S - PowerPoint PPT Presentation

1 / 87
About This Presentation
Title:

S

Description:

... implemented by the messages the FW is the single access point = authentication + monitoring site a set of flow rules allows ... de trafic, testeurs de ... – PowerPoint PPT presentation

Number of Views:165
Avg rating:3.0/5.0
Slides: 88
Provided by: Lionel48
Category:
Tags: rules | trafic

less

Transcript and Presenter's Notes

Title: S


1
Sécurité des systèmesinformatiques
répartisLionel BrunieInstitut National des
Sciences Appliquées de LyonLionel.Brunie_at_insa-lyo
n.fr
http//liris.cnrs.fr/lionel.brunie/version-francai
se/cours-securite.html
2
Plan
  • Problématique et concepts de base
  • Types de risques intelligence économique,
     catastrophes , ,  piratage  sécurité des
    systèmes informatiques
  • Eléments méthodologiques
  • Techniques de base chiffrement, signature,
    certificats, authentification
  • Outils pour la sécurité pare-feux, analyseurs
    de trafic, testeurs de réseaux
  • Sécurisation des réseaux VLAN, Ipsecure, VPN
  • Discussion
  • Conclusion

3
Objectifs du cours
  • A l issue de ce cours, vous ne  saurez  pas
    grand chose -(
  • Mais vous aurez des idées (parfois précises) sur
    beaucoup de choses -)
  • Objectifs du cours
  • Introduction/sensibilisation à la problématique
    de la sécurité
  • panorama des différentes composantes de cette
    problématique
  • identification et maîtrise des concepts et
    techniques de base
  • La vie après ce cours
  • (ré-)étudier les  grands  algorithmes de
    cryptage et protocoles dauthentification/PKI/
  • en attendant la suite du cours sur les attaques
    réseaux, étudier quelques documents de
    recommandation pour administrateurs
  • étudier les technologies de sécurisation réseau
    IPsec, VLAN, VPN
  • étudier des méthodes danalyse de risques
  • why not ? Procédures de tolérance aux
    catastrophes, survivabilité, gestion de la
    confiance, mécanismes de réputation,  security
    patterns , marché des PKI, etc.

4
Plan
  • Problématique et principes de base
  • Types de risques intelligence économique,
     catastrophes , sécurité des systèmes
    informatiques
  • Eléments méthodologiques
  • Techniques de base chiffrement, signature,
    certificats, authentification
  • Outils pour la sécurité pare-feux, analyseurs
    de trafic, testeurs de réseaux
  • Sécurisation des réseaux VLAN, Ipsecure, VPN
  • Discussion
  • Conclusion

5
Problématique
  • Lentreprise évolue dans un milieu  hostile 
  • concurrence économique espionnage économique
  • gestion de ressources humaines ( traîtres 
    internes ingénierie sociale)
  • vandalisme ( pirates )
  • catastrophes climatiques inondations, feux,
    tempêtes, tremblements de Terre
  • environnement politique actes de guerre, actes
    terroristes
  • non-fiabilité des systèmes et logiciels
    informatiques
  • Mise en place indispensable dune politique de
    prise en compte des risques et de sécurisation du
    SI

6
Conséquences des risques
  • Panne/Arrêt
  • Diminution de la qualité de service
  • Perturbation interne de lentreprise
  • Perte dimage
  • Retard de la mise sur le marché dun produit
  • Fuite de technologie
  • ...

7
Prise en compte des risques
  • Evaluation des risques et de leur impact
  • Evaluation des coûts de prise en charge
  • 3 approches
  • ne rien faire protection trop chère pour le
    risque encouru
  • sassurer (prendre une police dassurance)
  • se protéger (attacher sa ceinture)

8
Classification des données/risques
  • Données vitales logiciels clefs, plans de
    reprise, données  maîtresses , données dE/S
    critiques
  • Données essentielles logs, historiques
  • Données importantes documentations, données de
    test
  • Données utiles quoique

9
Quelques principes de base (I)
  • Mettre en place une politique globale de gestion
    des risques
  • Séparer les fonctions
  • Minimiser les privilèges
  • Centraliser les changements
  • Cerner les IHM - Contrôler et filtrer les E/S
  • Mettre en place des plans de sauvegarde et de
    reprise

10
Quelques principes de base (II)
  • Cibler les éléments vitaux/essentiels
  • Utiliser des techniques de conception et de
    programmation standardisées
  • Monitorer lensemble des éléments de lentreprise
    systèmes informatiques, réseaux, personnel
    (traçabilité)
  • Informer et former les personnels

11
Plan
  • Problématique et principes de base
  • Types de risques intelligence économique,
     catastrophes , sécurité des systèmes
    informatiques
  • Eléments méthodologiques
  • Techniques de base chiffrement, signature,
    certificats, authentification
  • Outils pour la sécurité pare-feux, analyseurs
    de trafic, testeurs de réseaux
  • Sécurisation des réseaux VLAN, Ipsecure, VPN
  • Discussion
  • Conclusion

12
Intelligence économique la nouvelle frontière
de lespionnage
  • Cest la réalité
  • Système informatique protection classique
  • Cibler les données stratégiques
  • Point central les ressources humaines
  • Et si ca arrive ?

