S

1
Sécurité des systèmesinformatiques
répartisLionel BrunieInstitut National des
Sciences Appliquées de LyonLionel.Brunie_at_insa-lyo
n.fr
http//liris.cnrs.fr/lionel.brunie/version-francai
se/cours-securite.html
2
Plan

• Problématique et concepts de base
• Types de risques intelligence économique,
   catastrophes , ,  piratage  sécurité des
  systèmes informatiques
• Eléments méthodologiques
• Techniques de base chiffrement, signature,
  certificats, authentification
• Outils pour la sécurité pare-feux, analyseurs
  de trafic, testeurs de réseaux
• Sécurisation des réseaux VLAN, Ipsecure, VPN
• Discussion
• Conclusion

3
Objectifs du cours

• A l issue de ce cours, vous ne  saurez  pas
  grand chose -(
• Mais vous aurez des idées (parfois précises) sur
  beaucoup de choses -)
• Objectifs du cours
• Introduction/sensibilisation à la problématique
  de la sécurité
• panorama des différentes composantes de cette
  problématique
• identification et maîtrise des concepts et
  techniques de base
• La vie après ce cours
• (ré-)étudier les  grands  algorithmes de
  cryptage et protocoles dauthentification/PKI/
• en attendant la suite du cours sur les attaques
  réseaux, étudier quelques documents de
  recommandation pour administrateurs
• étudier les technologies de sécurisation réseau
  IPsec, VLAN, VPN
• étudier des méthodes danalyse de risques
• why not ? Procédures de tolérance aux
  catastrophes, survivabilité, gestion de la
  confiance, mécanismes de réputation,  security
  patterns , marché des PKI, etc.

4
Plan

• Problématique et principes de base
• Types de risques intelligence économique,
   catastrophes , sécurité des systèmes
  informatiques
• Eléments méthodologiques
• Techniques de base chiffrement, signature,
  certificats, authentification
• Outils pour la sécurité pare-feux, analyseurs
  de trafic, testeurs de réseaux
• Sécurisation des réseaux VLAN, Ipsecure, VPN
• Discussion
• Conclusion

5
Problématique

• Lentreprise évolue dans un milieu  hostile 
• concurrence économique espionnage économique
• gestion de ressources humaines ( traîtres 
  internes ingénierie sociale)
• vandalisme ( pirates )
• catastrophes climatiques inondations, feux,
  tempêtes, tremblements de Terre
• environnement politique actes de guerre, actes
  terroristes
• non-fiabilité des systèmes et logiciels
  informatiques
• Mise en place indispensable dune politique de
  prise en compte des risques et de sécurisation du
  SI

6
Conséquences des risques

• Panne/Arrêt
• Diminution de la qualité de service
• Perturbation interne de lentreprise
• Perte dimage
• Retard de la mise sur le marché dun produit
• Fuite de technologie
• ...

7
Prise en compte des risques

• Evaluation des risques et de leur impact
• Evaluation des coûts de prise en charge
• 3 approches
• ne rien faire protection trop chère pour le
  risque encouru
• sassurer (prendre une police dassurance)
• se protéger (attacher sa ceinture)

8
Classification des données/risques

• Données vitales logiciels clefs, plans de
  reprise, données  maîtresses , données dE/S
  critiques
• Données essentielles logs, historiques
• Données importantes documentations, données de
  test
• Données utiles quoique

9
Quelques principes de base (I)

• Mettre en place une politique globale de gestion
  des risques
• Séparer les fonctions
• Minimiser les privilèges
• Centraliser les changements
• Cerner les IHM - Contrôler et filtrer les E/S
• Mettre en place des plans de sauvegarde et de
  reprise

10
Quelques principes de base (II)

• Cibler les éléments vitaux/essentiels
• Utiliser des techniques de conception et de
  programmation standardisées
• Monitorer lensemble des éléments de lentreprise
  systèmes informatiques, réseaux, personnel
  (traçabilité)
• Informer et former les personnels

11
Plan

• Problématique et principes de base
• Types de risques intelligence économique,
   catastrophes , sécurité des systèmes
  informatiques
• Eléments méthodologiques
• Techniques de base chiffrement, signature,
  certificats, authentification
• Outils pour la sécurité pare-feux, analyseurs
  de trafic, testeurs de réseaux
• Sécurisation des réseaux VLAN, Ipsecure, VPN
• Discussion
• Conclusion

12
Intelligence économique la nouvelle frontière
de lespionnage

• Cest la réalité
• Système informatique protection classique
• Cibler les données stratégiques
• Point central les ressources humaines
• Et si ca arrive ?

