection directe des données : sauvegardes multiples et systématiques, cryptage, audit

3 A QUEL PRIX? Enfin, autre point important, voire parfois capital, le coût de la sécurité. Le but est d essayer de déterminer le bon ratio entre le coût engendré par la sécurité et la valeur intrinsèque des données protégées. Souvent un gain mineur en sécurité entraîne des dépenses qui ne sont plus en adéquation avec cette règle. Il existe deux types de coûts liés à la sécurité : Les coûts ponctuels : achat de matériel, de licences, mises à jour Les coûts récurrents : personnel, audit, conseil BUTS DE LA SECURITE INFORMATIQUE Les buts de la sécurité informatique sont Les suivants : La protection du matériel. Ce qui recoupe la protection physique sous toutes ses formes: accès, redondance d alimentation, protection électrique... La protection du réseau. Aussi bien physique que logique: les firewalls, les proxies, les systèmes de détection d intrusion et les outils de corrélation ont en charge cette tâche essentielle de la sécurité. La protection des systèmes. Cela passe par l antivirus, les firewalls personnels, les sondes HIDS, les stratégies systèmes... La protection des applications. La plus difficile, car il existe une double problématique: Les logiciels propriétaires sont très difficilement modifiables. Le niveau de sécurisation dépend bien souvent de l éditeur. Les logiciels libres sont eux beaucoup plus faciles à modifier, mais ils doivent rester compatibles, ce qui limite le champ d action. Enfin, la protection des données elles-mêmes. La marge de manœuvre est beaucoup plus grande en local. La difficulté réside surtout dans leur transport à travers le réseau, et plus particulièrement à travers Internet, ce qui sera du ressort des techniques VPNs. Il existe globalement quatre niveaux de sécurité correspondant chacun à des objectifs de la sécurité informatique et un niveau connexe qui est la corrélation. SECURITE PHYSIQUE La sécurité physique correspond à la couche physique du modèle OSI. La sécurité physique regroupe tous les moyens protégeant l accès aux ressources informatiques sensibles : serveurs, firewalls, routeurs, commutateurs Les moyens utilisés : Vérification visuelle d identité Clés d accès Cartes d identification Biométrie SECURITE RESEAU La sécurité réseau englobe les couches liaison de données, réseau et transport. Les buts de la

4 sécurité réseau sont : Authentification : vérification de l identité des partenaires. Très souvent, on y associe les fonctions d audit et les droits et autorisations des utilisateurs authentifiés. Intégrité : empêcher toute modification des données durant leur acheminement. Confidentialité : les données ne doivent être accessibles en clair que par le(s) destinataire(s). Moyens de protection utilisés : Firewalls Systèmes d authentification : RADIUS, Kerberos, TACACS+, PAP, CHAP, EAP... Technologies de cryptage Détecteurs d intrusions (IDS et HIDS) VPN et VPDN SECURITE SYSTEME La sécurité système regroupe les couches transport à présentation. Le but de la sécurité système est d empêcher l utilisation non conforme du système d exploitation. Les utilisations non conformes sont: Utilisation de droits système non autorisés Usurpation d identité Violation des règles de fonctionnement Récupération de données protégées Utilisation de services non conforme Blocage ou corruption du système Les moyens de protections utilisés: Configuration avancée du système et des services Stratégies des droits utilisateurs Stratégies d accès Stratégies d audit Antivirus SECURITE APPLICATIVE La sécurité applicative s étend de la couche session à la couche application. La sécurité applicative est chargée de protéger le fonctionnement des applications. Les attaques visent à rendre une application inopérante ou à en perturber fortement le fonctionnement. Les attaques sont basées sur les éléments suivants : Faiblesse d écriture des applications Complexité croissante des fonctionnalités Mauvaise configuration Activation de services ou de fonctionnalités automatiques Mauvais respect des règles de sécurité de la part des utilisateurs

5 CORRELATION Un des problèmes de la sécurité informatique est que nous disposons d outils plus ou moins efficaces pour chacun de ces niveaux, mais ces outils communiquent peu ou mal entre eux. Et encore, parfois des outils d un même niveau ne communiquent pas du tout entre eux. Cela s améliore lentement mais insuffisamment. Une évolution importante de ces dernières années a été l apparition des outils dits de corrélation. Un outil de corrélation est capable d analyser les informations remontant des différents éléments de sécurité, des systèmes et des applications, et de les corréler afin de tenter de reconnaître une attaque, qui ne serait pas détectée individuellement par les éléments précédemment cités. Certaines informations prises isolément, par les éléments de sécurité, ne déclencheront aucune alarme. Elles ne seront pas considérées comme critiques. En établissant des relations entre ces informations non critiques, les outils de corrélation vont être en mesure de détecter les attaques les plus structurées, les plus dangereuses, Les seuls freins à l utilisation de ces outils sont leur coût et la complexité de leur déploiement. Généralement, les informations recueillies proviennent : Des systèmes d exploitation Des applications Des firewalls Des sondes de détection d intrusion Des routeurs De l antivirus La détection peut provoquer soit une simple alerte, soit une action conséquente: Modification temporaire des règles de filtrage des firewalls Suspension de services ou d applications Modification du fonctionnement d un système d exploitation Blocage de l acheminement de certaines données Composants d un système de corrélation: Un gestionnaire ou collecteur central Une base de données contenant les données analysées ainsi que les rapports Des sources d information : o Des remontées d informations via SNMP o Des connecteurs spécifiques o Des clients propriétaires