13
Tolérance aux catastrophes
  • Plan de sauvegarde / plan de reprise
  • Tout-tout-tout planifier !
  • Le responsable informatique nest quun des
    maillons la gestion de catastrophes dépend
    directement de la DG
  • Sauvegarde des données
  • Sauvegarde des logiciels
  • Procédures de reprise/informatique
  • site de secours
  • données de secours
  • procédure de reprise
  • rôle des personnes
  • simulations grandeur réelle

14
 Piratage 
  • Contrairement aux idées reçues, les  attaques 
    viennent très majoritairement de l intérieur 
  • Attaques  pures  vs spam
  • Déplacement du piratage  pour le fun  vers du
    piratage organisé voire mafieux
  • Ex  location de botnets 

15
 Attaques terroristes  Cyber-guerre 
  • Ce sont les  buzzwords  du moment
  • Lépisode de la guerre en Géorgie
  • Lépisode balte
  • Infrastucture informatique dun pays composante
    stratégique
  • Communications lune des clefs du succès
    militaire

16
Sécurité des systèmes informatiques propriétés
OSI (I)
  • Authentification
  • authentification de lentité homologue
  • authentification de lorigine des données
  • Contrôle daccès / droits (autorisations)
  • Confidentialité des données
  • en mode connecté
  • en mode non-connecté
  • sur des champs spécifiques
  • flux de données (observation)

17
Sécurité des systèmes informatiques propriétés
OSI (II)
  • Intégrité des données
  • mode non-connecté (contrôle des données) / mode
    connecté (données ordre messages)
  • avec reprise/sans reprise
  • globale/par champ
  • Non-répudiation (traçabilité)
  • avec preuve de lorigine
  • avec preuve de la remise
  • Protection contre lanalyse du trafic

18
Sécurité des systèmes informatiques CIA Triad 
  • Confidentialité
  • Intégrité
  • Availability (Disponibilité)

19
Plan
  • Problématique et principes de base
  • Types de risques intelligence économique,
     catastrophes , sécurité des systèmes
    informatiques
  • Eléments méthodologiques
  • Techniques de base chiffrement, signature,
    certificats, authentification
  • Outils pour la sécurité pare-feux, analyseurs
    de trafic, testeurs de réseaux
  • Sécurisation des réseaux VLAN, Ipsecure, VPN
  • Discussion
  • Conclusion

20
Système de management de la sécurité de
linformation (SMSI)
  • Un SMSI est un ensemble déléments permettant à
    un organisme détablir une politique et des
    objectifs en matière de sécurité de
    linformation, dappliquer cette politique,
    datteindre ces objectifs et de le contrôler
  • Le SMSI inclut donc au minimum
  • documentations
  • méthode danalyse des risques
  • processus de sécurité mis en œuvre
  • responsabilités
  • ressources
  • monitoring des activités liées à la sécurité
  • liste documentée des évolutions apportées
  • Exemples de norme ISO 27002 (ex 17799 bonnes
    pratiques), 13335 (management sécurité), 15408
    (évaluation/certification sécurité)
  • Modèle PDCA Plan-Do-Check-Act (roue de Deming)
    planifier-mettre en œuvre-surveiller-améliorer

21
Echelle de risque
Exemple nucléaire
Source DCSSI
22
Echelle de risque dans les SI
Source DCSSI
23
Règles de défense (ANSSI)
24
Méthodologies
  • Objectifs principaux
  • Disponibilité
  • Intégrité
  • Confidentialité
  • Preuve
  • Politique de sécurité
  • Méthodes danalyse de risques. Exemples
  • EBIOS Expression des Besoins et Identification
    des Objectifs de Sécurité (DCSSI)
  • Mehari (CLUSIF)

25
Elaboration dune politique de sécurité dun SI
(PSSI) (ANSSI)
  • CONVENTIONS D'ÉCRITURE
  • PHASE 0 PRÉALABLES
  • Tâche 1 organisation projet
  • Tâche 2 constitution du référentiel
  • PHASE 1 ÉLABORATION DES ÉLÉMENTS STRATÉGIQUES
  • Tâche 1 définition du périmètre de la PSSI
  • Tâche 2 détermination des enjeux et
    orientations stratégiques
  • Tâche 3 prise en compte des aspects légaux et
    réglementaires
  • Tâche 4 élaboration d'une échelle de besoins
  • Tâche 5 expression des besoins de sécurité
  • Tâche 6 identification des origines des menaces
  • PHASE 2 SÉLECTION DES PRINCIPES ET RÉDACTION
    DES RÈGLES
  • Tâche 1 choix des principes de sécurité
  • Tâche 2 élaboration des règles de sécurité
  • Tâche 3 élaboration des notes de synthèse

