Sécurité des Réseaux Informatiques

Sécurité des Réseaux Informatiques Composants et Architectures de sécurité des réseaux Dr. Souheil Ben Ayed ESPRIT 2014-2015

Plan Introduction Défense en profondeur Les menaces réseaux Firewall/Pare-feu Fonctionnement d'un firewall Architecture et déploiement d'un firewall La zone DMZ Types de firewall Systèmes de Détection et de Prévention d'intrusions Fonctionnement Techniques de détection Types d'ids et d'ips Dr. Souheil Ben Ayed 1

Introduction La sécurité du réseau se réfère à toutes les activités visant à protéger le réseau de l'entreprise. Les activités et composants de sécurité réseaux visent à protéger: Usability Integrity Fiability Network and data security La mise en place d'une politique de sécurité réseau efficace vise à protéger contre une variété de menaces et empêche toute pénétration ou propagation sur un réseau. Dr. Souheil Ben Ayed 2

Défense en profondeur Mise en place de plusieurs couches de sécurité. Si l'une des couches est compromis ou défaillante les autres sont encore debout. Potential Attack Physical security Policies and procedures Router/Firewall/VPN DMZ Security architecture Account Management Internal devices WWW VPN DNS IDS Network-based Firewall Router WWW IPS Network @ IPS Network IDS Host-based Antivirus Internal Firewall IDS Host-based IDS Host-based Firewall Pas de solution unique pour protéger un réseau contre la variété de menaces. Dr. Souheil Ben Ayed 3

Les menaces réseaux Nombreuses menaces de sécurité réseau sont aujourd'hui répartis sur l'internet. Advanced Evasion Techniques (AET) Advanced Persistant Threat (APT) Virus, vers et chevaux de Troie Spyware et adware Attaques zero-day Attaques de pirates Attaques par déni de service DoS Interception de données et le vol d'identité Dr. Souheil Ben Ayed 4

Composants de sécurité réseau Un système de sécurité réseau est constitué de plusieurs composants: Pare-feu/Firewall Système de détection d'intrusions (IDS) Système de prévention d'intrusions (IPS) Antivirus et antispyware Virtual Private Network (VPN) Tous les composants travaillent ensemble, ce qui minimise le maintenance et améliore la sécurité. Dr. Souheil Ben Ayed 5

Les Firewalls Dr. Souheil Ben Ayed 6

Firewall Un pare-feu/firewall est utilisé pour restreindre l'accès à un réseau à partir d'un autre réseau. Un firewall comporte au minimum deux interfaces réseau. Une interface pour le réseau externe ou Internet Une interface pour le réseau à protéger (réseau interne ou LAN) Firewall Internet Dr. Souheil Ben Ayed Local Area Network 7

Firewall Un firewall logiciel peut être installé sur n'importe quelle machine et avec n'importe quel système d'exploitation pourvu que: La machine soit suffisamment puissante pour traiter le trafic réseaux la traversant. Aucun autre service que celui du firewall ne fonctionne sur le serveur. Le système soit sécurisé. Les firewalls peuvent filtrer les messages en se basant sur: Le type du trafic (protocole) Les adresses source et destination les numéros de ports. Dr. Souheil Ben Ayed 8

Fonctionnement d'un Firewall Un pare-feu/firewall est un dispositif utilisé pour appliquer des politiques de sécurité (contrôle les flux du trafic réseau) au sein d'un réseau ou entre plusieurs réseaux. Il peut être logiciel ou matériel dédié permettant d'examiner tous les messages en entrée ou sortie du réseau local et de bloquer tous ceux qui ne remplissent pas les critères de sécurité spécifié. Dr. Souheil Ben Ayed 9

Fonctionnement d'un Firewall Un système firewall contient un ensemble de règles prédéfinies permettant: D'autoriser la connexion (allow) ; De bloquer la connexion (deny) ; De rejeter la demande de connexion sans avertir l'émetteur (drop). Deux types de politiques de sécurité peuvent être adopté à chaque table de règles: Soit d'autoriser uniquement les communications ayant été explicitement autorisées. Soit d'empêcher les échanges qui ont été explicitement interdits. Dr. Souheil Ben Ayed 10

Architecture de Firewall (1/3) Bastion host est une machine conçu et configurée pour protéger les ressources réseaux des attaques externes. Cette machine fournit un point d'entrée et de sortie unique vers Internet ou réseau externe. Elle comporte deux interfaces: Interface publique connecté directement vers l'internet. Interface privée connecte vers le réseau local. Dr. Souheil Ben Ayed 11

