S

1
État de lart de la sécurité informatique
Chapitre 1 La sécurité des réseaux
Auteurs
Stéphan GUIDARINI Consultant Senior Sébastien
DESSE Expert Réseaux et Sécurité
2
Programme
3
SommaireSécurité des Réseaux

• Généralités
• Administration
• Sécurité Niveau 1-3 (OSI)
• Firewall
• Relais applicatifs
• Détection dintrusions

4
Généralités

• Qu'est-ce que la sécurité d'un réseau ?
• La sécurité d'un réseau est un niveau de garantie
  que l'ensemble des machines du réseau
  fonctionnent de façon optimale et que les
  utilisateurs des dites machines possèdent
  uniquement les droits qui leur ont été octroyé.
• Il peut sagir
• d'empêcher des personnes non autorisées d'agir
  sur le système de façon malveillante
• d'empêcher les utilisateurs d'effectuer des
  opérations involontaires capables de nuire au
  système
• de sécuriser les données en prévoyant les pannes
• de garantir la non interruption d'un service

5
Généralités

• La sûreté de fonctionnement.
• L objectif du concepteur est la prévision de la
  capacité de survie du système la continuité de
  service
• Il y a deux approches avec des objectifs et des
  moyens différents
• la disponibilité comprend la fiabilité (pannes)
  et la maintenabilité (réparation)
• la crédibilité comprend l intégrité

6
Généralités

• La sûreté de fonctionnement (2)
• Les solutions sont essentiellement matérielles
• une redondance de tout ou partie des matériels
  actifs
• une redondance des liaisons télecoms des contrats
  de maintenance avec GTI et GTR
• pour des serveurs type Firewall, Proxy
  technologie RAID, SAN, CLUSTER
• Backup/Restore Operating System,
  configurations...

7
Administration

• Laccès aux équipements
• Physique
• Empêcher laccès physique aux équipements
• Bouton Marche/Arrêt
• Port console
• SNMP
• Éviter le classique public / private
• A désactiver si non utilisé
• De préférence dans un VLAN dadministration
• Faille de SNMP v2 publiée récemment
• Attendre impatiemment la généralisation de SNMPv3

8
Administration (2)

• Laccès aux équipements
• Telnet
• Mot de passe à choisir judicieusement !!
• Si possible utiliser des ACL pour filtrer les
  accès
• De préférence dans un VLAN dadministration
• Utiliser SSH
• Linterface Web
• A désactiver sur ce type déquipement
• Si nécessaire -gt VLAN dadministration
• Utiliser dun protocole dauthentification tel
  que RADUIS ou Kerberos si disponible

9
Administration (3)

• Un certain nombre de services actifs par défaut
  peuvent / doivent être désactivés
• Cest notamment le cas de lIOS de Cisco qui est
  dérivé dun Unix et qui a donc conservé un
  certain nombre de protocoles bien connus de ces
  environnement
• Echo
• Finger
• Bootp
• Et dautres
• DNS lookup
• IP source-routing (routeurs ou commutateurs L3)
• Directed-Broadcasts (routeurs ou commutateurs
  L3)
• CDP (cisco, mais implémenté sur dautres
  équipements)

10
Sécurité Niveau 1-gt3 (OSI)
11
Sécurité Niveau 1-2 (OSI)

• Généralités
• Niveau 1
• Concentrateurs
• Niveau 2
• Commutateurs
• Le cas du sans fil (WLAN)

12
Généralités

• Lidentité est ladresse MAC (IEEE)
• Identifiant unique (48bits)
• Peut être administrée localement
• Elle identifie mais nauthentifie pas

Adresse du Destinataire
Adresse de lexpéditeur
13
Généralités

• Les protocoles rencontrés sont
• ARP Address resolution protocol
• CDP Cisco Discovery protocol
• STP Spanning Tree Protocol 802.1d
• VLAN Virtual LAN 802.1q
• VTP VLAN Trunking Protocol (cisco)
• Unicast Frames
• Multicast Frames
• Broadcast Frames

14
Sécurité Niveau 1Concentrateurs

• Les concentrateurs (hub)
• Diffusion des flux à tous
• Il existe des mécanismes de bruitage
• Il existe des mécanismes de filtrage (MAC)
• ladresse peut être usurpée
• Induit une charge administrative importante
• Disparaissent naturellement
• Utiles pour les sondes de détection dintrusions

15
Sécurité Niveau 2Commutateurs

• Les commutateurs
• But premier Augmenter le nombre de domaines de
  broadcast en segmentant le réseau
• Crée des réseaux locaux en faisant abstraction
  de lorganisation physique des équipements
• Augmenter la sécurité des communications