6 II. Introduction à la sûreté de fonctionnement Quel que soit le service rendu par un système informatique, il est essentiel que les utilisateurs aient confiance en son fonctionnement pour pouvoir l'utiliser dans de bonnes conditions. Le terme «sûreté de fonctionnement» caractérise le niveau de confiance d'un système informatique. Une défaillance correspond à un dysfonctionnement du service, c'est-à-dire un état de fonctionnement anormal ou plus exactement non conforme aux spécifications. Du point de vue de l'utilisateur, un service possède deux états : service approprié, c'est-à-dire conforme aux attentes ; service inapproprié, c'est-à-dire non conforme aux attentes. Une défaillance est imputable à une erreur, c'est-à-dire un dysfonctionnement local. Toutes les erreurs ne conduisent pas nécessairement à une défaillance du service. Il existe plusieurs moyens de limiter les défaillances d'un service : la prévention des fautes consistant à éviter les fautes en les anticipant. la tolérance aux fautes dont l'objectif est de fournir un service conforme aux spécifications malgré les fautes en introduisant une redondance. l'élimination des fautes visant à réduire le nombre de fautes grâce à des actions correctives. la prévision des fautes en anticipation les fautes et leur impact sur le service. Notion de haute disponibilité On appelle «haute disponibilité» toutes les dispositions visant à garantir la disponibilité d'un service, c'est-à-dire assurer le bon fonctionnement d'un service 24H/24. Le terme «disponibilité» désigne la probabilité qu'un service soit en bon état de fonctionnement à un instant donné. Le terme «fiabilité», parfois également utilisé, désigne la probabilité qu'un système soit en fonctionnement normal sur une période donnée. On parle ainsi de «continuité de service». La disponibilité s'exprime la plupart du temps sous la forme de taux de disponibilité, exprimé en pourcentage, en ramenant le temps de disponibilité sur le temps total. Le tableau suivant présente le temps d'indisponibilité (en anglais downtime) sur une base d'une année (365 jours) en fonction du taux de disponibilité :

7 Taux de disponibilité Durée d'indisponibilité 97% 11 jours 98% 7 jours 99% 3 jours et 15 heures 99,9% 8 heures et 48 minutes 99,99% 53 minutes 99,999% 5 minutes 99,9999% 32 secondes Heartbeat Est un système de gestion de la haute disponibilité. Heartbeat met en place un système de clustering en haute disponibilité basé sur le principe des battements de cœur. Il exécute des scripts d'initialisations lorsque une machine tombe (plus d'entente du battement de cœur) ou est à nouveau disponible (battement de cœur retrouvé). Il permet aussi de changer d'adresse IP entre plusieurs machines à l'aide de mécanismes ARP avancés. Heartbeat fonctionne à partir de deux machines et peut être mis en place pour des architectures réseaux plus complexes. Évaluation des risques En effet, la panne d'un système informatique peut causer une perte de productivité et d'argent, voire des pertes matérielles ou humaines dans certains cas critiques. Il est ainsi essentiel d'évaluer les risques liés à un dysfonctionnement (faute) d'une des composantes du système d'information et de prévoir des moyens et mesures permettant d'éviter ou de rétablir dans des temps acceptables tout incident. Comme chacun le sait, les risques de pannes d'un système informatique en réseau sont nombreux. L'origine des fautes peut être schématisée de la manière suivant : Origines physiques : elles peuvent être d'origine naturelle ou criminelle : Désastre naturel (inondation, séisme, incendie) Environnement (intempéries, taux d'humidité de l'air, température) ; Panne matérielle ; Panne du réseau ; Coupure électrique. Origines humaines : elles peuvent être intentionnelles ou fortuites : Erreur de conception (bogue logiciel, mauvais dimensionnement du réseau) ; Origines humaines : elles peuvent être intentionnelles ou fortuites : Erreur de conception (bogue logiciel, mauvais dimensionnement du réseau) ; Origines opérationnelles : elles sont liées à un état du système à un moment donné : Bogue logiciel ; Dysfonctionnement logiciel ; L'ensemble de ces risques peuvent avoir différentes causes telles que : Malveillance intentionnelle.

