Administration Rseau

Sbastien Dourlens 2012 IUT de Vlizy

sdourlens@lisv.uvsq.fr

3. La scurit 3.1 Dfinition

Scurit Cryptographie Hacking/Hacker Piratage

4 Scurit rseau
4.1 Piratage (pntration & vol dinformation) 4.2 Deni de service (blocage, rinstallation, ) 4.3 Failles : Hardware, OS, Logiciels, langage de script (PHP/SQL), 4.4 Outils : virus, chevaux de troie, ver, fausse page web, Directory (comptes,ressources,politiques), 4.5 Parades : auth, logs, ldap, kerberos 4.6 Notions de Cryptographie : Transmission chiffre, Encodage MD5 4.7 Configuration sous Windows 4.8 Configuration sous linux 4.9 Tests

4 Scurit rseau Solution complte M$

Scnario
Utilisateurs mobiles

Risques
Vol ou perte de portable Attaque tlphonique Fausse identit/Imposteur Vol de donnes/argent Modification de transaction Attaque sur Internet Attaque tlphonique Fausse identit/Imposteur Fausse identit/Imposteur Partage/Recherche de mot de passe Ajouts/Dplacements Fausse identit/Imposteur Passage de mot de passe Codage inadquat Code malveillant (cheval de Troie) Fausse identit/Imposteur Vol de donnes Attaque Internet Trop dendroits scuriser Peu familier avec les rles Ne sait pas qui a fait quoi Configuration et drives

Solutions
Encrypted File System (EFS) PPTP, IPSEC, L2TP Public Key Infrastructure (PKI) CA intgre SSL/TLS PPTP, IPSEC, L2TP NTLMv2, Kerberos, PKI SSL/TLS, S/MIME Kerberos, NTLMv2 Carte puce, Biomtrie Group Policy, Dlgations Kerberos, NTLMv2, Carte puce Impersonation, Auditing SSPI, CryptoAPI Signature de code, politiques Public Key Infrastructure (PKI) CA intgre IPSEC, L2TP, SSL/TSL, S/MIME Intgration Active Directory Administration dlgue Amliorations auditing Modles de scurit

E-commerce

Bureau la maison

LAN / WAN

Applications

Extranets

Management

Risques, Attaques, services et mcanismes

Vulnrabilit => Menace => Risque majeur datteinte au S.I Une Attaque : nimporte quelle action qui compromet la scurit des systmes dinformations. Mcanismes de Scurit : un mcanisme qui est conu pour dtecter, prvenir et lutter contre une attaque de scurit. Service de Scurit : un service qui augmente la scurit des traitements et des changes de donnes dun systme. Un service de scurit utilise un ou plusieurs mcanismes de scurit.

Attaques

Buts des attaques

Interruption: vise la disponibilit des informations Interception: vise la confidentialit des informations Modification: vise lintgrit des informations Fabrication: vise lauthenticit des informations

Attaques passives/actives
Passive Threats Active Threats

Release of message contents

Traffic analysis

Masquerade

Replay

Modification of Denial of message contents Service

Exemple: Cheval de troie

Services
Confidentialit : les donnes (et l'objet et les acteurs) de la communication
ne peuvent pas tre connus dun tiers non autoris.

Authenticit : lidentit des acteurs de la communication est vrifie. Intgrit : les donnes de la communication nont pas t altr.
nier y avoir participer. la communication.

Non-rpudiation : les acteurs impliqus dans la communication ne peuvent Contrle daccs : laccs aux donnes est limit aux acteurs autoriss de Disponibilit : les acteurs de la communication accdent aux donnes dans
de bonnes conditions.

Mcanismes de dfense I
Chiffrement : algorithme gnralement bas sur des clefs et
transformant les donnes. Sa scurit est dpendante du niveau de scurit des clefs. leur origine.

Signature numrique: donnes ajoutes pour vrifier leur intgrit ou Saturation du trafic : donnes ajoutes pour assurer la confidentialit, Notarisation : utilisation dun tiers de confiance pour assurer certains
services de scurit.

notamment au niveau du volume du trafic.

Contrle daccs : vrifie les droits daccs d'un acteur aux donnes.
N'empche pas l'exploitation d'une vulnrabilit.

