Mise en place d une info-structure étendue et sécurisée à base de logiciels libres

Transcription

1 Mise en place d une info-structure étendue et sécurisée à base de logiciels libres 22 novembre 2007

2 Plan 1 Organisme : Éof Qu est ce que le libre? Périmètre du mémoire 2 3 Serveur de nom Serveur web Partage de charge Virtualisation 4 Sécurité de la plate-forme Pare-feu 5 Envisageable Envisagé 6 technique du mémoire 7

3 Remerciements Madame M.-C. Costa Monsieur J.-J Charrière Monsieur P. Jeulin Monsieur D. Skrzypezyk Monsieur A. Mascret Merci également aux nombreux testeurs, contributeurs, relecteurs et à tous ceux qui m ont apporté leur soutien.

4 L École Ouverte Francophone Organisme : Éof Qu est ce que le libre? Périmètre du mémoire École du Libre, par le Libre et pour le Libre. Organisme de certification professionnelle sur les logiciels libres, qui dispense ses cours via un dispositif complet d enseignement à distance. L école forme non seulement sur les objets techniques, mais également sur le travail collaboratif, à distance, selon les valeurs de la communauté du libre. [Ric07]

5 Le Logiciel Libre Organisme : Éof Qu est ce que le libre? Périmètre du mémoire Définition des 4 libertés pour l utilisateur Pas de restriction dans l exécution du logiciel (lieu, temps, utilisateur...), disponibilité du code source (sous la forme préférée par l auteur), droit de modification du code, droit de redistribution du logiciel. La gratuité est-elle un droit? Un logiciel libre n est pas obligatoirement gratuit, bien qu il le soit souvent.

6 Le Logiciel Libre Organisme : Éof Qu est ce que le libre? Périmètre du mémoire Définition des 4 libertés pour l utilisateur Pas de restriction dans l exécution du logiciel (lieu, temps, utilisateur...), disponibilité du code source (sous la forme préférée par l auteur), droit de modification du code, droit de redistribution du logiciel. La gratuité est-elle un droit? Un logiciel libre n est pas obligatoirement gratuit, bien qu il le soit souvent.

7 Le Logiciel Libre Organisme : Éof Qu est ce que le libre? Périmètre du mémoire Définition des 4 libertés pour l utilisateur Pas de restriction dans l exécution du logiciel (lieu, temps, utilisateur...), disponibilité du code source (sous la forme préférée par l auteur), droit de modification du code, droit de redistribution du logiciel. La gratuité est-elle un droit? Un logiciel libre n est pas obligatoirement gratuit, bien qu il le soit souvent.

8 Le Logiciel Libre Organisme : Éof Qu est ce que le libre? Périmètre du mémoire Définition des 4 libertés pour l utilisateur Pas de restriction dans l exécution du logiciel (lieu, temps, utilisateur...), disponibilité du code source (sous la forme préférée par l auteur), droit de modification du code, droit de redistribution du logiciel. La gratuité est-elle un droit? Un logiciel libre n est pas obligatoirement gratuit, bien qu il le soit souvent.

9 Le Logiciel Libre Organisme : Éof Qu est ce que le libre? Périmètre du mémoire Définition des 4 libertés pour l utilisateur Pas de restriction dans l exécution du logiciel (lieu, temps, utilisateur...), disponibilité du code source (sous la forme préférée par l auteur), droit de modification du code, droit de redistribution du logiciel. La gratuité est-elle un droit? Un logiciel libre n est pas obligatoirement gratuit, bien qu il le soit souvent.

10 Le Logiciel Libre Organisme : Éof Qu est ce que le libre? Périmètre du mémoire Définition des 4 libertés pour l utilisateur Pas de restriction dans l exécution du logiciel (lieu, temps, utilisateur...), disponibilité du code source (sous la forme préférée par l auteur), droit de modification du code, droit de redistribution du logiciel. La gratuité est-elle un droit? Un logiciel libre n est pas obligatoirement gratuit, bien qu il le soit souvent.

11 Définition Organisme : Éof Qu est ce que le libre? Périmètre du mémoire Une info-structure regroupe les éléments matériels, systèmes et logiciels. C est la base du système d information. Il doit assurer une disponibilité permanente et être imperméable aux attaques intérieures et extérieures afin de pouvoir rendre le service pour lequel il est destiné.

12 Périmètre Organisme : Éof Qu est ce que le libre? Périmètre du mémoire Ce qui est défendu Une approche globale des couches 2 à 4 du modèle OSI, la vue sur la répartition à travers différentes implémentations de logiciels et de standards, la sécurité par couche du système d information. Ce qui n est pas abordé Les couches hautes du modèle OSI avec les applications pour l utilisateur final, l aspect financier, la formation.

