-1- sécurité - internet introduction à la problématique eric horlait université pierre et marie...
TRANSCRIPT
-1-
Sécurité - InternetIntroduction à la problématiqueSécurité - InternetIntroduction à la problématique
Eric Horlait Université Pierre et Marie CurieLaboratoire LIP64, place Jussieu75252 Paris Cedex 05http://www.lip6.fr/rp/[email protected]
-2-
Sécurité: la problématique - 1Sécurité: la problématique - 1
Connaissance des risques Connaître les architectures
Des machines Des Systèmes d ’exploitation Des Applications Des réseaux
Connaître les Méthodes d ’Intrusion pour : Caractériser les Comportements
Douteux Détecter les Tentatives d ’Intrusion
-3-
Sécurité: la problématique - 2Sécurité: la problématique - 2
Connaissance des acteurs Connaître les Hackers pour :
Comprendre leurs Motivations Estimer les Risques Se Protéger Efficacement
Connaître l’Entreprise pour : S ’Intégrer aux Équipes Comprendre la Stratégie Gérer les Aspects Politiques
-4-
Sécurité: la problématique - 3Sécurité: la problématique - 3
Connaissance des parades Connaître les Outils pour :
Mettre en Place des Solutions Appropriées
Bâtir des Plates-Formes de Sécurisation Fiables et Exploitables
-5-
Sécurité: la problématique - 4Sécurité: la problématique - 4
Un phénomène lié: les logiciels libres Pourquoi? La place de ces logiciels par rapport aux
systèmes commerciaux De la fiabilité De la sécurité Qui paye? Quelle limite?
Système? Outils? Applications?
-6-
A quoi pensent les « Hackers »?A quoi pensent les « Hackers »?
Access to computers should be unlimited and total.
Always yield to the Hands-On Imperative
All information should be free.
Mistrust authority--promote decentralization.
Hackers should be judged by their hacking.
You can create art and beauty on a computer.
Computers can change your
life for the better.
-7-
Les hommes - 1Les hommes - 1
Profils généralistes ingénieurs réseaux / système … bureautique multi-tâches
manque de temps pour la veille technologique préoccupations diverses
âge: 35-40 ans
Formation pas de cursus universitaires pas de formations continues principalement une culture médiatique
-8-
Les hommes - 2Les hommes - 2
Pas vital pour le fonctionnement du SI passe après les projets système / réseau décidé au dernier moment avec le reste du
budget (=rien?) Pas valorisant pour le décisionnaire
on ne sait que si çà ne marche pas suivi lourd en ressources humaines
La démarche « qualité » pourra aider
-9-
Une culture médiatique - 1Une culture médiatique - 1
Inadaptée et obsolète « pire » que dans les domaines classiques effraie sans donner de solutions
Orientée par les éditeurs de solutions fabricants de firewalls éditeurs de logiciels de détection
Mauvaise classification des risques orientés vers les actes visibles (virus etc.) pas ou peu de sensibilisation aux réels risques et
conséquences d ’intrusion
-10-
Une culture médiatique - 2Une culture médiatique - 2
Pas d ’implication dans le domaine niveau technique insuffisant confiance accordée aux éditeurs pas de « culture » on-line
Les « projets » de sécurité arrivent après les projets techniques
« Il faut faire fonctionner » « On sécurise après » SECURITE = REPARATION
-11-
Principaux types de projets - 1Principaux types de projets - 1
Migration d ’architectures du monde fermé au monde ouvert notion de danger double: technique et sécurité par où commencer? Le plus simple=la technique
Connexion INTERNET protection du réseau interne
problématique « classique » spécification et déploiement rapides
protection de services publics nombreux éléments à prendre en compte (services,
plates-formes, accès etc.)
-12-
Principaux types de projets - 2Principaux types de projets - 2
Connexion EXTRANET sectorisation du réseau interne
problématique propre à chaque entreprise complexe, souvent politique
protection des accès distants intégration de technologies de chiffrement et
d ’authentification techniquement complexe à intégrer dans l ’existant
évaluation des solutions proposées par les opérateurs
-13-
Principaux types de projets - 3Principaux types de projets - 3
Audits internes
validation de la sécurité « locale »
externe validation de l ’architecture d ’interconnexion à internet validation de la sécurisation des accès distants
analyse économique des résultats impact sur les choix techniques après coup!
-14-
SécuritéSécurité
Quelques exemples d ’attaques simples ...
-15-
•Un utilisateur quelconque •se connecte sur Internet
•Il récupère le code d ’un « exploit »
•Il le compile et l ’exécute
•Il est root
Une attaque directe UNIXUne attaque directe UNIX
-16-
• Un utilisateur quelconque se connecte sur Internet• Il récupère le programme « sechole.exe »• Il l ’exécute • Son compte est ajouté au groupe Administrators
Une attaque directe NTUne attaque directe NT
-17-
Sous NT la liste des mots de passe cryptés s ’obtient :• par une attaque sur la base de registres « pwdump »• en sniffant le réseau• via le fichier de réparation « %systemroot%\repair\sam._ »
Après le passage d ’un dictionnaire de 870 000 mots…Temps Réel : < 30s Après une attaque bête et néanmoins brutale sur l ’alphabet...14 heures plus Tard
Attaque des mots de passeAttaque des mots de passe
-18-
Découverte de topologieDécouverte de topologie
-19-
Trace de protocole (1)Trace de protocole (1)
08 00 20 0a ac 96 08 00 20 0a 70 66 08 00 4f 00 00 7c cb c9 00 00 ff 01 b9 7f 84 e3 3d 05 c0 21 9f 06 07 27 04 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 08 00 a2 56 2f 00 00 00 29 36 8c 41 00 03 86 2b 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 36 37
-20-
Attaque de datagrammesAttaque de datagrammes
La structure des données est connue La structure des applications est
connue et standard Une machine simple peut:
Ecouter Analyser Créer
-21-
Le « SPAM »Le « SPAM »
Envoi d ’information inutile et volumineuse
SPAM = argot Application visée:
-22-
SYN
SYN,ACK
ACK
Une attaque de TCPUne attaque de TCP
Pendant la phase d ’établissement de connexion
Interception Déguisement Quelle connexion
est active?
