Sécurité des réseaux. 1. Introduction Quelques chiffres. 1. Introduction Tendances. Stéphane Lohier

Transcription

1 Sécurité des réseaux 1. Introduction Tendances et chiffres Pourquoi sécuriser? 2. Les attaques Techniques d intrusion Déni de service 3. Les défenses Concepts 4. Architectures de défense Firewall DMZ NAT Proxy IDS VPN (MPLS, PPTP, L2TP, IPSec) 5. Cryptage Principes Hash Signatures Certificats et PKI SSL SSH 6. Authentification Locale Kerberos CHAP et MS-CHAP 802.1x et EAP RADIUS 7. WLANs sécurisés WiFi (WEP, WPA) Bluetooth ZigBee Stéphane Lohier lohier@univ-mlv.fr! 1. Introduction Quelques chiffres 5 entreprises sur 6 employant plus de personnes ont été la cible de cyberattaques en Entre 2013 et 2014, le nombre des cyberattaques a augmenté de 120% dans le monde et le coût estimé de la cybercriminalité pour les entreprises s élève en moyenne à 7,6 millions de dollars par an, soit une augmentation de 10%. Les fraudes en ligne par carte bancaire ont représenté 64,6% du total des fraudes en 2013, soit un rapport de un à vingt par rapport aux magasins physiques Plus des 2/3 (77%) des sites Internet propagateurs de malwares sont des sites légitimes infectés. Un site Internet sur 8 comporte des vulnérabilités critiques. 95% des entreprises se disent menacées par des problèmes de sécurité liés au BYOD (Bring Your Own Device) 47% des entreprises ont éprouvé des intrusions suite à des brèches présentes dans des appareils mobiles. Entre janvier et juin 2014, le nombre d infections touchant les terminaux mobiles a progressé de 17% (20% seulement sur tout 2013). 0,65% des smartphones en circulation sont infectés d un malware. Les smartphones équipés d Android comptent 60% des équipements mobiles infectés contre 40% pour les PC portables équipés de Windows. De leur côté, les iphone, les BlackBerry, les téléphones sous Symbian et sous Windows Phone totaliseraient moins de 1%. Sept entreprises sur dix seraient convaincues de disposer d un pare-feu de nouvelle génération (Next Generation Firewall, ou NGFW) alors que non, elles ne seraient en fait que 30 % à en posséder. Source Denis Jacopini 2 1. Introduction Tendances 1. Introduction Quelques chiffres * Source PandaLabs Source PandaLabs * Un logiciel malveillant ou maliciel (en anglais : malware) est un programme développé dans le but de nuire à un système informatique, sans le consentement de l'utilisateur infecté (wikipedia)

2 1. Introduction Quelques chiffres 1. Introduction Quelques chiffres Source Kaspersky Source Kaspersky Introduction Quelques chiffres 1. Introduction Quelques chiffres Une attaque par déni de service (Denial Of Service) est une attaque informatique ayant pour but de rendre indisponible un service. Lorsque l attaque provient de plusieurs machines simultanément, on parle de DDoS (Distributed DOS) Source Kaspersky Source Kaspersky 7 8 2

3 1. Introduction Quelques chiffres 1. Introduction Pourquoi sécuriser Pourquoi les systèmes sont-ils vulnérables? Émergence en permanence de nouveaux usages et de nouvelles technologies et donc de nouvelles vulnérabilités (réseaux sociaux, peer to peer, messagerie instantanée, réseaux sans fil, smartphone connectés en WiFi ou en 3G, téléphonie sur IP, stockage sur clé USB ) ; Politiques de sécurité complexes (où placer un ou des firewalls, quels fichiers crypter, quelle type de VPN, quels droits pour les administrateurs? ) ; Politiques de sécurité basées sur des jugements humains ; La sécurisation est coûteuse en moyens, en temps et surtout en ressources humaines. * L hameçonnage, phishing ou filoutage est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité (wikipedia). Quatre principaux objectifs de la sécurité : L'intégrité : garantir que les données sont bien celles qu'on croit être ; La confidentialité : assurer que seules les personnes autorisées ont accès aux ressources ; La disponibilité : garantir l accès aux données de tout type ; La non répudiation : garantir qu'une transaction ne peut être niée par l un des participants. Source Kaspersky Introduction Pourquoi sécuriser? 2. Les attaques Types d attaque Écoute Espionnage Usurpation Phishing Détournement Antispy DMZ Authentification Spoofing Certificats VPN Filtrage Cryptage Confidentialité Virus Antivirus Vers Information Filtrage Déni de service Filtrage Intégrité Disponibilité Altération Redondance Cryptage Erreurs Sauvegardes Intrusion Authentification Pannes Antispam 1. Techniques d intrusion Les accès physiques vont du vol de disque dur ou de portable à l écoute du trafic sur le réseau (sniffing) ; L ingénierie sociale (social engineering) permet de retrouver ou de récupérer directement des couples identifiant/mot de passe en envoyant par exemple des messages falsifiés (phishing) ; L interception de communications permet l usurpation d'identité, le vol de session (session hijacking), le détournement ou l altération de messages (spoofing) ; Les intrusions sur le réseau comprennent le balayage de ports (port scan), l élévation de privilèges (passage du mode utilisateur au mode administrateur) et surtout les malwares (virus, vers et chevaux de Troie). Spam

