Les Logiciels Libres au Service de la Sécurité

Exemples d outils libres déployés pour des objectifs de sécurité cedric.blancher@eads.net -- http://sid.rstack.org/ Centre Commun de Recherche Département SSI Suresnes, FRANCE JIA 2005, Sfax 9 fév. 2005

Introduction Les logiciels libres peuvent nous aider à améliorer la sécurité En tant que socle logiciel du système d information En tant que socle applicatif des services proposés En tant qu outils imposant les contraintes de sécurité En tant qu outils de supervision du système En tant qu outils d évaluation de la sécurité

1 Systèmes d exploitation libres Apports en terme de sécurité 2 Services courants dans le monde du logiciel libre Mécanismes de sécurité proposés 3 Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité 4 5

L OS Systèmes d exploitation libres Apports en terme de sécurité Le système d exploitation : le socle de base Noyau + applications/bibliothèques de base C est la première brique de la sécurité C est l endroit le moins difficile à protéger (domaine circonscrit) C est l endroit où les mesures de protection ont le plus d effet (point de passage incontournable) C est un élément incontournable de la sécurité

Systèmes d exploitation libres Apports en terme de sécurité 1 Systèmes d exploitation libres Apports en terme de sécurité 2 Services courants dans le monde du logiciel libre Mécanismes de sécurité proposés 3 Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité 4 5

Les OS libres Systèmes d exploitation libres Apports en terme de sécurité Les OS libres les plus utilisés sont : GNU/Linux[LNX] FreeBSD[FBSD] OpenBSD[OBSD] NetBSD[NBSD] Chacun est développé avec un esprit particulier qui lui confère ses particularités

NetBSD / FreeBSD Systèmes d exploitation libres Apports en terme de sécurité NetBSD[NBSD] vise la portabilité : il est installable sur un nombre important de plate-formes. FreeBSD[FBSD] est un BSD orienté end-user : il vise à supporter du matériel, offrir des fonctionnalité multimédia, etc. Ils intègrent des fonctionnalités de sécurité et disposent d un suivi efficace. Leur choix se justifie dans ce cadre.

OpenBSD Systèmes d exploitation libres Apports en terme de sécurité OpenBSD[OBSD] est résolument orienté sécurité Inclusion et développement de fonctionnalités de sécurité fortes (Systrace[STRC]) Inclusion et développement d outils de sécurité forts (OpenSSH[OSSH]) Audit du code des applications proposées (BIND[BIND], Apache[APCH], etc.) Suivi de sécurité constant Sûr, robuste et moteur dans le domaine de la sécurité

GNU/linux Systèmes d exploitation libres Apports en terme de sécurité GNU/Linux[LNX] est populaire, son développement part dans tous les sens... Pour la sécurité : Linux est extrêmement portable (22 architectures supportées, plus de 60 sous-architectures et optimisations) Des distributions orientées sécurité (Fedora[FDR], Adamantix[ADMX], etc.) Des patches de sécurité (SE Linux[SELX], RSBAC[RSBC], LIDS[LIDS], GrSecurity[GRSC], etc.) Des outils et modèles de sécurité propres (LSM[LSM]) GNU/Linux permet d atteindre des niveaux de sécurité extrêmement pointus

Un choix? Systèmes d exploitation libres Apports en terme de sécurité Deux choix intéressant se dessinent OpenBSD GNU/Linux Ils répondent à des visions différentes du problème

Systèmes d exploitation libres Apports en terme de sécurité 1 Systèmes d exploitation libres Apports en terme de sécurité 2 Services courants dans le monde du logiciel libre Mécanismes de sécurité proposés 3 Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité 4 5

Points communs Systèmes d exploitation libres Apports en terme de sécurité Ces OS sont des Unix (BSD vs. SysV). À ce titre, ils proposent des mécanismes de sécurité natifs : Système de fichiers modernes (droits/acl, journalisation) Chroot SetUID/SetGID Capabilities POSIX Limites (CPU, mémoire, temps, etc.)

