Академический Документы
Профессиональный Документы
Культура Документы
sdourlens@lisv.uvsq.fr
4 Scurit rseau
4.1 Piratage (pntration & vol dinformation) 4.2 Deni de service (blocage, rinstallation, ) 4.3 Failles : Hardware, OS, Logiciels, langage de script (PHP/SQL), 4.4 Outils : virus, chevaux de troie, ver, fausse page web, Directory (comptes,ressources,politiques), 4.5 Parades : auth, logs, ldap, kerberos 4.6 Notions de Cryptographie : Transmission chiffre, Encodage MD5 4.7 Configuration sous Windows 4.8 Configuration sous linux 4.9 Tests
Risques
Vol ou perte de portable Attaque tlphonique Fausse identit/Imposteur Vol de donnes/argent Modification de transaction Attaque sur Internet Attaque tlphonique Fausse identit/Imposteur Fausse identit/Imposteur Partage/Recherche de mot de passe Ajouts/Dplacements Fausse identit/Imposteur Passage de mot de passe Codage inadquat Code malveillant (cheval de Troie) Fausse identit/Imposteur Vol de donnes Attaque Internet Trop dendroits scuriser Peu familier avec les rles Ne sait pas qui a fait quoi Configuration et drives
Solutions
Encrypted File System (EFS) PPTP, IPSEC, L2TP Public Key Infrastructure (PKI) CA intgre SSL/TLS PPTP, IPSEC, L2TP NTLMv2, Kerberos, PKI SSL/TLS, S/MIME Kerberos, NTLMv2 Carte puce, Biomtrie Group Policy, Dlgations Kerberos, NTLMv2, Carte puce Impersonation, Auditing SSPI, CryptoAPI Signature de code, politiques Public Key Infrastructure (PKI) CA intgre IPSEC, L2TP, SSL/TSL, S/MIME Intgration Active Directory Administration dlgue Amliorations auditing Modles de scurit
E-commerce
Bureau la maison
LAN / WAN
Applications
Extranets
Management
Attaques
Attaques passives/actives
Passive Threats Active Threats
Traffic analysis
Masquerade
Replay
Services
Confidentialit : les donnes (et l'objet et les acteurs) de la communication
ne peuvent pas tre connus dun tiers non autoris.
Authenticit : lidentit des acteurs de la communication est vrifie. Intgrit : les donnes de la communication nont pas t altr.
nier y avoir participer. la communication.
Non-rpudiation : les acteurs impliqus dans la communication ne peuvent Contrle daccs : laccs aux donnes est limit aux acteurs autoriss de Disponibilit : les acteurs de la communication accdent aux donnes dans
de bonnes conditions.
Mcanismes de dfense I
Chiffrement : algorithme gnralement bas sur des clefs et
transformant les donnes. Sa scurit est dpendante du niveau de scurit des clefs. leur origine.
Signature numrique: donnes ajoutes pour vrifier leur intgrit ou Saturation du trafic : donnes ajoutes pour assurer la confidentialit, Notarisation : utilisation dun tiers de confiance pour assurer certains
services de scurit.
Contrle daccs : vrifie les droits daccs d'un acteur aux donnes.
N'empche pas l'exploitation d'une vulnrabilit.
Mcanismes de dfense II
Antivirus : ne protge pas contre un intrus qui emploie un logiciel lgitime, ou
contre un utilisateur lgitime qui accde une ressource alors qu'il n'est pas autoris le faire. attaquer le systme. Ne protge pas contre une attaque venant du rseau intrieur.
Le pare-feu : N'empche pas un attaquant d'utiliser une connexion autorise pour Dtection d'intrusion : Ne dtecte pas les accs incorrects mais autoriss par un Journalisation ("logs") : Enregistrement des activits de chaque acteur. Permet Analyse des vulnrabilits ("security audit") : identification des points de
de constater que des attaques ont eu lieu, de les analyser et potentiellement de faire en sorte qu'elles ne se reproduisent pas.
vulnrabilit du systme. Ne dtecte pas les attaques ayant dj eu lieu, ou lorsqu'elles auront lieu.
