Les Logiciels Libres au Service de la Sécurité

Transcription

1 Exemples d outils libres déployés pour des objectifs de sécurité cedric.blancher@eads.net -- Centre Commun de Recherche Département SSI Suresnes, FRANCE JIA 2005, Sfax 9 fév. 2005

2 Introduction Les logiciels libres peuvent nous aider à améliorer la sécurité En tant que socle logiciel du système d information En tant que socle applicatif des services proposés En tant qu outils imposant les contraintes de sécurité En tant qu outils de supervision du système En tant qu outils d évaluation de la sécurité

3 1 Systèmes d exploitation libres Apports en terme de sécurité 2 Services courants dans le monde du logiciel libre Mécanismes de sécurité proposés 3 Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité 4 5

4 L OS Systèmes d exploitation libres Apports en terme de sécurité Le système d exploitation : le socle de base Noyau + applications/bibliothèques de base C est la première brique de la sécurité C est l endroit le moins difficile à protéger (domaine circonscrit) C est l endroit où les mesures de protection ont le plus d effet (point de passage incontournable) C est un élément incontournable de la sécurité

5 Systèmes d exploitation libres Apports en terme de sécurité 1 Systèmes d exploitation libres Apports en terme de sécurité 2 Services courants dans le monde du logiciel libre Mécanismes de sécurité proposés 3 Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité 4 5

6 Les OS libres Systèmes d exploitation libres Apports en terme de sécurité Les OS libres les plus utilisés sont : GNU/Linux[LNX] FreeBSD[FBSD] OpenBSD[OBSD] NetBSD[NBSD] Chacun est développé avec un esprit particulier qui lui confère ses particularités

7 NetBSD / FreeBSD Systèmes d exploitation libres Apports en terme de sécurité NetBSD[NBSD] vise la portabilité : il est installable sur un nombre important de plate-formes. FreeBSD[FBSD] est un BSD orienté end-user : il vise à supporter du matériel, offrir des fonctionnalité multimédia, etc. Ils intègrent des fonctionnalités de sécurité et disposent d un suivi efficace. Leur choix se justifie dans ce cadre.

8 OpenBSD Systèmes d exploitation libres Apports en terme de sécurité OpenBSD[OBSD] est résolument orienté sécurité Inclusion et développement de fonctionnalités de sécurité fortes (Systrace[STRC]) Inclusion et développement d outils de sécurité forts (OpenSSH[OSSH]) Audit du code des applications proposées (BIND[BIND], Apache[APCH], etc.) Suivi de sécurité constant Sûr, robuste et moteur dans le domaine de la sécurité

9 GNU/linux Systèmes d exploitation libres Apports en terme de sécurité GNU/Linux[LNX] est populaire, son développement part dans tous les sens... Pour la sécurité : Linux est extrêmement portable (22 architectures supportées, plus de 60 sous-architectures et optimisations) Des distributions orientées sécurité (Fedora[FDR], Adamantix[ADMX], etc.) Des patches de sécurité (SE Linux[SELX], RSBAC[RSBC], LIDS[LIDS], GrSecurity[GRSC], etc.) Des outils et modèles de sécurité propres (LSM[LSM]) GNU/Linux permet d atteindre des niveaux de sécurité extrêmement pointus

10 Un choix? Systèmes d exploitation libres Apports en terme de sécurité Deux choix intéressant se dessinent OpenBSD GNU/Linux Ils répondent à des visions différentes du problème

11 Systèmes d exploitation libres Apports en terme de sécurité 1 Systèmes d exploitation libres Apports en terme de sécurité 2 Services courants dans le monde du logiciel libre Mécanismes de sécurité proposés 3 Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité 4 5

12 Points communs Systèmes d exploitation libres Apports en terme de sécurité Ces OS sont des Unix (BSD vs. SysV). À ce titre, ils proposent des mécanismes de sécurité natifs : Système de fichiers modernes (droits/acl, journalisation) Chroot SetUID/SetGID Capabilities POSIX Limites (CPU, mémoire, temps, etc.)

13 Fonctionnalités Systèmes d exploitation libres Apports en terme de sécurité Certaines fonctionnalités additionnelles sont communes, d autres sont spécifiques Filtrage de paquets (Netfilter[NTFR] vs. Packet Filter[PF]) Gestion de la QoS Gestion de la haute disponibilité (LVS[LVS] vs. CARP/pfsynx[PFSC]) IPSEC (OpenS/WAN[OSWN] vs. KAME/Racoon[KAME]) Filtrage des appels systèmes (LIDS[LIDS]/GrSecurity[GRSC] vs. Systrace[STRC]) Modèles de sécurité (SE Linux[SELX]) Protection de la mémoire (ProPolice[PPLC], StackGuard[STCK]) Séparation de privilèges BSD Jail

14 Systèmes d exploitation libres Apports en terme de sécurité Chaque système a ses particularité, même si GNU/Linux reste plus universel (mais plus long à configurer) Chacun peut fournir des niveaux de sécurité largement supérieurs aux outils commerciaux du marché est la fondation incontournable de la sécurité : un OS intrinsèquement faible n est pas sécurisable

