Sécurité informatique Examen final - SOLUTIONS 24 avril 2008 Professeur : José M. Fernandez



Documents pareils
Notions de sécurités en informatique

INF4420: Éléments de Sécurité Informatique

Charte d installation des réseaux sans-fils à l INSA de Lyon

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

La sécurité des réseaux sans fil à domicile

Cryptographie. Master de cryptographie Architectures PKI. 23 mars Université Rennes 1

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

[ Sécurisation des canaux de communication

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité

Etat des lieux sur la sécurité de la VoIP

Sécurité des Postes Clients

Le rôle Serveur NPS et Protection d accès réseau

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

Glossaire. Acces Denied

Cryptographie et fonctions à sens unique

Bibliographie. Gestion des risques

Maintenance de son PC

Présenté par : Mlle A.DIB

Informatique. Les réponses doivent être données en cochant les cases sur la dernière feuille du sujet, intitulée feuille de réponse

Concept Compumatica Secure Mobile

Movie Cube. Manuel utilisateur pour la fonction sans fil WiFi

Mécanismes de configuration automatique d une interface réseau, aspects sécurité

Exemple de configuration ZyWALL USG

Virtualisation et sécurité Retours d expérience

La haute disponibilité de la CHAINE DE

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Sauvegarde des données d affaires de Bell Guide de démarrage. Vous effectuez le travail Nous le sauvegarderons. Automatiquement

escan Entreprise Edititon Specialist Computer Distribution

Authentification avec CAS sous PRONOTE.net Version du lundi 19 septembre 2011

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Les menaces informatiques

TP 6 : Wifi Sécurité

Managed VirusScan et renforce ses services

Sécurité des réseaux Les attaques

Désinfection de Downadup

Elle supporte entièrement la gestion de réseau sans fil sous Windows 98SE/ME/2000/XP.

GUIDE D INSTALLATION INTERNET haute vitesse

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Menaces et sécurité préventive

7.1.2 Normes des réseaux locaux sans fil

SAGEM Wi-Fi 11g USB ADAPTER Guide de mise en route rapide

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Conseils de sécurité lors de l utilisation d Internet, des cartes bancaires et de l e-banking.

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

Les risques HERVE SCHAUER HSC

Rapport de certification

A. Sécuriser les informations sensibles contre la disparition

Un peu de vocabulaire

Retour d expérience sur Prelude

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE

Fiche Technique. Cisco Security Agent

FACULTE DES SCIENCES ET TECHNIQUES FES SAIS MASTER SYSTEMES INTELLIGENTS ET RESEAUX MST SIR 2014 TP WIFI. Encadré par PR.

SECURITE DES DONNEES 1/1. Copyright Nokia Corporation All rights reserved. Ver. 1.0

SÉCURITE INFORMATIQUE

Guide d administration de Microsoft Exchange ActiveSync

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

MSP Center Plus. Vue du Produit

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5

Présentation du modèle OSI(Open Systems Interconnection)

Informations de sécurité TeamViewer

Guide de démarrage rapide

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

Présentation d'un Réseau Eole +

(Third-Man Attack) PASCAL BONHEUR PASCAL 4/07/2001. Introduction. 1 Domain Name Server. 2 Commandes DNS. 3 Hacking des serveurs DNS

L'écoute des conversations VoIP

Atelier Introduction au courriel Utiliser Guide de l apprenant

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Annexe 5. Kaspersky Security For SharePoint Servers. Consulting Team

Configurer son courrier électrique avec votre compte Abicom

ETI/Domo. Français. ETI-Domo Config FR

Atelier Pivoting KHOULOUD GATTOUSSI (RT3) ASMA LAHBIB (RT3) KHAOULA BLEL (RT3) KARIMA MAALAOUI (RT3)

Réseau : Interconnexion de réseaux, routage et application de règles de filtrage.

