Principales applications de Linux en sécurité

Transcription

1 Principales applications de Linux en sécurité Journée du Logiciel Libre Montpellier - 22 Novembre 2002 Denis Ducamp Hervé Schauer Consultants - (c) Hervé Schauer Consultants / Stéphane Aubert / Denis Ducamp Plan de la présentation Pourquoi utiliser les logiciels libres en sécurité Les principales applications de Linux en sécurité Passerelle d accès à Internet Filtrage IP, Web, DNS, messagerie, NIDS Les consultants en sécurité Les services de sécurité Les administrateurs Les réseaux bureautiques Les postes de travail sécurisés Conclusion Les fonctions de sécurité de Linux privilèges comptabilité chiffrement de partitions FreeS/Wan Les patches de durcissement du noyau et les distributions sécurisées Openwall, grsecurity bastille-linux, Stack-Guard, Owl

2 HSC Cabinet de consultants en sécurité Unix, Windows, TCP/IP et Internet depuis consultants Expérience de la sécurité Unix depuis 1987 Expérience de la sécurité Internet depuis 1991 Expérience de la sécurité Windows depuis 1997 Veille en vulnérabilités vendue depuis Juin 1997 Veille technologique et stratégique de l actualité en sécurité vendue depuis Janvier à 8 conférences internationales par an Blackhat, CanSecWest, Defcon, Eurosec, IETF, ISSE, RSA, SANS, Usenix... Types de prestations Études Installations Investigations et enquêtes après incident Analyses, audits et tests d intrusion Formations Tutoriels HSC et le logiciel libre Contribution à Sendmail (01/1992) Rediffusion de la conférence des BBS LINUX.FR en newsgroup resif.info.linux (01/1993) Création de la hiérarchie de news fr. et de fr.comp.os.linux (04/1993) Dossier Unix sur PC de Tribunix (07/1993) Installation en clientèle du premier 386BSD (1994) Installation en clientèle du premier Linux (01/1995) Présentations et formations en français Formation Sendmail (1992) Formation Bind (1992) Présentations de PGP (1994), ssh, SSL, Apache avec certificats Sensibilisation à l intérêt du logiciel libre en sécurité (1997) Tutoriel sécurité Linux dans le cadre de Linux-Expo (1999) Formation Postfix (1999), (support de cours en ligne) Formation Sécurité Linux (1999), (support de cours en ligne) Publication de logiciels libres Babelweb, Filterrules, Nstreams, XML-logs, PktFilter, etc.

3 Pourquoi utiliser le libre en sécurité La sécurité est devenue un énorme enjeu commercial : Les logiciels commerciaux de sécurité sont réalisés de la même façon que ceux ne traitant pas de sécurité : impératifs commerciaux, pression marketing... Les logiciels libres sont réalisés sans pression Un des énormes avantages : lisibilité du code source : Est relu par des experts Est corrigé rapidement A l inverse les logiciels propriétaires : Ne permettent pas la relecture du code source (pas de peer review) Les corrections ne sont pas toujours immédiates Pourquoi (2/4) La pérennité des logiciels est très importantes : les logiciels libres SONT pé rennes : Sendmail, Bind... *BSD, Linux... Apache, Squid, IPFilter... Dès que le logiciel a un intérêt, il est repris si son créateur arrête A l inverse, les logiciels propriétaires : Security Router, BorderGuard de NSC... Le Firewall de Matra... La documentation est très fournie : Linux Documentation Project, FreeBSD Handbook, OpenBSD FAQ... Documentation Apache

4 Pourquoi (3/4) La lisibilité du code nous montre que : Le code est bien écrit Le code est modulaire Le code est relu par beaucoup de personnes (cf mailing lists) Le code est bien documenté La qualité du code est souvent supérieure : IPFilter / Firewall commerciaux Pourquoi (4/4) Attention, en sécurité il FAUT se tenir au courant! Les correctifs doivent être appliqués dès leur parution : Les problèmes de sécurité sont souvent publiés avec une exploitation de vulnérabilité, corriger le problème rapidement c est éviter des ennuis futurs Les logiciels libres sont tous des Unix (même non officiellement), soit 30 ans d expérience. Aucun autre système n a été autant attaqué, relu, corrigé, amélior é...

5 Standards Les logiciels libres respectent les standards : entre autre IETF. Ce n est pas le cas de tous les logiciels propriétaires Le respect des standards est la seule façon d assurer l interopérabilité à tous les niveaux Le standard : IP : assure la cohérence de l Internet, la communication. C est la base. Les piles IP des logiciels libres sont les meilleures (4.4BSD et dérivés, Linux) Pour les passerelles de sécurité Filtrage IP Filtrage évolué netfilter est "stateful" Analyse de session analyse de protocoles pour ouverture dynamique de ports Traduction d adresse dont masquage d adresse, redirection de port et relayage transparent Filtrage IP au niveau applicatif tcpwrapper, xinetd