16
Sécurité Niveau 2Commutateurs

• Les commutateurs sont la cible dattaques telles
  que
• ARP cache poisoning
• ARP/DHCP spoofing
• HSRP/VRRP spoofing
• STP/VTP attacks
• VLAN Jumping (ISL/DTP)

17
Sécurité Niveau 2Commutateurs

• ARP cache poisoning

18
Sécurité Niveau 2Commutateurs

• VLAN Jumping (ISL/DTP)
• Problème des VLAN
• Pas conçu pour faire de la sécurité mais permet
  de la renforcer
• Les commutateurs multi-layer sont des points
  faibles des infrastructures réseaux (attention
  aux mauvaises configurations)
• Attaques VLAN jumping (injection de frame
  802.1q) est possible si
• DTP (Dynamic Trunking Protocol) est activé
• Et si le port est dans le même VLAN que le
  native VLAN (VLAN 1 par défaut)

19
Sécurité Niveau 2Commutateurs

• Il existe des moyens de se protéger
• Ne pas utiliser le VLAN 1 (VLAN par Défaut)
• Filtrage des adresse MAC par port
• Cisco  port security  par exemple
• Activer le BPDU-Guard afin de filtrer le STP
• Désactive un port si un BPDU est reçu via
  celui-ci
• Limiter le taux de broadcast
• A affiner en fonction du type déquipement
  connecté sur le port
• HSRP
• Donner l_at_IP la plus élevée au routeur
  principal, la suivante au secondaire, etc
• Filtrer à laide dACL les flux HSRP entre
  équipement
• Les commutateurs niveau 2/3/4/5/6/7/.
• Concentrent en un seul point de nombreux
  problèmes de sécurité et sont donc à surveiller
  tout particulièrement

20
Sécurité Niveau 2Commutateurs

• Il existe des moyens de se protéger (2)
• Notion de Private VLAN
• Le segment devient  Multi-Access Non
  Broadcast 
• Des équipements dun même VLAN ne peuvent pas
  communiquer directement entre eux
• VTP (VLAN Trunking Protocol) - Cisco
• Ne pas laisser la configurartion par default
• Mode Server sans mot de passe
• Affecter un domaine et un mot de passe
• Server / Client / Transparent ?
• DTP (Dynamic Trunking Protocol)
• Les ports sont en mode auto par défaut
• Choisir le mode Off pour tous les port non
  utilisés pour des interconnections de commutateurs

21
Sécurité Niveau 2 Réseaux sans fil

• Infrarouge, Bluetooth, 802.1b,
• Infrarouge peu utilisé pour le réseau
• Bluetooth utilisé uniquement pour
  linterconnexion de périphériques
• 802.11(b)
• Le réseau ne sarrête pas à la porte de
  lentreprise
• Parking Visiteurs, rue
• Mettre en place un filtrage par _at_MAC
• Administration contraignante
• Il est possible dusurper une _at_MAC

22
Sécurité Niveau 2Réseaux sans fil

• 802.11 (b) ou (g)
• Les trames ne sont plus confinées dans un câble
  mais diffusées dans toute la pièce
• Tout le monde peut écouter (comme un hub)
• Mise en place de chiffrement
• WEP -gt souffre dun manque de maturité
• Facile à cracker (40 bits), 128 bits
• IPSec -gt contraignant
• Accès au réseau facilité
• Faiblesse des mécanismes dauthentification
• Vulnérable aux attaques du type Man in the
  Middle
• Utilisation WPA s'appuie sur la famille 802.1x
  et le protocole EAP (Extensible Authentification
  Protocol)

23
Sécurité Niveau 3 (OSI)

• Généralités
• Adressage privé
• Sécurité DHCP
• ICMP
• Les protocoles de routage
• Filtrage IP

24
Généralités

• Lidentité est ladresse IP (pour Internet)
• Identifiant de 32 bits
• Aisément modifiable / usurpation facile
• Identifie mais nauthentifie pas
• Nintègre aucun mécanisme de sécurité
• Les autres protocoles
• Confinés au sein de lentreprise
• Moins doutils de sécurisation à la disposition
  des administrateurs

25
Généralités (2)

• Les protocoles rencontrés sont
• IP ICMP
• RARP
• HSRP / VRRP (redondance déquipement)
• RIP, RIPv2, IGRP, EIGRP, OSPF, BGP,
• Paquets Unicast
• Paquets Multicast
• Paquets Broadcast

26
Ladressage privé

• Recommandations IANA RFC 1918.
• Les numéros de réseaux suivants ne sont pas
  routés sur lInternet
• Isolation naturelle de son trafic privé par
  rapport au trafic Internet
• Nécessite la présence dun translateur dadresses
  
• Network Address Translator
• Le NAT ne se substitue pas au Firewall et/ou
  Proxy Serveur

27
La translation dadresse

• Il sagit dun complément de service plus quun
  service de sécurité proprement dit

