Title: S
1État de lart de la sécurité informatique
Chapitre 1 La sécurité des réseaux
Auteurs
Stéphan GUIDARINI Consultant Senior Sébastien
DESSE Expert Réseaux et Sécurité
2Programme
3SommaireSécurité des Réseaux
- Généralités
- Administration
- Sécurité Niveau 1-3 (OSI)
- Firewall
- Relais applicatifs
- Détection dintrusions
4Généralités
- Qu'est-ce que la sécurité d'un réseau ?
- La sécurité d'un réseau est un niveau de garantie
que l'ensemble des machines du réseau
fonctionnent de façon optimale et que les
utilisateurs des dites machines possèdent
uniquement les droits qui leur ont été octroyé. - Il peut sagir
- d'empêcher des personnes non autorisées d'agir
sur le système de façon malveillante - d'empêcher les utilisateurs d'effectuer des
opérations involontaires capables de nuire au
système - de sécuriser les données en prévoyant les pannes
- de garantir la non interruption d'un service
5Généralités
- La sûreté de fonctionnement.
- L objectif du concepteur est la prévision de la
capacité de survie du système la continuité de
service - Il y a deux approches avec des objectifs et des
moyens différents - la disponibilité comprend la fiabilité (pannes)
et la maintenabilité (réparation) - la crédibilité comprend l intégrité
6Généralités
- La sûreté de fonctionnement (2)
- Les solutions sont essentiellement matérielles
- une redondance de tout ou partie des matériels
actifs - une redondance des liaisons télecoms des contrats
de maintenance avec GTI et GTR - pour des serveurs type Firewall, Proxy
technologie RAID, SAN, CLUSTER - Backup/Restore Operating System,
configurations...
7Administration
- Laccès aux équipements
- Physique
- Empêcher laccès physique aux équipements
- Bouton Marche/Arrêt
- Port console
- SNMP
- Éviter le classique public / private
- A désactiver si non utilisé
- De préférence dans un VLAN dadministration
- Faille de SNMP v2 publiée récemment
- Attendre impatiemment la généralisation de SNMPv3
8Administration (2)
- Laccès aux équipements
- Telnet
- Mot de passe à choisir judicieusement !!
- Si possible utiliser des ACL pour filtrer les
accès - De préférence dans un VLAN dadministration
- Utiliser SSH
- Linterface Web
- A désactiver sur ce type déquipement
- Si nécessaire -gt VLAN dadministration
- Utiliser dun protocole dauthentification tel
que RADUIS ou Kerberos si disponible
9Administration (3)
- Un certain nombre de services actifs par défaut
peuvent / doivent être désactivés - Cest notamment le cas de lIOS de Cisco qui est
dérivé dun Unix et qui a donc conservé un
certain nombre de protocoles bien connus de ces
environnement - Echo
- Finger
- Bootp
- Et dautres
- DNS lookup
- IP source-routing (routeurs ou commutateurs L3)
- Directed-Broadcasts (routeurs ou commutateurs
L3) - CDP (cisco, mais implémenté sur dautres
équipements)
10Sécurité Niveau 1-gt3 (OSI)
11Sécurité Niveau 1-2 (OSI)
- Généralités
- Niveau 1
- Concentrateurs
- Niveau 2
- Commutateurs
- Le cas du sans fil (WLAN)
12Généralités
- Lidentité est ladresse MAC (IEEE)
- Identifiant unique (48bits)
- Peut être administrée localement
- Elle identifie mais nauthentifie pas
Adresse du Destinataire
Adresse de lexpéditeur
13Généralités
- Les protocoles rencontrés sont
- ARP Address resolution protocol
- CDP Cisco Discovery protocol
- STP Spanning Tree Protocol 802.1d
- VLAN Virtual LAN 802.1q
- VTP VLAN Trunking Protocol (cisco)
- Unicast Frames
- Multicast Frames
- Broadcast Frames
14Sécurité Niveau 1Concentrateurs
- Les concentrateurs (hub)
- Diffusion des flux à tous
- Il existe des mécanismes de bruitage
- Il existe des mécanismes de filtrage (MAC)
- ladresse peut être usurpée
- Induit une charge administrative importante
- Disparaissent naturellement
- Utiles pour les sondes de détection dintrusions
15Sécurité Niveau 2Commutateurs
- Les commutateurs
