Tendances de la sécurité informatique à l IN2P3. Actions pour renforcer la sécurité. Sécurité Cargèse 2001 Bernard Boutherin 1

Transcription

1 Tendances de la sécurité informatique à l IN2P3. Actions pour renforcer la sécurité. Sécurité Cargèse 2001 Bernard Boutherin 1

2 Introduction Objectifs de la présentation : Tendances et objectifs de la politique de sécurité à l IN2P3. Les journées sécurité et l organisation du groupe sécurité. Les actions pour renforcer la sécurité. Maquettes mises en place dans les sites pilotes. Sécurité Cargèse 2001 Bernard Boutherin 2

3 Tendances Sécurité par rapport quoi? L intérieur? Utilisateurs à comportement dangereux : conviviaux, négligents, entreprenants, nuisibles. Administrateurs débordés. Sécurité Cargèse 2001 Bernard Boutherin 3

4 Tendances Sécurité par rapport quoi? L extérieur? Attaques de plus en plus fréquentes. Automatisation de la détection et de l exploitation de la faille. Le nombre de cibles augmente : exemple du passage du TX au PC LINUX comme poste de travail. La tendance : le vers ou le virus d Unix. Sécurité Cargèse 2001 Bernard Boutherin 4

5 Tendances Les freins à la sécurité Pression des utilisateurs opposés à priori à la mise en place d une politique stricte (donc contraignante). Manque de moyens humains. Topologie, équipements réseau inadaptés. Sécurité Cargèse 2001 Bernard Boutherin 5

6 Tendances Évolution de la sécurité par rapport aux attaques internes Diffusion de la charte. Bonne gestion système. Diffusion d outils de sécurité : tcpwrapper, ssf, tripwire, nessus.. Hier Aujourd hui Création de zones. Séparation des zones par des firewall/proxy. Surveillance, logs et audit réseau. Demain? Sécurité Cargèse 2001 Bernard Boutherin 6

7 Tendances Évolution de la sécurité par rapport aux attaques extérieures Bonne gestion système. Diffusion d outils de sécurité. Filtrage des ports utiles. Hier Aujourd hui Filtrage tout sauf. Point d entrée obligé : le firewall. Point de sortie obligé : le proxy. Surveillance, logs et audit réseau. Demain? Sécurité Cargèse 2001 Bernard Boutherin 7

8 Objectifs de sécurité : authentification, contrôle d accès, intégrité des données, imputabilité, confidentialité des données, non-répudiation, disponibilité des données, audit, assurance. Sécurité Cargèse 2001 Bernard Boutherin 8

9 Fonctionnement Information des correspondants sécurité : Diffusion des avis de sécurité, journées sécurité. Gestion des incidents en relation avec les correspondants sécurité. Filtrage lpd Gestion des sites d expérience en relation avec le CC. Mise en sécurité du site Themis. Filtrage source pour le site Bugey. Évolution de la politique de sécurité basée sur : Les journées sécurité. La participation des laboratoires dans le cadre d expériences pilotes. Sécurité Cargèse 2001 Bernard Boutherin 9

10 Fonctionnement Les journées sécurité. Rassembler les correspondants sécurité. Acquérir les connaissances théoriques nécessaires à une bonne sécurité, SIARS?. Définir actions de sécurité et mettre en place des expérimentations pilotes dans les laboratoires. Sécurité Cargèse 2001 Bernard Boutherin 10

11 Fonctionnement Sites pilotes? Utiliser les compétences des laboratoires. Mettre en œuvre la solution en grandeur réelle. «dans la vraie vie du vrai monde» (Bernard Perrot auteur contemporain). Bénéficier d un retour d expérience de la part des utilisateurs et des administrateurs. Sécurité Cargèse 2001 Bernard Boutherin 11

12 Fonctionnement Moyens pour les sites pilotes Support technique. Moyen matériel : financement des prototypes demandé à l IN2P3. Sécurité Cargèse 2001 Bernard Boutherin 12

13 Actions pour la sécurité 1 - Filtrage. 2 - Segmentation / Firewall. 3 - Proxy. 4 - Surveillance : journalisation, audit. 5 - Virus : filtrage amont. 6 - Infrastructure à Gestion de Clef. 7 - Gestion centralisée des comptes. 8 - Charte informatique. Sécurité Cargèse 2001 Bernard Boutherin 13