26
Analyse de risques EBIOS (I)
Origines des attaques
Vulnérabilités
Impacts
Entités
Eléments
Objectifs de sécurité
Exigences dassurance
Exigences fonctionnelles
27
EBIOS (II)
  • ÉTAPE 1 ÉTUDE DU CONTEXTE
  • ACTIVITÉ 1.1 ÉTUDE DE L'ORGANISME
  • ACTIVITÉ 1.2 ÉTUDE DU SYSTÈME-CIBLE
  • ACTIVITÉ 1.3 DÉTERMINATION DE LA CIBLE DE
    L'ÉTUDE DE SÉCURITÉ
  • ÉTAPE 2 EXPRESSION DES BESOINS DE SÉCURITÉ
  • ACTIVITÉ 2.1 RÉALISATION DES FICHES DE BESOINS
  • ACTIVITÉ 2.2 SYNTHÈSE DES BESOINS DE SÉCURITÉ
  • ÉTAPE 3 ÉTUDE DES MENACES
  • ACTIVITÉ 3.1 ÉTUDE DES ORIGINES DES MENACES
  • ACTIVITÉ 3.2 ÉTUDE DES VULNÉRABILITÉS
  • ACTIVITÉ 3.3 FORMALISATION DES MENACES
  • ÉTAPE 4 IDENTIFICATION DES OBJECTIFS DE
    SÉCURITÉ
  • ACTIVITÉ 4.1 CONFRONTATION DES MENACES AUX
    BESOINS
  • ACTIVITÉ 4.2 FORMALISATION DES OBJECTIFS DE
    SÉCURITÉ

28
Plan
  • Problématique et principes de base
  • Types de risques intelligence économique,
     catastrophes , sécurité des systèmes
    informatiques
  • Eléments méthodologiques
  • Techniques de base chiffrement, signature,
    certificats, authentification
  • Outils pour la sécurité pare-feux, analyseurs
    de trafic, testeurs de réseaux
  • Sécurisation des réseaux VLAN, Ipsecure, VPN
  • Discussion
  • Conclusion

29
Techniques de base
  • Chiffrement
  • Authentification
  • Signature numérique
  • Contrôle daccès

30
Chiffrement (I)
  • Cryptographie (écriture cachée) ? Stéganographie
    (écriture couverte)
  • Stéganographie tête des esclaves, Lord Bacon
    (codage binaire de caractères cachés), tatouage
    images (filigranes)
  • Cryptographie depuis lAntiquité (César
    (alphabet décalé))
  • Techniques de base
  • décalages
  • substitutions mono(poly)alphabétiques
  • transpositions (permutations) arbitraires
  • chiffrement par blocs de bits
  • Cf. cours Marine Minier
  • Cf. présentation Stefan Katzenbeisser
    Large-Scale Secure Forensic Watermarking --
    Challenges and Solutions (colloque MDPS 2008)
    (et son livre Information hiding techniques
    for steganography and digital watermarking)

31
Un peu de culture (I)...
  • George SAND
  • Je suis très émue de vous dire que j'ai bien
    compris l'autre soir que vous aviez toujours une
    envie folle de me faire danser. Je garde le
    souvenir de votre baiser et je voudrais bien que
    ce soit là une preuve que je puisse être aimée
    par vous. Je suis prête à vous montrer mon
    affection toute désintéressée et sans cal- cul,
    et si vous voulez me voir aussi vous dévoiler
    sans artifice mon âme toute nue, venez me faire
    une visite. Nous causerons en amis, franchement.
    Je vous prouverai que je suis la femme sincère,
    capable de vous offrir l'affection la plus
    profonde comme la plus étroite en amitié, en un
    mot la meilleure preuve que vous puissiez rêver,
    puisque votre âme est libre. Pensez que la
    solitude oú j'ha- bite est bien longue, bien
    dure et souvent difficile. Ainsi en y songeant
    j'ai l'âme grosse. Accourrez donc vite et venez
    me la faire oublier par l'amour où je veux me
    mettre.