13 Périmètre Organisme : Éof Qu est ce que le libre? Périmètre du mémoire Ce qui est défendu Une approche globale des couches 2 à 4 du modèle OSI, la vue sur la répartition à travers différentes implémentations de logiciels et de standards, la sécurité par couche du système d information. Ce qui n est pas abordé Les couches hautes du modèle OSI avec les applications pour l utilisateur final, l aspect financier, la formation.

14 Architecture Un laboratoire pour expérimenter : les services basiques essentiels (dns, web, ssh) les services et protocoles en devenir (honeypot, virtualisation, pki, IPv6) la sécurisation (pare-feu, journalisation, répartition de charge, la disponibilité) Un laboratoire basé sur les logiciels libres et les standards ouverts.

15 DNS Serveur de nom Serveur web Partage de charge Virtualisation Le DNS est le gardien de la connectivité d Internet. L économie mondiale s écroulerait en l absence d une journée des TLD [ICA07]. Un protocole prudent Redondance inclus dans le protocole par distribution et par répartition (maître esclave) Un protocole sécurisable Par une liste d accès maîtrisée (ACL), Par la confidentialité du transport d échange (TSIG), Par l intégrité des données (DNSSEC).

16 DNS Serveur de nom Serveur web Partage de charge Virtualisation Le DNS est le gardien de la connectivité d Internet. L économie mondiale s écroulerait en l absence d une journée des TLD [ICA07]. Un protocole prudent Redondance inclus dans le protocole par distribution et par répartition (maître esclave) Un protocole sécurisable Par une liste d accès maîtrisée (ACL), Par la confidentialité du transport d échange (TSIG), Par l intégrité des données (DNSSEC).

17 DNS Serveur de nom Serveur web Partage de charge Virtualisation Le DNS est le gardien de la connectivité d Internet. L économie mondiale s écroulerait en l absence d une journée des TLD [ICA07]. Un protocole prudent Redondance inclus dans le protocole par distribution et par répartition (maître esclave) Un protocole sécurisable Par une liste d accès maîtrisée (ACL), Par la confidentialité du transport d échange (TSIG), Par l intégrité des données (DNSSEC).

18 Serveur Web Serveur de nom Serveur web Partage de charge Virtualisation Un serveur Web met à disposition du réseau une ressource locale. Celle-ci peut être brute, sous forme statique (html), ou calculée, sous forme dynamique (php, cgi,...). Toute introduction de dynamisme accroît la complexité du partage des données en temps réel. On en appelle souvent à la notion d architecture n-tiers. Dans ce cas, le frontal web n est plus qu un squelette qui garde cependant le devoir d affichage. Le processus de recopie peut s effectuer : d un serveur de développement vers les frontaux, d un frontal maître vers les autres serveurs.

19 de charge Serveur de nom Serveur web Partage de charge Virtualisation Définition Le principe premier de la répartition de charge consiste à distribuer le travail à effectuer sur plusieurs machines. Cela permet de faire face plus efficacement aux grosses variations d activité. Un choix d algorithme Dix algorithmes sont proposés initialement par le noyau Linux. Ils vont de la simple bascule séquentielle à de la gestion par table de condensat ou de minimisation du délai.

20 Serveur de nom Serveur web Partage de charge Virtualisation L intérêt de la virtualisation pour la répartition de charge La durée de vie des disques durs Le mythe des 140 ans [EP07][eGAG07] de vie ne trompe plus personne. Le matériel devient jetable, il faut donc trouver des solutions dans le logiciel. Des avantages : de coût (espace mutualisé), de maintenance (un système maître pour plusieurs esclaves), de portabilité (possibilité de migrer vers un environnement physique ultra rapide).

21 Serveur de nom Serveur web Partage de charge Virtualisation L intérêt de la virtualisation pour la répartition de charge La durée de vie des disques durs Le mythe des 140 ans [EP07][eGAG07] de vie ne trompe plus personne. Le matériel devient jetable, il faut donc trouver des solutions dans le logiciel. Des avantages : de coût (espace mutualisé), de maintenance (un système maître pour plusieurs esclaves), de portabilité (possibilité de migrer vers un environnement physique ultra rapide).