6 Pour les passerelles de sécurité Accès au Web Cache Web sous Linux (SQUID) Relais applicatifs de sécurité sous Linux (NSM, FWTK, Delegate) Bases d authentification et de droits Pour les passerelles de sécurité Serveur WEB Serveur Web sous Linux (Apache) Possibilité de rajouter un relais inverse filtrant (Apache) devant tout serveur web sensible filtrage des requêtes (mod_eaccess / mod_rewrite) Support du chiffrement et de l authentification forte (mod_ssl + OpenSSL)

7 Pour les passerelles de sécurité Serveurs DNS serveurs DNS public et privés sous Linux (BIND) démons tournant sous une identité non privilégiée et restreints dans une cage (chroot) Pour les passerelles de sécurité Serveur de messagerie Serveur de courrier électronique : Postfix et Popa3d démons conçus de façon sécurisée (chaînes, ressources...) avec séparation des privilèges (non privilégié, restreint...) Pour une grosse organisation ce serveur ne fait que relais vers l intérieur Protège de l Internet les serveurs internes et les anti-virus SMTP-TLS permet de protéger la confidentialité sur Internet par exemple entre 2 entités distinctes ou avec un "Road Warrior" : relayage activé par authentification forte stunnel : encapsulation SSL protection du trafic (confidentialité, authentification, intégrité) authentification forte réciproque

8 Pour la sécurité du mail Serveurs de mail sous Linux Sendmail ( Postfix : serveur de messagerie sécurisé ( Serveur POP3/APOP ou IMAP Filtrage de spam : spamassassin ( Clients sous Linux Gros volume (ex: call center) Traitement automatique : procmail et/ou scripts perl Mutt ( - avec intégration de la cryptographie : PGP ( GnuPG ( Pour les passerelles de sécurité Détection d intrusion et supervision Détection d attaque / d intrusion (Snort, Shadow) gestion d alertes : Prelude contrôle d intégrité : Tripwire, AIDE VPN IPsec (FreeS/Wan) Supervision de réseaux (Trinux)

9 Pour les consultants en sécurité Fiabilité, souplesse et configuration Aucun problème bloquant Sécurité des données sur les disques Sécurité du courrier électronique (gros volume) Jamais de perte de courrier Pour les tests d intrusion Changement d adresse IP sans réamorçage Écoute du réseau avec des "sniffers" Nombreux programmes d exploitation disponibles Facilité de création de datagrammes IP (en C ou perl) Pour accélérer les audits Pas de clicodrome superflu Pour l indépendance Pour les services sécurité Mêmes raisons que les consultants Le service sécurité doit être le plus libre possible Gérer quotidiennement la journalisation Développer ses propres scripts Détecter les attaques et les dysfonctionnements Utilisation possible de Snort, Prélude et Shadow ( Refaire ce que font les consultants Maintenir un niveau de sécurité élevé Utilisation de nessus ( nmap (+V), hping et whisker Faire régulièrement des tests de vulnérabilités

10 Pour les administrateurs L administrateur peut : Sécuriser (vraiment) une machine Automatiser de nombreuses tâches (mise à jour...) Gérer un grand parc de machines en toute sécurité et à distance OpenSSH ( SSH ( SSF-128 ( Centraliser la journalisation de son parc de machines Le poste d administration doit être sécurisé Laissez aux administrateurs la possibilité d utiliser Linux! Même pour gérer un parc de machines sous d autres systèmes ( Pour les réseaux bureautiques Sécurité des serveurs de fichiers et d impression Utilisation de Samba ( Très bonne intégration Mise en place rapide Serveur sécurisé et fiable Très bonnes performances Haute disponibilité (disques RAID) Administration légère et distante Pas de réamorçage intempestif But : remplacer les PDC et BDC (PDC et BDC : contrôleurs de domaines)

11 Pour des postes de travail sécurisés Linux peut être utilisé sur les postes de travail Un VRAI filtre IP par poste Sur les postes de développement Sécurité et centralisation des sources (CVS+SSH) Utilisation possible de PAM PAM : Pluggable Authentication Module Authentification par mots de passe, Opie, S/Key, Radius, LDAP, Token physique, biométrie... Peu de problèmes de virus Bonne séparation utilisateur/administrateur Conclusion Linux mal utilisé est dangereux L utilisation de Linux pour la sécurité est loin d être ridicule ni marginale Système et couches réseau fiables Filtrage IP Rapidité de parution des correctifs Disponibilité de nombreux programmes dédiés à la sécurité Ne pas oublier les autres Unix Libres FreeBSD, NetBSD, OpenBSD Linux est de plus en plus utilisé!...