Fonctionnalités Systèmes d exploitation libres Apports en terme de sécurité Certaines fonctionnalités additionnelles sont communes, d autres sont spécifiques Filtrage de paquets (Netfilter[NTFR] vs. Packet Filter[PF]) Gestion de la QoS Gestion de la haute disponibilité (LVS[LVS] vs. CARP/pfsynx[PFSC]) IPSEC (OpenS/WAN[OSWN] vs. KAME/Racoon[KAME]) Filtrage des appels systèmes (LIDS[LIDS]/GrSecurity[GRSC] vs. Systrace[STRC]) Modèles de sécurité (SE Linux[SELX]) Protection de la mémoire (ProPolice[PPLC], StackGuard[STCK]) Séparation de privilèges BSD Jail

Systèmes d exploitation libres Apports en terme de sécurité Chaque système a ses particularité, même si GNU/Linux reste plus universel (mais plus long à configurer) Chacun peut fournir des niveaux de sécurité largement supérieurs aux outils commerciaux du marché est la fondation incontournable de la sécurité : un OS intrinsèquement faible n est pas sécurisable

Les applications Services courants dans le monde du logiciel libre Mécanismes de sécurité proposés Les applications fournissent les services accessibles Ces applications doivent fournir un niveau de sécurité important Minimiser les failles possibles Minimiser l impact de ces failles

Services courants dans le monde du logiciel libre Mécanismes de sécurité proposés 1 Systèmes d exploitation libres Apports en terme de sécurité 2 Services courants dans le monde du logiciel libre Mécanismes de sécurité proposés 3 Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité 4 5

Services de base Services courants dans le monde du logiciel libre Mécanismes de sécurité proposés Tous les services de base sont disponibles en logiciel libre WWW : Apache[APCH], PHP[PHP] DNS : BIND[BIND] SMTP : Postfix[PFIX] FTP : vsftpd[vftp] IMAP/POP : Cyrus[CYRS] SGBDR : MySQL[MSQL], PostGreSQL[PSQL]

Services courants dans le monde du logiciel libre Mécanismes de sécurité proposés 1 Systèmes d exploitation libres Apports en terme de sécurité 2 Services courants dans le monde du logiciel libre Mécanismes de sécurité proposés 3 Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité 4 5

Mécanisme de sécurité Services courants dans le monde du logiciel libre Mécanismes de sécurité proposés Au niveau de l implémentation Éclatement et simplification du code source (Postfix[PFIX], vsftpd[vftp]) Revue et suivi du code source Utilisation de bibliothèques standards réputées (OpenSSL[OSSL]) Intégration de fonctionnalités de sécurité standard (SSL, DNSSec, STARTTLS, etc.) Moindre privilège (BIND[BIND], Apache[APCH]) Séparation de privilèges (Postfix[PFIX], vsftpd[vftp])

Mécanisme de sécurité Services courants dans le monde du logiciel libre Mécanismes de sécurité proposés Au niveau de l accès aux applications Écoute sélective Filtrage des connexions (wrappers) Authentifications diverses (Challenges, OTP, etc.) Authentifications fortes (RSA, X509)

Mécanisme de sécurité Services courants dans le monde du logiciel libre Mécanismes de sécurité proposés Au niveau de l accès au données Constitution de vues (BIND[BIND], Apache[APCH], MySQL[MSQL]) Virtual Hosting (Apache[APCH], vsftpd[vftp]) Vérification des flux de données (Postfix[PFIX]) Chiffrement des échanges (SSL/TLS) Autorisations fines (Apache[APCH], PHP[PHP], MySQL[MSQL], vsftpd[vftp])

Services courants dans le monde du logiciel libre Mécanismes de sécurité proposés Le logiciel libre offre des alternatives nombreuses et pertinentes pour la sécurité du socle applicatif en terme de sûreté et de fonctionnalités Ces applications respectent les standards ouverts, supportent des systèmes fermés, et assurent une interopérabilité inter-système

Outils de sécurité Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité Le logiciel libre fournit des logiciels permettant d imposer la politique de sécurité Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité Autres...

Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité 1 Systèmes d exploitation libres Apports en terme de sécurité 2 Services courants dans le monde du logiciel libre Mécanismes de sécurité proposés 3 Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité 4 5

Filtrage réseau Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité Outils de filtrage réseau Filtrage de niveau 2 : Linux ebtables[ebt] Filtrage de paquets : Netfilter[NTFR], pf[pf] Identification protocolaire : L7 Filter[L7F] Filtrage applicatif : Squid-Guard[SQGD], Apache[APCH] (proxy/reverse-proxy)

Analyse de flux Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité Analyse de contenu des flux réseau HTTP : Squid-Guard[SQGD], ClamAV[CLAM] SMTP : Postfix[PFIX], MimeDefang[MIME], Amavisd-new[AMVS], ClamAV[CLAM] Antispam : SpamAssassin[SPAS], Dspam[SPMD], Pyzor[PYZR] Les solutions antispam libres sont les plus efficaces et innovantes du marché

Protection des flux Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité IPSEC : OpenS/WAN[OSWN], Kame[KAME] SSL/TLS : OpenSSL[OSSL], Stunnel[STNL] VPN : OpenVPN[OVPN], PoPToP[PPTP] Applications : OpenSSH[OSSH] Etc.

Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité 1 Systèmes d exploitation libres Apports en terme de sécurité 2 Services courants dans le monde du logiciel libre Mécanismes de sécurité proposés 3 Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité 4 5

Sécurité système Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité Plusieurs niveau d action Utilisation des fonctionnalités du socle système Utilisation des fonctionnalités des applications Authentification Ajouts de fonctionnalités autres

Authentification Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité Le logiciel libre offre de nombreux mécanismes d authentification, centralisés ou non Authentification locale : PAM[PAM] Authentification centralisée : FreeRADIUS[FRDS] Authentification forte : OpenSSL[OSSL] SingleSignOn : MIT Kerberos[MITK], Heimdal[HMDL] OTP : S/Key[SKEY] Modules divers : NTLM, SASL, RSA, RSA/ACE, etc.

Autres possibilités Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité En plus des fonctions de sécurité habituelles Protection exécutables : ProPolice[PPLC], StackGuard[STCK] Sandboxing : UML[UML], BSD Jail

Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité 1 Systèmes d exploitation libres Apports en terme de sécurité 2 Services courants dans le monde du logiciel libre Mécanismes de sécurité proposés 3 Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité 4 5

Sécurité du poste de travail Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité La sécurité du poste de travail sous Logiciel Libre Socle système sûr (cf. supra) Socle applicatif sûr (web, messagerie, etc.) Gestion utilisateurs cohérente sur le SI La sécurisation du poste de travail n est pas un cas très particulier

Accès sécurisé au SI Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité La protection des lfux de communication entre le SI et le poste de travail Accès authentifié au réseau : 802.1x[O1X] Accès WLAN en WEP/WPA/WPA2[WPAS] Mise en œuvre d IPSEC Mise en domaine des stations avec Samba[SMB] Applications sécurisantes (OpenSSH[OSSH], Stunnel[STNL]) Etc. De nombreuses solutions interopérables...

Outils Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité Protections des données sensibles Chiffrement de volumes : CryptoAPI[CAPI], LoopAES[LAES] Chiffrement de documents et des échanges : GnuPG[GPG] Collaboration saine avec Windows Antivirus ClamAV[CLAM] Samba[SMB] Suites d applications fournissant des services de sécurité Systèmes d authentification sûrs (PAM[PAM], TLS/X509, Kerberos, etc.) Utilisation de SSL/TLS

Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité 1 Systèmes d exploitation libres Apports en terme de sécurité 2 Services courants dans le monde du logiciel libre Mécanismes de sécurité proposés 3 Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité 4 5

Évaluer sa sécurité Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité Le monde du logiciel libre fournit de nombreux outils pour évaluer sa sécurité Scanners de vulnérabilité : Nessus[NESS] Scanners divers : Nmap[NMAP], Xprobe2[XPRB] Pleins de petits outils très spécialisés Tous ces outils permettent de vérifier l application de la politique de sécurité et d évaluer son niveau de sécurité

Encore? Sécurité réseau Sécurité système Poste de travail Évaluation de la sécurité Il existe de nombreux autres outils non catégorisable comme les outils de forensics par exemple. La monde du logiciel libre offre la gamme la plus variée et la plus complète d outils de sécurité. La plupart de ces outils sont portables d un OS (Unix) à l autre (parfois sur Win32).