Mcanismes de dfense II
Antivirus : ne protge pas contre un intrus qui emploie un logiciel lgitime, ou
contre un utilisateur lgitime qui accde une ressource alors qu'il n'est pas autoris le faire. attaquer le systme. Ne protge pas contre une attaque venant du rseau intrieur.

Le pare-feu : N'empche pas un attaquant d'utiliser une connexion autorise pour Dtection d'intrusion : Ne dtecte pas les accs incorrects mais autoriss par un Journalisation ("logs") : Enregistrement des activits de chaque acteur. Permet Analyse des vulnrabilits ("security audit") : identification des points de

utilisateur lgitime. Mauvaise dtection : taux de faux positifs

de constater que des attaques ont eu lieu, de les analyser et potentiellement de faire en sorte qu'elles ne se reproduisent pas.

vulnrabilit du systme. Ne dtecte pas les attaques ayant dj eu lieu, ou lorsqu'elles auront lieu.

Mcanismes de dfense III

Contrle du routage : scurisation des chemins
quipements d'interconnexion) (liens et

Contrle d'accs aux communications : par VPN ou tunnels.

Le moyen de communication n'est utilis que par des acteurs autoriss.

Horodatage : marquage scuris des instants significatifs . Certification : preuve d'un fait, d'un droit accord.
concernes.

Distribution de clefs : distribution scurise des clefs entre les entits

Mcanismes de dfense IV
Authentification : Authentifier un acteur peut se faire en utilisant un
ou plusieurs de ces lments. L'authentification est ncessaire au bon fonctionnement des autres mcanismes.

Ce qu'il sait Par ex. : le mot de passe Ce qu'il a Par ex. : fichiers cls certificats, une carte puce, cl USB Ce qu'il est Par ex. : la biomtrie (empreinte digitale, oculaire ou vocale)

La protection physique : peut fournir une protection totale, mais qui

peut tre excessive : isoler compltement son systme est une solution qui peut tre trop radicale.

Approche
Identification prcise de lordinateur (systme, applications, ) Reconnaissance du rseau (domaine, partages, utilisateurs, postes et serveurs, ) Augmentation de privilges locaux et globaux ( lancienne avec des comptes faiblement protgs ou grce de gentils amis fournisseurs en 0day) Prise de contrle dautres machines pour assurer son maintien dans le rseau (si ncessaire)

Ordre du jour
La socit Rappel sur la scurit RSSI Les VPN Cas concrets

Exemple
La direction souhaite disposer dun logiciel permettant la gestion des heures de travail des employs directement via une interface Web.

Un projet est mis sur pied avec laide de consultants externes sur une plateforme Apache/PHP.

Toutes les diffrentes phases du projet se droulent sans consultation de la scurit informatique. => Danger : Lachevement du projet peut remis en cause

Dontologie
Le RSSI est l pour garantir un tat de fait, une qualit de service et dusage. Il doit tre impliqu ds le dbut pour lintgration des projets dans la structure existante. RSSI =>
Disponibilit Intgrit Confidentialit

Role du RSSI
Orchestration du systme de gestion de la scurit du SI de lentreprise Dfinition des rgles dusage et daccs, censurer les accs et les donns Gestion des risques, des incidents, Gestion des projets de scurisation Veille technologique, Identification des besoins et Validation des solutions Audit et consulting interne, . etc

Connaissances Vs maitrise
Le domaine dactivit constitue un critre trs important La matrise de ce domaine protger / surveiller est-elle encore possible ? Connaissance des mtiers du domaine : industrie, secteur mdical, bancaire ou socit de service. Matrise ou connaissance des diffrents domaines informatiques : Rseaux, OS, Bases de donnes, Internet, etc La varit des mtiers provoque une complexit grandissante.

Pour devenir RSSI

Motivations et aptitudes :
Disponibilit Volont de la personne Volont de lentreprise et besoins Aptitude lacquisition de nouvelles connaissances ?