- But premier Augmenter le nombre de domaines de
broadcast en segmentant le réseau - Crée des réseaux locaux en faisant abstraction
de lorganisation physique des équipements - Augmenter la sécurité des communications
16Sécurité Niveau 2Commutateurs
- Les commutateurs sont la cible dattaques telles
que - ARP cache poisoning
- ARP/DHCP spoofing
- HSRP/VRRP spoofing
- STP/VTP attacks
- VLAN Jumping (ISL/DTP)
17Sécurité Niveau 2Commutateurs
18Sécurité Niveau 2Commutateurs
- VLAN Jumping (ISL/DTP)
- Problème des VLAN
- Pas conçu pour faire de la sécurité mais permet
de la renforcer - Les commutateurs multi-layer sont des points
faibles des infrastructures réseaux (attention
aux mauvaises configurations) - Attaques VLAN jumping (injection de frame
802.1q) est possible si - DTP (Dynamic Trunking Protocol) est activé
- Et si le port est dans le même VLAN que le
native VLAN (VLAN 1 par défaut)
19Sécurité Niveau 2Commutateurs
- Il existe des moyens de se protéger
- Ne pas utiliser le VLAN 1 (VLAN par Défaut)
- Filtrage des adresse MAC par port
- Cisco port security par exemple
- Activer le BPDU-Guard afin de filtrer le STP
- Désactive un port si un BPDU est reçu via
celui-ci - Limiter le taux de broadcast
- A affiner en fonction du type déquipement
connecté sur le port - HSRP
- Donner l_at_IP la plus élevée au routeur
principal, la suivante au secondaire, etc - Filtrer à laide dACL les flux HSRP entre
équipement - Les commutateurs niveau 2/3/4/5/6/7/.
- Concentrent en un seul point de nombreux
problèmes de sécurité et sont donc à surveiller
tout particulièrement
20Sécurité Niveau 2Commutateurs
- Il existe des moyens de se protéger (2)
- Notion de Private VLAN
- Le segment devient Multi-Access Non
Broadcast - Des équipements dun même VLAN ne peuvent pas
communiquer directement entre eux - VTP (VLAN Trunking Protocol) - Cisco
- Ne pas laisser la configurartion par default
- Mode Server sans mot de passe
- Affecter un domaine et un mot de passe
- Server / Client / Transparent ?
- DTP (Dynamic Trunking Protocol)
- Les ports sont en mode auto par défaut
- Choisir le mode Off pour tous les port non
utilisés pour des interconnections de commutateurs
21Sécurité Niveau 2 Réseaux sans fil
- Infrarouge, Bluetooth, 802.1b,
- Infrarouge peu utilisé pour le réseau
- Bluetooth utilisé uniquement pour
linterconnexion de périphériques - 802.11(b)
- Le réseau ne sarrête pas à la porte de
lentreprise - Parking Visiteurs, rue
- Mettre en place un filtrage par _at_MAC
- Administration contraignante
- Il est possible dusurper une _at_MAC
22Sécurité Niveau 2Réseaux sans fil
- 802.11 (b) ou (g)
- Les trames ne sont plus confinées dans un câble
mais diffusées dans toute la pièce - Tout le monde peut écouter (comme un hub)
- Mise en place de chiffrement
- WEP -gt souffre dun manque de maturité
- Facile à cracker (40 bits), 128 bits
- IPSec -gt contraignant
- Accès au réseau facilité
- Faiblesse des mécanismes dauthentification
- Vulnérable aux attaques du type Man in the
Middle - Utilisation WPA s'appuie sur la famille 802.1x
et le protocole EAP (Extensible Authentification
Protocol)
23Sécurité Niveau 3 (OSI)
- Généralités
- Adressage privé
- Sécurité DHCP
- ICMP
- Les protocoles de routage
- Filtrage IP
24Généralités
- Lidentité est ladresse IP (pour Internet)
- Identifiant de 32 bits
- Aisément modifiable / usurpation facile
- Identifie mais nauthentifie pas
- Nintègre aucun mécanisme de sécurité
- Les autres protocoles
- Confinés au sein de lentreprise
- Moins doutils de sécurisation à la disposition
des administrateurs
25Généralités (2)
- Les protocoles rencontrés sont
- IP ICMP
- RARP
- HSRP / VRRP (redondance déquipement)
- RIP, RIPv2, IGRP, EIGRP, OSPF, BGP,
- Paquets Unicast
- Paquets Multicast
- Paquets Broadcast
26Ladressage privé
- Recommandations IANA RFC 1918.