• Localisation du translateur
• Sur le firewall
• Types de translations
• N _at_ privées vers 1 _at_ publique
• 1 _at_ privée vers 1 _at_ publique

28
Sécurité DHCP

• Le DHCP
• Peut être lallié ou lennemi de la sécurité
• Crée des problèmes de sécurité si les adresses
  sont attribuées au hasard
• Sur le réseau lidentité est l_at_IP
• Dans le monde réel lidentification se fait par
  rapport à la personne ou au poste utilisé
• Le DHCP dans sa configuration la plus basique
  empêche lassociation _at_IP lt-gt personne/poste
• Il existe des mécanismes palliatifs
• Informations obtenues auprès du PDC (Domaine NT)
• RFC 931/1413 (Identd)
• Attribuer l_at_IP en fonction de l_at_ MAC est une
  solution permettant daugmenter la sécurité

29
ICMP

• Il nest pas obligatoire dinterdire tous les
  messages ICMP
• ICMP est utile, laisser passer
• source-quench, packet-too-big, dont fragment
• time-exceeded, echo request et echo reply dans
  certains cas
• Eviter de laisser passer
• redirect, unreachable, parameter-problem,

30
Sécurité des routeurs

• Les routeurs assurent les services essentiels au
  bon fonctionnement des infrastructures de
  communication
• La compromission dun routeur amène un certain
  nombre de problèmes favorisants la compromission
  des SI
• La compromission des tables de routage peut
  amener à la dégradation des performances, des
  dénis de service et lexposition des données
  sensibles
• La compromission des moyens de contrôle daccès
  dun routeur peut amener à la divulgation
  dinformations sensibles et la facilitation
  dattaques et dénis de services
• En général un routeur bien configuré permet
  daméliorer grandement le niveau de sécurité
  global du système dinformation

31
Principes et buts

• Protection du routeur lui-même
• protection physique
• Le système dexploitation
• La sécurisation de la configuration
• Administration du routeur
• Les accès administrateur au routeur sont un
  problème essentiel
• Réseau/Interfaces dadministration
• Limitation des accès par un filtrage ou un
  protocole approprié
• Mots de passe valables
• Connexion sécurisée à léquipement (IPSec/SSH)
• Les mises à jour
• Validité des images logicielles (source,
  corruption, bugs, )
• Journalisation
• Lenregistrement systématique de lactivité de
  léquipement via les protocoles de supervision
  (SNMP, Syslog, ) permet de disposer en temps de
  crise, des informations essentielles à
  lidentification et la résolution des problèmes

32
Politique de sécurité du routeur

• La sécurité du routeur doit être le reflet de la
  politique de sécurité globale du SI
• Vision en couche de la sécurité du routeur

33
Protocoles de routage

• En général
• Utiliser  passive-interface  pour toutes les
  interfaces ne devant pas participer au processus
  de routage
• Journaliser les mises à jour
• RIP pas de mécanisme de sécurité, à éviter
• RIPv2 prévoit lauthentification
• IGRP pas de mécanisme de sécurité
• EIGRP prévoit lauthentification des échanges
• OSPF
• Prévoit lauthentification des échanges
  (password MD5)
• Nutiliser que des mises à jour Unicast (Pas de
  Broadcasts)
• Il est possible de filtrer les MAJ reçues
• BGP
• Prévoit lauthentification des échanges
• Ne pas utiliser le même mot de passe pour tous
  les routeurs
• Si possible utiliser IPSEC

34
Routeur filtrant

• Le rôle principal du routeur filtre de paquets
  est de permettre ou dempêcher le passage des
  paquets de données reçus
• Le routeur examine tous les datagrammes par
  rapport à des règles de filtrage, basées sur le
  contenu informationnel de lentête du datagramme
• Le filtrage seffectue aux niveaux 2,3,4 du
  modèle OSI
• Méthode dintrusion typiques contournant le
  filtrage de paquets  la fragmentation de paquet
• Cette technique consiste à utiliser la propriété
  de fragmentation de IP afin de créer de tout
  petits fragments et de forcer len-tête TCP à
  être fragmentée elle aussi, lespoir étant que
  seul le premier fragment sera analysé par le
  routeur, laissant alors passer tout le reste.

