S - PowerPoint PPT Presentation

About This Presentation
Title:

S

Description:

tat de l art de la s curit informatique Chapitre 1 La s curit des r seaux Auteurs : St phan GUIDARINI Consultant Senior S bastien DESSE ... – PowerPoint PPT presentation

Number of Views:114
Avg rating:3.0/5.0
Slides: 104
Provided by: Toshi579
Category:
Tags: trunking

less

Transcript and Presenter's Notes

Title: S


1
État de lart de la sécurité informatique
Chapitre 1 La sécurité des réseaux
Auteurs
Stéphan GUIDARINI Consultant Senior Sébastien
DESSE Expert Réseaux et Sécurité
2
Programme
3
SommaireSécurité des Réseaux
  • Généralités
  • Administration
  • Sécurité Niveau 1-3 (OSI)
  • Firewall
  • Relais applicatifs
  • Détection dintrusions

4
Généralités
  • Qu'est-ce que la sécurité d'un réseau ?
  • La sécurité d'un réseau est un niveau de garantie
    que l'ensemble des machines du réseau
    fonctionnent de façon optimale et que les
    utilisateurs des dites machines possèdent
    uniquement les droits qui leur ont été octroyé.
  • Il peut sagir
  • d'empêcher des personnes non autorisées d'agir
    sur le système de façon malveillante
  • d'empêcher les utilisateurs d'effectuer des
    opérations involontaires capables de nuire au
    système
  • de sécuriser les données en prévoyant les pannes
  • de garantir la non interruption d'un service

5
Généralités
  • La sûreté de fonctionnement.
  • L objectif du concepteur est la prévision de la
    capacité de survie du système la continuité de
    service
  • Il y a deux approches avec des objectifs et des
    moyens différents
  • la disponibilité comprend la fiabilité (pannes)
    et la maintenabilité (réparation)
  • la crédibilité comprend l intégrité

6
Généralités
  • La sûreté de fonctionnement (2)
  • Les solutions sont essentiellement matérielles
  • une redondance de tout ou partie des matériels
    actifs
  • une redondance des liaisons télecoms des contrats
    de maintenance avec GTI et GTR
  • pour des serveurs type Firewall, Proxy
    technologie RAID, SAN, CLUSTER
  • Backup/Restore Operating System,
    configurations...

7
Administration
  • Laccès aux équipements
  • Physique
  • Empêcher laccès physique aux équipements
  • Bouton Marche/Arrêt
  • Port console
  • SNMP
  • Éviter le classique public / private
  • A désactiver si non utilisé
  • De préférence dans un VLAN dadministration
  • Faille de SNMP v2 publiée récemment
  • Attendre impatiemment la généralisation de SNMPv3

8
Administration (2)
  • Laccès aux équipements
  • Telnet
  • Mot de passe à choisir judicieusement !!
  • Si possible utiliser des ACL pour filtrer les
    accès
  • De préférence dans un VLAN dadministration
  • Utiliser SSH
  • Linterface Web
  • A désactiver sur ce type déquipement
  • Si nécessaire -gt VLAN dadministration
  • Utiliser dun protocole dauthentification tel
    que RADUIS ou Kerberos si disponible

9
Administration (3)
  • Un certain nombre de services actifs par défaut
    peuvent / doivent être désactivés
  • Cest notamment le cas de lIOS de Cisco qui est
    dérivé dun Unix et qui a donc conservé un
    certain nombre de protocoles bien connus de ces
    environnement
  • Echo
  • Finger
  • Bootp
  • Et dautres
  • DNS lookup
  • IP source-routing (routeurs ou commutateurs L3)
  • Directed-Broadcasts (routeurs ou commutateurs
    L3)
  • CDP (cisco, mais implémenté sur dautres
    équipements)

10
Sécurité Niveau 1-gt3 (OSI)
11
Sécurité Niveau 1-2 (OSI)
  • Généralités
  • Niveau 1
  • Concentrateurs
  • Niveau 2
  • Commutateurs
  • Le cas du sans fil (WLAN)

12
Généralités
  • Lidentité est ladresse MAC (IEEE)
  • Identifiant unique (48bits)
  • Peut être administrée localement
  • Elle identifie mais nauthentifie pas

Adresse du Destinataire
Adresse de lexpéditeur
13
Généralités
  • Les protocoles rencontrés sont
  • ARP Address resolution protocol
  • CDP Cisco Discovery protocol
  • STP Spanning Tree Protocol 802.1d
  • VLAN Virtual LAN 802.1q
  • VTP VLAN Trunking Protocol (cisco)
  • Unicast Frames
  • Multicast Frames
  • Broadcast Frames

14
Sécurité Niveau 1Concentrateurs
  • Les concentrateurs (hub)
  • Diffusion des flux à tous
  • Il existe des mécanismes de bruitage
  • Il existe des mécanismes de filtrage (MAC)
  • ladresse peut être usurpée
  • Induit une charge administrative importante
  • Disparaissent naturellement
  • Utiles pour les sondes de détection dintrusions