Horodatage : marquage scuris des instants significatifs . Certification : preuve d'un fait, d'un droit accord.
concernes.
Mcanismes de dfense IV
Authentification : Authentifier un acteur peut se faire en utilisant un
ou plusieurs de ces lments. L'authentification est ncessaire au bon fonctionnement des autres mcanismes.
Ce qu'il sait Par ex. : le mot de passe Ce qu'il a Par ex. : fichiers cls certificats, une carte puce, cl USB Ce qu'il est Par ex. : la biomtrie (empreinte digitale, oculaire ou vocale)
Approche
Identification prcise de lordinateur (systme, applications, ) Reconnaissance du rseau (domaine, partages, utilisateurs, postes et serveurs, ) Augmentation de privilges locaux et globaux ( lancienne avec des comptes faiblement protgs ou grce de gentils amis fournisseurs en 0day) Prise de contrle dautres machines pour assurer son maintien dans le rseau (si ncessaire)
Ordre du jour
La socit Rappel sur la scurit RSSI Les VPN Cas concrets
Exemple
La direction souhaite disposer dun logiciel permettant la gestion des heures de travail des employs directement via une interface Web.
Un projet est mis sur pied avec laide de consultants externes sur une plateforme Apache/PHP.
Toutes les diffrentes phases du projet se droulent sans consultation de la scurit informatique. => Danger : Lachevement du projet peut remis en cause
Dontologie
Le RSSI est l pour garantir un tat de fait, une qualit de service et dusage. Il doit tre impliqu ds le dbut pour lintgration des projets dans la structure existante. RSSI =>
Disponibilit Intgrit Confidentialit
Role du RSSI
Orchestration du systme de gestion de la scurit du SI de lentreprise Dfinition des rgles dusage et daccs, censurer les accs et les donns Gestion des risques, des incidents, Gestion des projets de scurisation Veille technologique, Identification des besoins et Validation des solutions Audit et consulting interne, . etc
Connaissances Vs maitrise
Le domaine dactivit constitue un critre trs important La matrise de ce domaine protger / surveiller est-elle encore possible ? Connaissance des mtiers du domaine : industrie, secteur mdical, bancaire ou socit de service. Matrise ou connaissance des diffrents domaines informatiques : Rseaux, OS, Bases de donnes, Internet, etc La varit des mtiers provoque une complexit grandissante.
Cadre gnral
Missions au quotidien: Dfinition et volution des xigences de la scuirt pour tre adquat avec les xigences du mtier de lentreprise. Dfinition et volution des solutions oprationnelles et techniques pour garantir la ploitique de scurit du SI. Exploitation au quotidien des solutions de scurit et ration sur incident. Contrle, suivi de la bonne application des mesures de scurit Sensibilisation et formation permanentes la problmatique scuritaire auprs des diffrents acteurs du SI Pour garantir: Confidentialit, Disponibilit et prenit de linformation Intgrit du systme et des donnes Traabilit des accs et des incidents
Cadre individuel
Rattachement hirarchique dans lentreprise : DSI Dfinition du Mandat: Objectifs, Domaines, Taches Dure Responsabilit Initialisation, Cohsion et Coordination de la PTS (politiques technique de scurit) Assurer le bon droulement des Missions quotidiennes Chiffrer le cout et budgtiser la scurit du SI Dfnir annuellement les orientations et les plans dactions correspondants Arbitrer ou faire arbitrer en cas de litige entre acteurs oprationnels et techniques
Difficile :
Outils de plus en plus performants / intuitifs
Ca ne sert rien !
De nombreux usages utiles et lgaux
Quelques taches :
carter les produits mal finaliss et suspects valuer la maintenabilit Amliorer la gestion du parc logiciel valuer rapidement les produits cryptographiques Effectuer des audits live de plateformes
Optimisation des installations et de la taille des excutables. Bnfice - pour les administrateurs - pour le RSSI
Outils in-dis-pen-sables !