4 2. Les attaques Le sniffing 2. Les attaques Le «Crackage» de mot de passe Sur la plupart des réseaux, les trames sont diffusées sur tout le support (câble Ethernet, transmission radio WiFi ). En fonctionnement normal, seul le destinataire reconnaît son adresse (adresse MAC destination sur un réseau Ethernet) et lit le message. La carte Ethernet ou Wifi d un PC peut être reprogrammée pour lire tous les messages qui traversent le réseau (promiscious mode). Les hackers utilisent des «sniffers» ou analyseurs réseau tels wireshark pour trouver des identités et des mots de passe dans des dialogues POP3, FTP ou encore des données personnels dans le corps des messages (social engineering). La limite à priori est le dispositif d interconnexion utilisé sur le LAN ou le segment de LAN (switch, AP WiFi, routeur ). Le remote sniffing (daemon rpcap) permett de renvoyer le trafic capturé sur un réseau vers le réseau du hacker. L usurpation d adresse MAC permet de rediriger sur le switch le trafic de la victime vers la machine de l agresseur. Le hacker utilise un dictionnaire de mots et de noms propres construit à partir d informations personnelles et privées qui ont été collectées (social engineering). Ces chaînes de caractère sont essayées une à une à l aide de programmes spécifiques qui peuvent tester des milliers de mots de passe à la seconde Exemple : «John the ripper» Toutes les variations sur les mots peuvent être testées : mots écrits à l envers, majuscules et minuscules, ajout de chiffres ou de symboles. Ce type d attaque est souvent nommé attaque par force brute car le mot de passe est deviné grâce à des milliers d essais successifs à partir d un dictionnaire, et non pas retrouvé à l aide d un programme capable de décrypter une chaîne de caractères. Mot de! Passe! 3! Mot de! Passe! 2! Mot de! Passe! 1! Les attaques Le phishing 2. Les attaques Le phishing (suite) Néologisme anglais, contraction de " fishing «: pêcher, et de " phreaking " : pirater le réseau téléphonique (hameçonnage en français). Il s agit de conduire des internautes à divulguer des informations confidentielles, et notamment bancaires, en usant d un hameçon, fait de mensonge et de contrefaçon électronique (identité visuelle d un site connu, en-têtes, logo ). Le cas le plus classique est celui d un mail usurpant l identité de votre banque et contenant un lien vers un faux site où on vous demandera de confirmer votre numéro de carte bleue. Le phishing utilise également des virus qui installent des programmes espions afin d intercepter la frappe des données confidentielles sur le clavier (keyloggers) pour les transmettre ensuite sur un site où le «phisher» pourra les récupérer

5 2. Les attaques Les keyloggers Programmes installés à votre insu sur votre PC et capables d enregistrer toutes les séquences de touches frappées sur un clavier : login, mot de passe, numéro de compte, numéro de carte bancaire... Le keylogger crée un fichier caché (.log) sur votre système susceptible d être ensuite transmis via Internet. Le fichier log peut ainsi contenir ainsi toutes les séquences de touches pour chaque fenêtre ouverte sur votre système La plupart des banques proposent une saisie du code personnel à la souris. 2. Les attaques Le Spoofing L IP spoofing (to spoof : «faire passer pour, usurper») L agresseur prétend provenir d une machine interne pour pénétrer sur le réseau privé. Cette attaque basique peut être simplement bloquée avec un pare-feu (firewall) au niveau du routeur d accès qui éliminera les paquets entrants avec une adresse IP source source usurpée : Pirate LAN Privé Routeur d accès Internet Réseau Les attaques Le Spoofing (2) 2. Les attaques Le Spoofing (3) L ARP spoofing ou ARP poisoning L'attaquant émet une requête ARP en unicast vers la victime A en spécifiant comme adresse IP émettrice celle de B et en indiquant sa propre adresse MAC comme l'adresse MAC de l'émetteur; idem vers la victime B (souvent un routeur). Une fois les tables ARP de A et B falsifiées, tout le trafic est routé par l attaquant. La même attaque peut être réalisée avec un ARP Reply mais la plupart des systèmes se protègent de cette attaque en n'acceptant que les réponses à des requêtes préalablement envoyées. Le mail Spoofing Les courriers électroniques sur Internet sont également sujet au spoofing : une adresse d expéditeur peut être falsifiée simplement dans la mesure où elle ne comporte pas de pas de signature numérique. Le protocole d envoi de messages SMTP n est pas sécurisé. Le DNS spoofing Le pirate utilise les faiblesses du protocole DNS et de son implémentation sur les serveurs de noms de domaine pour rediriger des internautes vers des sites falsifiés. Le but du pirate est donc de faire correspondre l'adresse IP d'une machine qu'il contrôle à l URL réel d'une machine publique. Deux attaques de type DNS Spoofing : ü Le DNS ID Spoofing basé sur la récupération et l exploitation dans une fausse réponse du numéro d'identification contenu dans une requête DNS ; ü Le DNS Cache Poisoning qui corromps (empoisonne) avec de fausses adresses le cache des serveurs DNS

6 Le web spoofing 2. Les attaques Le Spoofing (4) Version élaborée de l IP spoofing. Il s'agit de remplacer un site par une version pirate du même site. Technique notamment utilisée dans la dernière étape du phishing. La falsification se déroule en plusieurs temps : ü Amener la victime à entrer dans le faux site web (grâce à l utilisation du DNS spoofing par exemple) ü Intercepter les requêtes HTTP ; ü Récupérer les vraies pages web et modifier ces pages ; ü Envoyer de fausses pages à la victime. 2. Les attaques Web Spoofing : le cas de Blackhole Blackhole est aujourd hui le kit d'exploit (toolkit) le plus populaire au monde. Un kit d'exploit est un outil logiciel préconçu pour infecter les ordinateurs au travers d'un serveur Web malveillant. Les quatre étapes du cycle d'exécution de Blackhole : 1. Redirection des utilisateurs vers un site infecté par Blackhole : les attaquants injectent du contenu malveillant, JavaScript, dans des pages Web légitimes ; 2. Téléchargement du code malveillant depuis la page de renvoi : dès que le navigateur a fini de télécharger le contenu du kit depuis le serveur, le code malveillant établit un profil du navigateur (version, plug-ins installés ) ; 3. Une fois qu'une faille a été découverte, Blackhole peut déposer la charge virale désirée (charges polymorphes qui varient selon le système infecté) ; 4. Suivi, apprentissage et amélioration Les attaques Les virus 2. Les attaques Les rootkits Nom souvent utilisé pour désigner sans distinction tout type d attaque. En vérité, programme qui se propage à l aide d autres programmes ou de fichiers. Souvent simples et faciles à détecter à partir de leur code (signature). Efficaces, car ils se propagent plus vite que les anti-virus peuvent être mis à jour. Passent le plus souvent par la messagerie Un rootkit est un malware qui installe une série d outils permettant à un pirate d accéder à distance à un ordinateur. Deux types de rootkit : Les rootkits en mode utilisateur (les plus courants) fonctionnent au sein de l OS comme une application. Ils exécutent leur comportement malicieux en piratant les applications en fonctionnement sur le PC ou en remplaçant la mémoire utilisée par une application ; Les rootkits en mode noyau fonctionnent au niveau le plus profond du système d exploitation du PC et donnent au pirate une série de privilèges plus puissants. Conséquences de l exécution d un virus : simple modification des paramètres d une application (page par défaut du navigateur). Modification de la base de registre du système (exécution automatique d un programme commercial à chaque démarrage). Effacement de données ou de fichiers essentiels au système d exploitation