Architecture de Firewall (2/3) Screened subnet firewall permet aux entreprises d'offrir des services en toute sécurité pour les utilisateurs d'internet. Tous les serveurs hébergeant des services publics (accessible a partir de l'internet) sont placés dans la zone démilitarisée (DMZ). La zone DMZ est séparée de l'internet et du réseau Intranet par le firewall. Les services de la zone DMZ répondes aux requêtes du réseau publique. Le réseau interne (Intranet) n'est pas accessible à partir du réseau externe (Internet). Dr. Souheil Ben Ayed 12

Architecture de Firewall (3/3) Multi-homed firewall réfère à une architecture de deux réseaux ou plus. Multi-homed firewall est équipé de trois interfaces réseaux ou plus permettant de subdiviser le réseau en se basant sur les objectifs de sécurité spécifiques de l'organisation. Chaque interface est connecté à un segment réseau séparé. Dr. Souheil Ben Ayed 13

C'est quoi une zone DMZ? Un DMZ est une machine ou un réseau placé comme un réseau neutre entre le réseau privé (Intranet) et le réseau publique (Internet) pour empêcher tout accès du réseau publique vers les ressources et données du réseau privée. Dr. Souheil Ben Ayed 14

Evolution des Firewalls 1 st generation: Packet Filter 2 nd generation: Application Proxy Filter 3 rd generation: Stateful Inspection 4 th generation: Adaptive Response 5 th generation: Kernel Proxy Dr. Souheil Ben Ayed 15

Packet Filter Firewall /Filtrage Simple Fonctionne au niveau de la couche 3 du modèle OSI (parfois couche 4). Chaque paquet est compare a un ensemble de critères (décrites sous forme de règles) avant de le rediriger. En fonction du paquet et des critères, le firewall peut accepter le paquet, le bloquer ou le rejeter. Les règles de filtrages peuvent inclure: Adresse IP source et destination Numéro de port source et destination Type de protocole a filtrer. Dr. Souheil Ben Ayed 16

Packet Filter Firewall /Filtrage Simple Les adresses IP permettent d'identifier la machine émettrice et la machine cible. Le type du paquet et le numéro de port donnent une indication sur le type de service transporté. Le tableau ci-dessous donne des exemples de règles de pare-feu : Dr. Souheil Ben Ayed 17

Packet Filter Firewall /Filtrage Simple Les limites: Pas d authentification des utilisateurs Pas de traces des sessions individuelles Problème de performances s il y a trop de règles Ce type de filtrage ne résiste pas à certaines attaques de type IP Spoofing/ IP Flooding ou encore certaines attaques de type DoS. Dr. Souheil Ben Ayed 18

Application Proxy Filter/Filtrage Applicatif Si le filtrage simple ne protège pas pour autant de l'exploitation des failles applicatives. Pas de contrôle du contenu HTTP. Ne supporte pas l authentification des utilisateurs ou des applications. Le filtrage applicatif permet de filtrer les communications application par application. Opérant au niveau 7 (couche application) du modèle OSI: Filtrer le contenu & détecter les intrusions Limiter l envoi & la réception de courriers non sollicités (SPAM). Bloquer l envoi & la réception de certains documents (.exe, multimédias, etc) Empêcher certaines applications (emule, Kazaa, BitTorrent, Morpheus...) Empêcher certains scirpts: ActiveX filter, invalid URL, Cookies Filter, Dr. Souheil Ben Ayed 19

Application Proxy Filter/Filtrage Applicatif Il s'agit d'un dispositif performant. En contrepartie, une analyse fine des données applicatives se traduit donc souvent par un ralentissement des communications, chaque paquet devant être finement analysé. Une évolutivité limitée Solution: le filtrage niveau 3 et 4 fait par la routeur et décharger au maximum le firewall pour l inspection applicative Dr. Souheil Ben Ayed 20

Stateful Inspection Firewall Le filtrage dynamique ou "Stateful Inspection" garde une trace des paquets et conserver les sessions et les connexions. Maintient une table d'états en interne qui suit la session de chaque communication jusqu'à sa fermeture. Fournit des données pour le suivi des protocoles sans connexion comme UDP et ICMP. Le filtrage dynamique permet de protéger le réseau face à certains types d'attaques DoS. Dr. Souheil Ben Ayed 21

Stateful Inspection Firewall Un dispositif pare-feu de type "stateful inspection" est ainsi capable d'assurer un suivi des échanges: Contrôle de l établissement d une connexion TCP (SYN) Les numéros de séquences TCP (SEQ). Connexion FTP qui utilisent des ports dynamiques > 1023 UDP based applications Etc. Dr. Souheil Ben Ayed 22