- Les numéros de réseaux suivants ne sont pas
routés sur lInternet - Isolation naturelle de son trafic privé par
rapport au trafic Internet - Nécessite la présence dun translateur dadresses
- Network Address Translator
- Le NAT ne se substitue pas au Firewall et/ou
Proxy Serveur
27La translation dadresse
- Il sagit dun complément de service plus quun
service de sécurité proprement dit
- Localisation du translateur
- Sur le firewall
- Types de translations
- N _at_ privées vers 1 _at_ publique
- 1 _at_ privée vers 1 _at_ publique
28Sécurité DHCP
- Le DHCP
- Peut être lallié ou lennemi de la sécurité
- Crée des problèmes de sécurité si les adresses
sont attribuées au hasard - Sur le réseau lidentité est l_at_IP
- Dans le monde réel lidentification se fait par
rapport à la personne ou au poste utilisé - Le DHCP dans sa configuration la plus basique
empêche lassociation _at_IP lt-gt personne/poste - Il existe des mécanismes palliatifs
- Informations obtenues auprès du PDC (Domaine NT)
- RFC 931/1413 (Identd)
- Attribuer l_at_IP en fonction de l_at_ MAC est une
solution permettant daugmenter la sécurité
29ICMP
- Il nest pas obligatoire dinterdire tous les
messages ICMP - ICMP est utile, laisser passer
- source-quench, packet-too-big, dont fragment
- time-exceeded, echo request et echo reply dans
certains cas - Eviter de laisser passer
- redirect, unreachable, parameter-problem,
30Sécurité des routeurs
- Les routeurs assurent les services essentiels au
bon fonctionnement des infrastructures de
communication - La compromission dun routeur amène un certain
nombre de problèmes favorisants la compromission
des SI - La compromission des tables de routage peut
amener à la dégradation des performances, des
dénis de service et lexposition des données
sensibles - La compromission des moyens de contrôle daccès
dun routeur peut amener à la divulgation
dinformations sensibles et la facilitation
dattaques et dénis de services - En général un routeur bien configuré permet
daméliorer grandement le niveau de sécurité
global du système dinformation
31Principes et buts
- Protection du routeur lui-même
- protection physique
- Le système dexploitation
- La sécurisation de la configuration
- Administration du routeur
- Les accès administrateur au routeur sont un
problème essentiel - Réseau/Interfaces dadministration
- Limitation des accès par un filtrage ou un
protocole approprié - Mots de passe valables
- Connexion sécurisée à léquipement (IPSec/SSH)
- Les mises à jour
- Validité des images logicielles (source,
corruption, bugs, ) - Journalisation
- Lenregistrement systématique de lactivité de
léquipement via les protocoles de supervision
(SNMP, Syslog, ) permet de disposer en temps de
crise, des informations essentielles à
lidentification et la résolution des problèmes
32Politique de sécurité du routeur
- La sécurité du routeur doit être le reflet de la
politique de sécurité globale du SI - Vision en couche de la sécurité du routeur
33Protocoles de routage
- En général
- Utiliser passive-interface pour toutes les
interfaces ne devant pas participer au processus
de routage - Journaliser les mises à jour
- RIP pas de mécanisme de sécurité, à éviter
- RIPv2 prévoit lauthentification
- IGRP pas de mécanisme de sécurité
- EIGRP prévoit lauthentification des échanges
- OSPF
- Prévoit lauthentification des échanges
(password MD5) - Nutiliser que des mises à jour Unicast (Pas de
Broadcasts) - Il est possible de filtrer les MAJ reçues
- BGP
- Prévoit lauthentification des échanges
- Ne pas utiliser le même mot de passe pour tous
les routeurs - Si possible utiliser IPSEC
34Routeur filtrant
- Le rôle principal du routeur filtre de paquets
est de permettre ou dempêcher le passage des
paquets de données reçus - Le routeur examine tous les datagrammes par
rapport à des règles de filtrage, basées sur le
contenu informationnel de lentête du datagramme - Le filtrage seffectue aux niveaux 2,3,4 du
modèle OSI - Méthode dintrusion typiques contournant le
filtrage de paquets la fragmentation de paquet - Cette technique consiste à utiliser la propriété
de fragmentation de IP afin de créer de tout
petits fragments et de forcer len-tête TCP à
être fragmentée elle aussi, lespoir étant que
seul le premier fragment sera analysé par le
routeur, laissant alors passer tout le reste.