Supervision Une bonne sécurité s entretient. La supervision du système fait partie du process de sécurité pro-actif

Gestion des logs Collection des logs : Syslog-ng[SYSL] Centralisation des logs : Syslog-ng[SYSL], Prelude[PLDE] Corrélation/présentation de logs : IPFC[IPFC]

Détection d intrusion Détecter les anomalies au plus tôt Sonde réseau : Snort[SNRT] IPS : Snort-Inline[SNIL] Analyse système : Swatch[SWTC] Early Warning Systems : honeypots[hney]

Supervision Assurer une bonne visibilité de l état du système Génération et collecte SNMP Panneau de contrôle : Nagios[NAGS], Nessus[NESS] (?!) Génération de graphes : SNMP, RRD Tools[RRD] Et beaucoup de systèmes maison (SNMP based)

Le logiciel libre offre un choix large et variés d outils de sécurité pouvant satisfaire un nombre très important de besoins Si le besoin n est pas satisfait complètement, on peut toujours adapter le logiciel en contribuant (cf. supervision par exemple)

Questions?

Ressources Retrouvez cette présentation sur : http://sid.rstack.org/

Bibliographie Bibliographie I GNU/Linux http://www.linux.org/ FreeBSD http://www.freebsd.org/ OpenBSD http://www.openbsd.org/ NetBSD http://www.netbsd.org/ OpenBSD Systrace http://www.systrace.org/ OpenSSH http://www.openssh.org/ RedHat Fedora http://fedora.redhat.com/ Adamantix http://www.trusteddebian.org/ SE Linux http://www.nsa.gov/selinux/

Bibliographie Bibliographie II RSBAC http://www.rsbac.org/ LIDS http://www.lids.org/ GR Security http://www.grsecurity.org/ Linux Security Modules http://lsm.immunix.org/ Netfilter http://www.netfilter.org/ OpenBSD Packet Filter http://www.openbsd.org/pf/ Linux Virtual Server http://www.linuxvirtualserver.org/ pfsync http://www.countersiege.com/doc/pfsync-carp/

Bibliographie Bibliographie III OpenS/WAN http://www.openswan.org/ KAME Project http://www.kame.net/ ProPolice http://www.research.ibm.com/trl/projects/security/ssp/ StackGuard http://www.cse.ogi.edu/disc/projects/immunix/stackguard/ Apache Web Server htt://httpd.apache.org/ PHP http://www.php.net/ BIND http://www.isc.org/sw/bind/

Bibliographie Bibliographie IV Postfix http://www.postfix.org/ vsftpd http://vsftpd.beasts.org/ Cyrus IMAP Daemon http://asg.web.cmu.edu/cyrus/imapd/ MySQL http://www.mysql.com/ PostGreSQL http://www.postgresql.org/ OpenSSL http://www.openssl.org/ Ebtables http://ebtables.sourceforge.net/ L7 Filter http://l7-filter.sourceforge.net/

Bibliographie Bibliographie V Squid Guard http://www.squidguard.org/ Clam AntiVirus http://www.clamav.net/ MIMEDefang http://www.mimedefang.org/ Amavisd-new http://www.ijs.si/software/amavisd/ SpamAssassin http://spamassassin.apache.org/ Dspam http://dspam.atopia.net/ Pyzor http://pyzor.sourceforge.net/ Stunnel http://www.stunnel.org/ OpenVPN http://www.openvpn.org/

Bibliographie Bibliographie VI PoPToP http://www.poptop.org/ Pluggable Authentication Modules http://www.kernel.org/pub/linux/libs/pam/ FreeRADIUS http://www.freeradius.org MIT Kerberos http://web.mit.edu/kerberos/www/ Heimdal http://www.pdc.kth.se/heimdal/ S/KEY http://inner.net/opie User Mode Linux http://user-mode-linux.sourceforge.net/

Bibliographie Bibliographie VII Open1X http://www.open1x.org WPA Supplicant http://hostap.epitest.fi/wpasupplicant/ SAMBA http://www.samba.org/ CryptoAPI http://www.kerneli.org/ LoopAES http://loopaes.sourceforge.net/ GNU Privacy Guard http://www.gnupg.org/ Nessus http://www.nessus.org/ Nmap http://www.insecure.org/nmap/

Bibliographie Bibliographie VIII Xprobe2 http://xprobe.sourceforge.net/ Syslog NG http://www.balabit.com/products/syslog ng/ Prelude IDS http://www.prelude-ids.org/ IPFC http://www.conostix.com/ipfc/ Snort IDS http://www.snort.org/ Snort Inline IPS http://snort-inline.sourceforge.net/ Swatch http://swatch.sourceforge.net/ Honeynet Project http://www.honeynet.org/

Bibliographie Bibliographie IX Nagios http://www.nagios.org/ RRD Tools http://people.ee.ethz.ch/ oetiker/webtools/rrdtool/