35
Routeur filtrant (2)

• Les avantages
• Les solutions de sécurité sont encore
  majoritairement basées sur lemploi unique de
  routeurs filtrants. Cela sexplique pour
  plusieurs raisons 
• le coût généralement faible dun routeur filtrant
• les performances sont généralement bonnes
• la transparence aux utilisateurs et aux
  applications
• fiable car les contrôles sont simples et peu
  sujets à erreurs dimplémentation

36
Routeur filtrant (3)

• Les limites
• Les limites des routeurs filtrants sont mis en
  évidence par le besoin de contrôle du contenu
  informationnel des échanges 
• Les performances du routeur diminuent avec le
  nombre de règles à appliquer
• le routeur filtrant ne peut pas comprendre le
  contexte du service quil rend  il ne peut pas,
  par exemple bloquer lentrée de mails ou de
  newsgroup concernant certains sujets
• ne traite que des informations du type en-tête
  de trame
• pas ou peu de statistiques sur lusage des
  filtres
• la protection du réseau connnecté à lInternet
  est minimale

37
Firewall
38
Firewall Plan

• Définition
• Différents types de Firewall
• Ce que peut faire un Firewall
• Principe / Architecture
• Où placer un Firewall
• Choisir son Firewall

39
Définition

• Un Firewall est un dispositif informatique qui
  permet le passage sélectif des flux dinformation
  entre deux réseaux et qui neutralise les
  tentatives daccès qui sont en désaccord avec la
  politique de sécurité en vigueur

40
Les différents types de Firewall

• Les boîtiers dédiés
• Type  appliance 
• Les routeurs
• Simples listes de filtrage ou vrai Firewall
• Les logiciels
• OS ou logiciels dédiés
• Les bastions (Serveurs mandataires)
• Proxy

41
Ce que peut faire un Firewall

• Permet de concentrer la sécurité en un seul point
  et donc dappliquer facilement la politique de
  sécurité sur une surface importante du réseau
• Permet de surveiller les flux le traversant
• Permet de mettre en place des DMZ
• Lendroit idéal pour déployer du NAT
• Permet de dissimuler le réseau protégé
• Lendroit idéal pour la mise en place de VNP

42
Ce que ne peut pas faire un Firewall

• Ne protége pas des attaques qui ne le traverse
  pas !!!
• Ne protége pas un segment de réseau contre les
  utilisateurs qui y sont connectés
• Ne protége pas contre les attaques utilisant des
  protocoles autorisés
• Ne protége pas contre les chevaux de Troie
• Ne protége pas contre les virus
• Ne peut pas se configurer tout seul !

43
Critères de filtrage (1)

• Action
• Autoriser / Interdire / Jeter / Rediriger /
  Authentifier /
• Protocoles
• IP
• _at_source, _at_destination, TOS,
• ICMP
• Type de message
• TCP
• Ports source, Port destination, Flags (SYN, ACK,
  FIN,)
• Les ports déterminent souvent le service associé
• UDP
• Port source, Port destination,
• Les ports déterminent souvent le service associé
• Autres protocoles
• ESP, AH, OSPF,

44
Critères de filtrage (2)

• Les horaires
• Lutilisateur (! _at_IP)
• _at_MAC
• Les données contenues dans le datagramme
• La charge du réseau
• Plus généralement à partir de toute information
  que lon est capable dextraire dun datagramme
  ou de lenvironnement
• Tous les Firewall ne proposent pas autant de
  fonctionnalités

45
Stateful inspection

• Le filtrage ne se fait plus uniquement par
  datagramme (packet filtering) mais avec une
  logique de session
• Introduction dune table des connexions
• Introduction de modules spécifiques à chaque
  protocole, capables de tracer leur exécution et
  de sassurer de leur bon déroulement
• Numéros de séquence TCP, ouvertures de ports,
  phases de négociation,
• ex ftp, http, h323, sip, rpc, rsh, telnet,
• Possibilité douvrir dynamiquement un port
• ex ftp actif

46
Principe de fonctionnement (1)

• Création dune liste de règles retranscrivant
  dans le langage du Firewall la politique de
  sécurité préalablement définie
• Jautorise mon proxy à effectuer des requêtes
  HTTP vers Internet
• Jautorise mon DNS à effectuer des requêtes
  (DNS) vers Internet
• Jautorise les flux SMTP à lintention de mon
  relais de messagerie
• Jautorise les flux HTTP à lintention de mon
  proxy Web
• Je demande lauthentification pour les flux HTTP
  à lintention de mon serveur Web Intranet
• Jautorise les  ICMP echo  à sortir et les
   ICMP reply  à entrer
• Jinterdit tout le reste

47
Principe de fonctionnement (2)

• Règles basiques (Any signifie  tout le
  monde )
• access-list 100 permit tcp any 192.168.1.0
  255.255.255.0 eq www
• access-list 100 permit udp any 192.168.1.0
  255.255.255.0 eq domain
• access-list 100 permit tcp any host 192.168.3.10
  eq www
• access-list 100 permit tcp any host 192.168.3.10
  eq ftp
• Permet de laisser passer tous les flux entre
  deux réseaux
• access-list 100 permit ip 192.168.1.0
  255.255.255.0 192.168.2.0 255.255.255.0
• Les messages ICMP
• access-list 100 permit icmp 192.168.1.0
  255.255.255.0 any echo-request
• access-list 100 permit icmp any 192.168.1.0
  255.255.255.0 echo-reply
• Influence de lordre des régles (linverse ne
  sert à rien)
• access-list 100 deny host 192.168.1.10 any eq
  telnet
• access-list 100 permit 192.168.1.0 any eq telnet
• Règle souvent implicite, à préciser tout de
  même pour plus de clarté
• access-list 100 deny ip any any