7 2. Les attaques Les vers 2. Les attaques Les chevaux de Troie (troyans) Un ver (worm) est un programme capable de se propager et de s'auto-reproduire sans l'utilisation d'un programme quelconque (d un vecteur) ni d'une action par une personne. La particularité des vers ne réside pas forcément dans leur capacité immédiate de nuire mais dans leur facilité pour se propager grâce par exemple aux listes de contacts présentes sur les PC ou les smartphones. L exemple de Conficker : Conficker est un ver informatique qui est apparu fin novembre Il exploite une faille du Windows Server Service utilisé par Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2003 et Windows Server Le Guardian donnait une estimation de ordinateurs infectés. Le ver commence par s'installer en exploitant une faille de svchost.exe. Il peut venir depuis un périphérique amovible infecté ou par un réseau local. Une fois installé, Conficker met hors service certaines fonctions du système, telles que Windows Update, le centre de sécurité Windows, Windows Defender et Windows Error Reporting. Puis il tente de se connecter à de multiples serveurs pseudo-aléatoires, d'où il peut recevoir des ordres supplémentaires pour se propager, récolter des informations personnelles, télécharger et installer des logiciels malveillants 25 Un cheval de Troie (troyan) est programme caché dans un autre programme qui s exécute au démarrage du programme «hôte». Le nom provient d'une légende narrée dans l'iliade (Homère) à propos du siège de la ville de Troie par les Grecs. Il permet donc de s'introduire sur le système à l insu de la victime : ouverture d une «porte dérobée» ou backdoor, généralement un port. Le cheval de Troie devient alors autonome et peut agir comme un virus en infectant des données ou des programmes Les attaques Le troyan Ginmaster 2. Les attaques Le scan de ports Le scan de port permet de connaitre les ports ouverts ou fermés sur une machine distante mais aussi potentiellement : les versions des services qui tournent ; les types de systèmes d'exploitation et leurs versions ; la présence d'un firewall ; les ports ouverts sur le firewall; la politique de filtrage en fonction d'adresses IP spécifiques ; etc

8 2. Les attaques Le Déni de service 2. Les attaques TCP-SYN Flooding Ce type d attaque nommé en anglais Denial Of Service ou DOS empêche par saturation un service de fonctionner correctement sur une machine. Par exemple le «Ping of the death» est la plus ancienne des attaques de type DOS : un ping continu avec une taille de paquet maximum est lancé vers la machine cible. Tous les OS récents empêchent ce type d attaque. Une variante connue sous le nom de smurfing est basée sur l envoi d un «echo request» ICMP avec comme adresse source celle de la victime et une adresse destination de diffusion. Les réponses «echo reply» provenant de toutes les machines du réseau vers la machine de la victime saturent celle-ci. Cette vulnérabilité a également été supprimée sur tous les OS récents. Cette attaque consiste à inonder (flooding) la cible à l aide de demandes successives d ouverture de connexion TCP. Lors d une ouverture normale : le premier segment TCP est transmis par le client avec le bit SYN à 1 pour demander l ouverture ; le serveur répond avec dans son segment TCP les bits SYN et ACK à 1 ; le client demandeur conclut la phase avec le bit ACK à Les attaques TCP-SYN Flooding 2. Les attaques TCP-SYN Flooding : exemples Les abus interviennent au moment où le serveur a renvoyé un accusé de réception (SYN ACK) au client mais n a pas reçu le «ACK» du client. C est alors une connexion à semi-ouverte et l agresseur peut saturer la structure de données du serveur victime en créant un maximum de connexions partiellement ouvertes. Le client autorisé ne pourra alors plus ouvrir de connexion. Il existe plusieurs méthodes simples pour parer cette attaque : la limitation du nombre de connexions depuis la même source ou la même plage d'adresses IP ; la libération des connexions semi-ouvertes selon un choix de client et un délai aléatoires ; la réorganisation de la gestion des ressources allouées aux clients en évitant d'allouer des ressources tant que la connexion n'est pas complètement établie

9 2. Les attaques q 2. Les attaques Le DDOS Le Distributed denial-of-service ou déni de service distribué à les mêmes effets que le DoS traditionnel excepté qu'ici ce n'est plus une seule machine qui attaque les autres mais une multitude de machines «zombies» contrôlées par un maître unique. q L attaque se déroule en plusieurs étapes : Ø Recherche sur Internet d'un maximum de machines vulnérables qui deviendront des complices involontaires, des «zombies». Ø Les réseaux de zombies («botnet» en anglais) ainsi formés sont une ressource précieuse pour les hackers ; Maître Ø Installation sur ces machines de programmes dormants (daemons) et suppression des traces éventuelles (logs) ; Ø Les daemons sont basés sur les attaques DOS classiques (paquets UDP multiples, SYN Flood, buffer overflow ) ; Contrôle Daemons Daemons Le DDOS Daemons Daemons Ø Activation du dispositif à l'heure et au jour programmé. Réseau de zombies Attaque distribuée q Parmi les attaques DDoS très populaires, on connaît l'attaque sur les sites internet Yahoo, CNN, Amen et EBay qui ont subit une inondation de leur réseau. Victime ESIPE - EISC2 Sécurité des réseaux 2. Les attaques S. Lohier 33 ESIPE - EISC2 Sécurité des réseaux 2. Les attaques Le DDOS : exemple S. Lohier 34 Répartition des attaques q le 19 Juin 2014 au matin, Facebook a été indisponible durant près d'une heure dans le monde entier. q Le site Norse-corp a pu enregistrer une forte attaque DDoS en provenance de Chine vers des serveurs aux États-Unis. q Cette attaque s'est produite seulement quelques instants avant la panne mondiale qu'a connu Facebook. DDOS FaceBook ESIPE - EISC2 Sécurité des réseaux S. Lohier 35 ESIPE - EISC2 Sécurité des réseaux S. Lohier 36 9

