Sécurité des réseaux. 1. Introduction Tendances. Stéphane Lohier lohier@univ-mlv.fr

Sécurité des réseaux 1. Introduction Tendances 1. Introduction Ø Tendances et chiffres Ø Pourquoi sécuriser? 2. Les attaques Ø Techniques d intrusion Phishing Crackage Sniffing Spoofing Malwares Ø Déni de service Smurfing TCP-SYN Flooding DDOS 3. Les défenses matérielles Ø Concepts Ø NAT et PAT Ø Les firewalls Ø DMZ Ø Proxy Ø IDS Ø VPN 4. Les défenses logicielles Ø Antivirus Ø Cryptographie Ø Hash Ø Signature Ø Authentification Ø Certificats Quelques statistiques : Ø 160 disparitions de matériel informatique par jour en France Ø + de 80% du trafic e-mail mondial est du spam (très souvent vérolé) Ø + de 30 000 sites de phishing sont actifs (durée de vie moyenne 4 jours) Ø le coût moyen d'un incident de sécurité est de 40.000 * Ø dans 20% des attaques, les entreprises mettent plus d'une semaine pour revenir à une situation de fonctionnement normal Ø 2/3 des entreprises françaises estiment avoir une dépendance forte vis à vis de leur système d'information, 1/4 d'entres elles seulement a mis en place une politique de sécurité (sources : Gartner, Radicati Group, APWG, Canalys, Clusif) Stéphane Lohier lohier@univ-mlv.fr 1 * L hameçonnage, phishing ou filoutage est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité (wikipedia). 2 1. Introduction Tendances 1. Introduction Tendances * * Un logiciel malveillant ou maliciel (en anglais : malware) est un programme développé dans le but de nuire à un système informatique, sans le consentement de l'utilisateur infecté (wikipedia). 3 4 1

1. Introduction Tendances 1. Introduction Tendances * * Un exploit est un élément de programme permettant à un individu ou un logiciel malveillant d'exploiter une faille de sécurité informatique dans un système d'exploitation ou dans un logiciel. (wikipedia). 5 6 1. Introduction Tendances 1. Introduction Quelques chiffres 7 8 2

1. Introduction Quelques chiffres 1. Introduction Quelques chiffres 9 10 1. Introduction Pourquoi sécuriser 1. Introduction Pourquoi sécuriser? Pourquoi les systèmes sont-ils vulnérables? Ø Émergence en permanence de nouveaux usages et de nouvelles technologies et donc de nouvelles vulnérabilités (réseaux sociaux, peer to peer, messagerie instantanée, réseaux sans fil, smartphone connectés en WiFi ou en 4G, téléphonie sur IP, stockage sur cloud ) ; Ø Politiques de sécurité complexes (où placer un ou des firewalls, quels fichiers crypter, quelle type de VPN, quels droits pour les administrateurs? ) ; Ø Politiques de sécurité basées sur des jugements humains ; Ø La sécurisation est coûteuse en moyens, en temps et surtout en ressources humaines. Quatre principaux objectifs de la sécurité : Ø L'intégrité : garantir que les données sont bien celles qu'on croit être ; Ø La confidentialité : assurer que seules les personnes autorisées ont accès aux ressources ; Ø La disponibilité : garantir l accès aux données de tout type ; Ø La non répudiation : garantir qu'une transaction ne peut être niée par l un des participants. Écoute Espionnage Usurpation Phishing Détournement Antispy DMZ Authentification Spoofing Certificats VPN Filtrage Cryptage Confidentialité Virus Antivirus Vers Information Filtrage Déni de service Filtrage Intégrité Disponibilité Altération Redondance Cryptage Erreurs Sauvegardes Intrusion Authentification Pannes Antispam Spam 11 12 3

2. Les attaques Types d attaque 1. Techniques d intrusion Ø Les accès physiques vont du vol de disque dur ou de portable à l écoute du trafic sur le réseau (sniffing) ; Ø L ingénierie sociale (social engineering) permet de retrouver ou de récupérer directement des couples identifiant/mot de passe en envoyant par exemple des messages falsifiés (phishing) ; Ø L interception de communications permet l usurpation d'identité, le vol de session (session hijacking), le détournement ou l altération de messages (spoofing) ; Ø Les intrusions sur le réseau comprennent le balayage de ports (port scan), l élévation de privilèges (passage du mode utilisateur au mode administrateur) et surtout les malwares (virus, vers et chevaux de Troie). 2. Les attaques Le sniffing Sur la plupart des réseaux, les trames sont diffusées sur tout le support (câble Ethernet, transmission radio WiFi ). En fonctionnement normal, seul le destinataire reconnaît son adresse (adresse MAC destination sur un réseau Ethernet) et lit le message. La carte Ethernet ou Wifi d un PC peut être reprogrammée pour lire tous les messages qui traversent le réseau (promiscious mode). Les hackers utilisent des «sniffers» ou analyseurs réseau tels wireshark pour trouver des identités et des mots de passe dans des dialogues POP3, FTP ou encore des données personnels dans le corps des messages (social engineering). La limite à priori est le dispositif d interconnexion utilisé sur le LAN ou le segment de LAN (switch, AP WiFi, routeur ). Le remote sniffing (daemon rpcap) permett de renvoyer le trafic capturé sur un réseau vers le réseau du hacker. L usurpation d adresse MAC permet de rediriger sur le switch le trafic de la victime vers la machine de l agresseur. 13 14 2. Les attaques Le «Crackage» de mot de passe 2. Les attaques Le phishing Le hacker utilise un dictionnaire de mots et de noms propres construit à partir d informations personnelles et privées qui ont été collectées (social engineering). Ces chaînes de caractère sont essayées une à une à l aide de programmes spécifiques qui peuvent tester des milliers de mots de passe à la seconde Mot de! Passe! 3! Mot de! Passe! 2! Mot de! Passe! 1! Exemple : «John the ripper» Toutes les variations sur les mots peuvent être testées : mots écrits à l envers, majuscules et minuscules, ajout de chiffres ou de symboles. Ce type d attaque est souvent nommé attaque par force brute car le mot de passe est deviné grâce à des milliers d essais successifs à partir d un dictionnaire, et non pas retrouvé à l aide d un programme capable de décrypter une chaîne de caractères. Néologisme anglais, contraction de " fishing «: pêcher, et de " phreaking " : pirater le réseau téléphonique (hameçonnage en français). Il s agit de conduire des internautes à divulguer des informations confidentielles, et notamment bancaires, en usant d un hameçon, fait de mensonge et de contrefaçon électronique (identité visuelle d un site connu, en-têtes, logo ). Le cas le plus classique est celui d un mail usurpant l identité de votre banque et contenant un lien vers un faux site où on vous demandera de confirmer votre numéro de carte bleue. Le phishing utilise également des virus qui installent des programmes espions afin d intercepter la frappe des données confidentielles sur le clavier (keyloggers) pour les transmettre ensuite sur un site où le «phisher» pourra les récupérer. 15 16 4