12 Fonctions sécurité de Linux les privilèges la comptabilité le chiffrement de partitions IPSec Privilèges Sur un système Unix classique le compte root (UID égal à 0) possède tous les droits Si un programme a besoin d un privilège alors le processus devra avoir l identité de root Les privilèges (capabilities) partitionnement des privilèges du compte root (UID = 0) en droits unitaires Depuis le noyau 2.2 aucune référence à l UID d un processus est faite seul l ensemble de ses privilèges effectifs est consulté basé sur le draft POSIX e "POSIX capabilities" mis en oeuvre sur d autres plates-formes : Irix, AIX, HP/UX... Actuellement associés seulement aux processus support au niveau du système de fichiers en cours de développement Destiné aux administrateurs avancés

13 Comptabilité Enregistrement automatique par le noyau des ressources utilisées par chaque processus lors de leurs terminaisons date de création utilisateur propriétaire nom de la commande utilisation de la mémoire terminal contrôlé temps processeur utilisé nombre d entrées/sorties réalisées Les statistiques sont effectuées dans le but de refacturation Les données brutes permettent de détecter des choses anormales le serveur web qui discute en irc le serveur de messagerie qui télécharge des "warez" Nécessite de se développer ses propres scripts d analyse Chiffrement de partitions Patch noyau disponible sur Un seul patch en 2.2 : kernel-int Deux patches en 2.4 : CryptoAPI + kernel-int CryptoAPI est en standard dans le noyau Les autres projets comme kernel-int, FreeS/Wan, etc. peuvent alors être compilés sans recompilation du noyau Un périphérique virtuel est associé à une partition ou à un fichier un mot de passe sert à générer une clé de chiffrement ce qui est écrit dans le périphérique virtuel est chiffré avant écriture dans la partition réelle. Algorithmes disponibles : AES (aka Rijndael), MARS, RC6, Serpent, Twofish, 3DES, Blowfish, CAST5, GOST, IDEA, RC5, NULL, DES et DFC MD5, SHA1, RIPEMD160, SHA256, SHA384 et SHA512

14 FreeS/Wan Patch noyau disponible sur Compatible Linux 2.2 et 2.4 Services de chiffrement et d authentification au niveau IP AH, ESP, IKE (démon IKE : Pluto) Pas encore intégré dans IPv6 VPN et "Road Warriors" Opportunistic Encryption Super FreeS/WAN X.509 Digital Certificates NAT Traversal etc. Pour les autres Unix Libres : Kame (Free&NetBSD), OpenBSD (natif) et pipsecd (Linux, *BSD) Patches de durcissement du noyau Restriction des droits des utilisateurs sur des systèmes sensibles Limiter les appels systèmes pouvant être utilisés Spécifier les données sensibles (récupérables ou non) Donner certains privilèges à certains utilisateurs administrateurs Modification du noyau systématique

15 Projet Openwall par Solar Designer - noyaux et ( en beta) 4 options de durcissement Pile non exécutable Restrictions de /tmp Restrictions de /proc Existence des fichiers 0, 1 et 2 Protège de l exécution de code installé sur la pile et le retour dans la libc Ne protège pas contre d autres débordements (tas, portes dérobées) restreint /tmp et /proc contre des attaques locales en dénis de service ou vol d information Intéressant sur les machines exposées ne dispense pas de correctement configurer les applications exécution sous une identité non privilégiée, mise en cage... aucun impact côté performances et compatibilité. grsecurity par Brad Spengler noyaux 2.4.x 6 groupes d options de durcissement Buffer Overflow Protection (Openwall et PAX) Access Control Lists (démon obvadm nécessaire) Filesystem Protections Kernel Auditing Executable Protections Network Protections Protège contre l exécution de code installé dans la pile et le tas contre le retour dans la libc restreint /tmp, /proc, les processus en cage journalise certains appels systèmes dans certaines conditions ajoute de l aléa pour contrer certaines attaques Intéressant sur les machines les plus sensibles déjà correctement configurées Les coûts système et humains peuvent être importants

16 Distributions sécurisées bastille-linux - script de durcissement d un système Linux/Solaris/HP-UX destiné originellement aux universités et établissements éducatifs modifie des droits d accès et des options de configurations d applications Stack-Guard - patch au compilateur gcc pour générer du code auto-immune aux débordements de tampon dans la pile complémentaire à la pile non exécutable et à l audit de code inutile dans le cas d application vulnérables aux bogues de formats Immunix OS = RedHat recompilée avec Stack-Guard inclue une protection contre les bogues de formats permet seulement d attendre la correction officielle Distribution sécurisée : Owl par Solar Designer - revue proactive de code source pour plusieurs types de vulnérabilités logicielles privilégie les applications correctement conçues avec séparation des privilèges : OpenSSH, postfix, popa3d, vsftpd sont audités les morceaux de code exécutés avec des privilèges supérieurs à ceux d un simple utilisateur traitant typiquement des données obtenues au travers du réseau correspondant à : beaucoup des bibliothèques système tous les programmes SUID/SGID tous les démons et services réseau utilise de la cryptographie "forte" dans ses composants coeur autres : applications de politique de sécurité vérification proactive des mots de passe avec "pam_passwdqc" expiration de mots de passe et de comptes contrôle d accès basé sur les adresses réseau vérification d intégrité ("mtree")

17 Conclusion En sécurité, il faut conseiller le logiciel libre comprendre ce qui se passe gagner son autonomie répondre aux besoins spécifiques obtenir la transparence Les logiciels libres apportent de la sécurité Le logiciel libre est crucial pour la sécurité