Sensibilisation à la sécurité informatique Michel Salomon IUT de Belfort-Montbéliard Département d informatique Michel Salomon Sécurité 1 / 25
Sensibilisation à la sécurité informatique Généralités et aspects juridiques Principaux types d attaques Outils de sécurité Systèmes pare-feu (firewall) Perceurs de mot de passe Outils d évaluation de la vulnérabilité (scanners) Systèmes de détection d intrusion Outils de journalisation et d audit Cryptographie Michel Salomon Sécurité 2 / 25
Systèmes pare-feu - Qu est-ce que c est? Dispositif protégeant un réseau ou groupes de réseaux du monde extérieur (Internet notamment) Ordinateur autonome Routeur Dispositif matériel propriétaire Passerelle pour toutes les communications entre deux réseaux Tout ce qui n est pas explicitement autorisé est interdit De multiples tâches à assurer Contrôle des accès logiques Définition de règles traduisant la politique d accès Contrôle du trafic entre réseau interne et réseau externe Anti-spoofing, anti-intrusion, etc. Journalisation Auditer / tracer de façon centrale le trafic etc. Michel Salomon Sécurité 3 / 25
Systèmes pare-feu - Fonctionnalités Filtrage de l accès par service et par adresse IP, du contenu Réseau privé virtuel (Virtual Private Network) Traduction d adresses réseau (Network Address Translation) Équilibrage de charge et tolérance aux pannes Détection des intrusions Avantages Point de contrôle unique pour la protection du réseau Administration de la sécurité Audit du trafic Inconvénients Goulot d étranglement Existence de failles (erreurs d admin. ou de prog.) Compromission (multiplier les systèmes pare-feu) Michel Salomon Sécurité 4 / 25
Systèmes pare-feu - Types de pare-feu Filtrage de paquets (1 ière génération - Couche Réseau) Filtrage statique Filtrage dynamique Filtres applicatifs - proxy ou passerelle (serveur délégué) Proxy de circuit (2 nde génération - Couche Transport) Proxy applicatif (3 ième génération - Couche Application) Spécifique Générique Pare-feu stateful multilayer Inspection combinant les trois couches Michel Salomon Sécurité 5 / 25
Systèmes pare-feu - Filtrage de paquets Filtrage statique Accord ou refus du passage d un paquet en fonction de l @IP source / destination ; du protocole (ICMP, TCP, UDP) ; du numéro de port source / destination ; de la taille, du type de paquet ; de l interface réseau d entrée / sortie Par défaut on interdit Avantages Facilité de mise en œuvre et rapidité Fonction souvent incluse dans les routeurs Inconvénients Pas de trace des données de l état d une session Gestion limitée de certaines attaques DoS Pénalisant réseaux surchargés ; trop de règles Michel Salomon Sécurité 6 / 25
Systèmes pare-feu - Filtrage de paquets Filtrage dynamique (ou état) - Améliorations Tables d état internes conservant L état des connexions L état des sessions Possibilité de réaction opportune blocage du trafic de / vers un site anormal Avantages Plus souple Protection améliorée par rapport à certaines attaques DoS Michel Salomon Sécurité 7 / 25
Systèmes pare-feu - Filtrage de paquets Utilisation d un routeur filtrant et d une machine bastion Internet Réseau interne Routeur filtrant Machine bastion Michel Salomon Sécurité 8 / 25
Systèmes pare-feu - Routeur filtrant et Bastion Routeur filtrant Filtrage défini via des listes de contrôle d accès (Access Control List) Fonctionnalité intégrée par beaucoup de constructeurs Avantages Simple et performant Faible coût Fonctionnalités limitées Bastion Machine interne qui joue le rôle de pare-feu Le routeur filtrant n autorise le trafic que vers / provenant de cette machine Translation d adresse Michel Salomon Sécurité 9 / 25
Systèmes pare-feu - Filtrage de paquets À chaque règle est associée une décision DROP ACCEPT REJECT etc. Illustration avec iptables Interdire toute connexion entrante iptables -t filter -P INPUT DROP iptables -t filter -P FORWARD DROP Interdire toute connexion sortante iptables -t filter -P OUTPUT DROP Autoriser les connexions ssh iptables -t filter -A INPUT -p tcp dport 22 -j ACCEPT etc. Michel Salomon Sécurité 10 / 25