2. Les attaques Les keyloggers 2. Les attaques Le Spoofing Programmes installés à votre insu sur votre PC et capables d enregistrer toutes les séquences de touches frappées sur un clavier : login, mot de passe, numéro de compte, numéro de carte bancaire... Le keylogger crée un fichier caché (.log) sur votre système susceptible d être ensuite transmis via Internet. Le fichier log peut ainsi contenir ainsi toutes les séquences de touches pour chaque fenêtre ouverte sur votre système La plupart des banques proposent une saisie du code personnel à la souris. L IP spoofing (to spoof : «faire passer pour, usurper») Ø L agresseur prétend provenir d une machine interne pour pénétrer sur le réseau privé. Ø Cette attaque basique peut être simplement bloquée avec un pare-feu (firewall) au niveau du routeur d accès qui éliminera les paquets entrants avec une adresse IP source interne. @IP source usurpée : 195.10.4.12 195.10.4.12 Pirate LAN Privé Routeur d accès Internet Réseau 195.10.4.0 17 18 2. Les attaques Le Spoofing (2) 2. Les attaques Le Spoofing (3) L ARP spoofing ou ARP poisoning Ø L'attaquant émet une requête ARP en unicast vers la victime A en spécifiant comme adresse IP émettrice celle de B et en indiquant sa propre adresse MAC comme l'adresse MAC de l'émetteur; idem vers la victime B (souvent un routeur). Ø Une fois les tables ARP de A et B falsifiées, tout le trafic est routé par l attaquant. Ø La même attaque peut être réalisée avec un ARP Reply mais la plupart des systèmes se protègent de cette attaque en n'acceptant que les réponses à des requêtes préalablement envoyées. Le mail Spoofing Ø Les courriers électroniques sur Internet sont également sujet au spoofing : une adresse d expéditeur peut être falsifiée simplement dans la mesure où elle ne comporte pas de pas de signature numérique. Ø Le protocole d envoi de messages SMTP n est pas sécurisé. Le DNS spoofing Ø Le pirate utilise les faiblesses du protocole DNS et de son implémentation sur les serveurs de noms de domaine pour rediriger des internautes vers des sites falsifiés. Ø Le but du pirate est donc de faire correspondre l'adresse IP d'une machine qu'il contrôle à l URL réel d'une machine publique. Ø Deux attaques de type DNS Spoofing : Le DNS ID Spoofing basé sur la récupération et l exploitation dans une fausse réponse du numéro d'identification contenu dans une requête DNS ; Le DNS Cache Poisoning qui corromps (empoisonne) avec de fausses adresses le cache des serveurs DNS. 19 20 5

2. Les attaques Le Spoofing (4) 2. Les attaques Les virus Le web spoofing Ø Version élaborée de l IP spoofing. Ø Il s'agit de remplacer un site par une version pirate du même site. Ø Technique notamment utilisée dans la dernière étape du phishing. Ø La falsification se déroule en plusieurs temps : Amener la victime à entrer dans le faux site web (grâce à l utilisation du DNS spoofing par exemple) Intercepter les requêtes HTTP ; Récupérer les vraies pages web et modifier ces pages ; Envoyer de fausses pages à la victime. Nom souvent utilisé pour désigner sans distinction tout type d attaque. En vérité, programme qui se propage à l aide d autres programmes ou de fichiers. Souvent simples et faciles à détecter à partir de leur code (signature). Efficaces, car ils se propagent plus vite que les anti-virus peuvent être mis à jour. Passent le plus souvent par la messagerie Conséquences de l exécution d un virus : Ø simple modification des paramètres d une application (page par défaut du navigateur). Ø Modification de la base de registre du système (exécution automatique d un programme commercial à chaque démarrage). Ø Effacement de données ou de fichiers essentiels au système d exploitation. 21 22 2. Les attaques Les rootkits 2. Les attaques Les vers Un rootkit est un malware qui installe une série d outils permettant à un pirate d accéder à distance à un ordinateur. Deux types de rootkit : Ø Les rootkits en mode utilisateur (les plus courants) fonctionnent au sein de l OS comme une application. Ils exécutent leur comportement malicieux en piratant les applications en fonctionnement sur le PC ou en remplaçant la mémoire utilisée par une application ; Ø Les rootkits en mode noyau fonctionnent au niveau le plus profond du système d exploitation du PC et donnent au pirate une série de privilèges plus puissants. Un ver (worm) est un programme capable de se propager et de s'auto-reproduire sans l'utilisation d'un programme quelconque (d un vecteur) ni d'une action par une personne. La particularité des vers ne réside pas forcément dans leur capacité immédiate de nuire mais dans leur facilité pour se propager grâce par exemple aux listes de contacts présentes sur les PC ou les smartphones. L exemple de Blaster (LovSan) : Ø Apparu en 2003, Blaster a infecté des centaines de milliers de PC Ø Blaster est programmé pour scanner une plage d'adresses IP aléatoire à la recherche de systèmes vulnérables à la faille RPC sur le port 135 (windows XP). Ø Lorsqu'une machine vulnérable est trouvée, le ver ouvre un shell distant sur le port TCP 4444, et force la machine distante à télécharger une copie du ver dans le répertoire %WinDir% \system32 en lançant une commande TFTP (port 69 UDP) pour transférer le fichier à partir de la machine infectée. Ø Une fois le fichier téléchargé, il est exécuté, puis il crée des entrées dans la base de registre afin de se relancer automatiquement à chaque redémarrage : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill 23 24 6