22 Sécurité globale Sécurité de la plate-forme Pare-feu Chausse-trappe Les chiffres que l on retient 100% des administrateurs vont ou se sont fait pirater, 80% des problèmes de sécurité sont internes à l entité, 70% des attaques sont concentrées sur les applications web. Ceux que l on oublie Les cinq premières menaces concernent des applications/sites Internet a les cinq premières menaces concernent des applications mal programmées a

23 Sécurité globale Sécurité de la plate-forme Pare-feu Chausse-trappe Les chiffres que l on retient 100% des administrateurs vont ou se sont fait pirater, 80% des problèmes de sécurité sont internes à l entité, 70% des attaques sont concentrées sur les applications web. Ceux que l on oublie Les cinq premières menaces concernent des applications/sites Internet a les cinq premières menaces concernent des applications mal programmées a

24 Sécurité des flux Sécurité de la plate-forme Pare-feu Chausse-trappe Le pare-feu est assimilable à un poste de douane. On ne peut peut-être pas contrôler chaque paquet finement, mais on limite l accès dans les grands axes. Certain groupement 1 préconisent la suppression du pare-feu. À défaut d être un élément complet et suffisant, il accentue la sécurité par couche, comme le préconise l histoire militaire [GdbB05]. Une politique par défaut On bloque tous les accès et on ouvre au cas par cas! 1 http ://

25 Pot de Miel Sécurité de la plate-forme Pare-feu Chausse-trappe Une surveillance améliorée Une surveillance interactive qui permet d attirer les intrus vers un point d engluement, ou à défaut, de détection. L avènement des pots de miels est étroitement liée à l avancée de la virtualisation et surtout du containment. Des résultats rapide, mais La législation française ne statue rien au sujet de ce type de logiciel. L exploitation des résultats n est donc à envisager qu en préventif et pas pour des poursuites.

26 Pot de Miel Sécurité de la plate-forme Pare-feu Chausse-trappe Un outil puissant... Une alternative ou une extension à la détection d intrusion. La technologie est absente du monde de l entreprise, cependant, la présence de la détection d intrusion ne brille pas par ses résultats ou sa portée. Seule l introduction d expert technique du domaine permettra une avancée dans cet usage.... à maîtriser Nous sommes dans un système à la disposition d intrus. Si le système à faible interaction limite le code à vérifier, un système à forte interaction reste, à ce jour, une épée de Damocles.

27 Évolution Envisageable Envisagé Architecture n-tiers, Détection d intrusion avancée (autre que décisionnel d achat), Haute-disponibilité avancée.

28 Vers IPv6 Envisageable Envisagé Pénurie d adresse IPv4 d ici deux à quatre ans (RIPE 55) Redéfinition des espaces Intégration du nomadisme Sécurisation des transferts au niveau 3

29 Ce qu il ne faut pas oublier technique du mémoire Haute dispo, redondance,... La haute disponibilité a été inventée pour assurer une sécurité d accès au contenu. Cependant, comme tout logiciel, des comportements inattendus peuvent s être glissé dans l implémentation. Sécurité, oui mais... Le maillon le plus faible restera toujours l utilisateur qui, de par sa volonté propre, ne souhaite pas s informer, apprendre, comprendre les enjeux de la sécurité informatique. [Ran06]

30 Vers une conclusion... technique du mémoire Le métier de base de l ingénieur consiste à résoudre des problèmes de nature technologique, concrets et souvent complexes, liés à la conception, à la réalisation et à la mise en oeuvre de produits, de systèmes ou de services. Cette aptitude résulte d un ensemble de connaissances techniques d une part, économique, social et humain d autre part, reposant sur une solide culture scientifique.

31 I Bianca Schroeder et Garth A. Gibson. Disk failures in the real world : What does an mttf of 1,000,000 hours mean to you? In 5th USENIX Conference on File and Storage Technologies. FAST 07, Février CMU-PDL pdf. Wolf-Dietrich Weber et Luiz André Barroso Eduardo Pinheiro. Failure trends in a large disk drive population. In 5th USENIX Conference on File and Storage Technologies. FAST 07, Février

32 II MBE Général de brigade Bayley. Le combat dans la profondeur : la naissance d un style de guerre moderne. Les cahiers du Retex n o 15, Avril http: // cahiers_drex/cahier_retex/retex15.pdf. ICANN. Root server attack on 6 february 2007, Mars factsheet-dns-attack-08mar07.pdf.

33 III Marcus J. Ranum. Point/counterpoint : User education. Information Security Magazine, Avril editorials/point-counterpoint/users.html. Olivier Ricou. Apprendre par les logiciels libres. 1re soumission à Environnements Informatiques pour l apprentissage Humain, Janvier 2007.

34 Questions Questions?