Adaptive Response Firewall Une amélioration dans la technologie d'un firewall lui permettant de communiquer avec un système de détection et de prévision d'intrusion. Ce type de firewall permet d'obtenir une réponse adaptative à des attaques du réseau. Le firewall peut s'auto-reconfigurer pour bloquer des ports ou réinitialiser des connexions. Les firewalls de 4 ème génération peuvent accidentellement désactiver des dispositifs équipements critiques ce qui peut provoquer un problème de déni de service. Dr. Souheil Ben Ayed 23

Kernel Proxy Firewall Kernel proxy firewall est diffèrent de toutes les quatre technologies de firewall présenté car il crée une pile de couche réseaux dynamique et spécifique quand un paquet nécessite d'être évalué. Lorsqu'un paquet arrive à un kernel proxy firewall, une nouvelle pile de réseau virtuel est créé, qui est constitué de seulement les protocoles nécessaires pour examiner ce paquet spécifique. Kernel firewall est plus rapides que le firewall applicatif parce que tous les tâche d'inspection et de transformation se déroulent dans le noyau sans à les passer vers une couche logicielle supérieure dans le système d'exploitation. Dr. Souheil Ben Ayed 24

Critères de choix d un firewall Nature et nombre d'applications (FTP, messagerie, HTTP, Vidéo,...) Type de filtre (méthodes de filtrage) Facilité à enregistrer les actions (login, paramètres de connexion,...) à des fins d'audit Outils et facilité d'administration (interface graphique,...) Simplicité du système pare-feu (facile à comprendre par le(s) administrateur(s)) Capacité à supporter un tunnel chiffré Disponibilité d'outils de surveillance, d'alarmes. Dr. Souheil Ben Ayed 25

Déploiement d'un Firewall FW Passerelle de réseau d'entreprise Protéger le réseau interne contre les attaques. Point de déploiement le plus courant Passerelle segment interne Protéger les segments sensibles (ressources humaines, ) Fournir une deuxième couche de défense Protection contre les attaques internes et l'utilisation abusive Server-Based Firewall Protéger les serveurs d'applications individuels Protéger les fichiers Dr. Souheil Ben Ayed 26

Exemples de déploiement de Firewall Dr. Souheil Ben Ayed 27

Systèmes de Détection d'intrusions (IDS) Systèmes de Prévention d'intrusions (IPS) Dr. Souheil Ben Ayed 28

Détection d intrusion L intrusion est l action d'intervenir, de s'ingérer dans un réseau sans en avoir le droit. Les intrus peuvent être des individus internes ou externes, qui tentent d'accéder aux ressources ou de nuire au système d information. La tentative d attaque ou d intrusion vise la confidentialité, l intégrité et/ou la disponibilité d un système, d une application et/ou d un réseau. La détection d intrusion consiste à: 1. Collecter de façon automatisé les activités (évènements) du système, d application ou du réseau à surveiller 2. Analyser les données des activités collectées 3. Alerter en cas de détection d une signature d intrusion Dr. Souheil Ben Ayed 29

Les Systèmes de Détection d Intrusions (IDS) L IDS (Intrusion Detection System) est un système de collecte et d analyse en temps réel ou différé des évènements en provenance de plusieurs emplacements dans l intention de détecter et prévenir en cas d attaque ou intrusion. Fonctions d IDS: Collecte d information (surveillance) Analyse des évènements (détecter la nature de l attaque) Gestion des alertes Réaction active à l attaque (la ralentir ou la stopper) L IDS est devenu un composant critique et essentiel dans une architecture de sécurité informatique. Dr. Souheil Ben Ayed 30

Terminologies Faux-positif: Activité non malicieuse (fausse alerte) signalé comme étant une intrusion par l IDS Faux-négatif: Activité ou évènement d une attaque non détecté ni signalé par l IDS Evasion: Attaque informatique ou technique qui détourne les équipements de détection d intrusion ( non détecté par les IDS) Une sonde IDS: Le composant d IDS qui collecte les informations brutes. Dr. Souheil Ben Ayed 31

Fonctionnement d un IDS Un IDS est compose de: sniffer couplé avec un moteur qui analyse le trafic selon des règles (signatures). Les règles décrivent une signature, une règle de détection ou un comportement anormale à signaler. Selon l'intrusion ou anomalie détecte, l IDS accomplit certaines actions: Journaliser l événement Avertir un système avec un message (appel SNMP) Avertir un administrateur avec un message (email, SMS, etc) Amorcer certaines actions sur un réseau ou un équipement de blocage Dr. Souheil Ben Ayed 32

Techniques de détection Comment détecter si le flux est normal ou susceptible d être une intrusion? Signature-based Pattern matching Stateful matching Anomaly-based (heuristic-based) Statistical anomaly based Protocol anomaly based Traffic anomaly based Rule based Dr. Souheil Ben Ayed 33