Ordre de filtrage des datagrammes
48
Architecture

• Il est important de cloisonner les flux
• Permet déviter quun service défaillant
  compromette la sécurité de lensemble de
  linfrastructure
• Permet de contrôler les flux entre chaque
  échange
• Architecture Multi-strates (n-tiers)
• Chaque zone reçoit un niveau de sécurité, les
  périmètres sont clairement définis et les
  échanges parfaitement identifiés
• Permet un meilleur cloisonnement et une
  meilleure séparation des flux
• Permet une meilleur protection des services en
  fonction de leur importance relative

49
Où placer un Firewall

• Exemple typique

50
La DMZ

• Zone démilitarisée

51
La DMZ (2)

• Par la création dune zone démilitarisée, le
  Firewall isole physiquement les réseaux
  interconnectés. Des règles spécifiques pour les
  accès Internet vers les serveurs et Intranet vers
  les serveurs sont donc possibles,
• Les flux directs de lInternet vers le réseau
  (et réciproquement) sont strictement interdits,
• Dans cette zone, on place généralement
• les machines qui auront un accès direct avec
  lInternet (serveurs mandataires WEB, FTP,
  SMTP) et accessibles depuis lextérieur
• la machine supportant les  sas applicatifs 
  chargés du contrôle lourd des flux (y compris les
  éventuelles identification/authentification)

52
Avantages et inconvénient dune DMZ

• Un intrus doit sintroduire dans plusieurs
  systèmes différents sans se faire détecter afin
  daccéder au LAN
• Varier les types de Firewall à un intérêt
• Permet de définir des niveaux de sécurité
• Permet de séparer ce qui doit être visible de ce
  qui ne doit pas lêtre
• Permet la mise en place de proxy/bastion afin
  déviter les accès directs (Int/Ext et Ext/Int)

53
Autre exemple

• Architecture n-tiers (3-tiers)

54
Autre exemple (2)

• Lutilisation de plusieurs DMZ permet de séparer
  les flux en fonction de leur sensibilité (une DMZ
  dédiée aux réseaux partenaires, une DMZ dédiée
  aux services Internet public),
• Le firewall externe est dédié à la gestion des
  flux complexes et évolutifs venant de lInternet,
• Le firewall interne est dédié à la gestion des
  flux assez stables provenant du firewall externe
  et du réseau interne.

55
Règles de configuration (1)

• Maîtriser les flux qui transitent
• Autoriser explicitement les flux
• Interdire tout le reste
• Lordre des règles à une importance
• Protéger Internet comme vous protégez votre
  réseau
• Le filtrage doit aussi empêcher vos utilisateur
  dentamer des actions malveillantes (attaques,
  propagation de virus, )
• Faire du filtrage aussi sur les serveurs
• Notamment sur les serveurs très exposés
• Web, DNS, FTP,
• Le risque derreur sur les deux équipements
  simultanément est faible
• Garder (et sauvegarder) les configurations
  antérieures et sassurer quon est en mesure de
  palier à une défaillance du système (logique ou
  physique)

56
Règles de configuration (2)

• Interdire le source-routing
• souvent nécessaire à lIP spoofing
• Configurer lanti-spoofing
• Interdire les datagrammes fragmentés
• Source de Dénis de Service (DOS)
• Rendent la détection dintrusions difficile
• Confiner au maximum les protocoles utilisant des
  attributions de ports dynamiques et aléatoires
• RCP (NFS, NIS,), FTP Actif,
• Confiner au maximum les protocoles qui sont
  intrinsèquement faible en terme de sécurité
• NFS, NIS, ICQ, partage de fichier, protocoles
  inconnus ou non documentés

57
Règles de configuration (3)

• Un Firewall doit être administré
• Le niveau de sécurité dépend en grande partie de
  la compétence des administrateurs et de leur
  disponibilité
• Doit impérativement être maintenu à jour
• La plus grande source de problèmes sont les
  version non à jour
• Un Firewall doit être surveillé
• Un maximum dinformation doivent être
  collectées, stockées et analysées (si possible en
  temps réel)
• Collectées
• A partir dun maximum déquipements (Firewall,
  serveurs, )
• Stockées
• Dans une base de données pour faciliter les
  traitements ultérieurs
• Analyse des log
• Il existe des outils pour aider ladministrateur
• Permet la détection des incident et des
  tentatives dintrusion
• Doivent exister avant lintrusion, après il est
  trop tard !