14 1 - Filtrage «tout sauf» sur tout ou partie du réseau Pourquoi filtrer? Réseau labo telnet isnothere.in2p3.fr slpr isnotbad.in2p3.fr Routeur filtrant isnothere isnotbad telnetd : 23 printer : 515 Port <1024 = mode privilégié Sécurité Cargèse 2001 Bernard Boutherin 14

15 1 - Filtrage «tout sauf» sur tout ou partie du réseau Buffer overflow et exécution de code arbitraire : Hypothèse : le serveur ne teste pas la taille d un argument que le client lui passe. Le client lui passe un argument beaucoup trop long, dont la fin va écraser une zone de code. Ce code sera exécuté il a été établi par le client! Si le processus serveur tourne en mode privilégié le client aura bientôt le contrôle de la machine.. Sécurité Cargèse 2001 Bernard Boutherin 15

16 1 - Filtrage «tout sauf» sur tout ou partie du réseau Filtrage des ports inférieurs à 1024 par défaut, à l exception de quelques ports sur quelques machines. Sécurise le réseau par rapport aux attaques telles que LPRng (port 515): Daemon lpr existant par défaut, exécuté en mode privilégié, mais non utilisé depuis l extérieur dans la plupart des cas. Sécurité Cargèse 2001 Bernard Boutherin 16

17 1 - Filtrage «tout sauf» Compatibilité avec l interface de modification du DNS. L interface de modification du DNS est utilisé pour régler les filtres. Il ne permet pas de limiter les réseaux extérieurs qui peuvent accéder (filtrage par adresse source). Sécurité Cargèse 2001 Bernard Boutherin 17

18 1 Filtrage «tout sauf» Interface de modification du DNS Sécurité Cargèse 2001 Bernard Boutherin 18

19 1 - Filtrage «tout sauf» Nécessite un bilan des applications utilisées depuis et vers l extérieur. Permet de ne pas avoir d application de ce type ouverte sans que l administrateur ne soit informé. Une bonne première étape avant la mise en place d un firewall. Labo pilotes pour le filtrage par défaut des ports < 1024 Subatech, IPNO, IPNL; en deuxième semaine : LAL et CDF. Sécurité Cargèse 2001 Bernard Boutherin 19

20 Actions pour la sécurité 1 - Filtrage. 2 - Segmentation / Firewall. 3 - Proxy. 4 - Surveillance : journalisation, audit. 5 - Virus : filtrage amont. 6 - Infrastructure à Gestion de Clef. 7 - Gestion centralisée des comptes. 8 - Charte informatique. Sécurité Cargèse 2001 Bernard Boutherin 20

21 2 Segmentation / «FIREWALL» Isoler tout ou partie du réseau «firewall» < > filtrage niveau 3 Tout ou partie? : Firewall en entrée ou segmentation du réseau? Difficile de mettre en place un Firewall en entrée de site sans étape intermédiaire => segmentation. Une grande partie des problèmes viennent de l intérieur => segmentation. Sécurité Cargèse 2001 Bernard Boutherin 21

22 2 - Segmentation / FIREWALL Topologie : Routeur filtrant FIREWALL Portables Libre service DMZ Sécurité Cargèse 2001 Bernard Boutherin 22

23 2 - Segmentation / FIREWALL Topologie visée : Routeur filtrant FIREWALL Portables Libre service DMZ Sécurité Cargèse 2001 Bernard Boutherin 23

24 2 - Segmentation / FIREWALL Filtres dans les routeurs gérés par le CCin2p3. Firewall géré par les administrateurs du laboratoire : Permet le filtrage entre les zones. Permet le filtrage par adresse source. Sécurité Cargèse 2001 Bernard Boutherin 24

25 2 - Segmentation / FIREWALL Création de zones pour : Les portables. Les machines libre service. Les services administratifs. DMZ. Sécurité Cargèse 2001 Bernard Boutherin 25

26 2 - Segmentation / FIREWALL Topologie pour segmenter : Réseau commuté et VLANs. Possibilité de rassembler toutes les machines concernées sur un même segment. Sécurité Cargèse 2001 Bernard Boutherin 26

27 2 - Segmentation / FIREWALL VLAN par port : 7, 8, 10, 11, 12, 15 et 18 constituent un VLAN. Attribuer un subnet aux machines correspondantes. FW assure la communication entre le VLAN et le reste du réseau FW Prise salle de conférence Sécurité Cargèse 2001 Bernard Boutherin 27