FACILITER LES COMMUNICATIONS. Le gestionnaire de réseau VPN global de Saima Sistemas

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

Présentation. LogMeIn Rescue. Architecture de LogMeIn Rescue

laissez le service en démarrage automatique. Carte de performance WMI Manuel Désactivé Vous pouvez désactiver ce service.

Progressons vers l internet de demain

CATALOGUE DE FORMATION INTERNET BUREAUTIQUE INFORMATIQUE..::NET-INOV.COM::..

Firewall Net Integrator Vue d ensemble

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

État Réalisé En cours Planifié

Réseaux CPL par la pratique

Les conseils & les astuces de RSA Pour être tranquille sur Internet

Standard. Manuel d installation

But de cette présentation

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE

Direction des Technologies de l'information

Gestion des incidents

Informations sur la sécurité

Transcription:

INF8420 Sécurité informatique Examen final - SOLUTIONS 24 avril 2008 Professeur : José M. Fernandez Directives : - La durée de l examen est de deux heures et demie - *Aucune* documentation permise - Calculatrice non programmable permise (mais ne sert pas à grand chose) - 5 questions (14 sous questions) à répondre pour un total de 35 points, (les points sont entre crochets). Questions 1. Questions de réchauffement [4 sous questions; 8 points] a) [2 pt] Donnez deux raisons distinctes pourquoi l'entier N = 7517137650 ne serait pas un bon modulus pour l'algorithme RSA. Premièrement, il est bien trop petit. Il contient dix chiffres décimaux, ce qui équivaut à 10*log 2 10 = 33 bits, ce qui est nettement insuffisant contre une attaque par factorisation du modulus. Deuxièmement, ce chiffre n'est clairement pas divisible par deux grand entiers p et q, car il est divisible au moins par 2, 3 et 5 a) [2 pt] Qu est-ce qu un «canari»? À quoi ça sert et comment ça marche? L utilisation de «canaris» est une méthode de protection contre les débordements de tampon sur la pile. Lorsque que le code est compilé, du code assembleur est ajouté qui place en temps d exécution un jeton, appelé «canari», de valeur imprévisible juste «en dessous» des pointeurs de retour (exécution et environnement). En temps d exécution et avant de faire un retour sur la fonction appelante, le code ajouté vérifie si le canari a été écrasé (si sa valeur a été changée) et le cas échéant arrête l exécution du programme avec une erreur. b) [2 pt] Une des étapes d'une attaque délibérée contre un système est la phase d'exploitation. En quoi consiste cette phase? Quelles sont les activités qui y sont réalisées et avec quels objectifs? Durant la phase d'exploitation, l'attaquant tire profit des systèmes auxquels il a gagné accès en y exécutant des tâches qui lui permettent d'atteindre son but ultime. Il pourrait s'agir de l'envoi de polluriel ("spam"), de la capture de mots de passe ou d'information bancaires, la recherche d'informations industrielles confidentielles, etc. En même temps, l'attaquant cherchera à maintenir l'accès sur les systèmes infectés et prendra des actions lui permettant d'évader la détection et empêcher la "désinfection" des machines ainsi contrôlés par leur juste propriétaires ou leurs administrateurs légitimes. c) [2 pt] Vrai ou Faux : le domaine de la sécurité informatique comprend aussi la protection contre les catastrophes naturelles de force majeure (aussi connu comme "Acts of God", ou "actions de Dieu"). Vrai. Les «Acts of God» représentent des menaces de nature accidentelles qui peuvent affecter des biens informatiques de façon directe ou indirecte, et donc l analyse de ces risques et l application de contre-mesures en conséquence fait partie du domaine de la sécurité informatique. Ne laissez pas les responsables de vos systèmes d information vous dire le contraire!! 2. Bastionnage vs. renforcement [3 sous questions ; 8 points] Nous avons décrit en classe deux modes d intervention différents pour augmenter la sécurité et réduire le risque dans les systèmes d informations : le bastionnage («hardening» en anglais) et le renforcement de sécurité. a) [2 pt] Veuillez décrire ces concepts, en indiquant précisément ce qui fait que l application d une contre-mesure soit considérée comme du bastionnage ou du renforcement? SOLUTIONS EXAMEN FINAL INF8420 AUTOMNE 2007 1 de 8