Collections d'outils de Mark Russinovich (sysinternals.com) et de Nir Sofer (nirsoft.net) PeID (+ plugins : Krypto Analyzer etc.) Trs pratique et simple d'utilisation. Universal Unpacker Dcompresse TOUT... ou presque. OllyDbg (+ plugins) LE dbogueur par excellence... et gratuit en plus. DataRescue IDA Pro (+ plugins) Vmware Workstation ou Microsoft Virtual Server
Ordre du jour
La socit Rappel sur la scurit RSSI Architecture de la scurit Les VPN Cas concrets
Architecture de la scurit
Firewall DMZ IDS Annuaire Log SSO VPN
Utilisateurs:
Web Transfert de fichiers Messagerie Authentification
Protocoles:
RPC, Netbios, IPsec,
Administration et Maintenance:
Exploitation des logs: rotation, Editeur de traitement de logs Administration distance Sauvegarde rquiliere de la configuration sur support physique. Stratgie de reprise sur incident majeur et fonctionnement en mode sans chec
A voir prochainement
Politiques Techniques de Scurit Plateforme daudit technique Gestion des logs Veille sur les vulnrabilit et gestion des patchs Gestion de lauthentification et dploiement de services / PKI. Problmes oprationnels
Ordre du jour
La socit Rappel sur la scurit RSSI Les VPN Cas concrets
VPN
Pour assurer la connectivit scurise entre les S.I des entreprises rparties sur de grandes distances gographiques => On met en place des VPN.
VPN Vs tunneling
Le tunneling est l'ensemble des processus d'encapsulation, de transmission et de dsencapsulation.
Protocoles VPN
a. PPTP b. L2TP c. IPSec d. SSL
e. IP-MPLS (Backbone oprateur)
PPTP
Protocole de niveau 2 permettant lencryptage et la compression des donnes dfinies dans la RFC 2637 Implment par Microsoft et intgr Windows Cration des paquets sous le protocole PPP et encapsulation dans des datagrammes IP
PPTP
Authentification grce au protocole Ms-Chap ou Pap Chiffrage des donnes avec le protocole Mppe (Microsoft Point-to-Point Encryption) Compression des donnes avec le protocole Mppc (Microsoft Point-to-Point Compression)
L2TP
- Convergence des protocoles PPTP et L2F => Rfc 2661 - Dveloppement collaboratif : Cisco, Microsoft, Ascend, 3Com, - Intgration de IPSec pour la scurit
IPSec
Protocole de scurit au sein de la couche rseau. Ce protocole est dvelopp pour fournir un service de scurit base de cryptographie, permettant de garantir l'authentification, l'intgrit, le contrle d'accs et la confidentialit des donnes. IPSec = formatage de trame permettant le chiffrement des donnes au niveau IP.
IP SSL : Prsentation
Protocole de niveau 4 pris en compte en standard dans les navigateurs web rcents Encapsulation de la couche IP dans un tunnel SSL Gestion de lauthentification client serveur Gestion du cryptage des donnes
Fonctionnement de SSL
(Secure Sockets Layers)
Segmentation des paquets en paquets de taille fixe. Compression (mais peu implment dans la ralit). Ajout du rsultat de la fonction de hachage. (compos de la cl de cryptage, du numro de message, de la longueur du message, de donnes ...) Chiffrement des paquets et du rsultat du hachage laide de la cl symtrique gnre lors du Handshake. Ajout dun en-tte SSL au paquet
Comparatif
Protocole
PPTP L2TP
Avantages
- Trs rpandu - Mobilit
Inconvnients
- Peu fiable - Performance faible - LoverHead
-
IPSec
MPLS IP SSL
- Rapide
-
En rsum
IPsec sest impos au dbut dans ce domaine en plein dveloppement, mais il souffre dun dfaut majeur li son dploiement et la latence induite par le mcanisme de chiffrage. IP-SSL une solution qui offre plus de flexibilit et plus de performance
Groupe
site 1
VPN priv
Maison mre
Routage Internet
Internet
site 2
VPN Nomade
Site 3
Agence
VPN Nomade
ROUTEUR Agence
Internet Direct
Extranet