2. Les attaques Les chevaux de Troie (troyans) 2. Les attaques Le troyan Ginmaster Un cheval de Troie (troyan) est programme caché dans un autre programme qui s exécute au démarrage du programme «hôte». Le nom provient d'une légende narrée dans l'iliade (Homère) à propos du siège de la ville de Troie par les Grecs. Il permet donc de s'introduire sur le système à l insu de la victime : ouverture d une «porte dérobée» ou backdoor, généralement un port. Le cheval de Troie devient alors autonome et peut agir comme un virus en infectant des données ou des programmes. 25 26 2. Les attaques Le scan de ports 2. Les attaques Le Déni de service Le scan de port permet de connaitre les ports ouverts ou fermés sur une machine distante mais aussi potentiellement : Ø les versions des services qui tournent ; Ø les types de systèmes d'exploitation et leurs versions ; Ø la présence d'un firewall ; Ø les ports ouverts sur le firewall; Ø la politique de filtrage en fonction d'adresses IP spécifiques ; Ø etc. Ce type d attaque nommé en anglais Denial Of Service ou DOS empêche par saturation un service de fonctionner correctement sur une machine. Par exemple le «Ping of the death» est la plus ancienne des attaques de type DOS : un ping continu avec une taille de paquet maximum est lancé vers la machine cible. Tous les OS récents empêchent ce type d attaque. Une variante connue sous le nom de smurfing est basée sur l envoi d un «echo request» ICMP avec comme adresse source celle de la victime et une adresse destination de diffusion. Les réponses «echo reply» provenant de toutes les machines du réseau vers la machine de la victime saturent celle-ci. Cette vulnérabilité a également été supprimée sur tous les OS récents. 27 28 7

2. Les attaques TCP-SYN Flooding 2. Les attaques TCP-SYN Flooding Cette attaque consiste à inonder (flooding) la cible à l aide de demandes successives d ouverture de connexion TCP. Lors d une ouverture normale : Ø le premier segment TCP est transmis par le client avec le bit SYN à 1 pour demander l ouverture ; Ø le serveur répond avec dans son segment TCP les bits SYN et ACK à 1 ; Ø le client demandeur conclut la phase avec le bit ACK à 1. Les abus interviennent au moment où le serveur a renvoyé un accusé de réception (SYN ACK) au client mais n a pas reçu le «ACK» du client. C est alors une connexion à semi-ouverte et l agresseur peut saturer la structure de données du serveur victime en créant un maximum de connexions partiellement ouvertes. Le client autorisé ne pourra alors plus ouvrir de connexion. Il existe plusieurs méthodes simples pour parer cette attaque : Ø la limitation du nombre de connexions depuis la même source ou la même plage d'adresses IP ; Ø la libération des connexions semi-ouvertes selon un choix de client et un délai aléatoires ; Ø la réorganisation de la gestion des ressources allouées aux clients en évitant d'allouer des ressources tant que la connexion n'est pas complètement établie. 29 30 2. Les attaques Le DDOS 2. Les attaques Le DDOS Le Distributed denial-of-service ou déni de service distribué à les mêmes effets que le DoS traditionnel excepté qu'ici ce n'est plus une seule machine qui attaque les autres mais une multitude de machines «zombies» contrôlées par un maître unique. Maître L attaque se déroule en plusieurs étapes : Ø Recherche sur Internet d'un maximum de machines vulnérables qui deviendront des complices involontaires, des «zombies». Ø Les réseaux de zombies («botnet» en anglais) ainsi formés sont une ressource précieuse pour les hackers ; Daemons Contrôle Daemons Daemons Réseau de zombies Daemons Ø Installation sur ces machines de programmes dormants (daemons) et suppression des traces éventuelles (logs) ; Ø Les daemons sont basés sur les attaques DOS classiques (paquets UDP multiples, SYN Flood, buffer overflow ) ; Ø Activation du dispositif à l'heure et au jour programmé. Attaque distribuée Victime Parmi les attaques DDoS très populaires, on connaît l'attaque sur les sites internet Yahoo, CNN, Amen et EBay qui ont subit une inondation de leur réseau. 31 32 8

2. Les attaques Sécurité des smartphones 2. Les attaques Répartition des attaques Les attaques sur les smartphones peuvent être spécifiques : Ø Attaques basées sur les SMS et MMS (pièce jointe infectée, DDOS ) ; Ø Attaques basées sur les réseaux de communication : Craquage des algorithmes de chiffrement GSM ; Craquage du réseau WiFi ; Virus transmis dans un fichier envoyé vers un smartphone en mode découverte Bluetooth. Ø Attaques basées sur les failles du navigateur Web (jailbreak de l Iphone basé sur les vulnérabilité de Safari). Ø Attaques basées sur les failles du système. Ø Malwares spécifiques (RedBrowser, FlexiSpy ) 33 34 2. Les attaques Questions sur les attaques 3. Les défenses matérielles Concepts Quels sont les deux grands types d attaque? À quels domaines de sécurité (intégrité, confidentialité, disponibilité) se rapportent ces deux types? Quelle est la différence entre virus et vers? Dans quelle mesure ces derniers sont-ils plus dangereux? Quelles attaques sont considérées comme des dénis de service? Le spoofing Le flooding Les virus Le phishing Le spamming Dans une attaque de type DDOS : Une machine maître contrôle d autres machines qui pourront réaliser une attaque distribuée sur la cible Une machine maître inonde des machines cible à l aide d applications distribuées L objectif est de paralyser la machine cible 35 Défense en profondeur Ø Plusieurs mesures de sécurité valent mieux qu'une. Ø Par exemple Anti-spam sur les serveurs de messagerie ET sur les postes de travail. Interdiction par défaut Ø On ne connaît jamais à l'avance toutes les menaces qu'on va subir. Ø Il est mieux d'interdire tout ce qui n'est pas explicitement permis que de permettre tout ce qui n'est pas explicitement interdit. Participation des utilisateurs Ø Un système de protection n'est efficace que si tous les utilisateurs le supportent. Ø Un système trop restrictif pousse les utilisateurs à devenir créatifs Simplicité Ø La plupart des problèmes de sécurité ont leur origine dans une erreur humaine. Ø Dans un système simple : le risque d'erreur est plus petit ; il est plus facile de vérifier son bon fonctionnement. Principe du moindre privilège Ø Chaque élément d'un système (utilisateur, logiciel) ne doit avoir que le minimum de privilèges nécessaires pour accomplir sa tâche : Utilisateurs, utilisateur avancés, administrateurs ; Un serveur web est lancé avec un compte limité ; Zone RAM ou disque interdite ; 36 9