10 2. Les attaques Questions sur les attaques Quels sont les deux grands types d attaque? À quels domaines de sécurité (intégrité, confidentialité, disponibilité) se rapportent ces deux types? Quelle est la différence entre virus et vers? Dans quelle mesure ces derniers sont-ils plus dangereux? Quelles attaques sont considérées comme des dénis de service? Le spoofing Le flooding Les virus Le phishing Le spamming Dans une attaque de type DDOS : Une machine maître contrôle d autres machines qui pourront réaliser une attaque distribuée sur la cible Une machine maître inonde des machines cible à l aide d applications distribuées L objectif est de paralyser la machine cible Les défenses Quelques évidences...? Défense en profondeur Plusieurs mesures de sécurité valent mieux qu'une. Par exemple Anti-spam sur les serveurs de messagerie ET sur les postes de travail. Interdiction par défaut On ne connaît jamais à l'avance toutes les menaces qu'on va subir. Il est mieux d'interdire tout ce qui n'est pas explicitement permis que de permettre tout ce qui n'est pas explicitement interdit. Participation des utilisateurs Un système de protection n'est efficace que si tous les utilisateurs le supportent. Un système trop restrictif pousse les utilisateurs à devenir créatifs Simplicité La plupart des problèmes de sécurité ont leur origine dans une erreur humaine. Dans un système simple : ü le risque d'erreur est plus petit ; ü il est plus facile de vérifier son bon fonctionnement. Principe du moindre privilège Chaque élément d'un système (utilisateur, logiciel) ne doit avoir que le minimum de privilèges nécessaires pour accomplir sa tâche : ü Utilisateurs, utilisateur avancés, administrateurs ; ü Un serveur web est lancé avec un compte limité ; ü Zone RAM ou disque interdite ; ü Les défenses Concepts Plusieurs modèles de sécurité : La sécurité par l hôte : chaque machine est sécurisée à un certain niveau (serveurs et stations avec authentification au login et protections locales sur l accès aux ressources) ; La sécurité par le réseau : l accès à l ensemble des ressources du réseau est protégé par un firewall, un VPN, un proxy Plusieurs niveaux de sécurité : Sécurité des données : concerne exclusivement les données à l intérieur du système (cryptographie, protection physique ) Sécurité des réseaux : concerne les données qui transitent entre les systèmes (firewall, VPN ). Deux niveaux interdépendants d étude : Au niveau de l architecture du réseau (firewall, DMZ, VPN ) ; Au niveau des protocoles utilisés dans le réseau (IPSec, PPTP, authentification, SSH, HTTP-S, cryptographie ). 4. Architectures de défense La translation d adresses - NAT La translation d adresses est basée sur l utilisation des adresses privées, non routables sur Internet : Classe A Classe B à Classe C à Elle permet d isoler le trafic local du trafic public de l internet et nécessite l utilisation d un translateur d adresse (NAT - Network Adress Translator). Quand un paquet sort, l'adresse source est remplacée par une adresse publique. L'adresse source est donc masquée : masquerading. La translation de port est généralement utilisée conjointement (NAPT) pour éviter les collisions lorsque deux connexions ne sont différentes que par l'adresse interne

11 4. Architectures Firewall : principe Le firewall ou pare-feux est chargé de filtrer les accès entre l Internet et le réseau local ou entre deux réseaux locaux. La localisation du firewall (avant ou après le routeur, avant ou après le NAT..) est stratégique. Le firewall, qui est souvent un routeur possédant des fonctionnalités de filtrage, possède autant d interfaces que de réseaux connectés. Suivant la politique de sécurité, le filtrage est appliqué différemment pour chacune des interfaces d entrée et de sortie (blocage des adresses IP privées entrantes, autorisation des accès entrants vers le serveur web institutionnel ) Les machines d extrémité possèdent également un firewall mais celui-ci est logiciel (pare-feu Windows ou iptables sous Linux par exemple) et sert à protéger les machines du trafic entrant si le firewall à l entrée du LAN n a pas été suffisamment sélectif. 4. Architectures Filtrage de paquets Pour chaque trame ou chaque paquet entrant ou sortant sur une interface donnée, les en-têtes correspondant aux différentes couches sont analysés et le filtrage sélectif est appliqué suivant la stratégie de sécurité définie par l administrateur du réseau. Le filtrage peut porter sur : les adresses MAC source ou destination ; les adresses IP source ou destination ; les ports TCP ou UDP source ou destination ; les Flags de l en-tête TCP (SYN, ACK ) ; le type de message ICMP ; le type de message ou le contenu HTTP, SMTP, POP (filtrage applicatif). Serveur d accès LAN privé Intranet Firewall Serveurs accessibles depuis Internet Routeur d accès Internet LAN privé?? SMTP Firewall?? HTTP Internet Architectures Filtrage sur les entrées 4. Architectures Règles d un Firewall Le firewall peut également empêcher les connexions entrantes en analysant la valeur du bit ACK de l en-tête TCP. Lors d une demande de connexion, le bit ACK du premier segment TCP est à 0, les bits ACK des segments suivants sont généralement tous à 1. Il suffit donc de bloquer les segments entrants avec le bit ACK à 0, les segments suivants pour cette connexion ne seront pas pris en compte LAN privé SYN=1, ACK=0 SYN=1, ACK=1 SYN=0, ACK=1 La configuration d un firewall passe par l écriture d une suite de règles qui décrivent les actions à effectuer (accepter ou refuser le trafic) suivant les informations contenues dans les en-têtes des paquets. Les caractéristiques de chaque paquet sont comparées aux règles, les unes après les autres. La première règle rencontrée qui correspond aux caractéristiques du paquet analysé est appliquée : l action décrite dans la règle est effectuée. Pour assurer une sécurité maximum, la seule règle présente par défaut doit être celle qui interdit l accès à tous les paquets entrants et sortants, d autres règles seront ensuite insérées pour ouvrir les accès souhaités. La stratégie appliquée est donc : «tout ce qui n'est pas explicitement autorisé est interdit». Firewall Internet

