LES OUTILS DE SÉCURITÉ

Transcription

1 LES OUTILS DE SÉCURITÉ Par Gérard Peliks Expert sécurité Security Center of Competence EADS Defence and Security Avril 2008 Un livre blanc de Forum ATENA Un livre blanc 1 / 8

2 SOMMAIRE LES OUTILS DE SÉCURITÉ LES OUTILS DE SÉCURITÉ L AUTHENTIFICATION FORTE LES FIREWALLS SUR QUELS PARAMÈTRES FILTRER LES DONNÉES? LE MASQUAGE DES ADRESSES IP DU RÉSEAU INTERNE LES ZONES DÉMILITARISÉES LES RÉSEAUX PRIVÉS VIRTUELS L IPSEC LE SSL LES OUTILS DE PRÉVENTION D INTRUSION LES OUTILS DE SURVEILLANCE LE PC NOMADE SÉCURISÉ AVEC OU SANS FIL LE VPN CLIENT LE FIREWALL PERSONNEL LE CHIFFREMENT D UN DISQUE DUR ET AUTRES MÉDIAS GLOSSAIRE ACRONYMES DÉFINITIONS A PROPOS DE L AUTEUR... 8 Un livre blanc 2 / 8

3 1. LES OUTILS DE SÉCURITÉ Un anti-virus n est pas le seul outil nécessaire pour sécuriser un réseau. En fait toute une panoplie de solutions doit être envisagée pour offrir un niveau acceptable de sécurité. L idéal est de posséder une interface commune de gestion de ces outils et d offrir à l utilisateur une totale transparence et un moyen unique de s authentifier qui sera cascadé entre tous les outils quand nécessaire. Les attaques menacent l intégrité, la confidentialité, l authenticité et la disponibilité des informations. Il convient de protéger ces informations par des outils appropriés. Pour imager ces outils, faisons une analogie entre quelques-uns uns de ceux qui protègent un système d information et les services équivalents qui protègent physiquement une banque. Un firewall peut être assimilé à un gardien posté au portail d entrée de la banque. Certains gardiens vous laissent entrer si vous portez une cravate et si votre portrait ne figure pas dans un trombinoscope de personnes indésirables. D autres vous demandent de vous authentifier et vous fouillent avant de vous laisser entrer parce que leur politique de sécurité est ainsi faite. Il en est de même pour les firewalls. Certains filtrent les trames IP au niveau du réseau et en fonction de l adresse de départ ou de destination, laissent passer ces trames ou les rejettent. D autres analysent finement le contenu de chaque paquet IP avant de l autoriser ou de le bloquer et de journaliser l attaque. Le VPN (ou RPV réseau privé virtuel) est analogue à un fourgon blindé qui transporte les fonds d une succursale de banque vers une autre succursale ou la recette d un commerçant vers sa banque. Bien sûr avec un matériel approprié on peut attaquer le fourgon et le fracturer pour s emparer de son contenu. La protection est dans l épaisseur du blindage. De même pour les VPN, la protection repose sur la longueur de la clé et la solidité des algorithmes de chiffrement. Les IDS ou IPS, intrusion détection systems ou intrusion prevention systems, agissent comme des caméras de surveillance. Certains observent et retransmettent ce qui se passe (IDS). D autres observent, retransmettent et peuvent réagir en cas de fonctionnement jugé anormal (IPS). Le scanner de vulnérabilités est comme un audit de sécurité. Il évalue les faiblesses et les dangers qui pèsent sur un système d information ou sur un réseau et dresse un journal de ce qu il trouve. Le chiffrement est comme une clé de sûreté, il y en a de plus ou moins performantes. La clé de sûreté sert à ouvrir une porte, la clé de chiffrement sert à ouvrir, en clair, un fichier chiffré. Elle sert aussi à fermer un fichier en le chiffrant comme on ferme une porte à clé. Dans le cas d un VPN, une clé chiffre à l entrée du tunnel, une clé déchiffre à la sortie. L authentification forte peut être comparée à un badge, avec la photo et la signature du porteur. 