3. Les défenses matérielles Concepts 3. Les défenses matérielles La translation d adresses - NAT La translation d adresses est basée sur l utilisation des adresses privées, non routables sur Internet : Plusieurs modèles de sécurité : Ø La sécurité par l hôte : chaque machine est sécurisée à un certain niveau (serveurs et stations avec authentification au login et protections locales sur l accès aux ressources) ; Ø La sécurité par le réseau : l accès à l ensemble des ressources du réseau est protégé par un firewall, un VPN, un proxy Plusieurs niveaux de sécurité : Ø Sécurité des données : concerne exclusivement les données à l intérieur du système (cryptographie, protection physique ) Ø Sécurité des réseaux : concerne les données qui transitent entre les systèmes (firewall, VPN ). Classe A 10.0.0.0 Classe B 172.16. 0.0 à 172.31.0.0 Classe C 192.168.0.0 à 192.168.255.0 Elle permet d isoler le trafic local du trafic public de l internet et nécessite l utilisation d un translateur d adresse (NAT - Network Adress Translator). Quand un paquet sort, l'adresse source est remplacée par une adresse publique. L'adresse source est donc masquée : masquerading. La translation de port est généralement utilisée conjointement (NAPT) pour éviter les collisions lorsque deux connexions ne sont différentes que par l'adresse interne. Deux niveaux interdépendants d étude : Ø Au niveau de l architecture du réseau (firewall, DMZ, VPN ) ; Ø Au niveau des protocoles utilisés dans le réseau (IPSec, PPTP, authentification, SSH, HTTP-S, cryptographie ). 37 38 3. Les défenses matérielles Firewall : Principe 3. Les défenses matérielles Filtrage de paquets Le firewall ou pare-feux est chargé de filtrer les accès entre l Internet et le réseau local ou entre deux réseaux locaux. La localisation du firewall (avant ou après le routeur, avant ou après le NAT..) est stratégique. Le firewall, qui est souvent un routeur possédant des fonctionnalités de filtrage, possède autant d interfaces que de réseaux connectés. Suivant la politique de sécurité, le filtrage est appliqué différemment pour chacune des interfaces d entrée et de sortie (blocage des adresses IP privées entrantes, autorisation des accès entrants vers le serveur web institutionnel ) Les machines d extrémité possèdent également un firewall mais celui-ci est logiciel (pare-feu Windows ou iptables sous Linux par exemple) et sert à protéger les machines du trafic entrant si le firewall à l entrée du LAN n a pas été suffisamment sélectif. Pour chaque trame ou chaque paquet entrant ou sortant sur une interface donnée, les en-têtes correspondant aux différentes couches sont analysés et le filtrage sélectif est appliqué suivant la stratégie de sécurité définie par l administrateur du réseau. Le filtrage peut porter sur : Ø les adresses MAC source ou destination ; Ø les adresses IP source ou destination ; Ø les ports TCP ou UDP source ou destination ; Ø les Flags de l en-tête TCP (SYN, ACK ) ; Ø le type de message ICMP ; Ø le type de message ou le contenu HTTP, SMTP, POP (filtrage applicatif). Serveur d accès LAN privé Intranet Firewall Routeur d accès Internet LAN privé Firewall?? HTTP?? SMTP Internet Serveurs accessibles depuis Internet 39 40 10

3. Les défenses matérielles Filtrage sur les entrées 3. Les défenses matérielles Règles d un Firewall Le firewall peut également empêcher les connexions entrantes en analysant la valeur du bit ACK de l en-tête TCP. Lors d une demande de connexion, le bit ACK du premier segment TCP est à 0, les bits ACK des segments suivants sont généralement tous à 1. Il suffit donc de bloquer les segments entrants avec le bit ACK à 0, les segments suivants pour cette connexion ne seront pas pris en compte SYN=1, ACK=0 SYN=1, ACK=1 La configuration d un firewall passe par l écriture d une suite de règles qui décrivent les actions à effectuer (accepter ou refuser le trafic) suivant les informations contenues dans les en-têtes des paquets. Les caractéristiques de chaque paquet sont comparées aux règles, les unes après les autres. La première règle rencontrée qui correspond aux caractéristiques du paquet analysé est appliquée : l action décrite dans la règle est effectuée. Pour assurer une sécurité maximum, la seule règle présente par défaut doit être celle qui interdit l accès à tous les paquets entrants et sortants, d autres règles seront ensuite insérées pour ouvrir les accès souhaités. La stratégie appliquée est donc : «tout ce qui n'est pas explicitement autorisé est interdit». LAN privé SYN=0, ACK=1 Firewall Internet 41 42 3. Les défenses matérielles Exemple de règles d un firewall 3. Les défenses matérielles Firewall : les ACL Cisco Les règles A et B permettent aux machines locales (192.168.0.0) d ouvrir une connexion sur un serveur web (port 80) externe. Émission (règle C) ou réception (règle D) de courrier SMTP (port 25) avec un serveur externe. Les paquets entrants depuis des supposés serveurs SMTP ne peuvent passer que si la connexion a été initiée de l intérieur (règle D). Blocage de toute autre connexion (règle E). Sur les routeurs Cisco, les ACL (Access Control Lists) permettent de filtrer les paquets entrants ou sortants en fonction des adresses IP source et destination. Il existe 2 types d'acl : Ø standard : uniquement sur les IP sources ; Ø étendue : sur quasiment tous les champs des en-têtes IP, TCP et UDP. Le filtrage sur les paquets peut intervenir : Ø sur l interface d entrée, avant le processus de routage ; Ø sur l interface de sortie, après le processus de routage. Règle Direction @ source @ dest. Protocole Src Port Dst Port ACK=1 Action A Out 192.168.0.0 0.0.0.0 TCP >1023 80 Permit B In 0.0.0.0 192.168.0.0 TCP 80 >1023 Permit C Out 192.168.0.0 0.0.0.0 TCP >1023 25 Permit D In 0.0.0.0 192.168.0.0 TCP 25 >1023 Yes Permit E All All All All All All Deny 43 44 11