Le bastionnage consiste à changer la disposition ou la configuration des ressources existantes d'un système de façon à réduire les risques contre ce système. Le renforcement de sécurité consiste à ajouter de nouvelles ressources ou contre-mesures au système existant ou conçu de façon avec le but spécifique de réduire le risque. b) [3 pt] Dans des réseaux typiques de petite compagnie ou de maison (aussi connu comme réseau «SOHO», pour «small office-home office»), il est habituel de nos jours de retrouver une connexion Internet haute vitesse (p.ex. par ADSL ou câble) et un petit «routeur» (type DLink ou Linksys) qui permet à la fois de partager cette connexion mais aussi de relier les ordinateurs entre eux. De plus, il est très fréquent que ces routeurs soient en même temps un point d accès pour un réseau sans-fil établi sur place et relié, lui aussi, à l Internet. Décrivez deux mesures de bastionnage de réseaux qui pourraient être employées dans ce contexte pour réduire les risques reliés à l utilisation de ce type d infrastructure. Pour chaque mesure, vous devez également décrire quelle est la menace qu elle réduit potentiellement. Il y a plusieurs réponses possibles : Activer les fonctions de chiffrement du protocole 802.11 dans le réseaux sans fils, en distribuant aux ordinateurs autorisés les clés correspondantes, soit physiquement ou par le réseau filaire. Ceci réduit la possibilité d'interception par un ordinateur non autorisé des données envoyées sur le réseau sans fils. Désactiver les options de gestion à distance (à partir d'internet) du routeur. Ainsi l'attaquant externe ne pourra pas prendre le contrôle du routeur, même s'il connaît le mot de passe. Changer le mot de passe par défaut du routeur!! Ceci empêche à l'attaquant extérieur de gagner le contrôle du routeur, même si l'option de gestion à distance est désactivée (attaque par "cross-site scripting"). Changer l'attribution d'adresses IP par défaut au sous réseau interne, e.g. 10.154.31.X au lieu de 192.168.1.X. Ceci évite la prise de contrôle du routeur via cross-site scripting, entre autres. Activer le contrôle d'accès par adresses MAC en activant la base de données d'adresses MAC et en y enregistrant seulement les adresses de cartes des ordinateurs autorisés. Ceci réduit le risque d'interception, mais ne l'empêche pas complètement, étant donné que dans certains cas les adresses MAC peuvent être falsifiés ("spoofing"). Activer et configurer selon vos besoins les fonctionnalités de pare-feu statique du routeur, autant pour le trafic entrant que pour le trafic sortant que. Ceci empêche le balayage de votre réseau à partir de l'extérieur et limite aussi la possibilité que des machines infectés à l'intérieur de votre réseau puissent être facilement contrôlées à partir de l'extérieur. Etc, etc. c) [3 pt] Quoiqu'il est plus commun d'entendre parler de bastionnage de système d'exploitation ("OS hardening"), on peut aussi parler de renforcement de sécurité des systèmes d'exploitation. Mise à part l'authentification traditionnelle par usager et mot de passe et le contrôle d'accès sur les fichiers, veuillez nommer et décrire deux mesures de renforcement de sécurité présentes dans des systèmes d'exploitation modernes, ainsi que les risques qu'elles mitigent. Encore une fois, il y a plusieurs réponses possibles. Pour le débordement de tampon : L'utilisation de "canaris" dans la pile d'exécution, permettant de détecter s'il y a eu un débordement de pile. L'utilisation des modes de mémoire "non exécutable" par le processeur et le noyau ("kernel") du système d'exploitation. Pour la protection des fichiers en cas de vol ou abus par un administrateur Le chiffrement des disques durs ou de partitions au complet (p.ex. Encrypted File Systems ou Bit Locker de Microsoft). Pour renforcer la sécurité de l'authentification d'usager L'utilisation d'un utilitaire de vérification de mot de passe, empêchant l'usager de choisir des mauvais mots de passe lorsqu'il le change. SOLUTIONS EXAMEN FINAL INF8420 AUTOMNE 2007 2 de 8