15
Sécurité Niveau 2Commutateurs
  • Les commutateurs
  • But premier Augmenter le nombre de domaines de
    broadcast en segmentant le réseau
  • Crée des réseaux locaux en faisant abstraction
    de lorganisation physique des équipements
  • Augmenter la sécurité des communications

16
Sécurité Niveau 2Commutateurs
  • Les commutateurs sont la cible dattaques telles
    que
  • ARP cache poisoning
  • ARP/DHCP spoofing
  • HSRP/VRRP spoofing
  • STP/VTP attacks
  • VLAN Jumping (ISL/DTP)

17
Sécurité Niveau 2Commutateurs
  • ARP cache poisoning

18
Sécurité Niveau 2Commutateurs
  • VLAN Jumping (ISL/DTP)
  • Problème des VLAN
  • Pas conçu pour faire de la sécurité mais permet
    de la renforcer
  • Les commutateurs multi-layer sont des points
    faibles des infrastructures réseaux (attention
    aux mauvaises configurations)
  • Attaques VLAN jumping (injection de frame
    802.1q) est possible si
  • DTP (Dynamic Trunking Protocol) est activé
  • Et si le port est dans le même VLAN que le
    native VLAN (VLAN 1 par défaut)

19
Sécurité Niveau 2Commutateurs
  • Il existe des moyens de se protéger
  • Ne pas utiliser le VLAN 1 (VLAN par Défaut)
  • Filtrage des adresse MAC par port
  • Cisco  port security  par exemple
  • Activer le BPDU-Guard afin de filtrer le STP
  • Désactive un port si un BPDU est reçu via
    celui-ci
  • Limiter le taux de broadcast
  • A affiner en fonction du type déquipement
    connecté sur le port
  • HSRP
  • Donner l_at_IP la plus élevée au routeur
    principal, la suivante au secondaire, etc
  • Filtrer à laide dACL les flux HSRP entre
    équipement
  • Les commutateurs niveau 2/3/4/5/6/7/.
  • Concentrent en un seul point de nombreux
    problèmes de sécurité et sont donc à surveiller
    tout particulièrement

20
Sécurité Niveau 2Commutateurs
  • Il existe des moyens de se protéger (2)
  • Notion de Private VLAN
  • Le segment devient  Multi-Access Non
    Broadcast 
  • Des équipements dun même VLAN ne peuvent pas
    communiquer directement entre eux
  • VTP (VLAN Trunking Protocol) - Cisco
  • Ne pas laisser la configurartion par default
  • Mode Server sans mot de passe
  • Affecter un domaine et un mot de passe
  • Server / Client / Transparent ?
  • DTP (Dynamic Trunking Protocol)
  • Les ports sont en mode auto par défaut
  • Choisir le mode Off pour tous les port non
    utilisés pour des interconnections de commutateurs

21
Sécurité Niveau 2 Réseaux sans fil
  • Infrarouge, Bluetooth, 802.1b,
  • Infrarouge peu utilisé pour le réseau
  • Bluetooth utilisé uniquement pour
    linterconnexion de périphériques
  • 802.11(b)
  • Le réseau ne sarrête pas à la porte de
    lentreprise
  • Parking Visiteurs, rue
  • Mettre en place un filtrage par _at_MAC
  • Administration contraignante
  • Il est possible dusurper une _at_MAC

22
Sécurité Niveau 2Réseaux sans fil
  • 802.11 (b) ou (g)
  • Les trames ne sont plus confinées dans un câble
    mais diffusées dans toute la pièce
  • Tout le monde peut écouter (comme un hub)
  • Mise en place de chiffrement
  • WEP -gt souffre dun manque de maturité
  • Facile à cracker (40 bits), 128 bits
  • IPSec -gt contraignant
  • Accès au réseau facilité
  • Faiblesse des mécanismes dauthentification
  • Vulnérable aux attaques du type Man in the
    Middle
  • Utilisation WPA s'appuie sur la famille 802.1x
    et le protocole EAP (Extensible Authentification
    Protocol)

23
Sécurité Niveau 3 (OSI)
  • Généralités
  • Adressage privé
  • Sécurité DHCP
  • ICMP
  • Les protocoles de routage
  • Filtrage IP

24
Généralités
  • Lidentité est ladresse IP (pour Internet)
  • Identifiant de 32 bits
  • Aisément modifiable / usurpation facile
  • Identifie mais nauthentifie pas
  • Nintègre aucun mécanisme de sécurité
  • Les autres protocoles
  • Confinés au sein de lentreprise
  • Moins doutils de sécurisation à la disposition
    des administrateurs

25
Généralités (2)
  • Les protocoles rencontrés sont
  • IP ICMP
  • RARP
  • HSRP / VRRP (redondance déquipement)
  • RIP, RIPv2, IGRP, EIGRP, OSPF, BGP,
  • Paquets Unicast
  • Paquets Multicast
  • Paquets Broadcast