Capacit grer de la monte en stress

Cadre gnral
Missions au quotidien: Dfinition et volution des xigences de la scuirt pour tre adquat avec les xigences du mtier de lentreprise. Dfinition et volution des solutions oprationnelles et techniques pour garantir la ploitique de scurit du SI. Exploitation au quotidien des solutions de scurit et ration sur incident. Contrle, suivi de la bonne application des mesures de scurit Sensibilisation et formation permanentes la problmatique scuritaire auprs des diffrents acteurs du SI Pour garantir: Confidentialit, Disponibilit et prenit de linformation Intgrit du systme et des donnes Traabilit des accs et des incidents

Cadre individuel
Rattachement hirarchique dans lentreprise : DSI Dfinition du Mandat: Objectifs, Domaines, Taches Dure Responsabilit Initialisation, Cohsion et Coordination de la PTS (politiques technique de scurit) Assurer le bon droulement des Missions quotidiennes Chiffrer le cout et budgtiser la scurit du SI Dfnir annuellement les orientations et les plans dactions correspondants Arbitrer ou faire arbitrer en cas de litige entre acteurs oprationnels et techniques

Retro conception de la scurit

Interdiction lgale: dpend de ce que l'on (en) fait.
Usage professionnel et thique possible

Difficile :
Outils de plus en plus performants / intuitifs

Ca ne sert rien !
De nombreux usages utiles et lgaux

Quelques taches :
carter les produits mal finaliss et suspects valuer la maintenabilit Amliorer la gestion du parc logiciel valuer rapidement les produits cryptographiques Effectuer des audits live de plateformes

Scurit accrue, contrle renforc

carter les produits mal finaliss

Exemple

: Nombreuses rfrences au code source dans la version finale :

constat : versions de dbogage livres / vendues:

Contrle qualit au rendez-vous ?
Pression commerciale ? Logiciel fourni plus lent voire instable ? Permet une slection pertinente des produits et solutions

Mieux grer le parc logiciel

Repackaging / reparamtrage des applications.

Optimisation des installations et de la taille des excutables. Bnfice - pour les administrateurs - pour le RSSI

Poste utilisateur sous Windows

Protection du poste utilisateur
Windows XP SP2 + Update jour, Vista Pro Droits utilisateur de base sur le poste Configur comme membre de domaine Windows Server 2003/2008 avec stratgie de scurit sur Active Directory. Anti-virus jour Firewall personnalis

Effectuer des audits live

Surveillance de processus douteux, gestion de parc.

Veille : apprendre l'tat de l'art...

Lecture de tutoriaux, de blogs, de forums...

Outils in-dis-pen-sables !

Collections d'outils de Mark Russinovich (sysinternals.com) et de Nir Sofer (nirsoft.net) PeID (+ plugins : Krypto Analyzer etc.) Trs pratique et simple d'utilisation. Universal Unpacker Dcompresse TOUT... ou presque. OllyDbg (+ plugins) LE dbogueur par excellence... et gratuit en plus. DataRescue IDA Pro (+ plugins) Vmware Workstation ou Microsoft Virtual Server

Ordre du jour
La socit Rappel sur la scurit RSSI Architecture de la scurit Les VPN Cas concrets

Architecture de la scurit
Firewall DMZ IDS Annuaire Log SSO VPN

Firewall - Rgles de filtrage

Trafic et types de services: Infrastructure:
Service de noms, Proxy et reverse proxies, Serveur de temps, Management de logs, Sondes de dtection dintrusions, Mail exchangers, VPN, Transaltion d@ IP et de ports.

Utilisateurs:
Web Transfert de fichiers Messagerie Authentification

Protocoles:
RPC, Netbios, IPsec,

Firewall Procdures oprationnelles

Scurit physique : baie, climatisation, onduleur, qualit de lquipement Stratgie de rdondance: elctrique, rseau fail over, quipement. Changement des rgles de filtrage
Formalisation des demandes de changement Rgles simples Notification des acteurs

Audits, Enregistrements et traabilit:

Garder les logs des accs interdits Sauvegarde sur support externe avec reprise sur chec / CNIL Corrlation avec IDS/IPS

Administration et Maintenance:
Exploitation des logs: rotation, Editeur de traitement de logs Administration distance Sauvegarde rquiliere de la configuration sur support physique. Stratgie de reprise sur incident majeur et fonctionnement en mode sans chec

A voir prochainement
Politiques Techniques de Scurit Plateforme daudit technique Gestion des logs Veille sur les vulnrabilit et gestion des patchs Gestion de lauthentification et dploiement de services / PKI. Problmes oprationnels

Ordre du jour
La socit Rappel sur la scurit RSSI Les VPN Cas concrets

VPN
Pour assurer la connectivit scurise entre les S.I des entreprises rparties sur de grandes distances gographiques => On met en place des VPN.