32
Un peu de culture (II)...
  • Réponse d'Alfred de MUSSET
  • Quand je mets à vos pieds un éternel hommage
    Voulez-vous qu'un instant je change de visage ?
    Vous avez capturé les sentiments d'un cœur Que
    pour vous adorer forma le Créateur. Je vous
    chéris, amour, et ma plume en délire Couche sur
    le papier ce que je n'ose dire. Avec soin, de
    mes vers lisez les premiers mots Vous saurez
    quel remède apporter à mes maux.
  • Réponse finale de George SAND
  • Cette insigne faveur que votre cœur réclame
    Nuit à ma renommée et répugne mon âme.
  • Voir aussi Sade...

33
Encore un peu de culture (Bacon)
  • C'est l'essaim des Djinns qui passe,Et
    tourbillonne en sifflant.Les ifs, que leur vol
    fracasse,Craquent comme un pin brûlant.Leur
    troupeau lourd et rapide,Volant dans l'espace
    vide,Semble un nuage livideQui porte un éclair
    au flanc.
  • Victor Hugo

34
Chiffrement (II)
  • Chiffrement à clef secrète. Ex le Data
    Encryption Standard (DES) (IBM, 1975)
  • permutations classiques
  • permutations avec expansion
  • permutations avec réduction
  • substitutions
  • additions modulo 2 (OU exclusif)

35
Chiffrement (III)
  • Chiffrement à clef publique/clef privée
    l algorithme de Rivest, Shamir et Adleman (RSA)
  • problèmes arithmétiques NP-difficiles
  • génération de 2 clefs une clef publique et une
    clef privée
  • lexpéditeur code le message avec la clef
    publique du destinataire
  • le message codé ne peut être décodé que si lon
    dispose de la clef privée
  • ou codage clef privée expéditeur clef
    publique destinataire puis double décodage
  • déduction de la clef privée à partir de la clef
    publique irréalisable dans un temps acceptable
  • Application challenge-réponse
  • RSA fonction puissance et arithmétique finie
    (factorisation de grands nombres)

36
Chiffrement (IV)
Authentification et confidentialité
From Chassande-Daroux
37
Echange de données à laide de clefs publiques
1) F demande la Clé Publique de D
2) S envoie la Clé Publique de D à F
Serveur dauthentification Annuaire (Clefs
Publiques de F D)
3) F génère un nombre aléatoire, IdF, et lance un
challenge à D Décrypte
mon message M1(IdF) crypté avec ta clef publique
et renvoie IdF pour me le prouver !
4) D décrypte M1 et demande à S la Clé Publique
de F
S
5) S envoie la Clé Publique de F à D
4
6) A son tour D lance un challenge à F
Décrypte mon message M2(IdF, IdD) crypté avec ta
clef pub. et renvoie IdD !
5
3 M1
7) F décrypte M2 et renvoie M3(IdD) à D pour lui
montrer quil y est arrivé
6 M2
7 M3
8) F et D peuvent maintenant dialoguer,
éventuellement en créant une Clé de session
privée à partir de (IdF, IdD)
8
From Chassande-Daroux
38
Echange de données à laide dune clef secrète
(I)Protocole de Needham Schroeder(simplifié)
1) F demande une Clef de Session pour pouvoir
parler avec D
2) S envoie à F le message M1 crypté
par
la Clef Secrète de F M1 CSFD
(CSFD)CPDCPF où CPF (resp. CPD) clef secrète
(privée) de F (resp. D) et CSFD clef de session
Serveur dauthentification Annuaire (Clés
Secrètes de F D)
3) F décrypte M1 et lance un challenge à D
Décrypte le message M2(CSFD)CPD et renvoie un
Id crypté par CSFD
S
4) D décrypte M2 et lance un challenge à F
Décrypte mon message M3(Id)CSFD et renvoie
Id-1
5) F décrypte M3 et renvoie M4(Id-1)CSFD
6) F et D, sûrs lun de lautre, peuvent
désormais senvoyer des messages avec la Clef de
Session CSFD
From Chassande-Daroux
39
Echange de données à laide dune clef secrète
(II)Protocole de Needham Schroeder
Serveur dauthentification Annuaire (Clés
Secrètes de F D)
Attention protocole sensible aux attaques de
type Rejeu si la clef de session est
compromise, un attaquant peut rejouer  le
challenge sans que D ne puisse sen rendre
compte. Solution estampille ou Id unique
( nonce )
S
From Chassande-Daroux
40
Signature numérique et certificats (1/2)
  • Les certificats sont délivrés par des autorités
    de certification
  • Champs de base dun certificat
  • clef publique du propriétaire
  • nom propriétaire
  • TTL (date limite de validité)
  • nom de lautorité
  • n de série du certificat
  • signature de lautorité de certification (et algo
    de signature utilisé)
  • Document haché (empreinte (SHA, Whirlpool)) puis
    encrypté avec la clef privée du
    propriétaire-signataire gt signature
  • Authentification comparaison des empreintes
  • Certificat dun acteur réseau nom, clef
    publique pour léchange de clefs, clef publique
    pour la signature, n, infos autres, TTL,
    signature de lautorité
  • Standard UIT X509
  • Infrastructures de clefs publiques (PKI) PGP/GPG