26
Ladressage privé
  • Recommandations IANA RFC 1918.
  • Les numéros de réseaux suivants ne sont pas
    routés sur lInternet
  • Isolation naturelle de son trafic privé par
    rapport au trafic Internet
  • Nécessite la présence dun translateur dadresses
  • Network Address Translator
  • Le NAT ne se substitue pas au Firewall et/ou
    Proxy Serveur

27
La translation dadresse
  • Il sagit dun complément de service plus quun
    service de sécurité proprement dit
  • Localisation du translateur
  • Sur le firewall
  • Types de translations
  • N _at_ privées vers 1 _at_ publique
  • 1 _at_ privée vers 1 _at_ publique

28
Sécurité DHCP
  • Le DHCP
  • Peut être lallié ou lennemi de la sécurité
  • Crée des problèmes de sécurité si les adresses
    sont attribuées au hasard
  • Sur le réseau lidentité est l_at_IP
  • Dans le monde réel lidentification se fait par
    rapport à la personne ou au poste utilisé
  • Le DHCP dans sa configuration la plus basique
    empêche lassociation _at_IP lt-gt personne/poste
  • Il existe des mécanismes palliatifs
  • Informations obtenues auprès du PDC (Domaine NT)
  • RFC 931/1413 (Identd)
  • Attribuer l_at_IP en fonction de l_at_ MAC est une
    solution permettant daugmenter la sécurité

29
ICMP
  • Il nest pas obligatoire dinterdire tous les
    messages ICMP
  • ICMP est utile, laisser passer
  • source-quench, packet-too-big, dont fragment
  • time-exceeded, echo request et echo reply dans
    certains cas
  • Eviter de laisser passer
  • redirect, unreachable, parameter-problem,

30
Sécurité des routeurs
  • Les routeurs assurent les services essentiels au
    bon fonctionnement des infrastructures de
    communication
  • La compromission dun routeur amène un certain
    nombre de problèmes favorisants la compromission
    des SI
  • La compromission des tables de routage peut
    amener à la dégradation des performances, des
    dénis de service et lexposition des données
    sensibles
  • La compromission des moyens de contrôle daccès
    dun routeur peut amener à la divulgation
    dinformations sensibles et la facilitation
    dattaques et dénis de services
  • En général un routeur bien configuré permet
    daméliorer grandement le niveau de sécurité
    global du système dinformation

31
Principes et buts
  • Protection du routeur lui-même
  • protection physique
  • Le système dexploitation
  • La sécurisation de la configuration
  • Administration du routeur
  • Les accès administrateur au routeur sont un
    problème essentiel
  • Réseau/Interfaces dadministration
  • Limitation des accès par un filtrage ou un
    protocole approprié
  • Mots de passe valables
  • Connexion sécurisée à léquipement (IPSec/SSH)
  • Les mises à jour
  • Validité des images logicielles (source,
    corruption, bugs, )
  • Journalisation
  • Lenregistrement systématique de lactivité de
    léquipement via les protocoles de supervision
    (SNMP, Syslog, ) permet de disposer en temps de
    crise, des informations essentielles à
    lidentification et la résolution des problèmes

32
Politique de sécurité du routeur
  • La sécurité du routeur doit être le reflet de la
    politique de sécurité globale du SI
  • Vision en couche de la sécurité du routeur

33
Protocoles de routage
  • En général
  • Utiliser  passive-interface  pour toutes les
    interfaces ne devant pas participer au processus
    de routage
  • Journaliser les mises à jour
  • RIP pas de mécanisme de sécurité, à éviter
  • RIPv2 prévoit lauthentification
  • IGRP pas de mécanisme de sécurité
  • EIGRP prévoit lauthentification des échanges
  • OSPF
  • Prévoit lauthentification des échanges
    (password MD5)
  • Nutiliser que des mises à jour Unicast (Pas de
    Broadcasts)
  • Il est possible de filtrer les MAJ reçues
  • BGP
  • Prévoit lauthentification des échanges
  • Ne pas utiliser le même mot de passe pour tous
    les routeurs
  • Si possible utiliser IPSEC

34
Routeur filtrant
  • Le rôle principal du routeur filtre de paquets
    est de permettre ou dempêcher le passage des
    paquets de données reçus
  • Le routeur examine tous les datagrammes par
    rapport à des règles de filtrage, basées sur le
    contenu informationnel de lentête du datagramme
  • Le filtrage seffectue aux niveaux 2,3,4 du
    modèle OSI
  • Méthode dintrusion typiques contournant le
    filtrage de paquets  la fragmentation de paquet
  • Cette technique consiste à utiliser la propriété
    de fragmentation de IP afin de créer de tout
    petits fragments et de forcer len-tête TCP à
    être fragmentée elle aussi, lespoir étant que
    seul le premier fragment sera analysé par le
    routeur, laissant alors passer tout le reste.