3. Les défenses matérielles Firewall : logique des ACL Cisco 3. Les défenses matérielles Firewall : exemples d ACL Cisco Le paquet est vérifié par rapport au 1er critère défini sur les informations contenues dans les en-têtes IP, TCP ou UDP : Ø S'il vérifie le critère, l'action définie est appliquée ; Ø Sinon le paquet est comparé successivement aux ACL suivants ; S'il ne satisfait aucun critère, l'action deny est appliquée. Des masques sont utilisés pour pouvoir identifier une ou plusieurs adresses IP en une seule définition. Le masque défini la portion de l'adresse IP qui doit être examinée : Ø 0.0.255.255 signifie que seuls les 2 premiers octets doivent être examinés ; Ø deny 10.1.3.0 avec 0.0.0.255 : refus de toutes les IP commençant par 10.1.3. Syntaxe d'une règle standard : access-list number [deny permit] source [source-wildcard] Ø number compris entre 1 et 99 ou entre 1300 et 1999 Ø Source-wildcard : masque pour la source Syntaxe d'une règle étendue : access-list number [deny permit] protocol source source-wildcard destination dest.-wildcard Ø number : compris entre 100 et 199 ou 2000 et 2699 access-list 1 deny 172.16.3.10 0.0.0.0 (ou deny host 172.16.3.10) access-list 1 permit 0.0.0.0 255.255.255.255 (ou permit any) Ø Refuse les paquets d'ip source 172.16.3.10. Le masque (également appelé wildcard mask) signifie ici que tous les bits de l'adresse IP sont significatifs. Ø La dernière règle autorise toutes les autres adresses (le masque signifie qu aucun n est significatif) access-list 2 permit 172.16.3.0 0.0.0.255 Ø Autorise tous les paquets d'ip source 172.16.3.0/24. Ø Différence avec access-list 2 permit 172.16.3.0 0.0.0.0? access-list 101 deny ip any host 10.1.1.1 Ø Refus des paquets IP à destination de la machine 10.1.1.1 et provenant de n'importe quelle source access-list 102 deny tcp any gt 1023 host 10.1.1.1 eq 23 Ø Refus de paquet TCP provenant d'un port > 1023 et à destination du port 23 de la machine d'ip 10.1.1.1 access-list 103 deny tcp any host 10.1.1.1 eq http Ø Refus des paquets TCP à destination du port 80 de la machine d'ip 10.1.1.1 45 46 3. Les défenses matérielles Firewall : quizz ACL Cisco 3. Les défenses matérielles Firewall sous Linux Netfilter est le module qui fournit à Linux les fonctions de pare-feu, de translation d adresse (NAT) et d'historisation du trafic réseau. Netfilter fonctionne en mode noyau. Il intercepte et manipule les paquets IP entrant et sortant de votre machine. iptables est le programme qui permet à un administrateur de configurer Netfilter. iptables est installé par défaut dans toutes les distributions Linux et est utilisable en mode commande. Des interfaces graphiques sont cependant disponibles pour modifier plus aisément les règles de filtrage ou de translation. 47 48 12

3. Les défenses matérielles Firewall sous Linux : chaînes 3. Les défenses matérielles Firewall sous Linux : chaînes (2) Par défaut, le programme iptables utilise la table «filter» qui contient trois listes de règles ; Ces listes sont appelées chaînes de firewall ou juste chaînes. Les trois chaînes sont nommées INPUT, OUTPUT et FORWARD : Ø La chaîne INPUT permet de décider ce que l on fait d un paquet entrant. Il peut être accepté (ACCEPT) ou rejeté (DROP) ; Ø La chaîne OUTPUT permet de la même façon de fixer le sort des paquets sortants (ceux qui sont générés localement) ; Ø La chaîne FORWARD permet de transférer sur une autre carte réseau le paquet arrivé sur votre machine. Entrée Décision de routage INPUT FORWARD DROP OUTPUT ACCEPT Une autre table est utilisée pour les translations d adresses : la table «nat». Elle utilise 3 chaînes : Ø PREROUTING, c'est la chaîne qui va être utilisée pour faire du DNAT (Destination NAT) : translation sur adresse destination avant le processus de routage. Ex : pour un paquet entrant vers un serveur web interne et masqué, le routeur va remplacer sa propre IP par l IP du serveur web. Ø POSTROUTING, à la sortie du routeur et utilisée pour faire du SNAT (Source NAT) : masquage d'adresse source après le processus de routage. Ex : un ordinateur local veut sortir sur le WAN, le routeur va remplacer l'ip du paquet émis en local par sa propre IP. Ø OUTPUT, cette chaîne va traiter les réponses émises en local si le paquet avait pour destination le routeur, comme dans le cas de la table filter. Entrée PREROUTING DROP ACCEPT Décision de routage OUTPUT POSTROUTING DROP ACCEPT Sortie DROP ACCEPT Processus local DROP ACCEPT Sortie Processus local DROP ACCEPT 49 50 3. Les défenses matérielles Firewall sous Linux : règles 3. Les défenses matérielles Firewall sous Linux : exemple Chaque chaîne est composée d'un ensemble de règles. Quand un paquet atteint une chaîne celle ci va examiner cet ensemble règle par règle pour trouver celle qui lui correspond. Si c'est le cas alors cette règle lui sera appliquée. Finalement s'il n'y a pas de règle qui corresponde à ce paquet, une politique par défaut sera appliquée. Soit le réseau représenté ci-dessous, quel est le rôle des commandes suivantes? La commande iptables permet de spécifier des règles de sélection des paquets IP dans les trois chaînes (INPUT, OUTPUT et FORWARD). Les paquets sont sélectionnées suivant la combinaison : Ø adresse source, adresse destination ; Ø protocole (tcp, udp, icmp, all) ; Ø numéro de port. Pour chaque règle de sélection, on définit une politique : accepter (ACCEPT) ou rejeter (DROP) le paquet. Exemple : on rejette les pings entrants : # iptables -A INPUT -i eth0 -p icmp -j DROP iptables -A INPUT -i eth0 -j ACCEPT iptables -A OUTPUT -o eth0 -j ACCEPT iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE 51 52 13