41
Signature numérique et certificats 2/2)
M message KB, KB- clef publique/privée de
B KA, KA- clef publique/privée de A H
fonction de hachage
From Lucas Bouillot, 5IF
42
PKI (Mauvais !)Exemple
Rqs préférable AC pas sur Internet !
Source sécuritéinfo
43
IGC - PKI
  • Entité Finale (EE  End Entity)
  • Autorité/opérateur de Certification (AC ou CA) -
    Service de validation
  • Délivre et signe des certificats
  • Joue le rôle de tiers de confiance
  • Opérateur de certification travaille par
    délégation de lAC
  • Service de validation vérification des
    certificats, via, par ex., la publication de
    listes de révocation (CRL Cert. Revoc. List))
  • Autorité d'Enregistrement (AE ou RA)
  • Réception et traitement des demandes de création,
    renouvellement, révocation de certificats
  • Autorité de Dépôt (Repository) /Annuaire de
    publication
  • Affichage des certificats et des listes de
    révocation
  • Autorité de Séquestre
  • Archivage des couples de clefs privée/publique
    (cf. perte clef privée gt données cryptées
    perdues)
  • Sécurité nationale obligations légales
  • Certification croisée/hiérarchique

44
Authentification Kerberos
  • DES based
  • Init connexion (mdp ou non), récupération clef
    de session Kg et ticket (avec TTL) (encrypté avec
    mdp) envoi dune copie de la clef de session au
    Ticket granting server (TGS) (cryptage clef
    partagée par Kerberos et TGS)
  • Accès service requête au TGS (ticket, nom du
    service, paramètres service) cryptée clef de
    session Kg si OK, retour par le TGS d un
    ticket de service encrypté avec une clef partagée
    Kp par le TGS avec le serveur clef de session
    spécifique Ks le tout est crypté par la clef de
    session globale Kg enfin, envoi par
    lutilisateur au service du ticket de service
    (contenant Ks) encrypté par Kp authentificateur
    (estampille...) crypté avec Ks
  • Envoi des données cryptage avec Ks.
  • Rq il existe beaucoup de variantes !!!

45
Protocole Kerberos simplifié
 Kerberos  Serveur de clefs Ktgs clef
partagée Kerberos/TGS Kg clef de session entre
client et TGS
1- connexion (mdp)
client
TGS
Kerberos
2- Kgmdp
2- KgKtgs
5- ticketKp authKs
3- reqKg
4 - ticketKp KsKg
Serveur
ticket contient Ks Ks clef de session
client/serveur Kp clef partagée TGS/serveur
6- récupération Ks vérif auth
46
Protocole Kerberos (un peu moins) simplifié
 Kerberos  Serveur de clefs Kc clef
partagée Kerberos/client Ktgs clef partagée
Kerberos/TGS Kg clef de session entre client et
TGS
ticket1 contient Kg ticket2 contient Ks Ks
clef de session client/serveur Kp clef partagée
TGS/serveur
1- connexion (mdp) req
client
TGS
Kerberos
2- Kg ticket1KtgsKc
5- ticket2Kp authKs
3- ticket1Ktgs
4 - ticket2Kp KsKg
Serveur
6- récupération Ks vérif auth
47
Plan
  • Problématique et principes de base
  • Types de risques intelligence économique,
     catastrophes , sécurité des systèmes
    informatiques
  • Eléments méthodologiques
  • Techniques de base chiffrement, signature,
    certificats, authentification
  • Outils pour la sécurité pare-feux, analyseurs
    de trafic, testeurs de réseaux
  • Sécurisation des réseaux VLAN, Ipsecure, VPN
  • Discussion
  • Conclusion

48
Firewalls usage
  • Data encryption
  • Access control usage restriction on some
    protocols/ports/services
  • Authentication only authorized users and hosts
    (machines)
  • Monitoring for further auditing
  • Packet filtering
  • Compliance with the specified protocols
  • Virus detection
  • Isolation of the internal network from the
    Internet
  • Connection proxies (masking of the internal
    network)
  • Application proxies (masking of the  real 
    software)

49
Firewalls basics
  • All packets exchanged between the internal and
    the external domains go through the FW that acts
    as a gatekeeper
  • external hosts  see  the FW only
  • internal and external hosts do not communicate
    directly
  • the FW can take very sophisticated decisions
    based on the protocol implemented by the messages
  • the FW is the single access point gt
    authentication monitoring site
  • a set of flow rules allows decision taking