35
Routeur filtrant (2)
  • Les avantages
  • Les solutions de sécurité sont encore
    majoritairement basées sur lemploi unique de
    routeurs filtrants. Cela sexplique pour
    plusieurs raisons 
  • le coût généralement faible dun routeur filtrant
  • les performances sont généralement bonnes
  • la transparence aux utilisateurs et aux
    applications
  • fiable car les contrôles sont simples et peu
    sujets à erreurs dimplémentation

36
Routeur filtrant (3)
  • Les limites
  • Les limites des routeurs filtrants sont mis en
    évidence par le besoin de contrôle du contenu
    informationnel des échanges 
  • Les performances du routeur diminuent avec le
    nombre de règles à appliquer
  • le routeur filtrant ne peut pas comprendre le
    contexte du service quil rend  il ne peut pas,
    par exemple bloquer lentrée de mails ou de
    newsgroup concernant certains sujets
  • ne traite que des informations du type en-tête
    de trame
  • pas ou peu de statistiques sur lusage des
    filtres
  • la protection du réseau connnecté à lInternet
    est minimale

37
Firewall
38
Firewall Plan
  • Définition
  • Différents types de Firewall
  • Ce que peut faire un Firewall
  • Principe / Architecture
  • Où placer un Firewall
  • Choisir son Firewall

39
Définition
  • Un Firewall est un dispositif informatique qui
    permet le passage sélectif des flux dinformation
    entre deux réseaux et qui neutralise les
    tentatives daccès qui sont en désaccord avec la
    politique de sécurité en vigueur

40
Les différents types de Firewall
  • Les boîtiers dédiés
  • Type  appliance 
  • Les routeurs
  • Simples listes de filtrage ou vrai Firewall
  • Les logiciels
  • OS ou logiciels dédiés
  • Les bastions (Serveurs mandataires)
  • Proxy

41
Ce que peut faire un Firewall
  • Permet de concentrer la sécurité en un seul point
    et donc dappliquer facilement la politique de
    sécurité sur une surface importante du réseau
  • Permet de surveiller les flux le traversant
  • Permet de mettre en place des DMZ
  • Lendroit idéal pour déployer du NAT
  • Permet de dissimuler le réseau protégé
  • Lendroit idéal pour la mise en place de VNP

42
Ce que ne peut pas faire un Firewall
  • Ne protége pas des attaques qui ne le traverse
    pas !!!
  • Ne protége pas un segment de réseau contre les
    utilisateurs qui y sont connectés
  • Ne protége pas contre les attaques utilisant des
    protocoles autorisés
  • Ne protége pas contre les chevaux de Troie
  • Ne protége pas contre les virus
  • Ne peut pas se configurer tout seul !

43
Critères de filtrage (1)
  • Action
  • Autoriser / Interdire / Jeter / Rediriger /
    Authentifier /
  • Protocoles
  • IP
  • _at_source, _at_destination, TOS,
  • ICMP
  • Type de message
  • TCP
  • Ports source, Port destination, Flags (SYN, ACK,
    FIN,)
  • Les ports déterminent souvent le service associé
  • UDP
  • Port source, Port destination,
  • Les ports déterminent souvent le service associé
  • Autres protocoles
  • ESP, AH, OSPF,

44
Critères de filtrage (2)
  • Les horaires
  • Lutilisateur (! _at_IP)
  • _at_MAC
  • Les données contenues dans le datagramme
  • La charge du réseau
  • Plus généralement à partir de toute information
    que lon est capable dextraire dun datagramme
    ou de lenvironnement
  • Tous les Firewall ne proposent pas autant de
    fonctionnalités

45
Stateful inspection
  • Le filtrage ne se fait plus uniquement par
    datagramme (packet filtering) mais avec une
    logique de session
  • Introduction dune table des connexions
  • Introduction de modules spécifiques à chaque
    protocole, capables de tracer leur exécution et
    de sassurer de leur bon déroulement
  • Numéros de séquence TCP, ouvertures de ports,
    phases de négociation,
  • ex ftp, http, h323, sip, rpc, rsh, telnet,
  • Possibilité douvrir dynamiquement un port
  • ex ftp actif

46
Principe de fonctionnement (1)
  • Création dune liste de règles retranscrivant
    dans le langage du Firewall la politique de
    sécurité préalablement définie
  • Jautorise mon proxy à effectuer des requêtes
    HTTP vers Internet
  • Jautorise mon DNS à effectuer des requêtes
    (DNS) vers Internet
  • Jautorise les flux SMTP à lintention de mon
    relais de messagerie
  • Jautorise les flux HTTP à lintention de mon
    proxy Web
  • Je demande lauthentification pour les flux HTTP
    à lintention de mon serveur Web Intranet
  • Jautorise les  ICMP echo  à sortir et les
     ICMP reply  à entrer
  • Jinterdit tout le reste