28 2 - Segmentation / FIREWALL VLAN : Un VLAN sur plusieurs commutateurs. Plusieurs VLANs sur un même port (18 sur le schéma) FW Prise salle de conférence Sécurité Cargèse 2001 Bernard Boutherin 28

29 2 - Segmentation / FIREWALL Les fonctions de FW (base LINUX) pour isoler le parc des portables : Routage du trafic entre le le VLAN et le reste du réseau. Filtrage : Exemple : utilisation du proxy http pour la salle de conf. : IP Source PORT Source IP Dest. PORT Dest. Salle de conf. >1024 W3CACHE 3128 Journalisation : les informations d adresse et port source, adresse et port destination sont loggées. Serveur DHCP : Seules les adresses MAC déclarées sont autorisées. Les adresses IP attribuées sont fixes pour la traçabilité des logs. Sécurité Cargèse 2001 Bernard Boutherin 29

30 2 - Segmentation / FIREWALL Conclusion : Segmenter le réseau pour : Isoler les parties mal maîtrisées du réseau. Diviser pour limiter l impact d une attaque. Filtrer par adresse source. Acquérir de l expérience avec les firewall. Labo pilotes pour segmenter : CENBG : segmentation + NAT, LPC Caen : firewall pour une expérience nomade. Sécurité Cargèse 2001 Bernard Boutherin 30

31 Actions pour la sécurité 1 - Filtrage. 2 - Segmentation / Firewall. 3 - Proxy. 4 - Surveillance : journalisation, audit. 5 - Virus : filtrage amont. 6 - Infrastructure à Gestion de Clef. 7 - Gestion centralisée des comptes. 8 - Charte informatique. Sécurité Cargèse 2001 Bernard Boutherin 31

32 3 - PROXY Problématique : Émergence de nouvelles applications : téléphonie sur IP, vidéoconférence, qui sont (Netmeeting, Realplayer, VDOphone etc) basées sur des flux tcp ou udp. Comment déployer ces applications au travers un firewall? Sécurité Cargèse 2001 Bernard Boutherin 32

33 3 - PROXY Comment déployer ces applications au travers un firewall? Ouvrir les ports nécessaires? autant de trous de sécurité. Mettre en place un proxy qui assure l authentification, et relaye l application jusqu à la machine locale. Sécurité Cargèse 2001 Bernard Boutherin 33

34 3 - PROXY Topologie : Routeur filtrant FIREWALL Serveur tel.exemple.com 23 Ne voit que le proxy telnet 1555 PROXY telnet Client telnet socksifié telnet tel.exemple.com DMZ 1080 Sécurité Cargèse 2001 Bernard Boutherin 34

35 3 - PROXY SOCKS protocole pour développer des applications client serveur qui utilisent les services d un firewall sans dégrader la sécurité. SOCKS V5 : RFC SOCKS V5 : supporte l UDP. Sécurité Cargèse 2001 Bernard Boutherin 35

36 3 - PROXY Implémentations du protocole Socks e-border : version commerciale : e-border version gratuite : «socksv5 reference implementation.» Dante : Licence BSD/CMU (sources). Applications socksifiées : ftp, telnet : sous UNIX, librairies dynamiques socksifiées. Netscape : support natif de socks. Sécurité Cargèse 2001 Bernard Boutherin 36

37 3 - PROXY TIS (Trusted Information System). Passerelles applicatives pour : ftp, telnet, rlogin, X11, NNTP. Serveur d authentification : Passwd, S/Key, SecurID. Sécurité Cargèse 2001 Bernard Boutherin 37

38 3 - PROXY Proposition d expérimentation : Pré requis : existence d une zone dans le réseau, par exemple le parc des machines libre service. Mettre en œuvre un Proxy http, ou ftp avec socks, ou TIS (ou autre!). Sécurité Cargèse 2001 Bernard Boutherin 38

39 3 - PROXY Conclusion : Firewall : point d entrée obligé, Proxy : point de sortie obligé! Sécurité Cargèse 2001 Bernard Boutherin 39

40 Actions pour la sécurité 1 - Filtrage. 2 - Segmentation / Firewall. 3 - Proxy. 4 - Surveillance : journalisation, audit. 5 - Virus : filtrage amont. 6 - Infrastructure à Gestion de Clef. 7 - Gestion centralisée des comptes. 8 - Charte informatique. Sécurité Cargèse 2001 Bernard Boutherin 40