50
Firewalls architecture (I)
servers
Interior router
Exterior router
Internal network
Outside world
Firewall
DMZ (DeMilitarized Zone)
51
Firewalls architecture (I-bis)
servers
Interior screening router
Exterior screening router
Internal network
Outside world
DMZ
Screening router router which includes a FW
52
Firewalls architecture (II) merging exterior
and interior FW
servers
DMZ
Exterior/Interior Firewall
Outside world
Internal network
53
Firewalls architecture (III) merging exterior
FW and servers
External Firewall servers
Internal Firewall
Outside world
Internal network
DMZ
Bof
54
Firewalls architecture (IV) managing multiple
subnetworks
servers
Firewall
Internal subnetwork A
Exterior Firewall
Interior Firewall
Outside world
Firewall
Backbone
Internal subnetwork B
DMZ
55
Firewalls architecture (IV-bis) managing
multiple subnetworks
servers
DMZ
Firewall
Internal subnetwork A
Exterior/Interior Firewall
Outside world
Firewall
Backbone
Internal subnetwork B
56
Firewalls architecture (V) managing multiple
exterior FW
E.g. supplier network
Exterior Firewall A
Exterior Firewall B
Interior Firewall
Internal network
Internet
servers
DMZ
57
Firewalls architecture (VI) managing multiple
DMZ
E.g. supplier network
DMZ A
Interior Firewall A
Exterior Firewall A
Servers A
DMZ B
Internal network
Interior Firewall B
Exterior Firewall B
Servers B
Internet
58
Firewalls architecture (VI-bis) managing
multiple DMZ
Servers A
E.g. supplier network
DMZ A
Exterior/Interior Firewall A
Servers B
DMZ B
Internal network
Exterior/Interior Firewall B
Internet
59
Firewalls architecture (VII) internal FW
servers
Internal network
Interior Firewall
Exterior Firewall
Sensitive area Firewall
Outside world
DMZ
Sensitive area
60
Firewalls architecture (VII-bis) internal FW
servers
Internal network
DMZ
Exterior/Interior Firewall
Sensitive area Firewall
Outside world
Sensitive area
61
Firewalls some recommendations
  • Bastion hosts
  • better to put the bastions in a DMZ than in an
    internal network
  • disable non-required services
  • do not allow user accounts
  • fix all OS bugs
  • safeguard the logs
  • run a security audit
  • do secure backups
  • Avoid to put in the same area entities which have
    very different security requirements

62
Using proxies (I)
  • Proxies can be used to  hide  the real servers
  • Interior gt Exterior traffic
  • Give the internal user the illusion that she/he
    accesses to the exterior server
  • But intercept the traffic to/from the server,
    analyze the packets (check the compliance with
    the protocol, search for keywords, etc.), log the
    requests
  • Exterior gt Interior traffic
  • Give the external user the illusion that she/he
    accesses to the interior server
  • But intercept the traffic to the server, analyze
    the packets (check the compliance with the
    protocol, search for keywords, etc.), log the
    requests

63
Using proxies (II)
  • Advantage
  • knowledge of the service/protocol gt efficiency
    and  intelligent  filtering
  • Ex session tracking, stateful connection
  • Disadvantages
  • one proxy per service !
  • may require modifications of the client
  • do not exist for all services

64
Static Network Address Translation (NAT) (I)
xxx.xxx.xxx.xxx
yyy.yyy.yyy.yyy
xxx.xxx.xxx.xxx
yyy.yyy.yyy.yyy
xxx.xxx.xxx.xxx
Internal network
From Arkoon Inc. tutorial
65
Static Network Address Translation (NAT) (II)
  • The FW maintains an address translation table
  • The FW transforms address xxx.xxx.xxx.xxx into
    yyy.yyy.yyy.yyy in the field  source address 
  • The FW transforms address yyy.yyy.yyy.yyy into
    address xxx.xxx.xxx.xxx in the field
     destination address 
  • This operation is transparent for both the
    exterior and the interior hosts

66
Applications
  • Non TCP/UDP based protocols
  • Pre-defined partnership addresses
  • Web server, mail.(traffic to Internet)
  • Application server (hidden behind a FW)
  • Host known/authenticated outside with a specific
    address

67
PAT Port Address Translation (I)
Port 2033
Port 80
Internal network
From Arkoon Inc. tutorial
68
PAT Port Address Translation (II)
  • Connections are open from an exterior host
  • Translation table
  • Use of lesser public addresses
  • Flexible management of server ports