35Routeur filtrant (2)
- Les avantages
- Les solutions de sécurité sont encore
majoritairement basées sur lemploi unique de
routeurs filtrants. Cela sexplique pour
plusieurs raisons - le coût généralement faible dun routeur filtrant
- les performances sont généralement bonnes
- la transparence aux utilisateurs et aux
applications - fiable car les contrôles sont simples et peu
sujets à erreurs dimplémentation
36Routeur filtrant (3)
- Les limites
- Les limites des routeurs filtrants sont mis en
évidence par le besoin de contrôle du contenu
informationnel des échanges - Les performances du routeur diminuent avec le
nombre de règles à appliquer - le routeur filtrant ne peut pas comprendre le
contexte du service quil rend il ne peut pas,
par exemple bloquer lentrée de mails ou de
newsgroup concernant certains sujets - ne traite que des informations du type en-tête
de trame - pas ou peu de statistiques sur lusage des
filtres - la protection du réseau connnecté à lInternet
est minimale
37Firewall
38Firewall Plan
- Définition
- Différents types de Firewall
- Ce que peut faire un Firewall
- Principe / Architecture
- Où placer un Firewall
- Choisir son Firewall
39Définition
- Un Firewall est un dispositif informatique qui
permet le passage sélectif des flux dinformation
entre deux réseaux et qui neutralise les
tentatives daccès qui sont en désaccord avec la
politique de sécurité en vigueur
40Les différents types de Firewall
- Les boîtiers dédiés
- Type appliance
- Les routeurs
- Simples listes de filtrage ou vrai Firewall
- Les logiciels
- OS ou logiciels dédiés
- Les bastions (Serveurs mandataires)
- Proxy
41Ce que peut faire un Firewall
- Permet de concentrer la sécurité en un seul point
et donc dappliquer facilement la politique de
sécurité sur une surface importante du réseau - Permet de surveiller les flux le traversant
- Permet de mettre en place des DMZ
- Lendroit idéal pour déployer du NAT
- Permet de dissimuler le réseau protégé
- Lendroit idéal pour la mise en place de VNP
42Ce que ne peut pas faire un Firewall
- Ne protége pas des attaques qui ne le traverse
pas !!! - Ne protége pas un segment de réseau contre les
utilisateurs qui y sont connectés - Ne protége pas contre les attaques utilisant des
protocoles autorisés - Ne protége pas contre les chevaux de Troie
- Ne protége pas contre les virus
- Ne peut pas se configurer tout seul !
43Critères de filtrage (1)
- Action
- Autoriser / Interdire / Jeter / Rediriger /
Authentifier / - Protocoles
- IP
- _at_source, _at_destination, TOS,
- ICMP
- Type de message
- TCP
- Ports source, Port destination, Flags (SYN, ACK,
FIN,) - Les ports déterminent souvent le service associé
- UDP
- Port source, Port destination,
- Les ports déterminent souvent le service associé
- Autres protocoles
- ESP, AH, OSPF,
44Critères de filtrage (2)
- Les horaires
- Lutilisateur (! _at_IP)
- _at_MAC
- Les données contenues dans le datagramme
- La charge du réseau
- Plus généralement à partir de toute information
que lon est capable dextraire dun datagramme
ou de lenvironnement - Tous les Firewall ne proposent pas autant de
fonctionnalités
45Stateful inspection
- Le filtrage ne se fait plus uniquement par
datagramme (packet filtering) mais avec une
logique de session - Introduction dune table des connexions
- Introduction de modules spécifiques à chaque
protocole, capables de tracer leur exécution et
de sassurer de leur bon déroulement - Numéros de séquence TCP, ouvertures de ports,
phases de négociation, - ex ftp, http, h323, sip, rpc, rsh, telnet,
- Possibilité douvrir dynamiquement un port
- ex ftp actif
46Principe de fonctionnement (1)
- Création dune liste de règles retranscrivant
dans le langage du Firewall la politique de
sécurité préalablement définie - Jautorise mon proxy à effectuer des requêtes
HTTP vers Internet - Jautorise mon DNS à effectuer des requêtes
(DNS) vers Internet - Jautorise les flux SMTP à lintention de mon
relais de messagerie - Jautorise les flux HTTP à lintention de mon
proxy Web - Je demande lauthentification pour les flux HTTP
à lintention de mon serveur Web Intranet - Jautorise les ICMP echo à sortir et les
ICMP reply à entrer - Jinterdit tout le reste
47Principe de fonctionnement (2)
- Règles basiques (Any signifie tout le
monde ) - access-list 100 permit tcp any 192.168.1.0
255.255.255.0 eq www - access-list 100 permit udp any 192.168.1.0
255.255.255.0 eq domain - access-list 100 permit tcp any host 192.168.3.10
eq www - access-list 100 permit tcp any host 192.168.3.10
eq ftp - Permet de laisser passer tous les flux entre