3. Les défenses matérielles Firewall/Routage/NAT - Exemple 3. Les défenses matérielles Firewall/Routage/NAT - Exemple Pourquoi pour un paquet entrant, la translation est-elle effectuée sur l adresse destination (Destination NAT) avant le routage et le filtrage? 53 54 3. Les défenses matérielles Firewall/Routage/NAT - Exemple Pourquoi pour un paquet sortant, la translation est-elle effectuée sur l adresse source (Source NAT) après le filtrage et le routage? 3. Les défenses matérielles DMZ : principe Une zone démilitarisée (ou DMZ de l anglais DeMilitarized Zone) est une zone de réseau privée ne faisant partie ni du réseau local privé ni de l Internet À la manière d'une zone franche au delà de la frontière, la DMZ permet de regrouper des ressources nécessitant un niveau de protection intermédiaire. Comme un réseau privé, elle est isolée par un firewall mais avec des règles de filtrage moins contraignantes, généralement : Ø Traffic Externe -> DMZ autorisé ; Ø Traffic Externe -> Interne interdit ; Ø Traffic Interne -> DMZ autorisé ; Ø Traffic Interne -> Externe autorisé ; Ø Traffic DMZ -> Interne interdit ; Ø Traffic DMZ -> Externe interdit. LAN privé Zone de protection forte Zone de protection intermédiaire Firewall DMZ Routeur d accès Internet 55 56 14

3. Les défenses matérielles DMZ : 2 niveaux de Firewall Un niveau supplémentaire de sécurité peut être introduit avec un deuxième firewall. Les règles d accès sur le firewall du réseau local privé sont plus restrictives. La DMZ est située entre les deux firewalls (DMZ «en sandwich») avec des règles moins restrictives introduites par le premier firewall 3. Les défenses matérielles Firewall et DMZ : exemple (1) La règle A du firewall permet aux machines du LAN privé d'accéder à DMZ 2, alors que la règle C est censée l'interdire. Comment remédier à cela? LAN privé Mail DMZ 1 Firewall Internet DMZ 2 LAN privé Firewall 2 Firewall 1 DMZ Routeur d accès web Internet Zone de protection forte Zone de protection intermédiaire 57 58 3. Les défenses matérielles Firewall et DMZ : exemple (2) 3. Les défenses matérielles Proxy : principe Un serveur mandataire (Proxy) a pour fonction de relayer des requêtes entre un poste client et un serveur ou un réseau externe. Les serveurs mandataires sont notamment utilisés pour assurer les fonctions suivantes : Ø sécurité du réseau local ; Ø filtrage et anonymat ; Ø accélération de la navigation : mémoire cache, compression des données ; Ø filtrage des publicités ou des contenus lourds (java, flash) ; Ø journalisation des requêtes (logging). Pour certaines fonctionnalités, un Proxy est très proche d un Firewall applicatif. Exemple : proxy http dans un établissement scolaire pour filtrer les accès Internet. Connexion directe virtuelle Requête au serveur Internet Réponse relayée Cache Requête relayée Réponse du serveur Proxy (Serveur mandaté) Internet LAN privé 59 60 15

3. Les défenses matérielles Les IDS 3. Les défenses matérielles Architecture d un IDS Un IDS (Intrusion Detection System ) est un surveillant d un système informatique et de ses utilisateurs. L idée de base est de «prévenir plutôt que de guérir». Différentes tâches d un IDS : Ø Monitoring des événements réseau ou système (connexion sur le port 23, 3 tentatives de saisie du mot de passe, tentative d écriture dans une zone mémoire protégée ) ; Ø Audit des événements interne et externe ; Ø Analyse des risques à partir des informations d audit, en temps réel ou à partir des logs ; Ø Alerte de l administrateur en cas d attaque (message sur console, mail, SMS ) ; Ø Éventuellement : reconfiguration dynamique du firewall (filtrage de l'attaquant) ou des serveurs. HIDS HIDS HIDS HIDS Les IDS peuvent intervenir à deux niveaux : Ø détection et analyse du trafic sur le réseau : NIDS (Network IDS), typiquement devant le firewall ; Ø détection et analyse des évènements (logs) sur les serveurs : HIDS (Host IDS). Les IDS sont le plus souvent hybrides : NIDS + HIDS. 61 62 3. Les défenses matérielles Où placer un NIDS? 3. Les défenses matérielles Classification des IDS 3 2 3 1 Position (1) : Ø détection de toutes les attaques mais log trop complet et analyse trop complexe ; Ø intéressant pour un Honeypot (pot de miel). Position (2): Ø dans la DMZ ; Ø insuffisant contre les attaques vers le LAN. Position (3) : Ø traite les attaques internes ; Ø efficace car 80% des attaques sont depuis ou vers le LAN (virus, DOS ). IDS Méthode de détection Comportement après détection Source des données Fréquence d utililisation Approche comportementale Approche par scénario Passif Actif Audit système Audit applicatif Paquets réseaux Surveillance continue Analyse périodique 63 64 16