12 4. Architectures Exemple de règles d un firewall 4. Architectures Firewall à états (statefull) Les règles A et B permettent aux machines locales ( ) d ouvrir une connexion sur un serveur web (port 80) externe. Émission (règle C) ou réception (règle D) de courrier SMTP (port 25) avec un serveur externe. Les paquets entrants depuis des supposés serveurs SMTP ne peuvent passer que si la connexion a été initiée de l intérieur (règle D). Blocage de toute autre connexion (règle E). Règle dest. Protocole Src Port Dst Port ACK=1 Action Certains firewalls sont également capable de tenir compte des flux précédents, donc des états précédents, pour décider de leur politique de filtrage sur les nouveaux flux. Exemple : Suite à une ouverture d un canal de commande FTP, le firewall examine les données applicatives qui suivent. Le Firewall reconnait la commande FTP de proposition par le serveur d un numéro de port de données qui suit la commande PASV. Il enregistre le port de donnée pour autoriser l ouverture d une connexion et tous les transferts sur ce canal. A Out TCP > Permit B In TCP 80 >1023 Permit C Out TCP > Permit D In TCP 25 >1023 Yes Permit E All All All All All All Deny Client Port 1233 Port 1234 PASV Data Port = 1500 SYN SYN ACK ACK Data Data Port 21 Port 1500 Serveur FTP Architectures Firewall : les ACL Cisco 4. Architectures Firewall : logique des ACL Cisco Sur les routeurs Cisco, les ACL (Access Control Lists) permettent de filtrer les paquets entrants ou sortants en fonction des adresses IP source et destination. Il existe 2 types d'acl : standard : uniquement sur les IP sources ; étendue : sur quasiment tous les champs des en-têtes IP, TCP et UDP. Le filtrage sur les paquets peut intervenir : sur l interface d entrée, avant le processus de routage ; sur l interface de sortie, après le processus de routage. Le paquet est vérifié par rapport au 1er critère défini sur les informations contenues dans les en-têtes IP, TCP ou UDP : S'il vérifie le critère, l'action définie est appliquée ; Sinon le paquet est comparé successivement aux ACL suivants ; S'il ne satisfait aucun critère, l'action deny est appliquée. Des masques sont utilisés pour pouvoir identifier une ou plusieurs adresses IP en une seule définition. Le masque défini la portion de l'adresse IP qui doit être examinée : signifie que seuls les 2 premiers octets doivent être examinés ; deny avec : refus de toutes les IP commençant par Syntaxe d'une règle standard : access-list number [deny permit] source [source-wildcard] number compris entre 1 et 99 ou entre 1300 et 1999 Source-wildcard : masque pour la source Syntaxe d'une règle étendue : access-list number [deny permit] protocol source source-wildcard destination dest.-wildcard number : compris entre 100 et 199 ou 2000 et

13 4. Architectures Firewall : exemples d ACL Cisco 4. Architectures Firewall : quizz ACL Cisco access-list 1 deny (ou deny host ) access-list 1 permit (ou permit any) Refuse les paquets d'ip source Le masque (également appelé wildcard mask) signifie ici que tous les bits de l'adresse IP sont significatifs. La dernière règle autorise toutes les autres adresses (le masque signifie qu aucun n est significatif) access-list 2 permit Autorise tous les paquets d'ip source /24. Différence avec access-list 2 permit ? access-list 101 deny ip any host Refus des paquets IP à destination de la machine et provenant de n'importe quelle source access-list 102 deny tcp any gt 1023 host eq 23 Refus de paquet TCP provenant d'un port > 1023 et à destination du port 23 de la machine d'ip access-list 103 deny tcp any host eq http Refus des paquets TCP à destination du port 80 de la machine d'ip Architectures Firewall sous Linux 4. Architectures Firewall sous Linux : chaînes Netfilter est le module qui fournit à Linux les fonctions de pare-feu, de translation d adresse (NAT) et d'historisation du trafic réseau. Netfilter fonctionne en mode noyau. Il intercepte et manipule les paquets IP entrant et sortant de votre machine. iptables est le programme qui permet à un administrateur de configurer Netfilter. iptables est installé par défaut dans toutes les distributions Linux et est utilisable en mode commande. Des interfaces graphiques sont disponibles pour modifier plus aisément les règles de filtrage ou de translation. Par défaut, le programme iptables utilise la table «filter» qui contient trois listes de règles ; Ces listes sont appelées chaînes de firewall ou juste chaînes. Les trois chaînes sont nommées INPUT, OUTPUT et FORWARD : La chaîne INPUT permet de décider ce que l on fait d un paquet entrant. Il peut être accepté (ACCEPT) ou rejeté (DROP) ; La chaîne OUTPUT permet de la même façon de fixer le sort des paquets sortants (ceux qui sont générés localement) ; La chaîne FORWARD permet de transférer sur une autre carte réseau le paquet arrivé sur la machine. Entrée Décision de routage FORWARD DROP ACCEPT INPUT OUTPUT DROP ACCEPT Processus local DROP ACCEPT Sortie