58
Autres considérations

• Nécessite des compétences et de lattention
• Ne pas ce fier à la convivialité de linterface
• Une erreur de configuration peut anéantir la
  politique de sécurité
• Varier au maximum les produits et solutions
• En matière de sécurité lhétérogénéité est un
  avantage si ladministration est effectuée
  correctement
• Le Firewall peut être la cible dattaques
• Le Firewall peut être un maillon faible
•  Single point of faillure 

59
Choisir son Firewall (1)

• Quelles seront ses fonctionnalités ?
• Le Firewall est chargé dappliquer la politique
  de sécurité que vous avez défini, il est donc
  important quil soit adapté à celle-ci et au
  niveau de sécurité que vous souhaitez atteindre
• Quels services doit-il offrir ?
• Accès Internet, DMZ, accès internes, VPN,
• Quel niveau de sécurité doit-il offrir ?
• Les exigences dune petite entreprise ne sont
  pas les mêmes que celle dune banque ou dun
  société qui fait du e-business
• Quel sera sa charge ?
• Évaluation REALISTE de la quantité de flux à
  traiter
• Quel niveau de fiabilité (résilience) doit-on
  atteindre ?
• Si votre activité repose essentiellement sur
  Internet ou vos liaisons avec vos partenaires il
  est bon de sassurer de la disponibilité des
  équipement et des services (providers)

60
Choisir son Firewall (2)

• Quelles sont vos contraintes ?
• De quel budget disposez vous ?
• Quelles sont les ressources (Homme) dont vous
  disposez ?
• Administrateur sécurité ?
• Quelles sont les compétences dont vous disposez
  ?
• Acquis, Formations, Intervenants
• Dans quel environnement évoluez vous ?
• Contraintes politiques (Contructeurs/OS
  interdits)
• Peut-on faire évoluer ces contraintes ?
• Où seront installées les équipements ?
  Législation ?
• Concurrence Internationale ? Faut-il se méfier
  des produits importés ?

61
Choisir son Firewall (3)

• Évaluer les produits disponibles
• Il ny a pas de réponse à la question  
•  Quel est le meilleur Firewall  ?
• La vrai question quil faut se poser est
•  Quel est le meilleur Firewall dans votre
  contexte ? 
• Prix
• Matériel, Logiciel, Assistances, Maintenance,
  Administration, Installation
• Supervision Administration
• Quels sont les outils disponibles ?
• Évolutivité
• Du matériel, des performances, des services
• Adéquation avec les besoins ?

62
Loffre en matière de Firewall

• LARGE !
• Produits commerciaux
• Arkoon, CA, Checkpoint, Cisco, Matra, Netasq,
  Nokia, Stonesoft, WatchGuard,
• Deux Leaders Checkpoint, Cisco
• Des aspects marketing qui font souvent perdre de
  vue le but premier dun Firewall
• Opensoure
• Netfilters/Ipchains (Linux), Ipfilter (Unix),
  PacketFilter (BSD)
• Des fonctionnalités et une modularité importante
• Une administration peu conviviale
• Rester critique, essayer
• Il nexiste pas de produit cumulant tous les
  avantages

63
Relais applicatifs
64
Présentation

• Un relais applicatif se place entre un client et
  un serveur interceptant les requêtes et les
  relayant
• Pour masquer la structure interne dun réseau
• Du réseau privé vers Internet
• Toutes les requêtes des clients dun LAN sont
  masquées par le proxy diminuant ainsi la surface
  visible du réseau
• Permet aussi de simplifier la configuration dun
  Firewall en limitant les autorisations de sortie
  à une seule machine
• DInternet vers le réseau privé
• Le serveur nest pas directement adressé
  diminuant ainsi son exposition (serveur Web
  masqué par un Proxy)
• On parle de Reverse-Proxy
• Ladresse publique du serveur est en fait celle
  du proxy
• Pour filtrer les accès à la manière dun
  Firewall
• Pour mettre en place des mécanismes
  dauthentification et de contrôle daccès
• Pour maintenir un cache des fichiers échangés de
  manière à diminuer la consommation de bande
  passante

65
Architecture (1)
66
Architecture (2)
67
Architecture (3)
68
Les protocoles supportés

• Un relais applicatif peut être spécifique à un
  protocole
• HTTP, HTTPs, FTP, SMTP, NNTP,
• Mais il peut être aussi générique
• SOCKS
• Dans ce cas le relais ne  comprend pas  le
  protocole il se contente de relayer les requêtes
  avec son adresse comme adresse source
• Peut effectuer la redirection de flux vers des
  machines spécifiques en fonction de critères
  prédéfinis
• Permet de faire du NAT (Network Address
  Translation)
• Permet également lencapsulation dun protocole
  dans un autre
• ex IRC dans HTTP