41 4 - Surveillance : journalisation Mise en place d un outil d acquisition et d analyse des logs en entrée d un site. En cas d intrusion : analyse à posteriori. Actuellement limité par les logs routeurs : 4000 entrées/20mn. Manque : port source, port destination. Sécurité Cargèse 2001 Bernard Boutherin 41

42 4 - Surveillance : journalisation Port monitoring : Le trafic en entrée du réseau arrive sur le port 1 du commutateur, il est dupliqué par le commutateur vers la machine de surveillance. Routeur 1 2 Commutateur Station de surveillance Sécurité Cargèse 2001 Bernard Boutherin 42

43 4 - Surveillance : journalisation Génération d alarmes. Détection de scans. Trafic exceptionnel vers ou depuis une machine. La CNIL : Transparence et proportionnalité. Sécurité Cargèse 2001 Bernard Boutherin 43

44 4 - Surveillance : audit. SNORT (sniffer basé sur libpcap): licence GPL. Détection de scan orienté réseau (parc). Détection d empreintes dans les paquets. Napster, exploit, backdoor, ddos, dos, dns, netbios, webcgi, sql Système de règles (écrites à partir de la signature de l attaque). Permet de surveiller le trafic pour adapter les règles de filtrage. Sécurité Cargèse 2001 Bernard Boutherin 44

45 4 - Surveillance : audit Audit sécurité avec nessus : Renaud Deraison Station d audit nessus au CC? Sécurité Cargèse 2001 Bernard Boutherin 45

46 4 - Surveillance : journalisation et audit. Conclusion : Journalisation et audit : prévenir les intrusions et faire évoluer la politique de sécurité au cours du temps. Sites pilotes : Subatech, LPC Clermont, ISN. Sécurité Cargèse 2001 Bernard Boutherin 46

47 Actions pour la sécurité 1 - Filtrage. 2 - Segmentation / Firewall. 3 - Proxy. 4 - Surveillance : journalisation, audit. 5 - Virus : filtrage amont. 6 - Infrastructure à Gestion de Clef. 7 - Gestion centralisée des comptes. 8 - Charte informatique. Sécurité Cargèse 2001 Bernard Boutherin 47

48 5 - Virus : filtrage amont Objectifs : Décrire ce que permet la technique. Évaluer s il y a un besoin pour ce type d outils dans l in2p3. Étudier ce qui peut être fait dans notre contexte en tenant compte du problème de la confidentialité de la correspondance privée (jugement récent de l «affaire» ESPCI). Sécurité Cargèse 2001 Bernard Boutherin 48

49 5 - Virus : filtrage amont Principe : le flux de messages est dérouté depuis sendmail vers un antivirus, les champs MIME du message sont séparés, les attachements sont décompactés Sécurité Cargèse 2001 Bernard Boutherin 49

50 5 - Virus : filtrage amont Principe : Une analyse des virus est effectuée comme avec un antivirus classique : base de signatures (plusieurs millions de signatures). base de comportements : "exécution sous contrôle" (plusieurs dizaines de milliers de comportements). Sécurité Cargèse 2001 Bernard Boutherin 50

51 5 - Virus : filtrage amont Principe : Si un virus est détecté, différentes actions sont possibles : suppression du virus et envoi du mail, destruction du mail et envoi d'un mail au destinataire et à l'expéditeur, envoi d'un mail à l'administrateur etc.. Sécurité Cargèse 2001 Bernard Boutherin 51

52 5 - Virus : filtrage amont Implémentations : AMAVIS a mail virus scanner : Exemple de mise en œuvre : ENS Paris. Problème des mails diffusés à tout l organisme. Solution commerciale : Trend Micro Coût : Avec une solution commerciale comme celle de Trend Micro le coût est de 25F/utilisateur soit 5000F pour un laboratoire de 200 personnes. Sécurité Cargèse 2001 Bernard Boutherin 52

53 5 - Virus : filtrage amont Conclusion : Filtrage amont des Virus ou violation de la correspondance privée? Sécurité Cargèse 2001 Bernard Boutherin 53

54 Actions pour la sécurité 1 - Filtrage. 2 - Segmentation / Firewall. 3 - Proxy. 4 - Surveillance : journalisation, audit. 5 - Virus : filtrage amont. 6 - Infrastructure à Gestion de Clef. 7 - Gestion centralisée des comptes. 8 - Charte informatique. Sécurité Cargèse 2001 Bernard Boutherin 54