8 Tolérance aux pannes Puisqu'il est impossible d'empêcher totalement les pannes, une solution consiste à mettre en place des mécanismes de redondance, en dupliquant les ressources critiques. La capacité d'un système à fonctionner malgré une défaillance d'une de ses composantes est appelée tolérance aux pannes (parfois nommée «tolérance aux fautes») Lorsqu'une des ressources tombe en panne, les autres ressources prennent le relais afin de laisser le temps aux administrateurs du système de remédier à l'avarie. En anglais le terme de «Fail-Over Service» (noté FOS) est ainsi utilisé. Idéalement, dans le cas d'une panne matérielles, les éléments matériels fautifs devront pouvoir être «extractibles à chaud», c'est-à-dire pouvoir être extraits puis remplacés, sans interruption de service. La sauvegarde Néanmoins, la mise en place d'une architecture redondante ne permet que de s'assurer de la disponibilité des données d'un système mais ne permet pas de protéger les données contre les erreurs de manipulation des utilisateurs ou contre des catastrophes naturelles telles qu'un incendie, une inondation ou encore un tremblement de terre. Il est donc nécessaire de prévoir des mécanismes de sauvegardes, idéalement sur des sites distants, afin de garantir la pérennité des données. Par ailleurs, un mécanisme de sauvegarde permet d'assurer une fonction d'archivage, c'est-à-dire de conserver les données dans un état correspondant à une date donnée. III. L équilibrage de charge L'équilibrage de charge est un élément important lors de la mise en place de services amenés à croître. Il faut s'assurer que la capacité à monter en charge soit la plus optimale possible et d'éviter toute dégradation que ce soit en terme de performances ou de fiabilité lors d'affluences importantes. Le principe de base de l'équilibrage de charge (load balancing en anglais) consiste à effectuer une distribution des tâches à des machines de façon intelligente. Pour cela il faut intégrer un, dispositif entre les serveurs et les utilisateurs de la ressource. Ce dispositif aura pour tâche de rediriger les consommateurs de services en fonction de l'état d'occupation des serveurs. Il faut aussi prendre en compte le service distribué et adapter la méthode de redirection en fonction de celui-ci au travers de différents algorithmes (Round Robin, Random, Least Ressources...). Les gains sont non négligeables : amélioration des temps de réponse des services capacité à pallier la défaillance d'une ou de plusieurs machines ajouter de nouveaux serveurs sans interruption de service

9 L'équilibrage de charge utilise essentiellement 2 techniques qui sont le DNS et le reverse-proxy, Répartition de charge Il existe plusieurs solutions pour faire de la répartition de charge, la plus basique étant l'utilisation de DNS Basé sur la configuration de bind (démon le plus utilisé sous Linux pour le DNS), le serveur DNS permet de résoudre les noms d'hôtes de manière différente à chaque requête. Un nom de domaine est associé à plusieurs adresses IP correspondant à chaque serveur du cluster. Bind, utilise alors un algorithme round-robin pour choisir le serveur destinataire de la requête. L'avantage de ce système est sa grande simplicité, il suffit d'ajouter quelques lignes à la configuration de Bind sur le serveur DNS. D'autres solutions permettent de prendre en compte ces problèmes de performance ou de défaillance de serveurs du cluster. LVS Linux Virtual Server est une solution de répartition de charge pour GNU/Linux. L'objectif principal est de construire un serveur de haute performance pour Linux utilisant la technologie du clustering. LVS est un logiciel basé sur les couches 3 et 4 de la représentation OSI. Il fait des redirections sur les adresses IP ainsi que différents ports TCP. Apache En utilisant le module mod_proxy_balancer, il est possible de faire de l'équilibrage de charge pour les protocoles HTTP,FTPetAJP13(Apache JServ Protocole utilisé principalement avec Tomcat pour rediriger les sessions vers le bon serveur et pour faire du monitoring simple). Il intègre trois algorithmes d'ordonnancement : Request Counting : répartit les requêtes de façon pondérée vers les serveurs. Weighted Trac Counting : répartit les requêtes de façon pondérée sur la taille (en octets) des réponses. Pending Request Counting : répartit les requêtes de façon pondérée sur la taille de la liste d'attente des requêtes sur chaque serveur. Le module mod_status permet de rajouter des possibilités de gestion dynamique des pondérations de chaque serveur. Inconvénients : protocoles HTTP,FTP et AJP13uniquement HAProxy Permet de répartir les connexions reçues d'un protocole sur plusieurs serveurs. Il permet aussi de détecter l'indisponibilité d'un des serveurs. Il peut être utilisé pour les applications utilisant TCP,

10 Il sait gérer plusieurs proxy à la fois. C'est un Reverse-Proxy, surtout utilisé pour les sites Web. Nginx peut tenir des charges très importantes comme plusieurs milliers de connexions par seconde, ressources matérielles nécessaires très faibles, aucune vulnérabilité depuis plus de 6 ans Est un serveur et proxy web haute performance, il peut également servir de proxy mail et surtout en mode reverse proxy avec load balancer. Il a été programmé an d'obtenir les meilleurs performances possibles. Ainsi, il ne nécessite pas d'avoir autant de processus que de connexions. Les requêtes sont découpées en mini-tâches, ordonnancées par chacun des processus. Ceci et le fait qu'il soit développé en C lui confèrent une empreinte mémoire vraiment faible et une excellente rapidité d'exécution.