69
Filtres applicatifs
70
Présentation

• Filtrage applicatif
• Relais applicatif filtrage des échanges dune
  application
• Filtrage dURL (type Websense)
• Filtrage Antivirus, blocage dapplets Java,
  ActiveX
• Modification ou conversion du contenu
• Conversion de protocole (ex SMTP -gt NNTP)
• Modification dun jeu de caractére (ex japonais
  vers ANSI)
• Spécifique à chaque protocole
• Avantages
• Une plus grande finesse dans le contrôle des
  échanges

71
Remarques

• En cas de débits importants limpact sur les
  performances peut être important
• ex Filtrage Antivirus

72
Loffre en matière relaiset filtres applicatifs

• Relais applicatifs
• Apache
• iplanet (Netscape)
• ISA server (Microsoft)
• MgtWall (Matra)
• NetWall (Bull)
• Squid
• Filtres applicatifs
• Cache engine (Cisco)
• DeleGate Proxy / Firewall / Filtres App
• Interscan VirusWall AntiVirus (Trend Micro)
• Websense Filtrage dURL
• WebShield AntiVirus (McAfee)

73
Exemple darchitecture
74
Exemple darchitecture
75
Détection dintrusions
76
Détection dintrusions - plan

• Introduction et principes généraux
• Caractéristiques techniques
• La détection dintrusions réseau (NIDS)
• Outils complémentaires
• Conclusion partielle
• Nous reviendrons sur la détection dintrusions
  dans les chapitres suivants (Systèmes et
  Services)

77
Détection dintrusionsDéfinition

• Faux positif
• Détection d'attaque(s) en absence dattaques
• Faux négatif
• Absence de détection en présence d'attaque(s)

• Il est préférable davoir des faux positifs
  que des faux négatifs

78
Détection dintrusionsIntroduction

• Seulement 5 à 15 des intrusions sont détectées

Attaques détectées
Faux positif
Faux négatif
Notifications IDS
Attaques
Nombre total de transactions
79
Stratégie

• La détection dintrusions doit être vue comme une
  composante (couche) importante de la stratégie de
  sécurité de lentreprise
• Les IDS du système dinformation doivent faire
  lobjet dune surveillance et dune maintenance
  TRES régulière
• Sa fonction de base reste la surveillance
• même si certains IDS peuvent adopter un
  comportement actif

80
Catégories

• Les NIDS (Network IDS)
• Les HIDS (Host IDS)
• Les NIDS et HIDS sont complémentaires
• Chaque approche à ses avantages et inconvénients
• Ils ne sont pas des solutions miracle, mais ils
  sont indispensables

81
Le processus IDS

• Obtenir les informations
• Les flux et les événements
• Lintégrité des systèmes et données
• Les analyser
• Réagir
• Avertir les administrateurs de toute activité
  anomale
• En influant sur la configuration des systèmes de
  sécurité (! Danger)

82
Ce que peut faire un IDS

• Renforcer la sécurité du SI
• Surveiller lapplication de la politique de
  sécurité de lentreprise en
• Reconnaissant les (tentatives) attaques
• Internes et externes
• Surveillant lactivité des utilisateurs
• Palliant à des problèmes de configuration
• Faille dun firewall (problème de configuration,
  port normalement ouvert ex www, ),
• Faille dun logiciel pour lequel il nexiste pas
  encore de correctif

83
Critères de choix dun IDS

• Fiabilité
• Peu de faux positif
• Pas ou peu de faux négatif
• Réactivité
• Mises à jour rapides et personnalisables
• Facilité de mise en œuvre
• Performance
• Multicanal

84
Caractéristiques IDS
Audit réseau
Source de données
Audit système
Audit applicatif
Alertes IDS
Approche comportementale
Méthode de détection
Approche par scénarios
Systèmes de Détection dintrusions
Centralisée
Analyse des données
Distribuée
Périodique
Utilisation
Continue
Informatif
Comportement après détection
Défensif
85
Méthodes de détection

• Approche comportementale
• Basé sur lhypothèse quune intrusion implique
  un usage anormal du système et donc un
  comportement inhabituel dun utilisateur
• Répond à la question
•  le comportement actuel de lutilisateur est-il
  cohérent avec son comportement passé ? 
• Vue synthétique du comportement utilisateur
• Obtenu grâce à un modèle statistique

86
Méthodes de détection

• Les avantages
• Pas besoin dune base dattaques
• Détection dintrusions inconnues possible
• Les inconvénients
• En cas de changement important de
  lenvironnement de travail déclenchement dun
  flot dalertes (risque de faux positif)
• Un utilisateur peut changer lentement de
  comportement de manière à habituer le système à
  un comportement intrusif (risque de faux négatif)