14 4. Architectures Firewall sous Linux : chaînes (2) 4. Architectures Firewall sous Linux : règles Une autre table est utilisée pour les translations d adresses : la table «nat». Elle utilise 3 chaînes : PREROUTING, c'est la chaîne qui va être utilisée pour faire du DNAT (Destination NAT) : translation sur adresse destination avant le processus de routage. Ex : pour un paquet entrant vers un serveur web interne et masqué, le routeur va remplacer sa propre IP par l IP du serveur web. POSTROUTING, à la sortie du routeur et utilisée pour faire du SNAT (Source NAT) : masquage d'adresse source après le processus de routage. Ex : un ordinateur local veut sortir sur le WAN, le routeur va remplacer l'ip du paquet émis en local par sa propre IP. OUTPUT, cette chaîne va traiter les réponses émises en local si le paquet avait pour destination le routeur, comme dans le cas de la table filter. Entrée PREROUTING DROP ACCEPT Décision de routage OUTPUT POSTROUTING DROP ACCEPT Sortie Chaque chaîne est composée d'un ensemble de règles. Quand un paquet atteint une chaîne celle ci va examiner cet ensemble règle par règle pour trouver celle qui lui correspond. Si c'est le cas alors cette règle lui sera appliquée. Finalement s'il n'y a pas de règle qui corresponde à ce paquet, une politique par défaut sera appliquée. La commande iptables permet de spécifier des règles de sélection des paquets IP dans les trois chaînes (INPUT, OUTPUT et FORWARD). Les paquets sont sélectionnées suivant la combinaison : adresse source, adresse destination ; protocole (tcp, udp, icmp, all) ; numéro de port. Pour chaque règle de sélection, on définit une politique : accepter (ACCEPT) ou rejeter (DROP) le paquet. Processus local DROP ACCEPT Exemple : on rejette les pings entrants : # iptables -A INPUT -i eth0 -p icmp -j DROP Architectures Firewall sous Linux : exemple 4. Architectures Firewall sous Linux : quizz Soit le réseau représenté ci-dessous, quel est le rôle des commandes suivantes? Quelle commande permet d interdire en entrée toute requête HTTP à partir du réseau ? iptables -A OUPUT -s /24 -p tcp --dport 80 -j REJECT iptables -A INPUT -s /24 -p tcp --sport 80 -j REJECT iptables -A INPUT -s /24 -p tcp --dport 80 -j REJECT iptables -A INPUT -s /16 -p tcp --sport 80 -j REJECT iptables -A INPUT -i eth0 -j ACCEPT iptables -A OUTPUT -o eth0 -j ACCEPT iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE iptables -t nat -A POSTROUTING -s /24 -o ppp0 -j MASQUERADE Quelle commande permet de translater les adresses sources10.10.x.x vers l interface de sortie ? iptables -t nat -A PREROUTING -s /16 -j SNAT ---to-source iptables -t nat -A POSTROUTING -s /16 -j SNAT d /24 iptables -t nat -A POSTROUTING -s /16 -j SNAT ---to-source iptables -t nat -A PRETROUTING -s /16 -j DNAT ---to-source Quelle commande permet de translater une adresse privée sortant par ppp0 en une adresse publique dynamique? iptables -t nat -A POSTROUTING -s o ppp0 -j MASQUERADE iptables -t nat -A POSTROUTING -s o ppp0 -j SNAT iptables -t nat -A POSTROUTING -s o ppp0 -j SNAT iptables -t nat -A PREROUTING -s o ppp0 -j MASQUERADE

15 4. Architectures Firewall sous Linux : Statefull 4. Architectures Firewall Statefull : exemple Suivi des communications possible à partir du noyau 2.4. Le module de suivi des communications est activé grâce à l'option -m state de la commande iptables. L'option --state permet de spécifier l'état de la communication à considérer. Le noyau maintient une table de suivi des communications en se basant, par exemple, sur le couple adresses (source et destination), sur les numéros de ports (source et destination), sur les types de protocoles ou l'état de la communication. Les paquets sont inspectés dans le contexte d'une session. Par exemple, un segment TCP avec le bit ACK activé sera rejeté si aucun segment SYN correspondant n'a été reçu auparavant. Le suivi des se base sur trois états : NEW : correspond à la demande de communication TCP initiale, au premier datagramme UDP ou au premier message ICMP. ESTABLISHED : si une entrée de la table de suivi des communications correspond, alors le paquet appartient à une communication de type ESTABLISHED. Dans le cas du protocole TCP, on se réfère au bit ACK après qu'une communication ait été initiée. Dans le cas de datagrammes UDP c'est l'échange entre deux hôtes et les correspondances de numéros de ports qui sont prises en compte. Enfin, les messages ICMP echo-reply doivent correspondre aux requêtes echo-request. RELATED : se réfère aux messages d'erreurs ICMP correspondant à une «communication» TCP ou UDP déjà présente dans la table de suivi. Que réalisent les deux commandes suivantes? iptables -A OUTPUT -p tcp --dport 993 -o ppp0 -m state --state NEW -j ACCEPT iptables -A INPUT -p tcp --sport 993 -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT Que réalisent les deux commandes suivantes? iptables -A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT Architectures Filtrage/Routage/Translation - Dans quel ordre? 4. Architectures Firewall/Routage/NAT - Exemple Il est important de comprendre dans quel ordre ont lieu les opérations de translation, de filtrage et de routage : le routage ou le filtrage qui opère sur l adresse IP n est pas le même si cette adresse a été translatée 1. Pourquoi pour un paquet entrant, la translation est-elle effectuée sur l adresse destination (Destination NAT) avant le routage et le filtrage? Exemple : Destination Passerelle Interface Eth Serial1 Table de dst : Port dst : dst : Port dst : DNAT LAN privé Eth1 SNAT Serial1 Routeur Filtrage Routage Translation d accès Routeur/Firewall src. : Port src : src. : Port src : 80 Règles de filtrage Direction dst Port src Port dst Action Entrant Eth1 * * 80 Autorisé Sortant Eth * 80 * Autorisé

16 4. Architectures Firewall/Routage/NAT - Exemple 4. Architectures DMZ : principe 2. Pourquoi pour un paquet sortant, la translation est-elle effectuée sur l adresse source (Source NAT) après le filtrage et le routage? Une zone démilitarisée (ou DMZ de l anglais DeMilitarized Zone) est une zone de réseau privée ne faisant partie ni du réseau local privé ni de l Internet À la manière d'une zone franche au delà de la frontière, la DMZ permet de regrouper des ressources nécessitant un niveau de protection intermédiaire. Comme un réseau privé, elle est isolée par un firewall mais avec des règles de filtrage moins contraignantes, généralement : Traffic Externe -> DMZ autorisé ; Traffic Externe -> Interne interdit ; Traffic Interne -> DMZ autorisé ; Traffic Interne -> Externe autorisé ; Traffic DMZ -> Interne interdit ; Traffic DMZ -> Externe interdit. LAN privé Zone de protection forte Zone de protection intermédiaire Firewall DMZ Routeur d accès Internet Architectures DMZ : 2 niveaux de Firewall 4. Architectures Firewall et DMZ : exemple (1) Un niveau supplémentaire de sécurité peut être introduit avec un deuxième firewall. Les règles d accès sur le firewall du réseau local privé sont plus restrictives. La DMZ est située entre les deux firewalls (DMZ «en sandwich») avec des règles moins restrictives introduites par le premier firewall La règle A du firewall permet aux machines du LAN privé d'accéder à DMZ 2, alors que la règle C est censée l'interdire. Comment remédier à cela? LAN privé Mail DMZ 1 Firewall Internet DMZ 2 LAN privé Firewall 2 Firewall 1 DMZ Routeur d accès web Internet Zone de protection forte Zone de protection intermédiaire