13
Tolérance aux catastrophes

• Plan de sauvegarde / plan de reprise
• Tout-tout-tout planifier !
• Le responsable informatique nest quun des
  maillons la gestion de catastrophes dépend
  directement de la DG
• Sauvegarde des données
• Sauvegarde des logiciels
• Procédures de reprise/informatique
• site de secours
• données de secours
• procédure de reprise
• rôle des personnes
• simulations grandeur réelle

14
 Piratage 

• Contrairement aux idées reçues, les  attaques 
  viennent très majoritairement de l intérieur 
• Attaques  pures  vs spam
• Déplacement du piratage  pour le fun  vers du
  piratage organisé voire mafieux
• Ex  location de botnets 

15
 Attaques terroristes  Cyber-guerre 

• Ce sont les  buzzwords  du moment
• Lépisode de la guerre en Géorgie
• Lépisode balte
• Infrastucture informatique dun pays composante
  stratégique
• Communications lune des clefs du succès
  militaire

16
Sécurité des systèmes informatiques propriétés
OSI (I)

• Authentification
• authentification de lentité homologue
• authentification de lorigine des données
• Contrôle daccès / droits (autorisations)
• Confidentialité des données
• en mode connecté
• en mode non-connecté
• sur des champs spécifiques
• flux de données (observation)

17
Sécurité des systèmes informatiques propriétés
OSI (II)

• Intégrité des données
• mode non-connecté (contrôle des données) / mode
  connecté (données ordre messages)
• avec reprise/sans reprise
• globale/par champ
• Non-répudiation (traçabilité)
• avec preuve de lorigine
• avec preuve de la remise
• Protection contre lanalyse du trafic

18
Sécurité des systèmes informatiques CIA Triad 

• Confidentialité
• Intégrité
• Availability (Disponibilité)

19
Plan

• Problématique et principes de base
• Types de risques intelligence économique,
   catastrophes , sécurité des systèmes
  informatiques
• Eléments méthodologiques
• Techniques de base chiffrement, signature,
  certificats, authentification
• Outils pour la sécurité pare-feux, analyseurs
  de trafic, testeurs de réseaux
• Sécurisation des réseaux VLAN, Ipsecure, VPN
• Discussion
• Conclusion

20
Système de management de la sécurité de
linformation (SMSI)

• Un SMSI est un ensemble déléments permettant à
  un organisme détablir une politique et des
  objectifs en matière de sécurité de
  linformation, dappliquer cette politique,
  datteindre ces objectifs et de le contrôler
• Le SMSI inclut donc au minimum
• documentations
• méthode danalyse des risques
• processus de sécurité mis en œuvre
• responsabilités
• ressources
• monitoring des activités liées à la sécurité
• liste documentée des évolutions apportées
• Exemples de norme ISO 27002 (ex 17799 bonnes
  pratiques), 13335 (management sécurité), 15408
  (évaluation/certification sécurité)
• Modèle PDCA Plan-Do-Check-Act (roue de Deming)
  planifier-mettre en œuvre-surveiller-améliorer

21
Echelle de risque
Exemple nucléaire
Source DCSSI
22
Echelle de risque dans les SI
Source DCSSI
23
Règles de défense (ANSSI)
24
Méthodologies

• Objectifs principaux
• Disponibilité
• Intégrité
• Confidentialité
• Preuve
• Politique de sécurité
• Méthodes danalyse de risques. Exemples
• EBIOS Expression des Besoins et Identification
  des Objectifs de Sécurité (DCSSI)
• Mehari (CLUSIF)

25
Elaboration dune politique de sécurité dun SI
(PSSI) (ANSSI)

• CONVENTIONS D'ÉCRITURE
• PHASE 0 PRÉALABLES
• Tâche 1 organisation projet
• Tâche 2 constitution du référentiel
• PHASE 1 ÉLABORATION DES ÉLÉMENTS STRATÉGIQUES
• Tâche 1 définition du périmètre de la PSSI
• Tâche 2 détermination des enjeux et
  orientations stratégiques
• Tâche 3 prise en compte des aspects légaux et
  réglementaires
• Tâche 4 élaboration d'une échelle de besoins
• Tâche 5 expression des besoins de sécurité
• Tâche 6 identification des origines des menaces
  
• PHASE 2 SÉLECTION DES PRINCIPES ET RÉDACTION
  DES RÈGLES
• Tâche 1 choix des principes de sécurité
• Tâche 2 élaboration des règles de sécurité
• Tâche 3 élaboration des notes de synthèse