L'incorporation d'autres facteurs d'authentification, tel que des jetons USB ("quelque chose que j'ai") et des lecteurs biométriques ("quelque chose que je suis"). L'incorporation de données spécifiques à l'usager et à la machine dans le calcul du haché des mots de passe L'utilisation d'algorithme d'authentification plus avancés, tels les "challenge-response" ou les preuves à connaissance nulle. Pour limiter l'impact d'une application malicieuse roulant sur la machine L'utilisation d'environnements virtualisés (Java Virtual Machine, Virtual Machine Monitor, BSD jails), où les applications usager ont des privilèges limités d'accès aux fonctions du système et aux ressources matérielles. Etc., etc. 3. Protégeons les Tantes Germaine! [3 sous questions ; 6 points] Votre bonne vieille Tante Germaine qui habite sur la rive Sud s est acheté un «piano» (trad. clavier), une «télé» (trad. écran) et une «boîte en fer» (trad. un ordinateur) pour aller sur l Internet, car elle est un passionnée de géraniums et veut pouvoir y aller chercher des informations sur ces plantes, échanger avec d autres passionnés de géraniums sur la planète et y acheter des graines d espèces rares de géraniums. Bien sûr, comme elle sait que vous êtes en train de finir vos études à Polytechnique, elle vous approche pour avoir de bons conseils pour bien monter sa «boîte en fer», car elle a entendu de ses voisines que c est très dangereux l Internet et qu elle peut se faire voler son identité!! a) [2 points] Tante Germaine (qui est elle-même pas mal «branchée») vous demande si elle devrait se procurer une connexion Internet haute vitesse via un modem ADSL branché sur sa ligne téléphonique ou via un modem câble branché sur le réseau de câblodiffusion. En supposant que les bandes passantes (en aval et en amont) sont similaires et que les coûts sont identiques, laquelle de ces deux solutions lui conseilleriez-vous? Pourquoi? En principe, du point de vue de la sécurité l utilisation de la ligne téléphonique est préférable, car les signaux qui y sont transmis ne sont interceptables que par quelqu un qui aurait un accès physique au fil qui relie sa maison à la centrale téléphonique. Dans le cas de la câblodiffusion, le signal peut être intercepté par tous les résidant du même bloc ou quartier qui serait branchés sur la même boucle de câble. Ainsi un hacker habitant dans le même bloc ou quartier pourrait intercepter tout le trafic Internet de Tante Germaine sans jamais sortir de chez soi ou avoir à placer une table d écoute («tap») sur sa ligne téléphonique. b) [2 points] La «boîte en fer» de Tante Germaine vient avec la version originale du système d exploitation Windoze XP déjà préinstallée : il n y a qu à répondre à quelques questions dans un «wizard» et tout est configuré automatiquement. En fait, c est tellement facile que lorsque vous arrivez chez elle, vous constatez qu elle est déjà en train de naviguer sur Internet et de télécharger des photos de beaux géraniums En tant qu ingénieur informatique/logiciel averti, quelle devrait être votre première réaction (après avoir félicité Tante Germaine de s être débrouillé toute seule, bien sûr)? Quelles actions devriez-vous entreprendre ensuite? Le problème de base est que la version originale de ce système d exploitation contient plusieurs vulnérabilités graves qui ont été découvertes après son lancement. La machine de Tante Germaine est donc vulnérable, sans aucun doute. Selon les estimations du SANS Institute, 23 minutes devraient être suffisantes pour qu un hacker s en rende compte (Internet Survival Time). Les rustines («patch») qui corrigent ces vulnérabilités sont disponibles sur Internet, et devraient être téléchargés et installer le plus vite possible. Encore mieux, il serait préférable de les installer à partir d un CD ou un DVD, ce qui éviterait d être exposé pendant qu on télécharge les rustines. c) [2 points] Les vieilles amies de Tante Germaine, trop croulantes pour se déplacer, s échangent maintenant des courriels et font du clavardage («chat») pour se maintenir en contact. Tante Germaine vous demande d installer un programme de courriel électronique sur son nouvel ordinateur. Quelles précautions devriez-vous suivre pour essayer de protéger Tante Germaine contre les vers courriels? Il y a plusieurs réponses possibles. Premièrement, il serait important de s assurer que vous installer une version à jour de ce logiciel, ce qui devrait en principe régler le problème de la présence de vulnérabilités connues dans SOLUTIONS EXAMEN FINAL INF8420 AUTOMNE 2007 3 de 8