Signature-based detection Se base sur une base de signature d attaques Recherche s il existe une signature qui correspond à l évènement collecté. Nécessite la mise a jour en continue de la base de signature. Inconvénient: ne peut pas identifier de nouvelles attaques Deux types: Pattern matching: Comparer les paquets aux signatures Stateful matching: Comparer les signatures aux plusieurs évènements en même temps. Dr. Souheil Ben Ayed 34

Anomaly-based detection Techniques basées sur le comportement qui passe par l apprentissage des activités «normales» d'un environnement. L apprentissage permet la détection de nouvelles attaques. Trois types Statistical anomaly based: Création d un profile appelé normale, auquel les évènements sont comparées. Protocol anomaly based: Identifie les protocoles utilisés hors de leurs limites connues Traffic anomaly based: Identifie un évènement inhabituel sur le trafic du réseau. Dr. Souheil Ben Ayed 35

Rule-based detection C est une technique de détection basée sur la comparaison des évènements avec un ensemble de règles. Utilisation de règles à base de condition if/else dans un système expert. L utilisation d'un système expert permet d intégrer des caractéristiques de l'intelligence artificielle Les règles utilisées peuvent être complexes ce qui demande généralement plus de ressources matérielle et temps de traitement des activités La signalisation par alerte suite a une attaque ou intrusion n est pas en temps réel. Cette technique ne permet pas de détecter de nouvelles attaques Dr. Souheil Ben Ayed 36

Types d'ids Network based IDS (NIDS) Surveiller l'état de la sécurité au niveau du réseau: contenu des paquets (entête et données) paramètres du trafic (Volume, cibles, etc.) L utilisation d une sonde permet la surveillance d une ou plusieurs zone du réseaux. Host based IDS (HIDS) Surveiller l'état de la sécurité au niveau des hôtes: les évènements sur les journaux de logs l intégrité des fichiers les accès au processus L utilisation d une sonde propre pour chaque machine. IDS Hybride Rassemble les fonctionnalités d un NIDS et HIDS, surveillance du réseau et de terminaux. L IDS hybride est utilisé dans un environnement décentralisé avec une supervisons centralise. Placement stratégique des sondes sur le réseau. Centraliser les informations en provenance de plusieurs emplacements (sondes) sur le réseau. Avoir une vision globale sur les composants du système d information. Dr. Souheil Ben Ayed 37

Déploiement d un IDS Le déploiement d un IDS se fait en fonction de la topologie du réseau et de la politique de sécurité. L emplacement des sondes ( senseurs) IDS lors du déploiement est très important. Protéger les serveurs dans la zone DMZ Protéger contre attaques vers et depuis le réseau local (réseau interne). Détection de signes d attaques avant filtrage (sonde à l extérieur des firewalls) L efficacité de l IDS dépend aussi de la correcte installation et la mise à jour des bases de règles et de signatures. Dr. Souheil Ben Ayed 38

Déploiement d un IDS Position (1): - Détection de tout le trafic entre l Internet et le réseau - Trafic entre le réseau local et DMZ invisible pour l IDS - Génération de fichiers de log complets mais très complexe à analyser - Bonne position pour les Honeypot Position (2): - Seul le trafic vers le DMZ est analysé. - Détecter les attaques non filtré par le Firewall. Position (3): - Analyser le trafic et détecter les attaques au niveau réseau locale. - Détecter la majorité des attaques - Les attaques internes sont les plus fréquents (Virus, Cheval de Troie, ) Dr. Souheil Ben Ayed 39

Exemple de déploiement de sonde IDS Dr. Souheil Ben Ayed 40

Système de Prévention d'intrusions L'IDS traditionnel ne détecte que qu'une intrusion est peut être en cours et envoie une alerte. Un IPS est système similaire aux IDS, permettant de prendre des mesures préventifs afin de diminuer les impacts d'une attaque. Ainsi, un IPS est une technique de contremesure préventive et proactive, alors qu'un IDS est une technologie de contremesure détective (alerte en cours ou après impact de l'attaque). Il existe deux types d'ips: IPS réseau (NIPS) et IPS hôte (HIPS). Dr. Souheil Ben Ayed 41

Système de Prévention d'intrusions Principaux différence entre un IDS (réseau) et un IPS (réseau): A l inverse d un IDS qui fonctionne en mode promiscuité (positionné comme un sniffer sur le réseau) un IPS va fonctionner en coupure sur le réseau. Les IPS peuvent bloquer immédiatement les intrusions et ce quel que soit le type de protocole de transport utilisé et sans reconfiguration d un équipement tierce, ce qui induit que l IPS est constitué en natif d une technique de filtrage de paquets et de moyens de bloquages L IPS ne remplace pas l IDS ou le Firewall IPS, IDS et firewall sont des systèmes complémentaires dans une architecture de sécurité. Dr. Souheil Ben Ayed 42