: Éléments de Module III : Sécurité des réseaux informatiques José M. Fernandez D-6428 340-4711 poste 5433
Où sommes-nous? Semaine 1 Intro Semaines 2, 3 et 4 Cryptographie Semaine 6, 7 Sécurité dans les SE (suite) Semaine 8 Période de relâche Semaine 9 Sécurité des BD et des applications Web Semaine 10 Contrôle périodique Semaine 11, 12 et 13 Sécurité des réseaux Risques spécifiques aux réseaux Des attaques, des attaques et encore des attaques Configuration sécuritaires et contre-mesures Semaine 14 Gestion de la sécurité. Intervenants et modes d'intervention Aspects légaux et déontologiques 2
Module III Sécurité des réseaux Semaine 11 Notions de bases sur les réseaux Risques spécifiques aux réseaux Analyse de risques par couche Attaques typiques par couche Attaques intra-couche Semaine 12 Configuration sécuritaire de réseaux Plan d'adressage, routage et pare-feu DMZ, VPN et serveurs mandataires Encore des attaques Dissection d'une attaque standard Attaques de déni de service (DOS) SPAM et phishing Semaine 13 Détection d'intrus (IDS) Protocoles sécuritaires de réseaux SSH SSL et TLS (HTTPS) S/MIME IPSEC/IPv6 3
Systèmes de détection d'intrus (IDS) But : Détecter la présence de vecteurs d'attaque en examinant le trafic réseau Méthode de base Le trafic est capturé à un ou plusieurs endroits sur le réseau Examen de chacun des paquets capturés En-tête IP (ICMP, TCP ou UDP) En-tête spécifiques au applications (e.g. HTTP, FTP) Message ("payload") Un mécanisme de détection est appliqué Des alarmes sont générées et enregistrer dans un journal 4
Détection par règle Méthodes Traditionnelle "par règle" Examen de chacun des paquets capturés En-tête IP (ICMP, TCP ou UDP) En-tête Application de règles pour détection d'attaques Signatures d'attaques réseaux (e.g. "Land attack") Signatures de code malicieux (e.g. traîneau de NOP, signature spécifique à un outil) Paradigme général "X évènements de type Y dans un temps Z" 5
Type d'implantations Network-based IDS (NIDS) Une machine ou dispositif dédié ("appliance") Placé où le plus de trafic peut être capturé En dehors du pare feu Exposition maximale Détection de menaces externes À l'intérieur de la DMZ et/ou du LAN corporatif Détection de la menace interne "Dernière ligne de défense" Host-based IDS (HIDS) Logiciel ajouté sur un serveur ou un client Souvent intégré avec un antivirus Avantages Configuration des règles plus précises, étant donné que le contexte est connu Applications qui roulent État du stack TCP/IP Débit plus bas, donc demandant en terme de puissance de calcul 6
IDS Problématique Rapport de "signal" vs. "bruit" Compromis entre taux de faux positif vs. taux d'évasion Nature de la menace actuelle Haut niveau de bruit ("Spinning Cube") Niveau de capacité très inégale et en moyenne bas Incapacité d'évaluation de la menace "Comment trouver l'aiguille dans la botte de foin??" Protection de la vie privée Principe de présomption d'anonymat des clients ou utilisateurs légitimes Interception du trafic d'autrui 7
IDS Problématique (2) Techniques d'évasions d'ids Détection Balayage des ports standards utilisés par les applications IDS Interception du trafic d'alarme Technique de fragmentation de paquet Polymorphisme de code ou de vecteur d'attaque Infrastructure sous-jacente Comment contrôler à distance et distribuer les données d'alarmes tout en : Évitant de surcharger le réseau Assurant la confidentialité Évitant la détection des IDS Ne créant pas de "trous" de sécurité ("bypass" des pare-feu) Problématique de la sous-traitance des fonctions de monitoring Comment acheminer les données via Internet 8
Nouvelles approches et recherche "Intrusion Prevention Systems" (IPS) Associe des actions de protection aux alarmes Actions typiques Bloquer un port Bloquer une machine ou un sous réseau Rejeter des paquets "Network Appliances" Peuvent intégrer Pare-feu IDS et IPS Détecteur de virus Utilise du matériel spécialisé (e.g. FPGA) pour pouvoir analyser des hauts débits (Gbit/s) Reconstruction "Stateful" des sessions (TCP et application) 9
Nouvelles approches et recherche (2) "User Profiling" Utilisation de techniques d'ia pour la classification des comportements typiques d'un utilisateur ou d'une machine Port/applications utilisés Adresse contacté Patron d'utilisation dans le temps Si comportement "hors du normal", alors alarme!! IDS Collaboratif But : permettre d'obtenir une meilleure image de la menace en consolidant les données de plusieurs IDS Meilleure signification statistique "C'est pas juste moi, c'est tout le monde " Exemple primitif : Internet Storm Center Journaux "anonymisés" soumis par organisations volontaires IDS par agents mobiles Réduire l'utilisation de bande passante pour le trafic d'alarme Nécessaire dans certaines conditions (réseau sans-fil) Possibilité d'algorithmes de détection plus évolués collaboratif centralisé essaim intelligents stratégies évolutives 10