Systèmes pare-feu - Proxy de circuit Connexions TCP relayées Connexion client / serveur initiée un circuit virtuel est créé Vérification des règles uniquement à l établissement du circuit Envoi conditionnel des données La connexion doit avoir été complètement établie Maintien d une table des connexions ouvertes et mémorisation des états de connexion (établie, fermée, etc.) ; Avantages des informations de séquencement ; des @IP source et destination ; etc. Rapide, car peu de traitements une fois la connexion établie Fonction souvent incluse dans les routeurs Imperméabilité du réseau interne masquage par translation Michel Salomon Sécurité 11 / 25
Systèmes pare-feu - Proxy de circuit Connexions TCP relayées Connexion client / serveur initiée un circuit virtuel est créé Vérification des règles uniquement à l établissement du circuit Envoi conditionnel des données La connexion doit avoir été complètement établie Maintien d une table des connexions ouvertes et mémorisation des états de connexion (établie, fermée, etc.) ; des informations de séquencement ; des @IP source et destination ; etc. Inconvénients Sécurité basée sur les @IP, pas sur l authentification Installation d un module sur le client Michel Salomon Sécurité 12 / 25
Systèmes pare-feu - Proxy applicatif Sectionnement des flux par application Inspection du trafic au niveau application en plus Accès à l authentification des utilisateurs, au type de requêtes Paquets transmis à un proxy spécifique application Un proxy par service offert : http, ftp, smtp, etc. Étude de la validité du paquet, ainsi que de la requête Proxy générique en l absence d un proxy spécifique Chaque proxy spécifique (ou agent proxy) comporte : un serveur pour tester la requête ; un client qui contactera le serveur réel en cas d acceptation Avantages Approche par protocole sûre ; imperméabilité du réseau interne Journalisation précise et supervision ; authen. forte possible Analyse possible des contenus Michel Salomon Sécurité 13 / 25
Systèmes pare-feu - Proxy applicatif Sectionnement des flux par application Inspection du trafic au niveau application en plus Accès à l authentification des utilisateurs, au type de requêtes Paquets transmis à un proxy spécifique application Un proxy par service offert : http, ftp, smtp, etc. Étude de la validité du paquet, ainsi que de la requête Proxy générique en l absence d un proxy spécifique Chaque proxy spécifique (ou agent proxy) comporte : un serveur pour tester la requête ; un client qui contactera le serveur réel en cas d acceptation Inconvénients Plus lent et moins souple que le filtrage de paquets Michel Salomon Sécurité 14 / 25
Systèmes pare-feu - Proxy applicatif Machine bastion Anti intrusion anti spoofing antivirus, etc. HTTP http httpd smtp smtpd Client A ftp ftpd SMTP Machine bastion Internet Client B FTP Réseau interne Journal Michel Salomon Sécurité 15 / 25
Systèmes pare-feu - Zone démilitarisée Offrir des services en les plaçant en dehors du réseau interne Zone avec une politique de sécurité moins forte Définir plusieurs DMZ est possible Cloisonnement des flux La compromission d une zone n affecte pas les autres Mise en œuvre d une DMZ avec une machine bastion DMZ Serveur web Serveur de messagerie Internet Routeur filtrant Routeur filtrant Bastion Serveurs internes Réseau interne Michel Salomon Sécurité 16 / 25
Systèmes pare-feu - Zone démilitarisée Mise en œuvre d une DMZ avec une machine bastion DMZ Serveur web Serveur de messagerie Internet Routeur filtrant Routeur filtrant Bastion Serveurs internes Réseau interne Michel Salomon Sécurité 17 / 25
Scanners (nmap, nessus, etc.) Qu est-ce qu un scanner Un scanner ou analyseur de réseaux est un programme automatisant la recherche de vulnérabilités niveau distant niveau local Acquisition des informations par balayage des ports 1 acquisition active 2 acquisition passive Attention aux problèmes légaux lors de l utilisation Points communs de la plupart des scanners Données de vulnérabilités base de données internes Mécanisme d évaluation identif. services, etc. Mécanisme de rapport Michel Salomon Sécurité 18 / 25