-23-
Le déguisementLe déguisement
Modification des adresses Intervention dans un dialogue Attaque des routages
A B Z
-24-
FTP et la sécuritéFTP et la sécurité
Problème protocolaire Problème d ’utilisation
A B
Vers le port 21
Depuis le port 20
A B
Vers le port 21
CF
iltre
Depuis le port 20
-25-
Mots de passeMots de passe
Transport dans le réseau Sensible à l ’écoute Besoin d ’authentification
RéseauA B
Détenteur du« secret »
Vérification du« secret »
-26-
SécuritéSécurité
La place des architectures de réseaux
-27-
La sécurité dans les réseaux
D'où viennent les problèmes? Distribution des informations et des machines. Réseaux mondiaux: Nombre d ’utilisateurs élevé, utilisateurs inconnus. Réseaux locaux: 80% des « attaques » Commerce et paiement: Le paradoxe du nombre et de la confiance!
Les techniques Cryptographie principalement L ’information se protège et se transmet facilement, pour la confiance, les
choses sont plus délicates
Les limites réglementaires et/ou techniques Besoin de contrôle des autorités. Problèmes douaniers / Lieu et méthode de taxation. Comment exercer réellement un contrôle?
-28-
La sécurité dans les réseaux
Plusieurs niveaux doivent être considérés: Le contrôle d ’accès: qui travaille sur ma machine? Le contrôle des données: mes informations sont-elles
secrètes? Un point central: la confiance et comment la partager?
Qui est vulnérable? Réseau local
Il est très facile d ’accès pour ses utilisateurs. C ’est le point faible pour les informations.
Le réseau longue distance Il concentre de nombreux utilisateurs. C ’est le point faible pour le
contrôle d ’accès.
-29-
La sécurité: les méthodes
Une trilogie « vitale »: Audit
Analyse des besoins, des risques
Les outils techniques Cryptographie
Contrôle Logiciels ou matériels de surveillance
Une seule étape vous manque … et tout est dépeuplé!
-30-
La sécurité: contrôle d ’accèsLa sécurité: contrôle d ’accès
Les éléments principaux à contrôler: Les machines, les applications, les utilisateurs, les données
Les outils techniques: Analyse des informations: passerelles filtrantes pour un
traitement au niveau des protocoles de communication. Gestion de mots de passe, de signatures, de certificats à un
niveau logique plus élevé. Le contrôle par journalisation, par vraisemblance. La
« traçabilité » des échanges
-31-
Attaque « système »Attaque « système »
Lecture du fichier des mots de passe Modification /bin/login Utilisation des serveurs ftp Utilisation des scripts CGI Exploitation des bugs de logiciels
(souvent messagerie)
-32-
Attaque logicielleAttaque logicielle
Virus et vers Virus arrive volontairement Ver arrive « seul »
Cheval de Troie Installé « normalement » Activation à distance
-33-
IntroductionIntroduction
Quelques éléments techniques
Les menaces
Passives Ecoute (sans modification des informations)
Actives Ajout, brouillage, déguisement Répudiation, divulgation
-35-
La sécurité: firewallsLa sécurité: firewalls
RouteurFirewall
RouteurFirewall
INTERNET
-36-
Signature électronique
A
PA B
PB
EmpreinteA
Nom
Date
?Empreinte
Nom
Date
PA
-37-
Serveur de sécurité
A B
Serveur
Demande de clé KS
KA(KS
) KB(KS
)
KB(KS)
KS(Message)
A B
Serveur
KA(Message)
XXXXX
XXXXX
XXXXXKB(Message)
Le répertoire comme serveur de sécurité
Besoin de nommage
Gestion des adresses
ISO - ex CCITT IETF X500 - ISO 9594 DNS
Utilisateur
DUA DSA
DSA
DSA
DSA
-39-
LDAPLDAP
Protocole d ’accès au répertoire X500 Utilisant TCP/IP Simplifiant un peu les codages Faire bénéficier le monde IP des
avantages de ce système par rapport au DNS
Sécurité - réglementationSécurité - réglementation
Avant 1986 (décret loi du 14/4/1939)
Décret 86-250 du 18/2/1986
Loi du 29/12/90 - décret 92-1358... SCSSI
Loi de Juillet 1996
Simple déclaration pour l'authentification et l'intégrité des messages
Demanded'autorisation pour le reste
SCSSI, 18 rue du Dr Zamenhof
92131 ISSY LES MOULINEAUX
Sécurité -Réglementation
Loi de Juillet 1996 Libéralisation de l’authentification Utilisation du cryptage possible
Tiers de confiance (Key Escrow) Algorithmes possibles?
Organisation de l’INTERNET Les décrets d’applications (fin 96?) Parus en février 1998