Protocoles sécuritaires SSH SSL/TLS (supporte https, SMTP, IMAP, etc.) IPSEC applications applications SSL ou SSH TCP IP couches inférieures TCP IPsec IP couches inférieures 11
Secure Shell (SSH) Permet l'établissement d'une session terminal à distance Souvent utilisé par d'autres applications comme mécanisme de "tunneling" Deux modes d'opérations 1. Authentification du serveur La clé publique du serveur est connu du client (fichier local) ou est vérifié et accepté manuellement lors de la première connexion. Le client s'authentifie au serveur par d'autres moyens (authentification via SE, p.ex. nom d'usager/mot de passe) 2. Authentification du client La clé publique du serveur est connu du client (fichier local) ou est vérifié et accepté manuellement lors de la première connexion. La clé publique du client est connu d'avance du serveur (~/.ssh/authorized_keys) et est utilisée pour authentifier le client. 12
SSH - SSL/TLS Hello, voici les algos que je connais, R a certificat, algo que je choisi, R b ALICE S = secret K = f(s, Ra, Rb) E Bob (S, hash (K)) hash (K) BOB Données protégées par K 13
IPSec La nécessité de plus de sécurité a été reconnue par le IAB (Internet Architecture Board) Défini pour inclusion à la prochaine version de l'internet: IPv6 Compatible avec la version courante: IPv4 Déjà offerte par plusieurs fournisseurs de produits Applications: utilisation du réseau public comme un intranet sécurisé communications sécuritaires de l'extérieur vers l'intérieur d'un intranet sécurisé connectivité sécurisée entre deux intranets sécurité supplémentaire aux applications ayant leur propre sécurité 14
Entête IP En tête IPSec Données IP sécurisées Dispositifs réseau avec IPSec Entête Entête IP Données IP IP Données IP 15 Données IP sécurisées Entête IP En tête IPSec Données IP sécurisées Entête IP En tête IPSec
Services et protocoles Services: contrôle d'accès intégrité des paquets authentification de l'origine (adresse IP) rejet de paquets "rejoués" confidentialité par chiffrement une certaine confidentialité du flux de trafic Protocoles: authentification: entête de type AH encryptage seul: entête de type ESP ESP plus AH 16
Concept de "Security Association" Relation unidirectionnelle entre un émetteur et un récepteur Identifiée par: SPI:"Security Parameter Index" adresse de destination IP identificateur de protocole de sécurité: AH ou ESP Paramétrisé par: compteur de messages: pour numéroter et éviter la réutilisation indicateur d'action en cas de débordement de ce compteur largeur de la fenètre de séquencement informations spécifiques au protocole choisi durée de vie de cette association: en octets transmis ou en temps mode IPSec: transport, tunnel, ou "wildcard" taille maximale de paquet et autres variables 17
Concept de fenètre de séquencement Mécanisme anti-réutilisation si un nouveau paquet tombe dans la fenètre et qu'il est authentifié, il est marqué si un nouveau paquet reçu est authentifié et se situe à droite de la fenètre, la fenètre est avancée si le paquet reçu est à gauche de la fenètre, ou qu'il n'est pas authentifié, il est rejeté Numéro de séquence N-W Fenètre de taille fixe W N+1............ N 18
Modes Mode "transport" protection surtout pour les protocoles de plus haut niveau simple ajout d'un entête approprié Entête IP original AH TCP Données à transmettre Mode "tunnel" protection d'un paquet au complet après l'ajout de l'entête approprié, un nouvel entête IP est ajouté Nouvel entête IP AH Entête IP original TCP Données à transmettre 19
Bénéfices de IPSec Sécurité forte à tout trafic qui traverse le périmètre protégé Ajoute à la sécurité d'un coupe feu Transparent aux applications Transparent aux usagers Sécurise les usagers individuels si requis Ajoute à la sécurité des routeurs en assurant que l'annonce d'un nouveau routeur vient d'une source autorisée même chose pour un routeur dans un autre domaine un message redirigé vient bien du routeur auquel il a été originalement envoyé une mise à jour d'un routeur n'a pas été falsifiée 20
IPSec : Aspects cryptographiques Internet Security Association and Key Management Protocol (ISAKMP) & IKE Utilise des algorithmes de clés publiques pour établir des clés de sessions Ces clés de sessions protège les paquets dans une SA Modèle de gestion de clé Probablement hiérarchique 21