47
Principe de fonctionnement (2)
  • Règles basiques (Any signifie  tout le
    monde )
  • access-list 100 permit tcp any 192.168.1.0
    255.255.255.0 eq www
  • access-list 100 permit udp any 192.168.1.0
    255.255.255.0 eq domain
  • access-list 100 permit tcp any host 192.168.3.10
    eq www
  • access-list 100 permit tcp any host 192.168.3.10
    eq ftp
  • Permet de laisser passer tous les flux entre
    deux réseaux
  • access-list 100 permit ip 192.168.1.0
    255.255.255.0 192.168.2.0 255.255.255.0
  • Les messages ICMP
  • access-list 100 permit icmp 192.168.1.0
    255.255.255.0 any echo-request
  • access-list 100 permit icmp any 192.168.1.0
    255.255.255.0 echo-reply
  • Influence de lordre des régles (linverse ne
    sert à rien)
  • access-list 100 deny host 192.168.1.10 any eq
    telnet
  • access-list 100 permit 192.168.1.0 any eq telnet
  • Règle souvent implicite, à préciser tout de
    même pour plus de clarté
  • access-list 100 deny ip any any

Ordre de filtrage des datagrammes
48
Architecture
  • Il est important de cloisonner les flux
  • Permet déviter quun service défaillant
    compromette la sécurité de lensemble de
    linfrastructure
  • Permet de contrôler les flux entre chaque
    échange
  • Architecture Multi-strates (n-tiers)
  • Chaque zone reçoit un niveau de sécurité, les
    périmètres sont clairement définis et les
    échanges parfaitement identifiés
  • Permet un meilleur cloisonnement et une
    meilleure séparation des flux
  • Permet une meilleur protection des services en
    fonction de leur importance relative

49
Où placer un Firewall
  • Exemple typique

50
La DMZ
  • Zone démilitarisée

51
La DMZ (2)
  • Par la création dune zone démilitarisée, le
    Firewall isole physiquement les réseaux
    interconnectés. Des règles spécifiques pour les
    accès Internet vers les serveurs et Intranet vers
    les serveurs sont donc possibles,
  • Les flux directs de lInternet vers le réseau
    (et réciproquement) sont strictement interdits,
  • Dans cette zone, on place généralement
  • les machines qui auront un accès direct avec
    lInternet (serveurs mandataires WEB, FTP,
    SMTP) et accessibles depuis lextérieur
  • la machine supportant les  sas applicatifs 
    chargés du contrôle lourd des flux (y compris les
    éventuelles identification/authentification)

52
Avantages et inconvénient dune DMZ
  • Un intrus doit sintroduire dans plusieurs
    systèmes différents sans se faire détecter afin
    daccéder au LAN
  • Varier les types de Firewall à un intérêt
  • Permet de définir des niveaux de sécurité
  • Permet de séparer ce qui doit être visible de ce
    qui ne doit pas lêtre
  • Permet la mise en place de proxy/bastion afin
    déviter les accès directs (Int/Ext et Ext/Int)

53
Autre exemple
  • Architecture n-tiers (3-tiers)

54
Autre exemple (2)
  • Lutilisation de plusieurs DMZ permet de séparer
    les flux en fonction de leur sensibilité (une DMZ
    dédiée aux réseaux partenaires, une DMZ dédiée
    aux services Internet public),
  • Le firewall externe est dédié à la gestion des
    flux complexes et évolutifs venant de lInternet,
  • Le firewall interne est dédié à la gestion des
    flux assez stables provenant du firewall externe
    et du réseau interne.

55
Règles de configuration (1)
  • Maîtriser les flux qui transitent
  • Autoriser explicitement les flux
  • Interdire tout le reste
  • Lordre des règles à une importance
  • Protéger Internet comme vous protégez votre
    réseau
  • Le filtrage doit aussi empêcher vos utilisateur
    dentamer des actions malveillantes (attaques,
    propagation de virus, )
  • Faire du filtrage aussi sur les serveurs
  • Notamment sur les serveurs très exposés
  • Web, DNS, FTP,
  • Le risque derreur sur les deux équipements
    simultanément est faible
  • Garder (et sauvegarder) les configurations
    antérieures et sassurer quon est en mesure de
    palier à une défaillance du système (logique ou
    physique)

56
Règles de configuration (2)
  • Interdire le source-routing
  • souvent nécessaire à lIP spoofing
  • Configurer lanti-spoofing
  • Interdire les datagrammes fragmentés
  • Source de Dénis de Service (DOS)
  • Rendent la détection dintrusions difficile
  • Confiner au maximum les protocoles utilisant des
    attributions de ports dynamiques et aléatoires
  • RCP (NFS, NIS,), FTP Actif,
  • Confiner au maximum les protocoles qui sont
    intrinsèquement faible en terme de sécurité
  • NFS, NIS, ICQ, partage de fichier, protocoles
    inconnus ou non documentés

57
Règles de configuration (3)
  • Un Firewall doit être administré
  • Le niveau de sécurité dépend en grande partie de
    la compétence des administrateurs et de leur
    disponibilité
  • Doit impérativement être maintenu à jour
  • La plus grande source de problèmes sont les
    version non à jour
  • Un Firewall doit être surveillé
  • Un maximum dinformation doivent être
    collectées, stockées et analysées (si possible en
    temps réel)
  • Collectées
  • A partir dun maximum déquipements (Firewall,
    serveurs, )
  • Stockées
  • Dans une base de données pour faciliter les
    traitements ultérieurs
  • Analyse des log
  • Il existe des outils pour aider ladministrateur
  • Permet la détection des incident et des
    tentatives dintrusion
  • Doivent exister avant lintrusion, après il est
    trop tard !