26
Analyse de risques EBIOS (I)
Origines des attaques
Vulnérabilités
Impacts
Entités
Eléments
Objectifs de sécurité
Exigences dassurance
Exigences fonctionnelles
27
EBIOS (II)

• ÉTAPE 1 ÉTUDE DU CONTEXTE
• ACTIVITÉ 1.1 ÉTUDE DE L'ORGANISME
• ACTIVITÉ 1.2 ÉTUDE DU SYSTÈME-CIBLE
• ACTIVITÉ 1.3 DÉTERMINATION DE LA CIBLE DE
  L'ÉTUDE DE SÉCURITÉ
• ÉTAPE 2 EXPRESSION DES BESOINS DE SÉCURITÉ
• ACTIVITÉ 2.1 RÉALISATION DES FICHES DE BESOINS
• ACTIVITÉ 2.2 SYNTHÈSE DES BESOINS DE SÉCURITÉ
• ÉTAPE 3 ÉTUDE DES MENACES
• ACTIVITÉ 3.1 ÉTUDE DES ORIGINES DES MENACES
• ACTIVITÉ 3.2 ÉTUDE DES VULNÉRABILITÉS
• ACTIVITÉ 3.3 FORMALISATION DES MENACES
• ÉTAPE 4 IDENTIFICATION DES OBJECTIFS DE
  SÉCURITÉ
• ACTIVITÉ 4.1 CONFRONTATION DES MENACES AUX
  BESOINS
• ACTIVITÉ 4.2 FORMALISATION DES OBJECTIFS DE
  SÉCURITÉ

28
Plan

• Problématique et principes de base
• Types de risques intelligence économique,
   catastrophes , sécurité des systèmes
  informatiques
• Eléments méthodologiques
• Techniques de base chiffrement, signature,
  certificats, authentification
• Outils pour la sécurité pare-feux, analyseurs
  de trafic, testeurs de réseaux
• Sécurisation des réseaux VLAN, Ipsecure, VPN
• Discussion
• Conclusion

29
Techniques de base

• Chiffrement
• Authentification
• Signature numérique
• Contrôle daccès

30
Chiffrement (I)

• Cryptographie (écriture cachée) ? Stéganographie
  (écriture couverte)
• Stéganographie tête des esclaves, Lord Bacon
  (codage binaire de caractères cachés), tatouage
  images (filigranes)
• Cryptographie depuis lAntiquité (César
  (alphabet décalé))
• Techniques de base
• décalages
• substitutions mono(poly)alphabétiques
• transpositions (permutations) arbitraires
• chiffrement par blocs de bits
• Cf. cours Marine Minier
• Cf. présentation Stefan Katzenbeisser
  Large-Scale Secure Forensic Watermarking --
  Challenges and Solutions (colloque MDPS 2008)
  (et son livre Information hiding techniques
  for steganography and digital watermarking)

31
Un peu de culture (I)...

• George SAND
• Je suis très émue de vous dire que j'ai bien
  compris l'autre soir que vous aviez toujours une
  envie folle de me faire danser. Je garde le
  souvenir de votre baiser et je voudrais bien que
  ce soit là une preuve que je puisse être aimée
  par vous. Je suis prête à vous montrer mon
  affection toute désintéressée et sans cal- cul,
  et si vous voulez me voir aussi vous dévoiler
  sans artifice mon âme toute nue, venez me faire
  une visite. Nous causerons en amis, franchement.
  Je vous prouverai que je suis la femme sincère,
  capable de vous offrir l'affection la plus
  profonde comme la plus étroite en amitié, en un
  mot la meilleure preuve que vous puissiez rêver,
  puisque votre âme est libre. Pensez que la
  solitude oú j'ha- bite est bien longue, bien
  dure et souvent difficile. Ainsi en y songeant
  j'ai l'âme grosse. Accourrez donc vite et venez
  me la faire oublier par l'amour où je veux me
  mettre.

32
Un peu de culture (II)...

• Réponse d'Alfred de MUSSET
• Quand je mets à vos pieds un éternel hommage
  Voulez-vous qu'un instant je change de visage ?
  Vous avez capturé les sentiments d'un cœur Que
  pour vous adorer forma le Créateur. Je vous
  chéris, amour, et ma plume en délire Couche sur
  le papier ce que je n'ose dire. Avec soin, de
  mes vers lisez les premiers mots Vous saurez
  quel remède apporter à mes maux.
• Réponse finale de George SAND
• Cette insigne faveur que votre cœur réclame
  Nuit à ma renommée et répugne mon âme.
• Voir aussi Sade...