ce logiciel. Deuxièmement, il serait important de configurer ce logiciel de façon à ce que les pièces jointes ne soient pas ouvertes ou visualisées automatiquement. Troisièmement, l installation d une suite de sécurité Internet qui examine chaque courriel entrant (et sortant!) avec un anti-virus serait très désirable. Dernièrement, et ceci est le plus important, il faut éduquer Tante Germaine en lui soulignant l importance d être vigilante avant d ouvrir des pièces jointes de courriel. 4. Protocoles sécurisés [2 sous questions ; 6 points] La compagnie SafestYet, qui finalement commence à apprendre ses leçons, a décidé d'engager des ingénieurs informatique et logiciel compétents, ayant suivi le cours INF 8420. Un de ces anciens étudiants du cours, averti des risques élevés contre la confidentialité de données échangées via le Web, décide de renforcer la sécurité des applications de commerce électronique construites par KeyTel en introduisant un nouveau protocole sécurisé de couche application, le Simple Secure Protocol ou SSP. Soit "Alice" le fureteur Web dans la machine du client et "Bob" le logiciel qui roule sur le serveur Web du marchant, la description sommaire du SSP est alors la suivante : 1. Alice choisit un très grand entier premier p et un générateur g du groupe multiplicatif Z p *. Elle choisit également de façon aléatoire un entier positif a < p et calcule la g a mod p. Finalement, elle envoie à Bob, les valeurs g, p, et g a mod p avec le message HELLO d'établissement de session. 2. Bob choisit un entier positif b < p. Il calcule g b mod p et envoie cette valeur à Alice dans son message de réponse. 3. Alice et Bob calcule une clé K pour l'algorithme AES 256, avec K = f(g ab mod p), où f est une fonction déterministe connue de tous, et g ab mod p est calculé par Alice à partir de a et g b mod p, et calculé par Bob à partir de b et g a mod p. 4. Alice envoie un message de vérification à Bob qui contient le haché de K, calculé avec la fonction de hachage SHA1. 5. Bob vérifie que le haché reçu correspond bel et bien à la clé K, telle qu'il l'a calculée. Le cas échéant, il envoie un message OK à Alice. 6. Lorsqu'elle reçoit le message OK, Alice commence à envoyer à Bob des données confidentielles (telles que son nom d'usager et mot de passe), chiffrées avec AES 256 en utilisant la clé K. SOLUTIONS EXAMEN FINAL INF8420 AUTOMNE 2007 4 de 8