58
Autres considérations
  • Nécessite des compétences et de lattention
  • Ne pas ce fier à la convivialité de linterface
  • Une erreur de configuration peut anéantir la
    politique de sécurité
  • Varier au maximum les produits et solutions
  • En matière de sécurité lhétérogénéité est un
    avantage si ladministration est effectuée
    correctement
  • Le Firewall peut être la cible dattaques
  • Le Firewall peut être un maillon faible
  •  Single point of faillure 

59
Choisir son Firewall (1)
  • Quelles seront ses fonctionnalités ?
  • Le Firewall est chargé dappliquer la politique
    de sécurité que vous avez défini, il est donc
    important quil soit adapté à celle-ci et au
    niveau de sécurité que vous souhaitez atteindre
  • Quels services doit-il offrir ?
  • Accès Internet, DMZ, accès internes, VPN,
  • Quel niveau de sécurité doit-il offrir ?
  • Les exigences dune petite entreprise ne sont
    pas les mêmes que celle dune banque ou dun
    société qui fait du e-business
  • Quel sera sa charge ?
  • Évaluation REALISTE de la quantité de flux à
    traiter
  • Quel niveau de fiabilité (résilience) doit-on
    atteindre ?
  • Si votre activité repose essentiellement sur
    Internet ou vos liaisons avec vos partenaires il
    est bon de sassurer de la disponibilité des
    équipement et des services (providers)

60
Choisir son Firewall (2)
  • Quelles sont vos contraintes ?
  • De quel budget disposez vous ?
  • Quelles sont les ressources (Homme) dont vous
    disposez ?
  • Administrateur sécurité ?
  • Quelles sont les compétences dont vous disposez
    ?
  • Acquis, Formations, Intervenants
  • Dans quel environnement évoluez vous ?
  • Contraintes politiques (Contructeurs/OS
    interdits)
  • Peut-on faire évoluer ces contraintes ?
  • Où seront installées les équipements ?
    Législation ?
  • Concurrence Internationale ? Faut-il se méfier
    des produits importés ?

61
Choisir son Firewall (3)
  • Évaluer les produits disponibles
  • Il ny a pas de réponse à la question  
  •  Quel est le meilleur Firewall  ?
  • La vrai question quil faut se poser est
  •  Quel est le meilleur Firewall dans votre
    contexte ? 
  • Prix
  • Matériel, Logiciel, Assistances, Maintenance,
    Administration, Installation
  • Supervision Administration
  • Quels sont les outils disponibles ?
  • Évolutivité
  • Du matériel, des performances, des services
  • Adéquation avec les besoins ?

62
Loffre en matière de Firewall
  • LARGE !
  • Produits commerciaux
  • Arkoon, CA, Checkpoint, Cisco, Matra, Netasq,
    Nokia, Stonesoft, WatchGuard,
  • Deux Leaders Checkpoint, Cisco
  • Des aspects marketing qui font souvent perdre de
    vue le but premier dun Firewall
  • Opensoure
  • Netfilters/Ipchains (Linux), Ipfilter (Unix),
    PacketFilter (BSD)
  • Des fonctionnalités et une modularité importante
  • Une administration peu conviviale
  • Rester critique, essayer
  • Il nexiste pas de produit cumulant tous les
    avantages

63
Relais applicatifs
64
Présentation
  • Un relais applicatif se place entre un client et
    un serveur interceptant les requêtes et les
    relayant
  • Pour masquer la structure interne dun réseau
  • Du réseau privé vers Internet
  • Toutes les requêtes des clients dun LAN sont
    masquées par le proxy diminuant ainsi la surface
    visible du réseau
  • Permet aussi de simplifier la configuration dun
    Firewall en limitant les autorisations de sortie
    à une seule machine
  • DInternet vers le réseau privé
  • Le serveur nest pas directement adressé
    diminuant ainsi son exposition (serveur Web
    masqué par un Proxy)
  • On parle de Reverse-Proxy
  • Ladresse publique du serveur est en fait celle
    du proxy
  • Pour filtrer les accès à la manière dun
    Firewall
  • Pour mettre en place des mécanismes
    dauthentification et de contrôle daccès
  • Pour maintenir un cache des fichiers échangés de
    manière à diminuer la consommation de bande
    passante

65
Architecture (1)
66
Architecture (2)
67
Architecture (3)
68
Les protocoles supportés
  • Un relais applicatif peut être spécifique à un
    protocole
  • HTTP, HTTPs, FTP, SMTP, NNTP,
  • Mais il peut être aussi générique
  • SOCKS
  • Dans ce cas le relais ne  comprend pas  le
    protocole il se contente de relayer les requêtes
    avec son adresse comme adresse source
  • Peut effectuer la redirection de flux vers des
    machines spécifiques en fonction de critères
    prédéfinis
  • Permet de faire du NAT (Network Address
    Translation)
  • Permet également lencapsulation dun protocole
    dans un autre
  • ex IRC dans HTTP