Scanners (nmap, nessus, etc.) Qualités à rechercher dans un scanner Exhaustivité des contrôles de vulnérabilité Minimum : vulnérabilités de compromission niveau admin. Justesse des contrôles de vulnérabilité Risque de partir à la recherche de vulnérabilités fantômes Étendue des contrôles de vulnérabilité Recherche de vulnérabilités distantes, locales Mises à jour appropriées Toujours un temps de retard sur les annonces de vulnérabilités Capacité de rapport Bonne description des problèmes et de leur correction Classement suivant l impact sur la sécurité Défauts intrinsèques Exhaustivité n intercepte pas toutes les vulnérabilités Exactitude vulné. mal diagnostiquées ( faux positifs ) Michel Salomon Sécurité 19 / 25
Systèmes de détection d intrusion - Qu est-ce que c est? Intrusion Detection System Programme permettant de détecter un utilisateur ou un intrus hostile, qui est entrain de mener une attaque Qu est-ce qu une intrusion? Personne essayant de se connecter en tant que root une fois, 25 fois, 50 fois,...? Un balayage de ports? etc. Définir ce qu est une intrusion n est pas aisé Méthodes de détection Analyse du trafic réseau Contrôle de l intégrité binaire Inspection des journaux Michel Salomon Sécurité 20 / 25
Systèmes de détection d intrusion - Classification Méthode de détection Comportementale Par scénarios Système de détection d intrusion Comportement après détection Source des données Passif Actif Audit applicatif Audit système Fréquence d utilisation Continue Périodique Michel Salomon Sécurité 21 / 25
Systèmes de détection d intrusion - Classif. et qualités Suivant le mode de fonctionnement IDS à bibliothèques de signatures IDS à modèles comportementaux ou de détection d anomalies Suivant ce qui est surveillé IDS basé sur le réseau (Network IDS - par ex. Snort) Surveillance de l activité réseau Moteur d analyse de paquets Comparaison du trafic à des modèles ou à des signatures Déploiement passif IDS basé sur la machine (Host IDS) Surveillance de l activité des machines Analyse des journaux ; surveillance connexions, processus, etc. Capacité à intercepter les chevaux de troie Basé sur un agent à installer sur les machines à surveiller Michel Salomon Sécurité 22 / 25
Systèmes de détection d intrusion - Classif. et qualités Suivant ce qui est surveillé IDS basé sur le réseau (Network IDS - par ex. Snort) Surveillance de l activité réseau Moteur d analyse de paquets Comparaison du trafic à des modèles ou à des signatures Déploiement passif IDS basé sur la machine (Host IDS) Surveillance de l activité des machines Analyse des journaux ; surveillance connexions, processus, etc. Capacité à intercepter les chevaux de troie Basé sur un agent à installer sur les machines à surveiller Qualités à rechercher dans un détecteur d intrusion Architecture robuste résistance aux attaques Adaptabilité trafic réseau ; nombre de sessions ; etc. Système de gestion accès facile aux données Michel Salomon Sécurité 23 / 25
Sécurisation par utilisation de moyens cryptographiques Session chiffrée Utilisation de ssh à la place de telnet, rlogin, etc. Tunnel chiffré Encaps. des données d un protocole dans un autre protocole Exemple : flux tcp redirigé dans un tunnel ssh Sécurisation des connexions TCP/IP Secure Socket Layer / TLS Entre couches Application et Transport Authentification, confidentialité et intégrité Couramment utilisé (sécurisation Web et courrier électronique) Sécurisation de la couche Transport IP SECurity En-tête d authen. (AH) / Encapsulation données (ESP) Michel Salomon Sécurité 24 / 25
WiFi - Compléments Surveiller, écouter, balayer des réseaux (wardriving) est illégal Nouveaux risques Plus de cloisonnement physique Capture aisée du signal Déni de service facilité (brouillage, saturation) etc. Chiffrement des communications WEP (insuffisant) chiffr. sym. RC4 (clés 64 ou 128 bits) WPA / WPA2 (chiffr. CCMP utilisant l algorithme AES) Authentification par serveur serveur RADIUS Chiffrement robuste Temporary Key Integrity Protocol WPA-Pre Share Key même clé de chiffrement (passphrase) pour tout le monde Michel Salomon Sécurité 25 / 25