HELLO: g, p, g a mod p g b mod p ALICE K = f( (g b ) a mod p) SHA1(K) BOB K = f( (g a ) b mod p) OK Données protégées par K (AES 256) a) [3 pt] À votre avis, est-ce la méchante Ève, qui se limite à capter et enregistrer le contenu de tous ces messages, est capable de reconstruire la clé K à partir des informations transmises durant la phase de négociation du protocole (étapes 1 à 5)? Si oui, expliquez comment. Si non, donnez des arguments solides et valables pour le justifier. Non, elle ne peut pas le faire facilement. En fait, le SSP se trouve à être une version légèrement modifiée du protocole d'échange de clés Diffie-Hellman, dont la sécurité se base sur la difficulté de calculer le log discret sur un groupe fini de grande taille. (La sécurité de l'algorithme de clé publique d El Gamal est aussi basée sur cette hypothèse). Pour pouvoir reconstruire la clé K à partir de la fonction f, Ève devrait retrouver soit a ou b. Ne connaissant que p, g a mod p et g b mod p si elle était capable de trouver l'un ou l'autre elle serait capable de calculer le "log" de a ou de b en "base" g. Or l'hypothèse calculatoire du log discret veut qu'il n'y existe pas de méthode pour calculer ces logarithmes discrets en temps raisonnable. Donc si cette hypothèse est vraie, il ne serait pas possible pour Ève de reconstruire K par cette méthode. La seule possibilité restante est de calculer K, à partir du haché SHA1 envoyé par Alice. Ceci n'est pas possible, étant donné les (relativement) bonnes propriétés de fonction de hachage cryptographique que SHA1 semble avoir. b) [3 pt] Supposons maintenant qu'en plus de capter passivement les messages, Ève soit capable d'intercepter les messages entre Alice et Bob et de les remplacer à sa guise en temps réel. Bien sûr, ceci lui permettrait d'empêcher Alice et Bob d'établir une session SSP, une forme d'attaque de déni de service. Mais est-ce que cette nouvelle capacité aiderait Ève à violer la confidentialité des messages échangés entre Alice et Bob sans que ceux-ci s'en rendent compte? Si oui, décrivez comment, et si non prouvez pourquoi ce n'est pas possible. Oui, elle le peut, par le biais d'une attaque de "(wo)man-in-the-middle". Quand Alice établit la phase de négociation avec le message HELLO, Ève se fait passer par Bob et choisit elle-même une valeur aléatoire b' ce qui va donner comme conséquence l'échange d'une clé K 1 avec Alice. En parallèle, Ève établit une session SSP avec Bob, en choisissant elle-même un valeur aléatoire a', ce qui va engendrer une autre clé K 2, partagée avec Bob. Une fois la phase de négociation terminée, lorsque qu'alice voudra envoyer un message chiffré à Bob, Ève SOLUTIONS EXAMEN FINAL INF8420 AUTOMNE 2007 5 de 8