33
Encore un peu de culture (Bacon)

• C'est l'essaim des Djinns qui passe,Et
  tourbillonne en sifflant.Les ifs, que leur vol
  fracasse,Craquent comme un pin brûlant.Leur
  troupeau lourd et rapide,Volant dans l'espace
  vide,Semble un nuage livideQui porte un éclair
  au flanc.
• Victor Hugo

34
Chiffrement (II)

• Chiffrement à clef secrète. Ex le Data
  Encryption Standard (DES) (IBM, 1975)
• permutations classiques
• permutations avec expansion
• permutations avec réduction
• substitutions
• additions modulo 2 (OU exclusif)

35
Chiffrement (III)

• Chiffrement à clef publique/clef privée
  l algorithme de Rivest, Shamir et Adleman (RSA)
• problèmes arithmétiques NP-difficiles
• génération de 2 clefs une clef publique et une
  clef privée
• lexpéditeur code le message avec la clef
  publique du destinataire
• le message codé ne peut être décodé que si lon
  dispose de la clef privée
• ou codage clef privée expéditeur clef
  publique destinataire puis double décodage
• déduction de la clef privée à partir de la clef
  publique irréalisable dans un temps acceptable
• Application challenge-réponse
• RSA fonction puissance et arithmétique finie
  (factorisation de grands nombres)

36
Chiffrement (IV)
Authentification et confidentialité
From Chassande-Daroux
37
Echange de données à laide de clefs publiques
1) F demande la Clé Publique de D
2) S envoie la Clé Publique de D à F
Serveur dauthentification Annuaire (Clefs
Publiques de F D)
3) F génère un nombre aléatoire, IdF, et lance un
challenge à D Décrypte
mon message M1(IdF) crypté avec ta clef publique
et renvoie IdF pour me le prouver !
4) D décrypte M1 et demande à S la Clé Publique
de F
S
5) S envoie la Clé Publique de F à D
4
6) A son tour D lance un challenge à F
Décrypte mon message M2(IdF, IdD) crypté avec ta
clef pub. et renvoie IdD !
5
3 M1
7) F décrypte M2 et renvoie M3(IdD) à D pour lui
montrer quil y est arrivé
6 M2
7 M3
8) F et D peuvent maintenant dialoguer,
éventuellement en créant une Clé de session
privée à partir de (IdF, IdD)
8
From Chassande-Daroux
38
Echange de données à laide dune clef secrète
(I)Protocole de Needham Schroeder(simplifié)
1) F demande une Clef de Session pour pouvoir
parler avec D
2) S envoie à F le message M1 crypté
par
la Clef Secrète de F M1 CSFD
(CSFD)CPDCPF où CPF (resp. CPD) clef secrète
(privée) de F (resp. D) et CSFD clef de session
Serveur dauthentification Annuaire (Clés
Secrètes de F D)
3) F décrypte M1 et lance un challenge à D
Décrypte le message M2(CSFD)CPD et renvoie un
Id crypté par CSFD
S
4) D décrypte M2 et lance un challenge à F
Décrypte mon message M3(Id)CSFD et renvoie
Id-1
5) F décrypte M3 et renvoie M4(Id-1)CSFD
6) F et D, sûrs lun de lautre, peuvent
désormais senvoyer des messages avec la Clef de
Session CSFD
From Chassande-Daroux
39
Echange de données à laide dune clef secrète
(II)Protocole de Needham Schroeder
Serveur dauthentification Annuaire (Clés
Secrètes de F D)
Attention protocole sensible aux attaques de
type Rejeu si la clef de session est
compromise, un attaquant peut rejouer  le
challenge sans que D ne puisse sen rendre
compte. Solution estampille ou Id unique
( nonce )
S
From Chassande-Daroux
40
Signature numérique et certificats (1/2)

• Les certificats sont délivrés par des autorités
  de certification
• Champs de base dun certificat
• clef publique du propriétaire
• nom propriétaire
• TTL (date limite de validité)
• nom de lautorité
• n de série du certificat
• signature de lautorité de certification (et algo
  de signature utilisé)
• Document haché (empreinte (SHA, Whirlpool)) puis
  encrypté avec la clef privée du
  propriétaire-signataire gt signature
• Authentification comparaison des empreintes
• Certificat dun acteur réseau nom, clef
  publique pour léchange de clefs, clef publique
  pour la signature, n, infos autres, TTL,
  signature de lautorité
• Standard UIT X509
• Infrastructures de clefs publiques (PKI) PGP/GPG