deux réseaux - access-list 100 permit ip 192.168.1.0
255.255.255.0 192.168.2.0 255.255.255.0 - Les messages ICMP
- access-list 100 permit icmp 192.168.1.0
255.255.255.0 any echo-request - access-list 100 permit icmp any 192.168.1.0
255.255.255.0 echo-reply - Influence de lordre des régles (linverse ne
sert à rien) - access-list 100 deny host 192.168.1.10 any eq
telnet - access-list 100 permit 192.168.1.0 any eq telnet
- Règle souvent implicite, à préciser tout de
même pour plus de clarté - access-list 100 deny ip any any
Ordre de filtrage des datagrammes
48Architecture
- Il est important de cloisonner les flux
- Permet déviter quun service défaillant
compromette la sécurité de lensemble de
linfrastructure - Permet de contrôler les flux entre chaque
échange - Architecture Multi-strates (n-tiers)
- Chaque zone reçoit un niveau de sécurité, les
périmètres sont clairement définis et les
échanges parfaitement identifiés - Permet un meilleur cloisonnement et une
meilleure séparation des flux - Permet une meilleur protection des services en
fonction de leur importance relative
49Où placer un Firewall
50La DMZ
51La DMZ (2)
- Par la création dune zone démilitarisée, le
Firewall isole physiquement les réseaux
interconnectés. Des règles spécifiques pour les
accès Internet vers les serveurs et Intranet vers
les serveurs sont donc possibles, - Les flux directs de lInternet vers le réseau
(et réciproquement) sont strictement interdits, - Dans cette zone, on place généralement
- les machines qui auront un accès direct avec
lInternet (serveurs mandataires WEB, FTP,
SMTP) et accessibles depuis lextérieur - la machine supportant les sas applicatifs
chargés du contrôle lourd des flux (y compris les
éventuelles identification/authentification)
52Avantages et inconvénient dune DMZ
- Un intrus doit sintroduire dans plusieurs
systèmes différents sans se faire détecter afin
daccéder au LAN - Varier les types de Firewall à un intérêt
- Permet de définir des niveaux de sécurité
- Permet de séparer ce qui doit être visible de ce
qui ne doit pas lêtre - Permet la mise en place de proxy/bastion afin
déviter les accès directs (Int/Ext et Ext/Int)
53Autre exemple
- Architecture n-tiers (3-tiers)
54Autre exemple (2)
- Lutilisation de plusieurs DMZ permet de séparer
les flux en fonction de leur sensibilité (une DMZ
dédiée aux réseaux partenaires, une DMZ dédiée
aux services Internet public), - Le firewall externe est dédié à la gestion des
flux complexes et évolutifs venant de lInternet, - Le firewall interne est dédié à la gestion des
flux assez stables provenant du firewall externe
et du réseau interne.
55Règles de configuration (1)
- Maîtriser les flux qui transitent
- Autoriser explicitement les flux
- Interdire tout le reste
- Lordre des règles à une importance
- Protéger Internet comme vous protégez votre
réseau - Le filtrage doit aussi empêcher vos utilisateur
dentamer des actions malveillantes (attaques,
propagation de virus, ) - Faire du filtrage aussi sur les serveurs
- Notamment sur les serveurs très exposés
- Web, DNS, FTP,
- Le risque derreur sur les deux équipements
simultanément est faible - Garder (et sauvegarder) les configurations
antérieures et sassurer quon est en mesure de
palier à une défaillance du système (logique ou
physique)
56Règles de configuration (2)
- Interdire le source-routing
- souvent nécessaire à lIP spoofing
- Configurer lanti-spoofing
- Interdire les datagrammes fragmentés
- Source de Dénis de Service (DOS)
- Rendent la détection dintrusions difficile
- Confiner au maximum les protocoles utilisant des
attributions de ports dynamiques et aléatoires - RCP (NFS, NIS,), FTP Actif,
- Confiner au maximum les protocoles qui sont
intrinsèquement faible en terme de sécurité - NFS, NIS, ICQ, partage de fichier, protocoles
inconnus ou non documentés
57Règles de configuration (3)
- Un Firewall doit être administré
- Le niveau de sécurité dépend en grande partie de
la compétence des administrateurs et de leur
disponibilité - Doit impérativement être maintenu à jour
- La plus grande source de problèmes sont les
version non à jour - Un Firewall doit être surveillé
- Un maximum dinformation doivent être
collectées, stockées et analysées (si possible en
temps réel) - Collectées
- A partir dun maximum déquipements (Firewall,
serveurs, ) - Stockées
- Dans une base de données pour faciliter les
traitements ultérieurs - Analyse des log
- Il existe des outils pour aider ladministrateur
- Permet la détection des incident et des
tentatives dintrusion - Doivent exister avant lintrusion, après il est
trop tard !