69
PAT Port Address Translation (III)
U?P80
FW, _at_IP 'P'
U ? IP180
P80 ? U
IP180 ? U
U ? P81
Web server
Web server
U ? IP280
_at_IP1, port 80
P8 ? U
user, _at_IP'U'
IP280 ? U
Web server
Translation Table _at_IP  P  port 80 ? _at_IP1 port
80 port 81 ? _at_IP2 port 80
_at_IP2, port 80
Internal network
From Arkoon Inc. tutorial
70
Masking (I)
Internal network
From Arkoon Inc. tutorial
71
Masking (II)
  • Connections are open by internal hosts
  • Dynamic connection table (IP address source
    port number)
  • One single address is known outside (the FW
    address)
  • Spare IP addresses

72
FW, _at_IP 'M'
Arkoon, _at_IP 'M'
M10000-gtW
11025-gtW
W-gtM10000
W-gt11025
M10001-gtW
21025-gtW
W-gtM10001
W-gt21025
M10000-gtW2
21026-gtW2
W2-gtM10000
W2-gt21026
user
_at_IP2
_at_IP2
Translation table _at_IP  M  11025(10000)-gtW 2102
5(10001)-gtW 21026(10000)-gtW2
Web server
Internal network
_at_IP 'W2'
From Arkoon Inc. tutorial
73
Hacking and security tools (I)
  • Network auditing (probing)
  • Checks if the network presents security
    weaknesses (accessible ports, badly configured
    services, etc.)
  • Network/Host Intrusion Detection Systems
    (NIDS/HIDS)
  • NIDS can be put before the FW, on the DMZ, on the
    internal network
  • NIDS are based on intrusion signatures and
    statistics (abnormal behavior)
  • HIDS on sensitive hosts e.g. bastions,
    application servers

74
Hacking and security tools (II)
  • Sniffers traffic snooping
  • Packet filtering tools
  • Proxy service tools
  • Firewall toolkits
  • Reference sites CERT (CMU), COAST (Perdue
    Univ.), UREC (French, CNRS), CRU (French, MEN)

75
Plan
  • Problématique et concepts de base
  • Types de risques intelligence économique,
     catastrophes , sécurité des systèmes
    informatiques
  • Techniques de base chiffrement, signature,
    certificats, authentification
  • Outils pour la sécurité pare-feux, analyseurs
    de trafic, testeurs de réseaux
  • Eléments méthodologiques
  • Sécurisation des réseaux VLAN, Ipsecure, VPN
  • Discussion
  • Conclusion

76
Réseaux virtuels (VLAN)
  • Limiter les domaines de diffusion - Gestion de la
    bande passante
  • Garantir la sécurité isolation
  • Permettre la mobilité des utilisateurs
  • Idée créer des réseaux logiques
  • VLAN niveau 1 (physique) Port Based VLAN
  • ensemble de ports physiques (commutateurs
    (switches))/segments ( trunks liaisons entre
    commutateurs/routeurs)
  • VLAN niveau 2 (liaison) MAC Address Based VLAN
  • ensemble dadresses MAC
  • VLAN niveau 3 (réseau)
  • ensemble dadresse IP Network Address Based
    VLAN
  • filtrage de protocoles Protocol Based VLAN
  • VLAN de niveau supérieur
  • fondé sur des règles (ex login)
  • fondé sur un type de protocole de niveau
    supérieur (ex h323)
  • Les commutateurs (switches) doivent être
    compatibles
  • Tagging modification de len-tête des
    paquets (norme 802.1Q)

77
IPsec(ure)
  • Internet Security protocol, intégré à IPv6
  • Objectifs sécuriser les trames IP
  • Confidentialité des données et protection
    partielle contre l'analyse du trafic
  • Intégrité des données
  • Authentification des données et contrôle d'accès
    continu
  • Protection contre le rejeu
  • Principes ajout de champs dauthentification
    dans len-tête IP, cryptage des données, hachage
    dintégrité
  • 2 modes
  • Transport sécurité de bout en bout (jusquaux
    hôtes)
  • Tunnel sécurité entre les 2 domaines
  • Avantage sécurisation niveau réseau (couche OSI
    3)
  • Inconvénients coût, interfaces complexes avec
    les autres protocoles
  • IPsec peur être utilisé pour créer des VPN

78
Réseaux Privés Virtuels (VPN) (I)
  • Interconnexion de LANs distribués via des
     tunnels  au-dessus dune infrastructure
    partagée (typiquement Internet ou un réseau
    opérateur)
  • Alternative à une ligne louée ( spécialisée
    LS )
  • Cryptage des donnés, authentification, contrôle
    dintégrité
  • Protocoles mis en œuvre IPsec, PPTP (Point to
    point Tunneling Protocol), SSL/TLS
  • Principe de base les packets sont cryptés au
    moment à leur sortie du LAN source et décryptés à
    leur entrée dans le LAN destination