15 Les applications Services courants dans le monde du logiciel libre Mécanismes de sécurité proposés Les applications fournissent les services accessibles Ces applications doivent fournir un niveau de sécurité important Minimiser les failles possibles Minimiser l impact de ces failles

16 Services courants dans le monde du logiciel libre Mécanismes de sécurité proposés 1 Systèmes d exploitation libres Apports en terme de sécurité 2 Services courants dans le monde du logiciel libre Mécanismes de sécurité proposés 3 Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité 4 5

17 Services de base Services courants dans le monde du logiciel libre Mécanismes de sécurité proposés Tous les services de base sont disponibles en logiciel libre WWW : Apache[APCH], PHP[PHP] DNS : BIND[BIND] SMTP : Postfix[PFIX] FTP : vsftpd[vftp] IMAP/POP : Cyrus[CYRS] SGBDR : MySQL[MSQL], PostGreSQL[PSQL]

18 Services courants dans le monde du logiciel libre Mécanismes de sécurité proposés 1 Systèmes d exploitation libres Apports en terme de sécurité 2 Services courants dans le monde du logiciel libre Mécanismes de sécurité proposés 3 Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité 4 5

19 Mécanisme de sécurité Services courants dans le monde du logiciel libre Mécanismes de sécurité proposés Au niveau de l implémentation Éclatement et simplification du code source (Postfix[PFIX], vsftpd[vftp]) Revue et suivi du code source Utilisation de bibliothèques standards réputées (OpenSSL[OSSL]) Intégration de fonctionnalités de sécurité standard (SSL, DNSSec, STARTTLS, etc.) Moindre privilège (BIND[BIND], Apache[APCH]) Séparation de privilèges (Postfix[PFIX], vsftpd[vftp])

20 Mécanisme de sécurité Services courants dans le monde du logiciel libre Mécanismes de sécurité proposés Au niveau de l accès aux applications Écoute sélective Filtrage des connexions (wrappers) Authentifications diverses (Challenges, OTP, etc.) Authentifications fortes (RSA, X509)

21 Mécanisme de sécurité Services courants dans le monde du logiciel libre Mécanismes de sécurité proposés Au niveau de l accès au données Constitution de vues (BIND[BIND], Apache[APCH], MySQL[MSQL]) Virtual Hosting (Apache[APCH], vsftpd[vftp]) Vérification des flux de données (Postfix[PFIX]) Chiffrement des échanges (SSL/TLS) Autorisations fines (Apache[APCH], PHP[PHP], MySQL[MSQL], vsftpd[vftp])

22 Services courants dans le monde du logiciel libre Mécanismes de sécurité proposés Le logiciel libre offre des alternatives nombreuses et pertinentes pour la sécurité du socle applicatif en terme de sûreté et de fonctionnalités Ces applications respectent les standards ouverts, supportent des systèmes fermés, et assurent une interopérabilité inter-système

23 Outils de sécurité Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité Le logiciel libre fournit des logiciels permettant d imposer la politique de sécurité Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité Autres...

24 Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité 1 Systèmes d exploitation libres Apports en terme de sécurité 2 Services courants dans le monde du logiciel libre Mécanismes de sécurité proposés 3 Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité 4 5

25 Filtrage réseau Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité Outils de filtrage réseau Filtrage de niveau 2 : Linux ebtables[ebt] Filtrage de paquets : Netfilter[NTFR], pf[pf] Identification protocolaire : L7 Filter[L7F] Filtrage applicatif : Squid-Guard[SQGD], Apache[APCH] (proxy/reverse-proxy)

26 Analyse de flux Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité Analyse de contenu des flux réseau HTTP : Squid-Guard[SQGD], ClamAV[CLAM] SMTP : Postfix[PFIX], MimeDefang[MIME], Amavisd-new[AMVS], ClamAV[CLAM] Antispam : SpamAssassin[SPAS], Dspam[SPMD], Pyzor[PYZR] Les solutions antispam libres sont les plus efficaces et innovantes du marché

27 Protection des flux Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité IPSEC : OpenS/WAN[OSWN], Kame[KAME] SSL/TLS : OpenSSL[OSSL], Stunnel[STNL] VPN : OpenVPN[OVPN], PoPToP[PPTP] Applications : OpenSSH[OSSH] Etc.

28 Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité 1 Systèmes d exploitation libres Apports en terme de sécurité 2 Services courants dans le monde du logiciel libre Mécanismes de sécurité proposés 3 Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité 4 5

29 Sécurité système Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité Plusieurs niveau d action Utilisation des fonctionnalités du socle système Utilisation des fonctionnalités des applications Authentification Ajouts de fonctionnalités autres

30 Authentification Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité Le logiciel libre offre de nombreux mécanismes d authentification, centralisés ou non Authentification locale : PAM[PAM] Authentification centralisée : FreeRADIUS[FRDS] Authentification forte : OpenSSL[OSSL] SingleSignOn : MIT Kerberos[MITK], Heimdal[HMDL] OTP : S/Key[SKEY] Modules divers : NTLM, SASL, RSA, RSA/ACE, etc.