17 4. Architectures Firewall et DMZ : exemple (1) 4. Architectures Proxy : principe Un serveur mandataire (Proxy) a pour fonction de relayer des requêtes entre un poste client et un serveur ou un réseau externe. Les serveurs mandataires sont notamment utilisés pour assurer les fonctions suivantes : sécurité du réseau local ; filtrage et anonymat ; accélération de la navigation : mémoire cache, compression des données ; filtrage des publicités ou des contenus lourds (java, flash) ; journalisation des requêtes (logging). Pour certaines fonctionnalités, un Proxy est très proche d un Firewall applicatif. Exemple : proxy http dans un établissement scolaire pour filtrer les accès Internet. Connexion directe virtuelle Requête au serveur Internet Réponse relayée Cache Requête relayée Réponse du serveur Proxy (Serveur mandaté) Internet LAN privé Architectures Reverse Proxy 4. Architectures Les IDS Un reverse proxy peut être est implémenté du côté des serveurs internes. L'utilisateur externe passe par son intermédiaire pour accéder aux applications ce qui permet par exemple de protéger un serveur web des attaques provenant de l'extérieur. Plusieurs applications possibles pour les proxies inverses : Sécurité : filtrage en un point unique des accès aux ressources web et masquage des URL internes. Accélération SSL : le proxy inverse peut être utilisé en tant que «terminateur SSL», les connexion vers les serveurs internes seront accélérées. Répartition de charge (load balancing) : le proxy inverse peut distribuer la charge d'un site unique sur plusieurs serveurs web applicatifs. Cache : le proxy inverse peut décharger les serveurs web de la charge de pages/objets statiques (pages HTML, images) par la gestion d'un cache local. Compression : le proxy inverse peut optimiser la compression du contenu des sites. Un IDS (Intrusion Detection System ) est un surveillant d un système informatique et de ses utilisateurs. L idée de base est de «prévenir plutôt que de guérir». Différentes tâches d un IDS : Monitoring des événements réseau ou système (connexion sur le port 23, 3 tentatives de saisie du mot de passe, tentative d écriture dans une zone mémoire protégée ) ; Audit des événements interne et externe ; Analyse des risques à partir des informations d audit, en temps réel ou à partir des logs ; Alerte de l administrateur en cas d attaque (message sur console, mail, SMS ) ; Éventuellement : reconfiguration dynamique du firewall (filtrage de l'attaquant) ou des serveurs. Les IDS peuvent intervenir à deux niveaux : détection et analyse du trafic sur le réseau : NIDS (Network IDS), typiquement devant le firewall ; détection et analyse des évènements (logs) sur les serveurs : HIDS (Host IDS). Les IDS sont le plus souvent hybrides : NIDS + HIDS

18 4. Architectures Architecture d un IDS 4. Architectures Où placer un NIDS? HIDS HIDS HIDS HIDS Position (1) : détection de toutes les attaques mais log trop complet et analyse trop complexe ; intéressant pour un Honeypot (pot de miel). Position (2): dans la DMZ ; insuffisant contre les attaques vers le LAN. Position (3) : traite les attaques internes ; efficace car 80% des attaques sont depuis ou vers le LAN (virus, DOS ) Architectures Exemple d IDS : SNORT + BASE 4. Architectures VPN SNORT est un NDIS open source très utilisé dans le monde LINUX fonctionnant également sous Windows. BASE est une interface graphique écrite en PHP utilisée pour afficher les logs générés par l'ids SNORT. Un VPN (Virtual Private Network) est constitué d un ensemble de LAN privés reliés à travers Internet par un «tunnel» sécurisé dans lequel les données sont cryptées. Les postes distants faisant partie du même VPN communiquent de manière sécurisée comme s ils étaient dans le même espace privé, mais celui-ci est virtuel car il ne correspond pas à une réalité physique. Cette solution permet d utiliser les ressources de connexion de l Internet plutôt que de mettre en place, comme par le passé, une liaison spécialisée privée entre deux sites qui peut être très coûteuse si les sites sont fortement éloignés. Une passerelle matérielle ou logicielle est chargée de gérer le cryptage, l authentification et le contrôle d intégrité. Un VPN repose sur un protocole de «tunnelisation» qui peut intervenir à différents niveaux OSI et dans lequel est définit notamment l algorithme de cryptage. PC nomade Passerelle VPN logicielle Internet LAN 1 LAN 2 Tunnel sécurisé Passerelle VPN Paquets cryptés Passerelle VPN

19 4. Architectures Exemple de VPN 1. Le PC1 ( ) envoie un paquet vers le serveur web ( ) comme il le ferait si ce dernier était sur le même LAN. 2. Le routeur qui joue le rôle de passerelle VPN encrypte le paquet, ajoute l en-tête VPN et un nouvel en-tête IP avec les adresses publiques et relaie le paquet. 3. A l autre extrémité, le routeur/firewall reçoit le paquet, confirme l identité de l émetteur, confirme que le paquet n a pas été modifié, décapsule et décrypte le paquet original. 4. Le serveur web reçoit le paquet décrypté. LAN 1 PC1 : Routeur VPN Internet Routeur VPN/ Firewall LAN 2 web : Architectures Questions sur les VPN (1) La figure suivante illustre une communication entre deux machines à travers un VPN. Le paquet IP issu du PC1 est transporté vers le serveur web distant. 1) Complétez la figure en spécifiant les différents en-têtes et en écrivant les adresses IP privées et publiques sur le paquet à ses différents stades de transmission. LAN 1 PC1 : Routeur VPN Internet IP data IP data Routeur VPN/ Firewall IP LAN 2 web : data En-tête VPN Paquet IP Nouvel en-tête IP Paquet IP crypté Paquet IP En-tête VPN Nouvel en-tête IP Paquet IP privées Src= publiques Src= privées Src= privées Src= publiques Src= privées Src= Dst= Architectures Questions sur les VPN (2) 4. Architectures Protocoles VPN 2) Comment sont masquées les adresses IP privées? 3) Pourquoi un double en-tête IP est-il nécessaire? 4) Quel est le rôle de l en-tête VPN? Par quel dispositif est-il géré? Au niveau 2, les deux protocoles les plus utilisés pour mettre en place un tunnel VPN sont : PPTP (Point to Point Tunneling Protocol - RFC 2637) proposé au départ par Microsoft ; L2TP (Layer 2 Tunneling Protocol - RFC 2661) normalisé par l IETF (Internet Engineering Task Force) et qui est le résultat de la fusion du protocole L2F (Layer 2 Forwarding) de Cisco et de PPTP. Les réseaux MPLS permettent également de mettre en place des VPN : Les circuits virtuels nommées LSP (Label Switched Path) peuvent être utilisés pour former des tunnels VPN avec des fonctionnalités de niveau 2 et 3. Au niveau 3, IPSec (IP Security - RFC 2401) défini par l'ietf permet de sécuriser les paquets IP et de créer un tunnel sur la couche réseau. Aux niveaux supérieurs, SSL/TLS (Secure Socket Layer / Transport Layer Security - RFC 2246) et SSH (Secure Shell - RFC 2401) permettent de chiffrer les messages encapsulés dans des segments TCP et donc de créer indirectement des VPN de niveau