58Autres considérations
- Nécessite des compétences et de lattention
- Ne pas ce fier à la convivialité de linterface
- Une erreur de configuration peut anéantir la
politique de sécurité - Varier au maximum les produits et solutions
- En matière de sécurité lhétérogénéité est un
avantage si ladministration est effectuée
correctement - Le Firewall peut être la cible dattaques
- Le Firewall peut être un maillon faible
- Single point of faillure
59Choisir son Firewall (1)
- Quelles seront ses fonctionnalités ?
- Le Firewall est chargé dappliquer la politique
de sécurité que vous avez défini, il est donc
important quil soit adapté à celle-ci et au
niveau de sécurité que vous souhaitez atteindre - Quels services doit-il offrir ?
- Accès Internet, DMZ, accès internes, VPN,
- Quel niveau de sécurité doit-il offrir ?
- Les exigences dune petite entreprise ne sont
pas les mêmes que celle dune banque ou dun
société qui fait du e-business - Quel sera sa charge ?
- Évaluation REALISTE de la quantité de flux à
traiter - Quel niveau de fiabilité (résilience) doit-on
atteindre ? - Si votre activité repose essentiellement sur
Internet ou vos liaisons avec vos partenaires il
est bon de sassurer de la disponibilité des
équipement et des services (providers)
60Choisir son Firewall (2)
- Quelles sont vos contraintes ?
- De quel budget disposez vous ?
- Quelles sont les ressources (Homme) dont vous
disposez ? - Administrateur sécurité ?
- Quelles sont les compétences dont vous disposez
? - Acquis, Formations, Intervenants
- Dans quel environnement évoluez vous ?
- Contraintes politiques (Contructeurs/OS
interdits) - Peut-on faire évoluer ces contraintes ?
- Où seront installées les équipements ?
Législation ? - Concurrence Internationale ? Faut-il se méfier
des produits importés ?
61Choisir son Firewall (3)
- Évaluer les produits disponibles
- Il ny a pas de réponse à la question
- Quel est le meilleur Firewall ?
- La vrai question quil faut se poser est
- Quel est le meilleur Firewall dans votre
contexte ? - Prix
- Matériel, Logiciel, Assistances, Maintenance,
Administration, Installation - Supervision Administration
- Quels sont les outils disponibles ?
- Évolutivité
- Du matériel, des performances, des services
- Adéquation avec les besoins ?
62Loffre en matière de Firewall
- LARGE !
- Produits commerciaux
- Arkoon, CA, Checkpoint, Cisco, Matra, Netasq,
Nokia, Stonesoft, WatchGuard, - Deux Leaders Checkpoint, Cisco
- Des aspects marketing qui font souvent perdre de
vue le but premier dun Firewall - Opensoure
- Netfilters/Ipchains (Linux), Ipfilter (Unix),
PacketFilter (BSD) - Des fonctionnalités et une modularité importante
- Une administration peu conviviale
- Rester critique, essayer
- Il nexiste pas de produit cumulant tous les
avantages
63Relais applicatifs
64Présentation
- Un relais applicatif se place entre un client et
un serveur interceptant les requêtes et les
relayant - Pour masquer la structure interne dun réseau
- Du réseau privé vers Internet
- Toutes les requêtes des clients dun LAN sont
masquées par le proxy diminuant ainsi la surface
visible du réseau - Permet aussi de simplifier la configuration dun
Firewall en limitant les autorisations de sortie
à une seule machine - DInternet vers le réseau privé
- Le serveur nest pas directement adressé
diminuant ainsi son exposition (serveur Web
masqué par un Proxy) - On parle de Reverse-Proxy
- Ladresse publique du serveur est en fait celle
du proxy - Pour filtrer les accès à la manière dun
Firewall - Pour mettre en place des mécanismes
dauthentification et de contrôle daccès - Pour maintenir un cache des fichiers échangés de
manière à diminuer la consommation de bande
passante
65Architecture (1)
66Architecture (2)
67Architecture (3)
68Les protocoles supportés
- Un relais applicatif peut être spécifique à un
protocole - HTTP, HTTPs, FTP, SMTP, NNTP,
- Mais il peut être aussi générique
- SOCKS
- Dans ce cas le relais ne comprend pas le
protocole il se contente de relayer les requêtes
avec son adresse comme adresse source - Peut effectuer la redirection de flux vers des
machines spécifiques en fonction de critères
prédéfinis - Permet de faire du NAT (Network Address
Translation) - Permet également lencapsulation dun protocole
dans un autre - ex IRC dans HTTP
69Filtres applicatifs
70Présentation
- Filtrage applicatif
- Relais applicatif filtrage des échanges dune
application - Filtrage dURL (type Websense)
- Filtrage Antivirus, blocage dapplets Java,
ActiveX - Modification ou conversion du contenu
- Conversion de protocole (ex SMTP -gt NNTP)
- Modification dun jeu de caractére (ex japonais
vers ANSI) - Spécifique à chaque protocole
- Avantages
- Une plus grande finesse dans le contrôle des
échanges
71Remarques