2. L AUTHENTIFICATION FORTE Avant d offrir ou de refuser à un utilisateur l accès au réseau, il convient de s assurer que cet utilisateur est bien celui qu il prétend être (authentification) avant de contrôler que la politique de sécurité de l entreprise accorde à cet utilisateur le droit d accéder au réseau (autorisation). La solidité d un système de protection est toujours celle de son maillon le plus faible, et souvent ce maillon est précisément l authentification. Il faut savoir que l authentification d un individu par son mot de passe seul n offre aucune garantie réelle de sécurité, surtout si ce mot de passe est re-jouable, encore plus s il n expire pas dans le temps, et davantage encore si le mot de passe est laissé au libre choix de l utilisateur. De toute manière les mots de passe transitent en clair sur le réseau où ils peuvent être lus. Il existe aussi des utilitaires qui récupèrent les mots de passe sur les disques pour les déchiffrer et ce n est alors qu une question de temps pour parvenir à obtenir ces mots de passe en clair, quand ils ne sont pas déjà stockés en clair sur le disque. Sans authentification, comment s assurer que le bénéficiaire d un droit d accès est bien celui qu il prétend être, pour empêcher qu il accède aux informations d une autre personne, car alors le vol de données potentiel sera difficilement identifiable puisque c est la personne autorisée qui semblera les avoir prises. On peut prouver qu on est celui qu on prétend être par trois moyens : 1. Par ce qu on a, par exemple une carte, un token USB ou une calculette. 2. Par ce qu on sait, par exemple un mot de passe 3. Par ce qu on est et ici intervient la biométrie, par exemple les empreintes digitales, l iris de l œil, la morphologie de la main ou du visage. C est en combinant au moins deux de ces trois moyens qu on obtient une authentification forte, comme par exemple une clé USB (ce qu on a) avec un code PIN (ce qu on sait). Comme une souris (ce Un livre blanc 3 / 8

4 qu on a) avec prise d empreintes digitales (ce qu on est). L authentification est considérée comme forte parce qu on perd rarement les deux moyens à la fois. 3. LES FIREWALLS Le firewall, appelé aussi pare-feu ou garde-barrière, est l élément nécessaire, mais pas suffisant, pour commencer à implémenter une politique de sécurité périmétrique autour de son Intranet. La première caractéristique d un Intranet est d être un réseau privé. Mais si ce réseau privé présente des connexions vers l Internet ou vers tout autre réseau public, pourquoi doit-il être considéré comme un réseau privé plutôt que comme une extension de l Internet ou du réseau public? avec tous les risques que cela entraîne. Un firewall est un dispositif logiciel ou matériel (les appliances) qui filtre tous les échanges qui passent par lui pour leur appliquer la politique de sécurité de l entreprise. Cette politique, au niveau du firewall consiste à laisser passer tout ou partie de ces échanges s ils sont autorisés, et à bloquer et journaliser les échanges qui sont interdits. Bien entendu, la finesse et la granularité des éléments entrant en jeux dans le filtrage des échanges, et la hauteur de vue du firewall pour traiter ce qu il convient de laisser passer ou de bloquer, mesurent la capacité d un firewall à prendre en compte des politiques de sécurité très complexes SUR QUELS PARAMÈTRES FILTRER LES DONNÉES? L idéal est de pouvoir filtrer les données suivant le plus de critères possibles, en fonction de ce qu on trouve en contrôlant le contenu des paquets IP. Pour filtrer finement la messagerie ou les accès Web, il faut attribuer des permissions ou des interdictions, en se basant sur le protocole applicatif utilisé audessus du protocole IP (SMTP pour la messagerie, HTTP pour le Web). Il est ainsi possible de permettre à un utilisateur nomade, l accès, de l extérieur de l entreprise, à son serveur de messagerie et de lui refuser l accès au Web situé sur l Intranet. Il existe des firewalls qui ne filtrent qu au niveau élémentaire du paquet IP et d autres, plus évolués qui montent jusqu au niveau applicatif pour appliquer une politique de sécurité centrée sur l utilisateur et l utilisation qu il fait des applications que le firewall protège. Le paquet IP se compose de deux éléments : son en-tête et la donnée utile qu il transporte. Dans l entête on trouve l adresse IP, le nom de l hôte origine et de l hôte de destination, les numéros de port entrant et sortant et le protocole utilisé. Les firewalls qui se contentent de filtrer à ce niveau offrent peu de souplesse pour implémenter une politique de sécurité, par contre offrent de très bonnes performances réseaux puisqu ils n analysent pas le contenu des paquets. Certains firewalls analysent le contenu des paquets et fonctionnent à base de relais (les proxies). Un