87
Méthodes de détection

• Approche par scénarios
• Fonctionne grâce à une base de données
  dattaques ou dactions litigieuses
• La détection dattaques se fait par des méthodes
  danalyse de signature
• (patern matching)
• Répond à la question
•  Le comportement actuel de lutilisateur
  correspond til à un comportement intrusif connu 

88
Méthodes de détection

• Les avantages
• prise en compte du comportement exact des
  utilisateurs
• Peu de faux positifs en théorie
• Les inconvénients
• Base de scénarios difficile à créer et à
  maintenir (risque de faux négatif)
• Pas de détection dattaques inconnues

89
Les produits

• Classification des produits

90
Analyse des données

• Centralisée
• Un seul administrateur / Une console
• Convient pour des structures modestes ou
  intégrant de très bon personnels/outils
• Distribuée
• Distribution de la surveillance sur les
  différentes entités de lentreprise
• Les personnels ont-ils tous les moyen dassumer
  cette charge ?

91
Utilisation

• Périodique (Traitement par lots)
• Historiquement lanalyse des fichiers daudit se
  faisait périodiquement
• Manque de réactivité
• Se retrouve plus dans les HIDS
• Continue (Temps-Réel)
• Analyse le flot de données au fur et a mesure
• Plus réactif mais nécessite lattention
  permanente des superviseurs

92
Comportement après détection

• Notification
• Supervision réseau Syslog, SNMP Trap,
• Administrateur (humains) SMS, E-mail,
• Parades
• Modification de la configuration dun système
• Typiquement un ajout dACL sur un Firewall
• Reset de connexion
• Éventuellement la désactivation dun compte
  utilisateur ou larrêt dun service

93
Network IDS (NIDS)Sommaire

• Présentation
• Principe de fonctionnement
• Avantages
• Inconvénients
• Comment les placer ?
• Aperçu de loffre

94
Les NIDS (Network IDS)

• Définition
• Représente la majorité des offres
• Basés le plus souvent sur une approche par
  scénarios
• Inutiles lors de lutilisation du chiffrement
• Disposent le plus souvent de 2 interfaces
• Une pour écouter le réseau
• Lautre pour ladministration
• Ne sont pas à labri dune attaque

95
NIDS, Principe de fonctionnement

• Modèle CDIF

96
Avantages des NIDS

• Quelques NDIS bien placés peuvent surveiller un
  très large réseau
• Permettent de détecter des attaques utilisant des
  failles pour lesquels il nexiste pas encore de
  correctif
• Possibilité décrire des règles personnalisées
• Temps Réel
• Faible impact sur le réseau (transparent)
• Quasiment invisible, relativement sécurisé

97
Inconvénients des NIDS

• Ne peuvent pas analyser les flux chiffrés
• IPSec, HTTPs, SSH,
• Le flux analysé peut ne pas être représentatif de
  ce qui se passe réellement
• Certains IDS ont du mal à traiter
• Des flux fragmentés
• Des paquets mal formés
• Peuvent parfois être la cible dattaques

98
Inconvénients des NIDS

• Difficile à mettre en œuvre en environnement
  commuté
• Le commutateur doit avoir un port capable de
  rediriger les flux qui le traverse
• Il nest pas possible de rediriger tout le trafic
• Peut être intégré aux commutateurs
• Problèmes de performances
• Base dattaques relativement limitée
• Peut avoir du mal à surveiller des réseau haut
  débit

99
Comment les placer ?

• Différents emplacement dintérêt variable

100
Comment les placer (2)?

• Exemple concret.

101
Aperçu de loffre

• Comparatifs.

102
IDS conclusion

• Loffre évolue rapidement mais encore beaucoup de
  techniques de détection dintrusions nen sont
  quau stade de la recherche
• La détection dintrusions est destinée à des
  experts
• Maintenance et supervision exigeante
• Analyse des alertes Faux positifs et Faux
  négatifs
• Elle nécessite de la méthode
• Gestion des incidents, procédures descalade
• Collecte dinformations et poursuites
• Ne pas se fier au discourt marketing
• Cest un composant optionnel de linfrastructure
  de sécurité que lon ne peut mettre en place que
  si lon dispose de personnel correctement formé
  ayant du temps à consacrer à cette tâche.

103
Outils daudit de sécurité

• Externe ou interne
• Manuel ou automatisé
• Tests intrusifs par des experts sécurité
• Donne un aperçu non exhaustifs des problèmes de
  sécurité
• Logiciels (Nessus, Cybercop scanner)
• En mode ASP ou MVA
• Analyse de la surface Internet de lentreprise
• Service déporté souvent facturé à l_at_IP
• Quelques noms Intranode, Qualys,