41
Signature numérique et certificats 2/2)
M message KB, KB- clef publique/privée de
B KA, KA- clef publique/privée de A H
fonction de hachage
From Lucas Bouillot, 5IF
42
PKI (Mauvais !)Exemple
Rqs préférable AC pas sur Internet !
Source sécuritéinfo
43
IGC - PKI

• Entité Finale (EE  End Entity)
• Autorité/opérateur de Certification (AC ou CA) -
  Service de validation
• Délivre et signe des certificats
• Joue le rôle de tiers de confiance
• Opérateur de certification travaille par
  délégation de lAC
• Service de validation vérification des
  certificats, via, par ex., la publication de
  listes de révocation (CRL Cert. Revoc. List))
• Autorité d'Enregistrement (AE ou RA)
• Réception et traitement des demandes de création,
  renouvellement, révocation de certificats
• Autorité de Dépôt (Repository) /Annuaire de
  publication
• Affichage des certificats et des listes de
  révocation
• Autorité de Séquestre
• Archivage des couples de clefs privée/publique
  (cf. perte clef privée gt données cryptées
  perdues)
• Sécurité nationale obligations légales
• Certification croisée/hiérarchique

44
Authentification Kerberos

• DES based
• Init connexion (mdp ou non), récupération clef
  de session Kg et ticket (avec TTL) (encrypté avec
  mdp) envoi dune copie de la clef de session au
  Ticket granting server (TGS) (cryptage clef
  partagée par Kerberos et TGS)
• Accès service requête au TGS (ticket, nom du
  service, paramètres service) cryptée clef de
  session Kg si OK, retour par le TGS d un
  ticket de service encrypté avec une clef partagée
  Kp par le TGS avec le serveur clef de session
  spécifique Ks le tout est crypté par la clef de
  session globale Kg enfin, envoi par
  lutilisateur au service du ticket de service
  (contenant Ks) encrypté par Kp authentificateur
  (estampille...) crypté avec Ks
• Envoi des données cryptage avec Ks.
• Rq il existe beaucoup de variantes !!!

45
Protocole Kerberos simplifié
 Kerberos  Serveur de clefs Ktgs clef
partagée Kerberos/TGS Kg clef de session entre
client et TGS
1- connexion (mdp)
client
TGS
Kerberos
2- Kgmdp
2- KgKtgs
5- ticketKp authKs
3- reqKg
4 - ticketKp KsKg
Serveur
ticket contient Ks Ks clef de session
client/serveur Kp clef partagée TGS/serveur
6- récupération Ks vérif auth
46
Protocole Kerberos (un peu moins) simplifié
 Kerberos  Serveur de clefs Kc clef
partagée Kerberos/client Ktgs clef partagée
Kerberos/TGS Kg clef de session entre client et
TGS
ticket1 contient Kg ticket2 contient Ks Ks
clef de session client/serveur Kp clef partagée
TGS/serveur
1- connexion (mdp) req
client
TGS
Kerberos
2- Kg ticket1KtgsKc
5- ticket2Kp authKs
3- ticket1Ktgs
4 - ticket2Kp KsKg
Serveur
6- récupération Ks vérif auth
47
Plan

• Problématique et principes de base
• Types de risques intelligence économique,
   catastrophes , sécurité des systèmes
  informatiques
• Eléments méthodologiques
• Techniques de base chiffrement, signature,
  certificats, authentification
• Outils pour la sécurité pare-feux, analyseurs
  de trafic, testeurs de réseaux
• Sécurisation des réseaux VLAN, Ipsecure, VPN
• Discussion
• Conclusion

48
Firewalls usage

• Data encryption
• Access control usage restriction on some
  protocols/ports/services
• Authentication only authorized users and hosts
  (machines)
• Monitoring for further auditing
• Packet filtering
• Compliance with the specified protocols
• Virus detection
• Isolation of the internal network from the
  Internet
• Connection proxies (masking of the internal
  network)
• Application proxies (masking of the  real 
  software)

49
Firewalls basics

• All packets exchanged between the internal and
  the external domains go through the FW that acts
  as a gatekeeper
• external hosts  see  the FW only
• internal and external hosts do not communicate
  directly
• the FW can take very sophisticated decisions
  based on the protocol implemented by the messages
• the FW is the single access point gt
  authentication monitoring site
• a set of flow rules allows decision taking