proxy est une application située sur le firewall, qui permet à celui-ci de se faire passer, vis à vis de l utilisateur, pour le serveur de l application à laquelle il veut accéder. Avec ce mécanisme, un firewall est capable de fonctionner comme un sas qui demande à l utilisateur de s authentifier, prend en compte sa demande, la transmet au serveur si la politique de sécurité l autorise. Au retour, il analyse la réponse du serveur jusqu au niveau applicatif et si elle est conforme à la politique de sécurité de l entreprise, il la transmet à l utilisateur. Par exemple dans un flux web, le proxy HTTP est capable de supprimer du contenu des pages web, les ActiveX, les applets Java et les JavaScripts. Dans un flux de messagerie, le proxy SMTP est capable de limiter la taille des fichiers attachés aux s, de refuser les attachements de fichiers exécutables et de bloquer les messages qui, dans leur champ sujet, contiennent certains mots qui peuvent laisser supposer qu il s agit d un SPAM ou d un virus. Plus un firewall dispose d un nombre important de proxies, plus souple et plus complète peut être la politique de sécurité qu il implémente. Entre le niveau filtrage de paquets et le niveau filtrage de proxy, on trouve un niveau intermédiaire connu sous le nom de «statefull Inspection» où l état d un paquet IP entrant dans le firewall est mémorisé pour pouvoir traiter ce qu il convient de faire avec le paquet réponse qui revient par le firewall LE MASQUAGE DES ADRESSES IP DU RÉSEAU INTERNE La première information que le hacker désire connaître est l architecture réseau de l Intranet qu il cherche à attaquer. Cela ne lui suffit pas pour réussir son attaque mais cela lui fait gagner du temps. Alors, pour ne pas faciliter ses coupables desseins autant commencer par cacher l architecture du réseau privé et en particulier les adresses IP qui peuvent lui permettre de le reconstituer. Un livre blanc 4 / 8

5 Les firewalls offrent cette possibilité en substituant aux adresses IP de l Intranet, l adresse du contrôleur réseau qui permet au firewall de communiquer avec l extérieur. C est ce qu on appelle en jargon de sécurité la NAT translation des adresses du réseau. Le monde extérieur ne verra le réseau Intranet que comme une adresse IP unique, celle du contrôleur réseau externe du firewall, même si l Intranet possède plusieurs milliers d adresses IP LES ZONES DÉMILITARISÉES Un firewall doit être placé en coupure entre un réseau non protégé (par exemple l Internet) et le réseau qu il protège. Il contrôle les informations qui passent entre les deux réseaux. Plus de deux interfaces réseaux peuvent sortir d un firewall. Celui-ci contrôle alors les transferts entre chacune de ses interfaces réseau et applique une politique de sécurité qui peut être particulière pour les paquets IP qui transitent de telle à telle interface. Supposons un firewall avec trois interfaces réseaux, donc duquel partent trois réseaux. La première interface est tournée vers l extérieur, vers le réseau non protégé, comme l Internet, via un routeur. La deuxième est tournée vers le réseau interne à protéger. La troisième interface est tournée vers un réseau qui n est ni tout à fait le réseau interne à protéger, ni le réseau public. C est un réseau sur lequel on peut appliquer une politique de sécurité particulière, moins stricte que celle du réseau interne. Il s agit là d une DMZ, zone démilitarisée, sur laquelle on place en général le serveur Web de l entreprise et parfois le serveur anti-virus et le serveur de messagerie. 4. LES RÉSEAUX PRIVÉS VIRTUELS Un réseau privé virtuel (VPN Virtual Private Network) est un canal sécurisé établi le temps d une session ou d une transaction sur un réseau physique qui lui peut ne pas être sécurisé. Ce réseau physique peut être un réseau local, l Internet ou l air dans le cas du WiFI ou du WiMAX par exemple. Le réseau est dit virtuel parce qu il se constitue sur un réseau existant en lui ajoutant des fonctionnalités en particulier de confidentialité et d intégrité alors que ni le réseau physique, ni les protocoles IP d origine, n apportent ce genre de fonctionnalités. Le réseau est dit privé parce que le temps de la transaction, l utilisateur peut