79
Réseaux Privés Virtuels (VPN) (II)
  • Mobilité
  • les utilisateurs/collaborateurs connectés à
    Internet par modem/FAI peuvent accéder au VPN
    client VPN client sur leur machine attribution
    dynamique dune adresse locale au VPN
  • Avantages
  • transparence
  • sécurité
  • coût
  • disponibilité dInternet
  • Inconvénient
  • tous les LANs doivent être sécurisés (sécurité
    globale)
  • infrastructure physique partagée gt qualité de
    service/performances moindres quune LS

80
 Data Loss Prevention (DLP) Enterprise Right
Management (ERM)  Identity and Access
Management  (IAM)
  • Monitoring des échanges dinformation sensibles
    (ex échanges de courriels, clefs USB) et
    limitation de laccès à une information sensible
    dans un périmètre défini
  • 3 grandes fonctionnalités
  • Network DLP (Data in Motion, DiM)
  • Storage DLP (Data at Rest, DaR)
  • Endpoint DLP (protecting Data in Use, DiU)
  • Techniques mises en œuvre
  • analyse statistique (ex bayésienne) du
    contenu/des données
  • Analyse des transactions (source, destination,
    heure, etc.) à linstar des pare-feux/IDS
  • Problèmes
  • faux positifs / faux négatifs
  • transformation des données avant envoi
  • prise en compte des processus métier complexe
  • Liens avec l  Enterprise Right Management
    (ERM)  et l Identity and Access Management 
    (IAM)

81
Plan
  • Problématique et concepts de base
  • Types de risques intelligence économique,
     catastrophes , sécurité des systèmes
    informatiques
  • Eléments méthodologiques
  • Techniques de base chiffrement, signature,
    certificats, authentification
  • Outils pour la sécurité pare-feux, analyseurs
    de trafic, testeurs de réseaux
  • Sécurisation des réseaux VLAN, Ipsecure, VPN
  • Discussion
  • Conclusion

82
Politique de sécurité finalités
(recommandations de lANSSI)
  • Sensibiliser aux risques pesant sur les systèmes
    d'information et aux moyens disponibles pour s'en
    prémunir
  • Créer une structure chargée d'élaborer, de mettre
    en œuvre des règles, consignes et procédures
    cohérentes pour assurer la sécurité des systèmes
    informatiques
  • Promouvoir la coopération entre les différents
    services et unités de l'établissement pour
    l'élaboration et la mise en œuvre des règles,
    consignes et procédures définies
  • Susciter la confiance dans le système
    d'information de l'établissement
  • Faciliter la mise au point et l'usage du système
    d'information pour tous les utilisateurs
    autorisés de l'établissement

83
Rien ne sert (CRU)
  • de se payer un super coffre-fort pour protéger
    quelques pacotilles et de laisser l'accès libre à
    une cave emplies de grands crus classés !
  • ? on se trompe d'objectif
  • ? on se sait pas ce qu'il faut réellement
    protéger
  • de construire des remparts à la Vauban pour se
    protéger de l'aviation !
  • ? cela montre que l'on ne sait pas d'où peuvent
    venir les attaques
  • d'utiliser un marteau pilon pour écraser une
    mouche !
  • ? disproportion des moyens avec ce qu'il faut
    protéger
  • ? la sécurité doit avoir un coût raisonnable

84
Rien ne sert (suite)
  • d'acheter une super porte blindée et d'oublier de
    fermer la fenêtre !
  • ? la sécurité est une chaîne si un maillon est
    faible tout casse
  • ? une cohérence doit être assurée
  • ? et surtout la sécurité doit être vue
    globalement
  • d'employer un (et un seul) gourou prêchant des
    formules secrètes et de contraindre les enfants
    à assister aux offices
  • ? la sécurité doit être simple et comprise (un
    minimum) par tous
  • ? la convivialité ne doit pas trop en souffrir
  • ? suffisamment de liberté (ouverture) doit être
    accordée.

85
Some practical recommendations
86
Plan
  • Problématique et concepts de base
  • Types de risques intelligence économique,
     catastrophes , sécurité des systèmes
    informatiques
  • Eléments méthodologiques
  • Techniques de base chiffrement, signature,
    certificats, authentification
  • Outils pour la sécurité pare-feux, analyseurs
    de trafic, testeurs de réseaux
  • Sécurisation des réseaux VLAN, IPsecure, VPN
  • Discussion
  • Conclusion

87
Conclusion
  • Sécurité bon sens sensibilisation un peu de
    technique
  • Il existe des outils puissants mais aussi
    beaucoup de trous de sécurité
  • IP secure, VLAN, VPN, IDS, pare-feux, DLP, etc.
  • Le facteur humain est central
  • Complexification  entreprise ouverte ,
    externalisation,  cloudification ,  advanced
    persistent threats (APT) 
  • Nécessité dune prise en compte globale au niveau
    de lentreprise
Write a Comment
User Comments (0)
About PowerShow.com