20 4. Architectures VPN : protocole PPTP La méthode standard pour accéder à distance à un réseau non sécurisé, par exemple à l Internet via son FAI, est de se connecter par un modem à un serveur d accès distant ou Remote Access Server (RAS). La connexion entre le modem et l un des modems du FAI repose sur le protocole PPP (Point-to- Point Protocol - RFC 1661) qui est un protocole de niveau 2 chargé de négocier les paramètres de la connexion (débit, authentification ) et d encapsuler les paquets IP dans des trames. Dans le cas d un VPN, le serveur RAS devient une passerelle VPN à laquelle on accède par le protocole PPTP (Point to Point Tunneling Protocol). Le rôle de PPTP est donc de chiffrer et d encapsuler, en les faisant passer par un tunnel crypté, les datagrammes IP dans le cadre d une connexion point à point 4. Architectures VPN : encapsulation PPTP Une trame PPTP est constituée : du datagramme IP contenant les données utiles et les adresses IP de bout en bout ; de l en-tête PPP nécessaire pour toute connexion point à point (4 octets) ; d un en-tête GRE (Generic Routing Encapsulation) qui gère l encapsulation et permet d isoler les flux IP privé et public (12 octets) ; d un nouvel en-tête IP contenant les adresses IP source et destination des passerelles VPN (client et serveur VPN). Avant d'établir le tunnel GRE, une connexion TCP sur le port 1723 est réalisée. Elle intègre la négociation des paramètres et l authentification de l'utilisateur. L un des points faibles de PPTP est que toute la partie négociation de la connexion n est pas protégée Architectures Protocoles PPTP 4. Architectures Exemple de capture PPTP PPTP est proposé et promu par Microsoft. L'authentification se fait par le protocole MS- CHAP (Microsoft Challenge Handshake Authentification Protocol) version 2. L'encryptage se fait par le protocole MPPE (Microsoft Point-to-Point Encryption). MPPE utilise l'algorithme de chiffrement RSA RC4 avec des clés de session de 40 bits, 56 bits et 128 bits fréquemment modifiés. La compression peut se faire avec le protocole MPPC (Microsoft Point to Point Compression). Cet ensemble de protocoles est considéré comme peu sécurisé. On peut ajouter autant de protocoles que l'on veut dans le protocole PPTP pour l'encryptage et la compression des données

21 4. Architectures Exemple de capture PPTP (2) 4. Architectures VPN : protocole IPSEC D après la capture, les adresses IP sont-elle publiques ou privées? IpSec est lié à IPV4 et IPV6 et assure l'authentification et l'encryptage des paquets IP au travers de l'internet. Il intervient donc au niveau 3. D après la capture, à quel niveau OSI se situe le protocole GRE? D après la capture, à quel niveau OSI se situe le protocole PPP? 1. IPSec peut être utilisé pour ne faire que de l'authentification : L'ajout d'un en-tête d'authentification (AH : Authentication Header) permet de vérifier l'authenticité et l'intégrité des paquets. AH ne spécifie pas d'algorithme de signature particulier mais MD5 et SHA-1 sont les plus utilisés. L'authentification est faite sur : Pourquoi les données PPP apparaissent-elles sous forme compressée? Pourquoi le protocole PPTP n apparait-il pas? Où est situé le paquet IP privé? les données qui suivent l'en-tête AH ; sur l'en-tête AH ; sur les champs importants de l'en-tête IP (source, destination, protocole, longueur, version) et qui ne varient pas pendant le transfert sur le réseau. Un hash est réalisé sur les champs à authentifier, il est envoyé dans l en-tête AH et vérifié avec clés symétriques échangées au préalable (authentification par clé symétrique) Architectures VPN : paquets IPSEC 4. Architectures VPN : modes IPSEC 2. Dans la plupart des applications IPSec, l'enveloppe ESP (Encapsulated security payload) qui permet de chiffrer et d'authentifier les paquets est utilisée. L enveloppe ESP contient : l en-tête (header) ; les données chiffrées ; une queue (trailer) ; des données supplémentaires d'authentification optionnelles. Le chiffrement ne porte que sur les données encapsulées et le trailer. Il ne porte pas sur les champs de l'en-tête et les données d'authentification. L'authentification optionnelle porte sur l'en-tête ESP et tout ce qui suit, mais pas sur l'entête IP. Deux modes correspondant à deux architectures sont possibles avec IPSec : le mode transport qui ne protège (par authentification AH ou chiffrage ESP) que les données des paquets transmis ; le mode tunnel dans lequel le paquet entier est protégé (par authentification AH ou chiffrage ESP) en l encapsulant dans un nouveau paquet IP. Authentification AH IP AH Mode transport Internet Données Cryptage ESP IP ESP Données ESP Mode tunnel ESP ne spécifie pas d'algorithmes de signature ou de chiffrement particuliers, ceux-ci sont décrits séparément. La plupart des implémentations supportent les algorithmes de chiffrement DES et les signatures à l'aide des fonctions de hachage MD5 et SHA-1. Authentification AH Cryptage ESP IP IP AH IP Données ESP IP Données ESP