considérer que ce réseau lui est propre autant que lui appartiendrait une ligne louée sur laquelle il serait seul. Un réseau privé virtuel ajoute essentiellement des fonctionnalités d authentification, de confidentialité et d intégrité, aux informations qui transitent par lui. L authentification des extrémités est la preuve que le message vient bien de telle extrémité du tunnel et va bien vers telle autre extrémité. Avant la transaction, les deux extrémités du tunnel s authentifient mutuellement. Ceci paraît simple à faire lorsqu il n y a qu un seul tunnel, mais pensez que chaque point peut être le départ de nombreux tunnels. La confidentialité est l assurance que seul celui qui est destinataire d une information pourra la lire, et l intégrité est l assurance que l information n a pas été modifiée par quelqu un qui n est pas autorisé à le faire. Constituer un réseau privé virtuel est donc l art d établir entre deux points un canal sécurisé qui après authentification mutuelle des deux bouts du tunnel, va faire transiter l information de manière intègre et confidentielle. Il existe plusieurs types de réseaux privés virtuels. Chacun a ses qualités et ses défauts. C est ce qu on en attend qui doit décider duquel choisir. Nous allons décrire le réseau privé virtuel IPSec, puis le SSL et enfin le MPLS L IPSEC L IPSec (protocoles internet sécurisés) est une série de protocoles, standardisés par l IETF, qui viennent en complément des protocoles IP actuels, dits IPv4. L IPSec ajoute les fonctionnalités d intégrité, de confidentialité, d authentification et de non rejeu qui manquent dans les protocoles IP définis par l IPv4. Ces fonctionnalités sont de base dans la version récente des protocoles IP, l IPv6. Un tunnel IPSec est bâti entre un client IPSec et un serveur IPSec, ou entre deux serveurs IPSec. Une extrémité du tunnel peut être constituée par votre poste de travail avec le logiciel IPSec client. Le serveur IPSec est en général une appliance qui fait à la fois office de firewall et de passerelle IPSec, placée à l entrée d un réseau Intranet. Agissant aux niveaux bas des couches IP, l IPSec est indépendant des applications qu il traite. L IPSec est un bon moyen d établir des réseaux privés virtuels entre différents Intranets d une entreprise possédant plusieurs implantations. Un livre blanc 5 / 8

6 4.2. LE SSL Le SSL (Secure Socket Layer) est un protocole conçu initialement pour apporter des fonctionnalités de confidentialité aux échanges Web (protocole HTTP). Il apporte les mêmes fonctionnalités que l IPSec mais au niveau des couches applicatives. Dépendant de l application, il est donc moins indépendant du niveau applicatif que l IPSec car il reste fondamentalement lié au protocole HTTP. Toutefois il existe des serveurs, dits Webifiers, qui encapsulent des protocoles non Web dans des protocoles HTTP rendant dès lors l utilisation du SSL possible pour une application pour laquelle le SSL n avait pas été prévu au départ. Le grand avantage du SSL est que le client SSL est de base dans tous les navigateurs, comme l Internet Explorer et le Firefox. Il n y a donc, contrairement aux VPN IPSec aucun déploiement à prévoir sur les postes clients ni aucune gestion des clients SSL à assurer. 5. LES OUTILS DE PRÉVENTION D INTRUSION Le firewall permet d établir, autour du système d information de l entreprise, un périmètre de sécurité dit «en noix de coco». Si le firewall est compromis, alors rien ne protège plus les informations situées à l intérieur de l entreprise des attaques venant de l extérieur. Le firewall ne protège pas d avantage contre les attaques qui se font depuis l intérieur de l entreprise. C est pourquoi il est indispensable d ajouter au firewall une sécurité en strate, dite encore «en pelure d oignon» qui ajoute une sécurisation indispensable à l intérieur de l entreprise. C est là que les IDS (Intrusion Detection Systems) interviennent. Les IDS sont composées de sondes de détection d intrusion et d une console pour administrer ces sondes et analyser les informations fournies. Comme le fait un antivirus, une IDS analyse les paquets et recherche s ils contiennent des signatures qui caractérisent des attaques connues. Il existe également des