31 Autres possibilités Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité En plus des fonctions de sécurité habituelles Protection exécutables : ProPolice[PPLC], StackGuard[STCK] Sandboxing : UML[UML], BSD Jail

32 Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité 1 Systèmes d exploitation libres Apports en terme de sécurité 2 Services courants dans le monde du logiciel libre Mécanismes de sécurité proposés 3 Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité 4 5

33 Sécurité du poste de travail Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité La sécurité du poste de travail sous Logiciel Libre Socle système sûr (cf. supra) Socle applicatif sûr (web, messagerie, etc.) Gestion utilisateurs cohérente sur le SI La sécurisation du poste de travail n est pas un cas très particulier

34 Accès sécurisé au SI Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité La protection des lfux de communication entre le SI et le poste de travail Accès authentifié au réseau : 802.1x[O1X] Accès WLAN en WEP/WPA/WPA2[WPAS] Mise en œuvre d IPSEC Mise en domaine des stations avec Samba[SMB] Applications sécurisantes (OpenSSH[OSSH], Stunnel[STNL]) Etc. De nombreuses solutions interopérables...

35 Outils Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité Protections des données sensibles Chiffrement de volumes : CryptoAPI[CAPI], LoopAES[LAES] Chiffrement de documents et des échanges : GnuPG[GPG] Collaboration saine avec Windows Antivirus ClamAV[CLAM] Samba[SMB] Suites d applications fournissant des services de sécurité Systèmes d authentification sûrs (PAM[PAM], TLS/X509, Kerberos, etc.) Utilisation de SSL/TLS

36 Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité 1 Systèmes d exploitation libres Apports en terme de sécurité 2 Services courants dans le monde du logiciel libre Mécanismes de sécurité proposés 3 Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité 4 5

37 Évaluer sa sécurité Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité Le monde du logiciel libre fournit de nombreux outils pour évaluer sa sécurité Scanners de vulnérabilité : Nessus[NESS] Scanners divers : Nmap[NMAP], Xprobe2[XPRB] Pleins de petits outils très spécialisés Tous ces outils permettent de vérifier l application de la politique de sécurité et d évaluer son niveau de sécurité

38 Encore? Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité Il existe de nombreux autres outils non catégorisable comme les outils de forensics par exemple. La monde du logiciel libre offre la gamme la plus variée et la plus complète d outils de sécurité. La plupart de ces outils sont portables d un OS (Unix) à l autre (parfois sur Win32).

39 Supervision Une bonne sécurité s entretient. La supervision du système fait partie du process de sécurité pro-actif

40 Gestion des logs Collection des logs : Syslog-ng[SYSL] Centralisation des logs : Syslog-ng[SYSL], Prelude[PLDE] Corrélation/présentation de logs : IPFC[IPFC]

41 Détection d intrusion Détecter les anomalies au plus tôt Sonde réseau : Snort[SNRT] IPS : Snort-Inline[SNIL] Analyse système : Swatch[SWTC] Early Warning Systems : honeypots[hney]

42 Supervision Assurer une bonne visibilité de l état du système Génération et collecte SNMP Panneau de contrôle : Nagios[NAGS], Nessus[NESS] (?!) Génération de graphes : SNMP, RRD Tools[RRD] Et beaucoup de systèmes maison (SNMP based)

43 Le logiciel libre offre un choix large et variés d outils de sécurité pouvant satisfaire un nombre très important de besoins Si le besoin n est pas satisfait complètement, on peut toujours adapter le logiciel en contribuant (cf. supervision par exemple)

44 Questions?

45 Ressources Retrouvez cette présentation sur :

46 Bibliographie Bibliographie I GNU/Linux FreeBSD OpenBSD NetBSD OpenBSD Systrace OpenSSH RedHat Fedora Adamantix SE Linux

47 Bibliographie Bibliographie II RSBAC LIDS GR Security Linux Security Modules Netfilter OpenBSD Packet Filter Linux Virtual Server pfsync

48 Bibliographie Bibliographie III OpenS/WAN KAME Project ProPolice StackGuard Apache Web Server htt://httpd.apache.org/ PHP BIND

49 Bibliographie Bibliographie IV Postfix vsftpd Cyrus IMAP Daemon MySQL PostGreSQL OpenSSL Ebtables L7 Filter

50 Bibliographie Bibliographie V Squid Guard Clam AntiVirus MIMEDefang Amavisd-new SpamAssassin Dspam Pyzor Stunnel OpenVPN

51 Bibliographie Bibliographie VI PoPToP Pluggable Authentication Modules FreeRADIUS MIT Kerberos Heimdal S/KEY User Mode Linux

52 Bibliographie Bibliographie VII Open1X WPA Supplicant SAMBA CryptoAPI LoopAES GNU Privacy Guard Nessus Nmap

53 Bibliographie Bibliographie VIII Xprobe2 Syslog NG ng/ Prelude IDS IPFC Snort IDS Snort Inline IPS Swatch Honeynet Project

54 Bibliographie Bibliographie IX Nagios RRD Tools oetiker/webtools/rrdtool/