55 6 - Infrastructure à Gestion de Clefs Historique : DATAGRID, globus. Certificats pour authentifier les machines et les utilisateurs de la grille. Création d une Autorité de Certification Test pour l IN2P3. Sécurité Cargèse 2001 Bernard Boutherin 55

56 6 - Infrastructure à Gestion de Clefs Autres applications des certificats : Authentification pour l accès à des zones restreintes d un serveur Web. Signature de messages : chiffrement de l empreinte MD5 du message avec la clef privée de l expéditeur. Chiffrement de messages : même l administrateur du système ne peut pas le lire. Sécurité Cargèse 2001 Bernard Boutherin 56

57 Actions pour la sécurité 1 - Filtrage. 2 - Segmentation / Firewall. 3 - Proxy. 4 - Surveillance : journalisation, audit. 5 - Virus : filtrage amont. 6 - Infrastructure à Gestion de Clef. 7 - Gestion centralisée des comptes. 8 - Charte informatique. Sécurité Cargèse 2001 Bernard Boutherin 57

58 7 - Gestion centralisée des comptes utilisateurs. L'objectif est de permettre une meilleure gestion des comptes utilisateurs, avec la fermeture rapide des comptes des utilisateurs qui quittent un labo. Et pourquoi pas un identifiant unique pour l IN2P3? Sécurité Cargèse 2001 Bernard Boutherin 58

59 7 - Gestion centralisée des comptes utilisateurs. Le CC a un produit, basé sur oracle, qui pourrait être adapté à un laboratoire. L'IPNO a également proposé de travailler sur une solution commune axée sur la gestion du personnel. A l'isn un groupe de DESS a développé une application MySQL pour gérer les utilisateurs et les machines. Sécurité Cargèse 2001 Bernard Boutherin 59

60 7 Gestion centralisée des comptes utilisateurs. Schéma relationnel de la base ISN utilisateurs et machines : Compte NumPers Login Password NumSerieM Uid Gid NumDisq Shell HomeDir Commentaire Réseau NumReseau Masque Disque NumDisq Chemin NumSérieM MachRes NumSérie NumMachine NumReseau NumPrise DNS Ethernet AdEth Prise NumPrise NumPiece Batiment DebitRes Switch NumPort Type Machine NumSérie Nom Modele Type DateAchat DureeGarantie NumFnr NumPiece Batiment Localisation PriseBras Switch NumPort Fournisseur NumFnr Nom Adresse CP Ville Telephone Fax Mail TelephoneSAV FaxSAV MailSAV Sécurité Cargèse 2001 Bernard Boutherin 60

61 7 - Gestion centralisée des comptes utilisateurs. Déclaration à la CNIL? Sécurité Cargèse 2001 Bernard Boutherin 61

62 7 - Gestion centralisée des comptes utilisateurs. Conclusion : Généraliser un outil commun pour gérer les comptes utilisateurs? Sécurité Cargèse 2001 Bernard Boutherin 62

63 Actions pour la sécurité 1 - Filtrage. 2 - Segmentation / Firewall. 3 - Proxy. 4 - Surveillance : journalisation, audit. 5 - Virus : filtrage amont. 6 - Infrastructure à Gestion de Clef. 7 - Gestion centralisée des comptes. 8 - Charte informatique. Sécurité Cargèse 2001 Bernard Boutherin 63

64 8 Charte informatique Mise à jour de la charte rapport de la CNIL sur la cyber surveillance des salariés Informatique et traçage, Limites du contrôle : Transparence, Proportionnalité, Discussion collective. Jurisprudence. Sécurité Cargèse 2001 Bernard Boutherin 64

65 8 Charte informatique Transparence. Liste des traces (logs). Durée pendant laquelle les sauvegardes sont conservées. Proportionnalité. Discussion collective. Amendement de la charte par les représentants du personnel. Sécurité Cargèse 2001 Bernard Boutherin 65

66 Conclusion : La politique de sécurité doit évoluer pour précéder, sinon suivre, l évolution des techniques de piratage. Il faut ajuster les droits avec les besoins : une machine qui n est pas serveur d impression n a pas besoin d être accessible sur le port lpr. Expérimenter de nouveaux outils et mettre en commun les connaissances. Sécurité Cargèse 2001 Bernard Boutherin 66