50
Firewalls architecture (I)
servers
Interior router
Exterior router
Internal network
Outside world
Firewall
DMZ (DeMilitarized Zone)
51
Firewalls architecture (I-bis)
servers
Interior screening router
Exterior screening router
Internal network
Outside world
DMZ
Screening router router which includes a FW
52
Firewalls architecture (II) merging exterior
and interior FW
servers
DMZ
Exterior/Interior Firewall
Outside world
Internal network
53
Firewalls architecture (III) merging exterior
FW and servers
External Firewall servers
Internal Firewall
Outside world
Internal network
DMZ
Bof
54
Firewalls architecture (IV) managing multiple
subnetworks
servers
Firewall
Internal subnetwork A
Exterior Firewall
Interior Firewall
Outside world
Firewall
Backbone
Internal subnetwork B
DMZ
55
Firewalls architecture (IV-bis) managing
multiple subnetworks
servers
DMZ
Firewall
Internal subnetwork A
Exterior/Interior Firewall
Outside world
Firewall
Backbone
Internal subnetwork B
56
Firewalls architecture (V) managing multiple
exterior FW
E.g. supplier network
Exterior Firewall A
Exterior Firewall B
Interior Firewall
Internal network
Internet
servers
DMZ
57
Firewalls architecture (VI) managing multiple
DMZ
E.g. supplier network
DMZ A
Interior Firewall A
Exterior Firewall A
Servers A
DMZ B
Internal network
Interior Firewall B
Exterior Firewall B
Servers B
Internet
58
Firewalls architecture (VI-bis) managing
multiple DMZ
Servers A
E.g. supplier network
DMZ A
Exterior/Interior Firewall A
Servers B
DMZ B
Internal network
Exterior/Interior Firewall B
Internet
59
Firewalls architecture (VII) internal FW
servers
Internal network
Interior Firewall
Exterior Firewall
Sensitive area Firewall
Outside world
DMZ
Sensitive area
60
Firewalls architecture (VII-bis) internal FW
servers
Internal network
DMZ
Exterior/Interior Firewall
Sensitive area Firewall
Outside world
Sensitive area
61
Firewalls some recommendations

• Bastion hosts
• better to put the bastions in a DMZ than in an
  internal network
• disable non-required services
• do not allow user accounts
• fix all OS bugs
• safeguard the logs
• run a security audit
• do secure backups
• Avoid to put in the same area entities which have
  very different security requirements

62
Using proxies (I)

• Proxies can be used to  hide  the real servers
• Interior gt Exterior traffic
• Give the internal user the illusion that she/he
  accesses to the exterior server
• But intercept the traffic to/from the server,
  analyze the packets (check the compliance with
  the protocol, search for keywords, etc.), log the
  requests
• Exterior gt Interior traffic
• Give the external user the illusion that she/he
  accesses to the interior server
• But intercept the traffic to the server, analyze
  the packets (check the compliance with the
  protocol, search for keywords, etc.), log the
  requests

63
Using proxies (II)

• Advantage
• knowledge of the service/protocol gt efficiency
  and  intelligent  filtering
• Ex session tracking, stateful connection
• Disadvantages
• one proxy per service !
• may require modifications of the client
• do not exist for all services

64
Static Network Address Translation (NAT) (I)
xxx.xxx.xxx.xxx
yyy.yyy.yyy.yyy
xxx.xxx.xxx.xxx
yyy.yyy.yyy.yyy
xxx.xxx.xxx.xxx
Internal network
From Arkoon Inc. tutorial
65
Static Network Address Translation (NAT) (II)

• The FW maintains an address translation table
• The FW transforms address xxx.xxx.xxx.xxx into
  yyy.yyy.yyy.yyy in the field  source address 
• The FW transforms address yyy.yyy.yyy.yyy into
  address xxx.xxx.xxx.xxx in the field
   destination address 
• This operation is transparent for both the
  exterior and the interior hosts

66
Applications

• Non TCP/UDP based protocols
• Pre-defined partnership addresses
• Web server, mail.(traffic to Internet)
• Application server (hidden behind a FW)
• Host known/authenticated outside with a specific
  address

67
PAT Port Address Translation (I)
Port 2033
Port 80
Internal network
From Arkoon Inc. tutorial
68
PAT Port Address Translation (II)

• Connections are open from an exterior host
• Translation table
• Use of lesser public addresses
• Flexible management of server ports

69
PAT Port Address Translation (III)
U?P80
FW, _at_IP 'P'
U ? IP180
P80 ? U
IP180 ? U
U ? P81
Web server
Web server
U ? IP280
_at_IP1, port 80
P8 ? U
user, _at_IP'U'
IP280 ? U
Web server
Translation Table _at_IP  P  port 80 ? _at_IP1 port
80 port 81 ? _at_IP2 port 80
_at_IP2, port 80
Internal network
From Arkoon Inc. tutorial
70
Masking (I)
Internal network
From Arkoon Inc. tutorial
71
Masking (II)