sondes de détection d intrusion qui observent le comportement des applications utilisées dans l entreprise et qui déclenchent une alarme quand elles détectent un fonctionnement qui sort de la normale. Il y a hélas beaucoup de «faux positifs» qui causent des déclenchements d alarmes alors qu il n y a pas d attaques et des «faux négatifs» qui sont des attaques que les IDS ne voient pas. On distingue les HIDS qui sont des sondes qui auscultent les systèmes et les NIDS qui auscultent les réseaux. Les IPS ajoutent une fonction active aux IDS qui restent passives et ne font que signaler des attaques. Les IPS (Intrusion Prevention System) sont capables, lors d un constat de fonctionnement sortant des normes, de reconfigurer un routeur ou de reparamétrer automatiquement un firewall. 6. LES OUTILS DE SURVEILLANCE Parmi les outils de surveillance, citons les proxies Web qui contrôlent les navigations des employés et qui ne laissent passer que les pages Web qui correspondent aux catégories de listes blanches, ou qui interdisent les pages Web qui sont inscrites dans des catégories de listes noires. Il peut être établit, pour chaque employé ou chaque groupe d employés, des quotas en durée, en volume ou en nombre de pages Web consultées durant une période de temps déterminée. Parfois le chemin de l attaquant passe par un terrain miné. Ces pièges, ce sont les honeypots, les pots de miel placés en amont d un système d information et qui l émule par un firewall, par-ci, un serveur de fichier et de messagerie par-là, mais ce sont en réalité des leurres dans lesquels l attaquant s englue et n arrive plus à en sortir sans laisser des traces qu il ne pourra pas effacer. Son attaque est observée, analysée et ses méthodes sont éventées. On distingue les pots de miel qui se contentent de simuler des fonctionnalités d un logiciel et qui entament un dialogue avec l attaquant et d autres plus élaborés qui sont de vraies applications, une base de données par exemple. Ces dernières sont truffées de sondes de détections d intrusions, d analyseurs de logs où tout est journalisé et archivé sur un serveur qui est lui totalement inaccessible au pirate englué dans le piège. Le hacker croit agir dans l obscurité de l anonymat, son attaque est en fait exposée en pleine lumière et sans espoir d effacer les indices qu il sème. 7. LE PC NOMADE SÉCURISÉ AVEC OU SANS FIL Quand un employé sort de son entreprise et tente, de l extérieur, de s y connecter, son PC nomade devient un maillon en général faible de la chaîne de sécurité de l entreprise, de plus l utilisateur qui se trouve derrière est également un maillon faible. Il convient donc de l équiper de logiciels de sécurité pour parer aux menaces spécifiques dont il est entouré et qui pèsent aussi sur le système d information interne de l entreprise. Un livre blanc 6 / 8

7 7.1. LE VPN CLIENT Le VPN client est un logiciel, installé sur le poste nomade de l utilisateur, qui va permettre de créer un tunnel IPSec vers l Intranet de son entreprise. Il permet d effectuer une authentification mutuelle entre le poste nomade et le tunnel serveur qui se trouve en général sur le firewall qui sécurise les accès à l Intranet de l entreprise. Il se crée ensuite un tunnel chiffrant entre ces deux extrémités. L utilisateur nomade accède, depuis l extérieur, aux serveurs de son Intranet, qui lui sont autorisés, avec autant de sécurité que s il était resté dans cet Intranet LE FIREWALL PERSONNEL Un tunnel VPN établit entre le poste nomade et l Intranet constitue un sérieux danger. Si le poste de nomade est attaqué par un hacker qui prend le contrôle de ce poste à distance, souvent sans que l utilisateur qui a créé un tunnel, puisse s apercevoir à temps de l agression, une voie royale est offerte à l attaquant vers les serveurs de l Intranet, et tout le réseau privé est ainsi mis en danger. Pour éviter cela, le logiciel tunnel client tournant sur le poste nomade doit offrir un niveau minimum de sécurité, équivalent à celui d un firewall personnel. Les fonctions anti-rebond et blocage des flux entrants d un tunnel client apportent ce niveau de sécurité. Le blocage des flux entrants empêche toute tentative de connexion vers le poste nomade. L antirebond