69
Filtres applicatifs
70
Présentation
  • Filtrage applicatif
  • Relais applicatif filtrage des échanges dune
    application
  • Filtrage dURL (type Websense)
  • Filtrage Antivirus, blocage dapplets Java,
    ActiveX
  • Modification ou conversion du contenu
  • Conversion de protocole (ex SMTP -gt NNTP)
  • Modification dun jeu de caractére (ex japonais
    vers ANSI)
  • Spécifique à chaque protocole
  • Avantages
  • Une plus grande finesse dans le contrôle des
    échanges

71
Remarques
  • En cas de débits importants limpact sur les
    performances peut être important
  • ex Filtrage Antivirus

72
Loffre en matière relaiset filtres applicatifs
  • Relais applicatifs
  • Apache
  • iplanet (Netscape)
  • ISA server (Microsoft)
  • MgtWall (Matra)
  • NetWall (Bull)
  • Squid
  • Filtres applicatifs
  • Cache engine (Cisco)
  • DeleGate Proxy / Firewall / Filtres App
  • Interscan VirusWall AntiVirus (Trend Micro)
  • Websense Filtrage dURL
  • WebShield AntiVirus (McAfee)

73
Exemple darchitecture
74
Exemple darchitecture
75
Détection dintrusions
76
Détection dintrusions - plan
  • Introduction et principes généraux
  • Caractéristiques techniques
  • La détection dintrusions réseau (NIDS)
  • Outils complémentaires
  • Conclusion partielle
  • Nous reviendrons sur la détection dintrusions
    dans les chapitres suivants (Systèmes et
    Services)

77
Détection dintrusionsDéfinition
  • Faux positif
  • Détection d'attaque(s) en absence dattaques
  • Faux négatif
  • Absence de détection en présence d'attaque(s)
  • Il est préférable davoir des faux positifs
    que des faux négatifs

78
Détection dintrusionsIntroduction
  • Seulement 5 à 15 des intrusions sont détectées

Attaques détectées
Faux positif
Faux négatif
Notifications IDS
Attaques
Nombre total de transactions
79
Stratégie
  • La détection dintrusions doit être vue comme une
    composante (couche) importante de la stratégie de
    sécurité de lentreprise
  • Les IDS du système dinformation doivent faire
    lobjet dune surveillance et dune maintenance
    TRES régulière
  • Sa fonction de base reste la surveillance
  • même si certains IDS peuvent adopter un
    comportement actif

80
Catégories
  • Les NIDS (Network IDS)
  • Les HIDS (Host IDS)
  • Les NIDS et HIDS sont complémentaires
  • Chaque approche à ses avantages et inconvénients
  • Ils ne sont pas des solutions miracle, mais ils
    sont indispensables

81
Le processus IDS
  • Obtenir les informations
  • Les flux et les événements
  • Lintégrité des systèmes et données
  • Les analyser
  • Réagir
  • Avertir les administrateurs de toute activité
    anomale
  • En influant sur la configuration des systèmes de
    sécurité (! Danger)

82
Ce que peut faire un IDS
  • Renforcer la sécurité du SI
  • Surveiller lapplication de la politique de
    sécurité de lentreprise en
  • Reconnaissant les (tentatives) attaques
  • Internes et externes
  • Surveillant lactivité des utilisateurs
  • Palliant à des problèmes de configuration
  • Faille dun firewall (problème de configuration,
    port normalement ouvert ex www, ),
  • Faille dun logiciel pour lequel il nexiste pas
    encore de correctif

83
Critères de choix dun IDS
  • Fiabilité
  • Peu de faux positif
  • Pas ou peu de faux négatif
  • Réactivité
  • Mises à jour rapides et personnalisables
  • Facilité de mise en œuvre
  • Performance
  • Multicanal

84
Caractéristiques IDS
Audit réseau
Source de données
Audit système
Audit applicatif
Alertes IDS
Approche comportementale
Méthode de détection
Approche par scénarios
Systèmes de Détection dintrusions
Centralisée
Analyse des données
Distribuée
Périodique
Utilisation
Continue
Informatif
Comportement après détection
Défensif
85
Méthodes de détection
  • Approche comportementale
  • Basé sur lhypothèse quune intrusion implique
    un usage anormal du système et donc un
    comportement inhabituel dun utilisateur
  • Répond à la question
  •  le comportement actuel de lutilisateur est-il
    cohérent avec son comportement passé ? 
  • Vue synthétique du comportement utilisateur
  • Obtenu grâce à un modèle statistique

86
Méthodes de détection
  • Les avantages
  • Pas besoin dune base dattaques
  • Détection dintrusions inconnues possible
  • Les inconvénients
  • En cas de changement important de
    lenvironnement de travail déclenchement dun
    flot dalertes (risque de faux positif)
  • Un utilisateur peut changer lentement de
    comportement de manière à habituer le système à
    un comportement intrusif (risque de faux négatif)