- En cas de débits importants limpact sur les
performances peut être important - ex Filtrage Antivirus
72Loffre en matière relaiset filtres applicatifs
- Relais applicatifs
- Apache
- iplanet (Netscape)
- ISA server (Microsoft)
- MgtWall (Matra)
- NetWall (Bull)
- Squid
-
- Filtres applicatifs
- Cache engine (Cisco)
- DeleGate Proxy / Firewall / Filtres App
- Interscan VirusWall AntiVirus (Trend Micro)
- Websense Filtrage dURL
- WebShield AntiVirus (McAfee)
-
73Exemple darchitecture
74Exemple darchitecture
75Détection dintrusions
76Détection dintrusions - plan
- Introduction et principes généraux
- Caractéristiques techniques
- La détection dintrusions réseau (NIDS)
- Outils complémentaires
- Conclusion partielle
- Nous reviendrons sur la détection dintrusions
dans les chapitres suivants (Systèmes et
Services)
77Détection dintrusionsDéfinition
- Faux positif
- Détection d'attaque(s) en absence dattaques
- Faux négatif
- Absence de détection en présence d'attaque(s)
-
- Il est préférable davoir des faux positifs
que des faux négatifs
78Détection dintrusionsIntroduction
- Seulement 5 à 15 des intrusions sont détectées
Attaques détectées
Faux positif
Faux négatif
Notifications IDS
Attaques
Nombre total de transactions
79Stratégie
- La détection dintrusions doit être vue comme une
composante (couche) importante de la stratégie de
sécurité de lentreprise - Les IDS du système dinformation doivent faire
lobjet dune surveillance et dune maintenance
TRES régulière - Sa fonction de base reste la surveillance
- même si certains IDS peuvent adopter un
comportement actif
80Catégories
- Les NIDS (Network IDS)
- Les HIDS (Host IDS)
- Les NIDS et HIDS sont complémentaires
- Chaque approche à ses avantages et inconvénients
- Ils ne sont pas des solutions miracle, mais ils
sont indispensables
81Le processus IDS
- Obtenir les informations
- Les flux et les événements
- Lintégrité des systèmes et données
- Les analyser
- Réagir
- Avertir les administrateurs de toute activité
anomale - En influant sur la configuration des systèmes de
sécurité (! Danger)
82Ce que peut faire un IDS
- Renforcer la sécurité du SI
- Surveiller lapplication de la politique de
sécurité de lentreprise en - Reconnaissant les (tentatives) attaques
- Internes et externes
- Surveillant lactivité des utilisateurs
- Palliant à des problèmes de configuration
- Faille dun firewall (problème de configuration,
port normalement ouvert ex www, ), - Faille dun logiciel pour lequel il nexiste pas
encore de correctif
83Critères de choix dun IDS
- Fiabilité
- Peu de faux positif
- Pas ou peu de faux négatif
- Réactivité
- Mises à jour rapides et personnalisables
- Facilité de mise en œuvre
- Performance
- Multicanal
84Caractéristiques IDS
Audit réseau
Source de données
Audit système
Audit applicatif
Alertes IDS
Approche comportementale
Méthode de détection
Approche par scénarios
Systèmes de Détection dintrusions
Centralisée
Analyse des données
Distribuée
Périodique
Utilisation
Continue
Informatif
Comportement après détection
Défensif
85Méthodes de détection
- Approche comportementale
- Basé sur lhypothèse quune intrusion implique
un usage anormal du système et donc un
comportement inhabituel dun utilisateur - Répond à la question
- le comportement actuel de lutilisateur est-il
cohérent avec son comportement passé ? - Vue synthétique du comportement utilisateur
- Obtenu grâce à un modèle statistique
86Méthodes de détection
- Les avantages
- Pas besoin dune base dattaques
- Détection dintrusions inconnues possible
- Les inconvénients
- En cas de changement important de
lenvironnement de travail déclenchement dun
flot dalertes (risque de faux positif) - Un utilisateur peut changer lentement de
comportement de manière à habituer le système à
un comportement intrusif (risque de faux négatif)
87Méthodes de détection
- Approche par scénarios
- Fonctionne grâce à une base de données
dattaques ou dactions litigieuses - La détection dattaques se fait par des méthodes
danalyse de signature - (patern matching)
- Répond à la question
- Le comportement actuel de lutilisateur
correspond til à un comportement intrusif connu
88Méthodes de détection
- Les avantages
- prise en compte du comportement exact des
utilisateurs - Peu de faux positifs en théorie
- Les inconvénients
- Base de scénarios difficile à créer et à
maintenir (risque de faux négatif) - Pas de détection dattaques inconnues
89Les produits
- Classification des produits
90Analyse des données
- Centralisée
- Un seul administrateur / Une console
- Convient pour des structures modestes ou
intégrant de très bon personnels/outils - Distribuée
- Distribution de la surveillance sur les
différentes entités de lentreprise - Les personnels ont-ils tous les moyen dassumer
cette charge ?