• Connections are open by internal hosts
• Dynamic connection table (IP address source
  port number)
• One single address is known outside (the FW
  address)
• Spare IP addresses

72
FW, _at_IP 'M'
Arkoon, _at_IP 'M'
M10000-gtW
11025-gtW
W-gtM10000
W-gt11025
M10001-gtW
21025-gtW
W-gtM10001
W-gt21025
M10000-gtW2
21026-gtW2
W2-gtM10000
W2-gt21026
user
_at_IP2
_at_IP2
Translation table _at_IP  M  11025(10000)-gtW 2102
5(10001)-gtW 21026(10000)-gtW2
Web server
Internal network
_at_IP 'W2'
From Arkoon Inc. tutorial
73
Hacking and security tools (I)

• Network auditing (probing)
• Checks if the network presents security
  weaknesses (accessible ports, badly configured
  services, etc.)
• Network/Host Intrusion Detection Systems
  (NIDS/HIDS)
• NIDS can be put before the FW, on the DMZ, on the
  internal network
• NIDS are based on intrusion signatures and
  statistics (abnormal behavior)
• HIDS on sensitive hosts e.g. bastions,
  application servers

74
Hacking and security tools (II)

• Sniffers traffic snooping
• Packet filtering tools
• Proxy service tools
• Firewall toolkits
• Reference sites CERT (CMU), COAST (Perdue
  Univ.), UREC (French, CNRS), CRU (French, MEN)

75
Plan

• Problématique et concepts de base
• Types de risques intelligence économique,
   catastrophes , sécurité des systèmes
  informatiques
• Techniques de base chiffrement, signature,
  certificats, authentification
• Outils pour la sécurité pare-feux, analyseurs
  de trafic, testeurs de réseaux
• Eléments méthodologiques
• Sécurisation des réseaux VLAN, Ipsecure, VPN
• Discussion
• Conclusion

76
Réseaux virtuels (VLAN)

• Limiter les domaines de diffusion - Gestion de la
  bande passante
• Garantir la sécurité isolation
• Permettre la mobilité des utilisateurs
• Idée créer des réseaux logiques
• VLAN niveau 1 (physique) Port Based VLAN
• ensemble de ports physiques (commutateurs
  (switches))/segments ( trunks liaisons entre
  commutateurs/routeurs)
• VLAN niveau 2 (liaison) MAC Address Based VLAN
• ensemble dadresses MAC
• VLAN niveau 3 (réseau)
• ensemble dadresse IP Network Address Based
  VLAN
• filtrage de protocoles Protocol Based VLAN
• VLAN de niveau supérieur
• fondé sur des règles (ex login)
• fondé sur un type de protocole de niveau
  supérieur (ex h323)
• Les commutateurs (switches) doivent être
  compatibles
• Tagging modification de len-tête des
  paquets (norme 802.1Q)

77
IPsec(ure)

• Internet Security protocol, intégré à IPv6
• Objectifs sécuriser les trames IP
• Confidentialité des données et protection
  partielle contre l'analyse du trafic
• Intégrité des données
• Authentification des données et contrôle d'accès
  continu
• Protection contre le rejeu
• Principes ajout de champs dauthentification
  dans len-tête IP, cryptage des données, hachage
  dintégrité
• 2 modes
• Transport sécurité de bout en bout (jusquaux
  hôtes)
• Tunnel sécurité entre les 2 domaines
• Avantage sécurisation niveau réseau (couche OSI
  3)
• Inconvénients coût, interfaces complexes avec
  les autres protocoles
• IPsec peur être utilisé pour créer des VPN

78
Réseaux Privés Virtuels (VPN) (I)

• Interconnexion de LANs distribués via des
   tunnels  au-dessus dune infrastructure
  partagée (typiquement Internet ou un réseau
  opérateur)
• Alternative à une ligne louée ( spécialisée
  LS )
• Cryptage des donnés, authentification, contrôle
  dintégrité
• Protocoles mis en œuvre IPsec, PPTP (Point to
  point Tunneling Protocol), SSL/TLS
• Principe de base les packets sont cryptés au
  moment à leur sortie du LAN source et décryptés à
  leur entrée dans le LAN destination