3. Les défenses matérielles Approche comportementale 3. Les défenses matérielles Approche par scénario IDS Behaviour-based Une attaque est considérée comme un comportement anormal par rapport au comportement de référence. Nécessité de modéliser le profil de l utilisateur à partir : Ø de méthodes statistiques: construction du modèle statistique (moyenne, variance, écart type, ) du comportement normal (temps CPU utilisé, durée d une connexion, ) ; Ø des réseaux de neurones : apprendre à un réseau de neurones le comportement normal d un utilisateur ; il décidera ensuite de la normalité de comportement par rapport à ce qu il a appris (méthode encore dans le domaine de la recherche). Modèle statistique IDS Knowledge-based Basée sur une connaissance à priori des signatures d attaques. Techniques utilisés pour cette approche : Ø Les systèmes experts : une base de connaissance des attaques, et un moteur d inférence du système expert qui décide si une attaque est répertoriée et s est produite ou pas. Ø Le pattern matching : s appuie sur une base de données de signature d attaque et un algorithme chargé de localiser les signatures dans les traces d audit, cette technique est la plus utilisé dans les outils commerciaux. Signatures Capture Analyse Alertes Capture Analyse Alertes Avantage de l approche comportementale : Ø ne nécessite pas une base de scénarios d attaque ; Ø permet la détection de nouvelles attaques. Inconvénient : Ø risque important de «faux positifs», car le comportement peut changer avec le temps. Avantage : Ø Nombre de fausse alarme faible. Inconvénients : Ø Les nouvelles attaques ne sont pas détectés ; Ø Entretien régulier de la base de connaissance ; Ø Les attaque de type abus de privilège ne sont pas détectés. 65 66 3. Les défenses matérielles Exemples d actions d un IDS 3. Les défenses matérielles Exemple d IDS : SNORT + BASE Ordre envoyé par le NIDS à un équipement tierce (firewall, ACL sur routeurs) pour une reconfiguration immédiate dans le but de bloquer une intrusion (possible par passage des informations détaillant l alerte dans l en tête(s) de paquet(s)). Envoi d une trap SNMP (et le détail des informations le constituant) à une console hyperviseur tierce comme HP OpenView, Tivoli, Cabletron Spectrum, etc. Envoi d un e-mail à un ou plusieurs utilisateurs pour notifier d une intrusion sérieuse. Journalisation (log) de l attaque : sauvegarde des détails de l alerte dans une base de données centrale (exemple : timestamp, @IP de l intrus, @IP de la cible, protocole utilisé, payload). Sauvegarde de l ensemble des paquets réseaux (raw packets) capturés et/ou seul(s) les paquets qui ont déclenchés une alerte. Lancement d'un programme extérieur pour exécuter une action spécifique (envoi d un message sms, émission d une alerte auditive ). Envoi d un "ResetKill" : construction d'un paquet TCP FIN pour forcer la fin d une connexion (uniquement valable sur des techniques d intrusions utilisant TCP). Notification visuelle de l alerte : affichage de l alerte dans une ou plusieurs console(s) de management. SNORT est un NDIS open source très utilisé dans le monde LINUX fonctionnant également sous Windows. BASE est une interface graphique écrite en PHP utilisée pour afficher les logs générés par l'ids SNORT. 67 68 17

3. Les défenses matérielles Les VPN Un VPN (Virtual Private Network) est constitué d un ensemble de LAN privés reliés à travers Internet par un «tunnel» sécurisé dans lequel les données sont cryptées. Les postes distants faisant partie du même VPN communiquent de manière sécurisée comme s ils étaient dans le même espace privé, mais celui-ci est virtuel car il ne correspond pas à une réalité physique. Cette solution permet d utiliser les ressources de connexion de l Internet plutôt que de mettre en place, comme par le passé, une liaison spécialisée privée entre deux sites qui peut être très coûteuse si les sites sont fortement éloignés. Une passerelle matérielle ou logicielle est chargée de gérer le cryptage, l authentification et le contrôle d intégrité. Un VPN repose sur un protocole de «tunnelisation» qui peut intervenir à différents niveaux OSI et dans lequel est définit notamment l algorithme de cryptage. LAN 1 PC nomade Passerelle VPN logicielle Internet LAN 2 3. Les défenses matérielles Exemple de VPN 1. Le PC1 (10.1.0.1) envoie un paquet vers le serveur web (10.2.0.2) comme il le ferait si ce dernier était sur le même LAN. 2. Le routeur qui joue le rôle de passerelle VPN encrypte le paquet, ajoute l en-tête VPN et un nouvel en-tête IP avec les adresses publiques et relaie le paquet. 3. A l autre extrémité, le routeur/firewall reçoit le paquet, confirme l identité de l émetteur, confirme que le paquet n a pas été modifié, décapsule et décrypte le paquet original. 4. Le serveur web reçoit le paquet décrypté. LAN 1 PC1 : 10.1.0.1 Routeur VPN Internet Routeur VPN/ Firewall 84.50.0.254 148.12.1.1 En-tête VPN Paquet IP Nouvel en-tête IP Paquet IP crypté LAN 2 web : 10.2.0.2 Passerelle VPN Paquets cryptés Tunnel sécurisé Passerelle VPN @ privées Src=10.1.0.1 Dst=10.2.0.2 @ publiques Src=84.50.0.254 Dst=148.12.1.1 @ privées Src=10.1.0.1 Dst=10.2.0.2 69 70 3. Les défenses matérielles Questions sur les VPN (1) 3. Les défenses matérielles Questions sur les VPN (2) La figure suivante illustre une communication entre deux machines à travers un VPN. Le paquet IP issu du PC1 est transporté vers le serveur web distant. 1) Complétez la figure en spécifiant les différents en-têtes et en écrivant les adresses IP privées et publiques sur le paquet à ses différents stades de transmission. 2) Comment sont masquées les adresses IP privées? LAN 1 PC1 : 10.1.0.1 Routeur VPN Internet Routeur VPN/ Firewall LAN 2 web : 10.2.0.2 3) Pourquoi un double en-tête IP est-il nécessaire? 84.50.0.254 148.12.1.1 IP data IP data IP data 4) Quel est le rôle de l en-tête VPN? Par quel dispositif est-il géré? 71 72 18