91Utilisation
- Périodique (Traitement par lots)
- Historiquement lanalyse des fichiers daudit se
faisait périodiquement - Manque de réactivité
- Se retrouve plus dans les HIDS
- Continue (Temps-Réel)
- Analyse le flot de données au fur et a mesure
- Plus réactif mais nécessite lattention
permanente des superviseurs
92Comportement après détection
- Notification
- Supervision réseau Syslog, SNMP Trap,
- Administrateur (humains) SMS, E-mail,
- Parades
- Modification de la configuration dun système
- Typiquement un ajout dACL sur un Firewall
- Reset de connexion
- Éventuellement la désactivation dun compte
utilisateur ou larrêt dun service
93Network IDS (NIDS)Sommaire
- Présentation
- Principe de fonctionnement
- Avantages
- Inconvénients
- Comment les placer ?
- Aperçu de loffre
94Les NIDS (Network IDS)
- Définition
- Représente la majorité des offres
- Basés le plus souvent sur une approche par
scénarios - Inutiles lors de lutilisation du chiffrement
- Disposent le plus souvent de 2 interfaces
- Une pour écouter le réseau
- Lautre pour ladministration
- Ne sont pas à labri dune attaque
95NIDS, Principe de fonctionnement
96Avantages des NIDS
- Quelques NDIS bien placés peuvent surveiller un
très large réseau - Permettent de détecter des attaques utilisant des
failles pour lesquels il nexiste pas encore de
correctif - Possibilité décrire des règles personnalisées
- Temps Réel
- Faible impact sur le réseau (transparent)
- Quasiment invisible, relativement sécurisé
97Inconvénients des NIDS
- Ne peuvent pas analyser les flux chiffrés
- IPSec, HTTPs, SSH,
- Le flux analysé peut ne pas être représentatif de
ce qui se passe réellement - Certains IDS ont du mal à traiter
- Des flux fragmentés
- Des paquets mal formés
- Peuvent parfois être la cible dattaques
98Inconvénients des NIDS
- Difficile à mettre en œuvre en environnement
commuté - Le commutateur doit avoir un port capable de
rediriger les flux qui le traverse - Il nest pas possible de rediriger tout le trafic
- Peut être intégré aux commutateurs
- Problèmes de performances
- Base dattaques relativement limitée
- Peut avoir du mal à surveiller des réseau haut
débit
99Comment les placer ?
- Différents emplacement dintérêt variable
100Comment les placer (2)?
101Aperçu de loffre
102IDS conclusion
- Loffre évolue rapidement mais encore beaucoup de
techniques de détection dintrusions nen sont
quau stade de la recherche - La détection dintrusions est destinée à des
experts - Maintenance et supervision exigeante
- Analyse des alertes Faux positifs et Faux
négatifs - Elle nécessite de la méthode
- Gestion des incidents, procédures descalade
- Collecte dinformations et poursuites
- Ne pas se fier au discourt marketing
- Cest un composant optionnel de linfrastructure
de sécurité que lon ne peut mettre en place que
si lon dispose de personnel correctement formé
ayant du temps à consacrer à cette tâche.
103Outils daudit de sécurité
- Externe ou interne
- Manuel ou automatisé
- Tests intrusifs par des experts sécurité
- Donne un aperçu non exhaustifs des problèmes de
sécurité - Logiciels (Nessus, Cybercop scanner)
- En mode ASP ou MVA
- Analyse de la surface Internet de lentreprise
- Service déporté souvent facturé à l_at_IP
- Quelques noms Intranode, Qualys,