ne permet pas de passer par le poste nomade pour emprunter un tunnel qu il vient de créer LE CHIFFREMENT D UN DISQUE DUR ET AUTRES MÉDIAS Le VPN répond au besoin de faire transiter une information secrète sur un réseau public, mais à l autre bout du VPN, cette information est livrée en clair. Le VPN ne répond donc pas à la nécessité de chiffrer les informations confidentielles là où elles sont stockées. Chiffrer au moins les informations confidentielles sur son disque dur, ses disquettes et ses clés mémoires est une nécessité car beaucoup de PC disparaissent, volés ou simplement oubliés dans un train ou un taxi. Souvent la valeur marchande du PC est négligeable par rapport à celle des informations qu il stocke. Les méthodes qui s appliquent aux VPN s appliquent aussi bien sûr au chiffrement des disques durs. Il faut s authentifier de manière forte avec une carte à puce ou une clé USB (à ne pas confondre avec une clé mémoire) en introduisant ce média et en entrant son code secret (PIN code) ou son empreinte digitale par exemple. Les logiciels de chiffrement sur disque sont ensuite en principe transparents pour l utilisateur. On chiffre au niveau du fichier, d un répertoire ou d une partition disque. 8. GLOSSAIRE 8.1. ACRONYMES DMZ DeMilitarized Zone DNS Domain Name System IDS Intrusion Detection System IPS Intrusion Protection System IRC Internet Relay Chat NAT Network Address Translation URL Uniform Resource Locator VPN Virtual Private Network 8.2. DÉFINITIONS DMZ Firewall DeMilitarized Zone. Un ou plusieurs réseaux partant d un firewall et qui ne sont ni le réseau externe non protégé, ni le réseau interne très protégé. C est une zone intermédiaire avec une politique de sécurité particulière, dans laquelle on place souvent le serveur Web institutionnel de l entreprise, le serveur anti-virus et le serveur de messagerie. Solution logicielle ou matérielle placée en coupure entre deux ou plusieurs réseaux et qui contrôle tous les échanges entre ces réseaux pour ne laisser passer que les échanges autorisés par la politique de sécurité de l entreprise qu il protège. Un livre blanc 7 / 8

8 Intranet NAT Proxy VPN Réseau interne de l entreprise dont les applications utilisent les protocoles réseaux de l Internet (protocoles IP). Network Address Translation, méthodes pour cacher les adresses IP d un réseau protégé, en les modifiant pour présenter des adresses différentes à l extérieur. Il y a la NAT statique qui fait correspondre une adresse publique à chaque adresse interne privée, et la NAT dynamique qui attribue une adresse prise dans un pool limité d adresses publiques à chaque adresse interne, jusqu à épuisement des adresses disponibles. Logiciel entre l utilisateur et le serveur d application, qui masque cette application en se faisant passer pour le serveur Virtual Private Network : Tunnel chiffrant entre deux réseaux protégés bâti sur un réseau non-protégé et qui, après authentification mutuelle des deux bouts du tunnel, chiffre les transactions qui doivent l être et en assure l authenticité, la confidentialité et l intégrité. 9. A PROPOS DE L AUTEUR Gérard PELIKS est expert sécurité dans le Cyber Security Customer Solutions Centre de EADS. Il préside l'atelier sécurité de l'association Forum ATENA, participe à la commission sécurité des systèmes d'information de l'afnor et anime un atelier sécurité dans le cadre du Cercle d'intelligence Économique du Medef de l'ouest Parisien. Il est membre de l'arcsi et du Club R2GS. Gérard Peliks est chargé de cours dans des écoles d'ingénieurs, sur différentes facettes de la sécurité. gerard.peliks (at) eads.com Les idées émises dans ce livre blanc n engagent que la responsabilité de leurs auteurs et pas celle de Forum ATENA. La reproduction et/ou la représentation sur tous supports de cet ouvrage, intégralement ou partiellement est autorisée à la condition d'en citer la source comme suit : Forum ATENA 2008 Les outils de sécurité Licence Creative Commons - Paternité - Pas d utilisation commerciale - Pas de modifications L'utilisation à but lucratif ou commercial, la traduction et l'adaptation sous quelque support que ce soit sont interdites sans la permission écrite de Forum ATENA. Un livre blanc 8 / 8