VPN Vs tunneling
Le tunneling est l'ensemble des processus d'encapsulation, de transmission et de dsencapsulation.

VPN pour les personnes mobiles Client CityPassenger Nomade

VPN inter sites

Protocoles VPN
a. PPTP b. L2TP c. IPSec d. SSL
e. IP-MPLS (Backbone oprateur)

PPTP
Protocole de niveau 2 permettant lencryptage et la compression des donnes dfinies dans la RFC 2637 Implment par Microsoft et intgr Windows Cration des paquets sous le protocole PPP et encapsulation dans des datagrammes IP

PPTP
Authentification grce au protocole Ms-Chap ou Pap Chiffrage des donnes avec le protocole Mppe (Microsoft Point-to-Point Encryption) Compression des donnes avec le protocole Mppc (Microsoft Point-to-Point Compression)

L2TP
- Convergence des protocoles PPTP et L2F => Rfc 2661 - Dveloppement collaboratif : Cisco, Microsoft, Ascend, 3Com, - Intgration de IPSec pour la scurit

IPSec
Protocole de scurit au sein de la couche rseau. Ce protocole est dvelopp pour fournir un service de scurit base de cryptographie, permettant de garantir l'authentification, l'intgrit, le contrle d'accs et la confidentialit des donnes. IPSec = formatage de trame permettant le chiffrement des donnes au niveau IP.

IP MPLS pour les VPNs

Cr pour augmenter la rapidit des routeurs et construire un rseau IP sur plusieurs technologies Routeurs :

- P (Provider) - Pe (Provider Edge) - Ce (Customer Edge)

IP SSL : Prsentation
Protocole de niveau 4 pris en compte en standard dans les navigateurs web rcents Encapsulation de la couche IP dans un tunnel SSL Gestion de lauthentification client serveur Gestion du cryptage des donnes

Fonctionnement de SSL
(Secure Sockets Layers)

Canal de communication scuris entre deux programmes 2 fonctionnalits :

Lauthentification du serveur et du client ltablissement de la connexion. Le chiffrement des donnes durant la connexion.

Phases du protocole SSL

(Secure Sockets Layers)

Segmentation des paquets en paquets de taille fixe. Compression (mais peu implment dans la ralit). Ajout du rsultat de la fonction de hachage. (compos de la cl de cryptage, du numro de message, de la longueur du message, de donnes ...) Chiffrement des paquets et du rsultat du hachage laide de la cl symtrique gnre lors du Handshake. Ajout dun en-tte SSL au paquet

Comparatif
Protocole
PPTP L2TP

Avantages
- Trs rpandu - Mobilit

Inconvnients
- Peu fiable - Performance faible - LoverHead
-

IPSec

Confidentialit/Intgrit des donnes

Pas dauthentification des utilisateurs - Pas de QoS - Lourdeur des oprations

MPLS IP SSL

- Rapide
-

- Dpend du rseau MPLS du fournisseur de service Stockage physique des cls

Dploiement Adaptation de la Qos

En rsum
IPsec sest impos au dbut dans ce domaine en plein dveloppement, mais il souffre dun dfaut majeur li son dploiement et la latence induite par le mcanisme de chiffrage. IP-SSL une solution qui offre plus de flexibilit et plus de performance

Composante principale de la scurit du VPN

Firewall anti-intrusion Serveur dauthentification Surveillance du trafic entrant et sortant, et protge lentreprise contre les accs non autoriss Packet-level checks de la source et de la destination

Groupe
site 1
VPN priv

Maison mre

Routage Internet

ROUTEUR Site Principal

VPN priv @Switch client vpn

Internet

site 2

VPN Nomade
Site 3

Agence

VPN Nomade

ROUTEUR Agence

ADSL Routage Internet

Internet Direct

Extranet