4. Les défenses logicielles Antivirus La seule méthode pour détecter et éliminer les virus est l'utilisation d'un anti-virus. C est un logiciel installé sur chaque PC (station et serveur) qui scanne (analyse) au fur et à mesure les fichiers transférés. Le logiciel lit les codes et tente de reconnaître la signature des virus qu'il connaît. Quelques remarques : Ø La signature : c est le code (la programmation) du virus. Ø Comme le nombre de virus devient de plus en plus important et qu'éliminer de la liste les "anciens virus" serait dangereux, le travail de comparaison entre sa liste de virus et le fichier analysé devient de plus en plus lourd. C'est néanmoins la seule solution. Ø Pour détecter les nouveau virus, les logiciels anti-virus mettent à jour leur base de donnée régulièrement. Sans cette mise à jour, l'utilisation de ces programmes est pratiquement inutile. Ø Les virus deviennent "mutants". Pour évitez cette détection, les virus changent de signature en modifiant leur code de programmation en même temps que l'infection. Ø Certains virus actuels se coupent en plusieurs morceaux pour se reconstruire à la moindre occasion (virus polymorphes) 4. Les défenses logicielles Notions de cryptographie Le but de la cryptographie est de garantir la confidentialité, l'authenticité et l'intégrité des données échangées. Il existe à l heure actuelle deux grands principes de chiffrement ou cryptage : le cryptage symétrique qui utilise une même clé partagée et le cryptage asymétrique qui utilise deux clés distinctes. Cryptage symétrique Il basé sur l utilisation d une clé privée (ou algorithme) partagée entre les deux parties communicantes. La même clé sert à crypter et décrypter les messages. Bonjour Cryptage Données cryptées bnra&z Décryptage Bonjour Clé privée Réseau non sécurisé Clé privée 73 74 4. Les défenses logicielles Cryptage symétrique Ce type de chiffrement est efficace (des longueurs de clés de 64 ou 128 bits sont suffisantes), rapide et peu gourmand en puissance de calcul. La principale difficulté est de trouver un moyen sécurisé pour communiquer la clé aux deux entités. Bonjour Clé privée Cryptage Données cryptées bnra&z Réseau non sécurisé Décryptage Clé privée Bonjour 4. Les défenses logicielles Cryptage asymétrique Le cryptage asymétrique utilise deux clés différentes pour chaque utilisateur : Ø la première est privée et n est connue que de l utilisateur qui a généré les clés ; Ø la deuxième est publique et peut être transmise sur Internet. Les clés publique et privée sont mathématiquement liées par l algorithme de cryptage de telle manière qu un message crypté avec une clé publique ne puisse être décrypté qu avec la clé privée correspondante et qu il est impossible de déduire la clé privée à partir de la clé publique. Une clé est donc utilisée pour le cryptage et l autre pour le décryptage. Son principal avantage est qu il résout le problème du transfert de la clé mais en revanche, il est plus coûteux en termes de temps de calcul et nécessite des tailles de clé plus importantes (couramment 1024 ou 2048 bits). Les algorithmes de chiffrement symétrique les plus utilisés sont : Ø DES (Digital encryption Standard) : avec des clés de 64 bits seulement et la puissance de calcul actuelle, sa robustesses est mise en cause ; Ø AES (Advanced Encryption Standard) : utilise des clés de 128 bits, le plus efficace aujourd hui compte-tenu des faibles ressources de calcul nécessaires. Bonjour Cryptage Données cryptées Zv*yic Décryptage Bonjour Clé publique Réseau non sécurisé Clé privée 75 76 19

4. Les défenses logicielles Exemples de cryptage asymétrique 4. Les défenses logicielles Symétrique ou asymétrique? Le plus connu est l algorithme de chiffrement RSA (Rivest, Shamir et Adelman MIT). Concu en 1977, il reste très utilisé pour l authentification. Des clés de 2048 bits sont aujourd hui fortement recommandées. L'algorithme ElGamal, du nom de son créateur Taher Elgamal, est un algorithme asymétrique basé sur les logarithmes discrets. Il est également très utilisé pour le chiffrement et la signature. Un groupe de n personnes souhaite utiliser un système cryptographique pour s'échanger deux a deux des informations confidentielles. Les informations échangées entre deux membres du groupe ne devront pas pouvoir être lues par un autre membre. Le groupe décide d'utiliser un système symétrique de chiffrement. 1) Quel est le nombre minimal de clés symétriques nécessaires? 2) Donnez le nom d'un algorithme de chiffrement symétrique reconnu. Le programme complet de cryptographie à clé publique le plus connu est PGP (Pretty Good Privacy). Le format OpenPGP est le standard ouvert de cryptographie issu de PGP. Sous Linux, la distribution la plus répandue est GnuPG. Sous Windows, il s agit de WinPT (Windows Privacy Tools). Le groupe décide maintenant de remplacer ce système par un système asymétrique. 3) Quel est le nombre minimal de couples de clés asymétriques nécessaires pour que chaque membre puisse envoyer et recevoir des informations chiffrées et/ou signées? 77 78 4. Les défenses logicielles Symétrique ou asymétrique? 4) Bob souhaite envoyer des informations chiffrées et signées a Alice (Bob et Alice appartiennent tous les deux au groupe). Quelle(s) clé(s) Bob doit-il utiliser? 5) Donnez le nom d'un algorithme de chiffrement asymétrique reconnu. 4. Les défenses logicielles Cryptage symétrique et asymétrique Pour profiter de l'efficacité du chiffrement symétrique et des avantages de l'asymétrique qui élimine le problème de transfert de la clé, une solution est de combiner les deux chiffrements : Ø on chiffre le message avec une clé symétrique ; Ø on chiffre la clé symétrique avec la clé publique du destinataire ; Ø on joint la clé symétrique chiffrée au message ; Ø le destinataire déchiffre la clé symétrique avec sa clé privée, puis le message avec la clé symétrique qu il peut utiliser à son tour pour envoyer des messages chiffrés. Le groupe décide enfin d'utiliser un système hybride pour le chiffrement (c'est-à-dire qui utilise la cryptographie symétrique et asymétrique). 6) Donnez les raisons qui ont poussées ce groupe à utiliser un tel système? Cryptage Décryptage Thèse qw?x Thèse Clé symétrique Clé symétrique Clé publique Clé symétrique cryptée Clé privée 79 80 20