n'a qu'à déchiffrer ce message avec K 1 et le rechiffrer avec K 2 avant de le renvoyer à Bob; et vice-versa pour un message de Bob vers Alice. Ainsi, ni Alice ni Bob se rendent compte que leurs messages sont en train d'être interceptés et déchiffrés. 5. Déploiement d IDS [4 sous questions ; 8 points] Une moyenne entreprise, n œuvrant pas dans un domaine informatique mais en ayant besoin comme outil, veut un réseau local bien protégé de l extérieur mais permettant tout de même l accès web et la communication par courriel sur Internet. L entreprise place donc un pare-feu («firewall») et un IDS à l extérieur de celui-ci. Les adresses externes de l entreprise attribuées par le fournisseur de service Internet (ISP) sont dans le sous-domaine 123.45.67.*. À l interne, les adresses utilisées sont les adresses privées 192.168.*.* a) [2 pt] Pourquoi placer l IDS entre l Internet et le pare-feu? Quel est l avantage principal? Quels sont les désavantages (nommez-en deux)? Avantages : Permet de voir toutes les attaques, incluant celles visant le pare-feu lui-même, et donc on obtient plus d informations sur la menace. Désavantages (en nommer 2 est suffisant) : Si l IDS n est pas bien protégé il peut être attaqué La grosseur des logs peut être énorme, étant donné qu il n y a aucun filtrage. L IDS pourrait être en train d intercepter des paquets qui ne sont pas destinés à l entreprise, ce qui pourrait la mettre dans une situation illégale. b) [2 pt] Le IDS utilisé, GNUIDS, est gratuit et à code source ouvert. Celui-ci envoie les alarmes à mesure qu elles se produisent, par une deuxième carte réseau via le port par défaut qui est 3838, la première carte étant en mode espion («promiscuous»). Dans cette entreprise, et pour sauver des coûts, la compagnie NETSecurity Enr. spécialisée en sécurité informatique a été engagée pour faire l analyse des données de l IDS. La première carte écoute sur le sous-réseau 123.45.67.* et a été trafiquée pour qu elle ne puisse pas transmettre. La deuxième carte est aussi connectée sur le même sous-réseau, ce qui permet à NETSecurity Enr. de recevoir les alarmes via l Internet. Malgré le fait que les alarmes soient chiffrées, en quoi cette architecture avantage un potentiel pirate informatique («hacker») qui voudrait attaquer la compagnie? Le pirate n a a priori aucune information sur la configuration du réseau de l entreprise. Plusieurs réponses sont possibles: Le hacker peut possiblement trouver le IDS, en faisant une recherche d une machine répondant sur le port 3838 («horizontal scan» sur le port 3838). Il peut ensuite voir si cet IDS a des failles et les utiliser pour faire ses attaques sans être détecté. Le hacker peut détecter la présence d un IDS en observant que des attaques évidentes génèrent automatiquement du trafic chiffré à partir de l adresse de l IDS c) [2 pt] Étant donné que l entreprise n a pas les compétences pour faire l analyse des données de l IDS, elle a le choix entre engager quelqu un pour le faire sur place à 100k$/année, ou de laisser cette analyse externe pour 1k$/mois. Quel devrait être son choix et pourquoi? La probabilité d une attaque sur l IDS causée par le fait qu il peut répondre sur Internet est très faible. L entreprise devrait donc laisser cette analyse à l extérieur, à moins qu une telle brèche puisse causer des dommages énormes. Plusieurs réponses sont possibles: Le hacker peut possiblement trouver le IDS, en faisant une recherche d une machine répondant sur le port 3838 («horizontal scan» sur le port 3838). Il peut ensuite voir si cet IDS a des failles et les utiliser pour faire ses attaques sans être détecté. SOLUTIONS EXAMEN FINAL INF8420 AUTOMNE 2007 6 de 8