87
Méthodes de détection
  • Approche par scénarios
  • Fonctionne grâce à une base de données
    dattaques ou dactions litigieuses
  • La détection dattaques se fait par des méthodes
    danalyse de signature
  • (patern matching)
  • Répond à la question
  •  Le comportement actuel de lutilisateur
    correspond til à un comportement intrusif connu 

88
Méthodes de détection
  • Les avantages
  • prise en compte du comportement exact des
    utilisateurs
  • Peu de faux positifs en théorie
  • Les inconvénients
  • Base de scénarios difficile à créer et à
    maintenir (risque de faux négatif)
  • Pas de détection dattaques inconnues

89
Les produits
  • Classification des produits

90
Analyse des données
  • Centralisée
  • Un seul administrateur / Une console
  • Convient pour des structures modestes ou
    intégrant de très bon personnels/outils
  • Distribuée
  • Distribution de la surveillance sur les
    différentes entités de lentreprise
  • Les personnels ont-ils tous les moyen dassumer
    cette charge ?

91
Utilisation
  • Périodique (Traitement par lots)
  • Historiquement lanalyse des fichiers daudit se
    faisait périodiquement
  • Manque de réactivité
  • Se retrouve plus dans les HIDS
  • Continue (Temps-Réel)
  • Analyse le flot de données au fur et a mesure
  • Plus réactif mais nécessite lattention
    permanente des superviseurs

92
Comportement après détection
  • Notification
  • Supervision réseau Syslog, SNMP Trap,
  • Administrateur (humains) SMS, E-mail,
  • Parades
  • Modification de la configuration dun système
  • Typiquement un ajout dACL sur un Firewall
  • Reset de connexion
  • Éventuellement la désactivation dun compte
    utilisateur ou larrêt dun service

93
Network IDS (NIDS)Sommaire
  • Présentation
  • Principe de fonctionnement
  • Avantages
  • Inconvénients
  • Comment les placer ?
  • Aperçu de loffre

94
Les NIDS (Network IDS)
  • Définition
  • Représente la majorité des offres
  • Basés le plus souvent sur une approche par
    scénarios
  • Inutiles lors de lutilisation du chiffrement
  • Disposent le plus souvent de 2 interfaces
  • Une pour écouter le réseau
  • Lautre pour ladministration
  • Ne sont pas à labri dune attaque

95
NIDS, Principe de fonctionnement
  • Modèle CDIF

96
Avantages des NIDS
  • Quelques NDIS bien placés peuvent surveiller un
    très large réseau
  • Permettent de détecter des attaques utilisant des
    failles pour lesquels il nexiste pas encore de
    correctif
  • Possibilité décrire des règles personnalisées
  • Temps Réel
  • Faible impact sur le réseau (transparent)
  • Quasiment invisible, relativement sécurisé

97
Inconvénients des NIDS
  • Ne peuvent pas analyser les flux chiffrés
  • IPSec, HTTPs, SSH,
  • Le flux analysé peut ne pas être représentatif de
    ce qui se passe réellement
  • Certains IDS ont du mal à traiter
  • Des flux fragmentés
  • Des paquets mal formés
  • Peuvent parfois être la cible dattaques

98
Inconvénients des NIDS
  • Difficile à mettre en œuvre en environnement
    commuté
  • Le commutateur doit avoir un port capable de
    rediriger les flux qui le traverse
  • Il nest pas possible de rediriger tout le trafic
  • Peut être intégré aux commutateurs
  • Problèmes de performances
  • Base dattaques relativement limitée
  • Peut avoir du mal à surveiller des réseau haut
    débit

99
Comment les placer ?
  • Différents emplacement dintérêt variable

100
Comment les placer (2)?
  • Exemple concret.

101
Aperçu de loffre
  • Comparatifs.

102
IDS conclusion
  • Loffre évolue rapidement mais encore beaucoup de
    techniques de détection dintrusions nen sont
    quau stade de la recherche
  • La détection dintrusions est destinée à des
    experts
  • Maintenance et supervision exigeante
  • Analyse des alertes Faux positifs et Faux
    négatifs
  • Elle nécessite de la méthode
  • Gestion des incidents, procédures descalade
  • Collecte dinformations et poursuites
  • Ne pas se fier au discourt marketing
  • Cest un composant optionnel de linfrastructure
    de sécurité que lon ne peut mettre en place que
    si lon dispose de personnel correctement formé
    ayant du temps à consacrer à cette tâche.

103
Outils daudit de sécurité
  • Externe ou interne
  • Manuel ou automatisé
  • Tests intrusifs par des experts sécurité
  • Donne un aperçu non exhaustifs des problèmes de
    sécurité
  • Logiciels (Nessus, Cybercop scanner)
  • En mode ASP ou MVA
  • Analyse de la surface Internet de lentreprise
  • Service déporté souvent facturé à l_at_IP
  • Quelques noms Intranode, Qualys,
Write a Comment
User Comments (0)
About PowerShow.com