79
Réseaux Privés Virtuels (VPN) (II)

• Mobilité
• les utilisateurs/collaborateurs connectés à
  Internet par modem/FAI peuvent accéder au VPN
  client VPN client sur leur machine attribution
  dynamique dune adresse locale au VPN
• Avantages
• transparence
• sécurité
• coût
• disponibilité dInternet
• Inconvénient
• tous les LANs doivent être sécurisés (sécurité
  globale)
• infrastructure physique partagée gt qualité de
  service/performances moindres quune LS

80
 Data Loss Prevention (DLP) Enterprise Right
Management (ERM)  Identity and Access
Management  (IAM)

• Monitoring des échanges dinformation sensibles
  (ex échanges de courriels, clefs USB) et
  limitation de laccès à une information sensible
  dans un périmètre défini
• 3 grandes fonctionnalités
• Network DLP (Data in Motion, DiM)
• Storage DLP (Data at Rest, DaR)
• Endpoint DLP (protecting Data in Use, DiU)
• Techniques mises en œuvre
• analyse statistique (ex bayésienne) du
  contenu/des données
• Analyse des transactions (source, destination,
  heure, etc.) à linstar des pare-feux/IDS
• Problèmes
• faux positifs / faux négatifs
• transformation des données avant envoi
• prise en compte des processus métier complexe
• Liens avec l  Enterprise Right Management
  (ERM)  et l Identity and Access Management 
  (IAM)

81
Plan

• Problématique et concepts de base
• Types de risques intelligence économique,
   catastrophes , sécurité des systèmes
  informatiques
• Eléments méthodologiques
• Techniques de base chiffrement, signature,
  certificats, authentification
• Outils pour la sécurité pare-feux, analyseurs
  de trafic, testeurs de réseaux
• Sécurisation des réseaux VLAN, Ipsecure, VPN
• Discussion
• Conclusion

82
Politique de sécurité finalités
(recommandations de lANSSI)

• Sensibiliser aux risques pesant sur les systèmes
  d'information et aux moyens disponibles pour s'en
  prémunir
• Créer une structure chargée d'élaborer, de mettre
  en œuvre des règles, consignes et procédures
  cohérentes pour assurer la sécurité des systèmes
  informatiques
• Promouvoir la coopération entre les différents
  services et unités de l'établissement pour
  l'élaboration et la mise en œuvre des règles,
  consignes et procédures définies
• Susciter la confiance dans le système
  d'information de l'établissement
• Faciliter la mise au point et l'usage du système
  d'information pour tous les utilisateurs
  autorisés de l'établissement

83
Rien ne sert (CRU)

• de se payer un super coffre-fort pour protéger
  quelques pacotilles et de laisser l'accès libre à
  une cave emplies de grands crus classés !
• ? on se trompe d'objectif
• ? on se sait pas ce qu'il faut réellement
  protéger
• de construire des remparts à la Vauban pour se
  protéger de l'aviation !
• ? cela montre que l'on ne sait pas d'où peuvent
  venir les attaques
• d'utiliser un marteau pilon pour écraser une
  mouche !
• ? disproportion des moyens avec ce qu'il faut
  protéger
• ? la sécurité doit avoir un coût raisonnable
  

84
Rien ne sert (suite)

• d'acheter une super porte blindée et d'oublier de
  fermer la fenêtre !
• ? la sécurité est une chaîne si un maillon est
  faible tout casse
• ? une cohérence doit être assurée
• ? et surtout la sécurité doit être vue
  globalement
• d'employer un (et un seul) gourou prêchant des
  formules secrètes et de contraindre les enfants
  à assister aux offices
• ? la sécurité doit être simple et comprise (un
  minimum) par tous
• ? la convivialité ne doit pas trop en souffrir
• ? suffisamment de liberté (ouverture) doit être
  accordée.

85
Some practical recommendations
86
Plan

• Problématique et concepts de base
• Types de risques intelligence économique,
   catastrophes , sécurité des systèmes
  informatiques
• Eléments méthodologiques
• Techniques de base chiffrement, signature,
  certificats, authentification
• Outils pour la sécurité pare-feux, analyseurs
  de trafic, testeurs de réseaux
• Sécurisation des réseaux VLAN, IPsecure, VPN
• Discussion
• Conclusion

87
Conclusion

• Sécurité bon sens sensibilisation un peu de
  technique
• Il existe des outils puissants mais aussi
  beaucoup de trous de sécurité
• IP secure, VLAN, VPN, IDS, pare-feux, DLP, etc.
• Le facteur humain est central
• Complexification  entreprise ouverte ,
  externalisation,  cloudification ,  advanced
  persistent threats (APT) 
• Nécessité dune prise en compte globale au niveau
  de lentreprise