Le hacker peut détecter la présence d un IDS en observant que des attaques évidentes génèrent automatiquement du trafic chiffré à partir de l adresse de l IDS d) [2 pt] Un étudiant aux cycles supérieurs du Laboratoire de recherche en Sécurité des systèmes d information (SecSI) de l École Polytechnique, qui a récemment fini sa maîtrise sur les nouvelles techniques de détection d intrus sur les réseaux, a décidé d implémenter des techniques de profilages d usager/machine sur GNUIDS en attendant de se trouver une «vraie» job. En utilisant un algorithme de mise en grappe («data clustering») sur les données des sessions de connexion réseau (telles qu adresses IP, ports, temps, nombre de paquets, etc.), son système permet à GNUIDS d «apprendre» à reconnaître les patrons d utilisations «normaux» du système par différentes catégories d usager (à partir de leur stations clients, portables ou de bureau) et de serveurs; l ensemble des profils considérés «normaux» forment ce qu on appelle le «baseline» de comportement du réseau. Tout comportement n appartenant pas à une de ces catégories, c-à-d à une de ces «grappes» de données, est alors identifié par l IDS comme étant «anomale» et donc potentiellement malicieux. Décrivez en détails au moins un des multiples désavantages et/ou limitations de l utilisation de cette approche dans le contexte de la compagnie mentionnée ci-haut (en tenant compte, entre autres, que la compagnie fait surveiller ses réseaux à distance par l entreprise NetSecurity Enr.). Le problème principal est que le «baseline» change avec le temps. Les causes peuvent être multiples, telles que les changements d habitudes des usagers, les reconfigurations des serveurs ou du réseau, l introduction de nouveaux types d applications et/ou de protocoles de communications, etc. Il faut donc faire de la «baseline maintenance» ce qui ne peut pas toujours être fait de façon automatique et non supervisée par l IDS : il faut investir des ressources humaines dans ce processus, car une connaissance du contexte et du réseau est nécessaire. Ceci est d autant plus important que ces changements, mêmes si normaux et non malicieux, peuvent survenir assez soudainement. Dans notre contexte, il n est pas évident que NetSecurity Enr. puisse faire ceci, car leur connaissance du réseau et de ce qu il se passe à l intérieur de la compagnie sera très probablement limitée. Un deuxième problème est l existence potentielle d attaque par imitation («mimicry attacks») ou un attaquant modifie («craft») ses paquets d attaques pour qu ils s ajustent au profil statistique des usages normaux. Une autre catégorie d attaques qui pourraient être utilisées sont les attaques de «baseline busting» ou «filter busting», où l attaquant patiemment injecte des paquets non malicieux mais qui sont très légèrement anomales, de façon à «élargir» les grappes de données «normales» de l algorithme. Ainsi les paquets malicieux, deviendraient, avec le temps, normaux étant donné que les grappes élargies finiraient par les contenir. 6. Sécurité d applications Web [2 sous questions ; 4 points] Vous aimez la musique classique et vous avez décidé de créer un site web pour votre radio de musique classique en ligne préférée. En plus, pour rentabiliser le tout, le site va comporter une partie où les membres peuvent acheter du temps de publicité sur votre radio. Pour avoir le contrôle complet sur le fonctionnement du site Web, vous décidez d héberger le site sur votre propre serveur qui se trouve dans une armoire à la maison. Vous décidez d implanter le site en PHP/MySQL sous Windows 2003. a) [3 pt] Vous êtes au courant de la technique d exploitation d injection SQL (SQL Injection) et pour se protéger contre cela, dans le code PHP vous filtrez les données entrées par les utilisateurs dans la page d authentification pour ne pas permettre le caractère apostrophe ( ). Est-ce que cette mesure est suffisante pour s assurer que votre site n est pas vulnérable à l injection SQL. Si oui, pourquoi. Si non, pourquoi et que devriez-vous faire à la place? Quoique cette mesure pourrais bloquer certains attaques de d injection SQL, elle n est pas suffisante parce que : Une attaque d injection peut toujours être possible à cause des guillemets ( ) D autres pages sur le site, en plus de la page d authentification, peuvent être vulnérables A la place, on devrait faire au moins deux des choses suivantes: Utiliser les SQL Stored Procedures SOLUTIONS EXAMEN FINAL INF8420 AUTOMNE 2007 7 de 8

Au lieu de filtrer les caractères connus comme problématiques, accepter seulement les caractères attendus (par exemple, lettre majuscule et minuscule et espace pour le nom d usager et lettre et chiffre pour le mot de passe) sur toutes les pages du site web. Utiliser les fonctions PHP pour commenter automatiquement les caractères spéciaux Vérifier à l aide des outils automatisés que le site n est pas vulnérable b) [1 pt] Une fois le site en fonctionnement, certains membres vous demandent d activer le protocole de communication sécurisé https. En plus du fait que les données seront chiffrées suite à l utilisation du protocole https, quel est l autre avantage pour les clients d utiliser cette méthode? Outre la confidentialité des communications, l avantage principal sera via l utilisation du certificat de clé publique du serveur, les utilisateurs seront assurés de l identité du serveur, en autant que l autorité de certification a agit correctement (vérifier l identité de l organisation) lors de la signature du certificat. SOLUTIONS EXAMEN FINAL INF8420 AUTOMNE 2007 8 de 8

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back