diapositive 1 -...

06/01/2015

1

Julien BourgeoisProfesseur des Universités - Département R&T

IUT Belfort-Montbéliard - Francetél : 03 81 99 47 75

e-mail : [email protected]

Ordinateurs portables interdits

Prise de note…◦ …même si je vous donne le support de cours

N’hésitez pas à m’interrompre pour poser des questions…◦ …plutôt que d’en discuter avec votre voisin !

Arrivez à l’heure…◦ …pour ne pas déranger les autres

Présence obligatoire Cours/TD/TP…◦ …l’appel sera fait

2 3

Network Intrusion Detection de Stephen Northcutt et Judy Novak, New riders

www.cert.org www.securityfocus.com Hardening Cisco Routers, Thomas Akin,

O’Reilly Stratégie Anti-hacker Designing Network Security, Merike Kaeo,

Cisco Press MISC Renaud bidou, « Security training »

4

Restons modestes :◦ Sécurité est un sujet énorme◦ Impossible à aborder en un cours◦ Complexe car connaissance très pointue dans

différents domaines Réseau

Administration

Cryptographie

…

5

Sécuriser un réseau◦ Sécuriser les locaux

◦ Sécuriser les postes de travail

◦ Sécuriser les serveurs

◦ Sécuriser les applications

◦ Sécuriser l’accès internet

◦ Sécuriser l’accès distant

◦ Sensibilisation des personnels

6

http://www.cert.org/

http://www.securityfocus.com/

06/01/2015

2

Définir une politique de sécurité

Se donner les moyens de l’appliquer :◦ Techniques

◦ Humains

◦ Organisationnels

7

Objectifs de ce cours

Principes de sécurité

Sécurisation de l’accès Internet

La translation d’adresses

Le filtrage

Les serveurs AAA

Les réseaux publiques virtuels (VPN)

Les botnets

Conclusion

8

Sécurité = contraintes

Concertation avec les employés

Evaluation des risques

Apporter des réponses à la mesure des risques

Définir une politique de sécurité

La sécurité est un processus continu

9

10

Politique

De

Sécurité

Sécuriser

Superviser

Tester

Améliorer

Routeur filtrant

Firewall ou garde-barrière ou pare-feu

Dispositif de détection d’intrusions (IDS)

Dispositif de prévention d’intrusions (IPS)

Serveur AAA

Serveur de log

11

1969 : Naissance d’internet

1970 : Naissance du phreaking (Captain Crunch)

1983 : Première arrestation du FBI pour cybercrime, les 414s

1983 : Début de renforcement des lois US

1986 : 500 réseaux sont connectés, premier vaste incident de sécurité identifié par Cliff Stoll

1988 : The Morris Worm -> 10% des ordinateurs US sont stoppés en même temps, c’est le premier vers

12

06/01/2015

3

1988 : Création du CERT CC et de FIRST

1989 : Diffusion du vers WANK/OILZ

1994 : Premier logiciel de sniffing

1995 : Arrestation de Kevin Mitnick par le FBI◦ 5 années de prison dont 4 et ½ en isolement

1998 : CIH (Chen Ing Hau) se répand en vidant la mémoire flash des ordinateurs

1998 : Hao Jinglong et Hao Jingwen dérobent$87.000 à une banque -> condamnés à mort

13

2000 : Mafiaboy rend inaccessible Yahoo, eBay, Amazon.com, CNN et d’autres -> 8 mois de détention

19/07/2001 : Code Red II, infecte 359.000 serveurs dans le monde en moins de 14h

14

2000 : Mafiaboy rend inaccessible Yahoo, eBay, Amazon.com, CNN et d’autres -> 8 mois de détention

19/07/2001 : Code Red II, infecte 359.000 serveurs dans le monde en moins de 14h

15

16

1. Newbies : Peu de connaissances techniques.

2. Lamers : Newbies ayant trouvé quelques outils et qui les utilisent. Pensent être des hackers.Ennuyeux

3. Script kiddies : Sont capables d’utiliser des attaques automatiques. Dangereux quand les attaques sont à jour.

4. Hackers : Création d’attaques basées sur leurconnaissances. Très dangereux.

5. Gurus : Développent de nouvelles techniques d’intrusion. Mortels.

17

1. Hacking : Intrusion des réseaux et des systèmes (DoS, social engineering, virus, vers, malwares, backdoors etc. )

2. Phreaking / Boxing : Hacking des lignes téléphoniques.

3. Cracking : Piratage de logiciels (reverse engineering, warez)

4. Carding : Piratage de cartes à puces (cartes de crédit, téléphone, TV, etc.)

Communauté électronique◦ Création de groupes avec les BBS (the inner circle, l0pht

heavy industry, hack4girlz, Theso …)◦ Magazines (phrack + magazines éphémères…)◦ Mailing Lists (bugtraq, …)

Lieux de rencontre◦ Cons (DefCon, HoHoCon, PumpCon…)◦ Autres conférences (CCC Camp, HAL, BlackHat, PH-

Neutral …)

Pas de chefs mais des gourous◦ Issus du passé : Aleph One, Wietse Venema, Steve

Bellovin, Alec Muffet◦ Nouvelle génération : Fyodor, Ron Gula, The Hobbit,

Renaud Deraison, Mudge

18

06/01/2015

4

Intelligence reports and information about new threats ◦ http://hackerwatch.org◦ http://www.cert.org◦ http://first.org◦ http://tools.cisco.com/security/center/

Internet Motion Sensor (IMS) is a large cluster of systems configured to monitor blocks of routable unused IP addresses. ◦ http://ims.eecs.umich.edu

Other research initiatives and organizations :◦ CAIDA: http://www.caida.org/analysis/security◦ The iSink: http://wail.cs.wisc.edu◦ Common Vulnerability and Exposures: http://cve.mitre.org◦ Team CYMRU Darknet Project: http://www.cymru.com/darknet◦ The Honeynet Project: http://honeynet.org

19





Le filtrage

Les serveurs AAA


20

Principal moyen de connexion avec l’extérieur Protection des systèmes informatiques contre

ces personnes

Evaluation difficile du nombre d’intrusions◦ Intrusions parfois non détectées

◦ Réticence des entreprises et administrations

21

22

0

1000

2000

3000

4000

5000

6000

7000

8000

9000

1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008

Vulnérabilités reportées et cataloguées par le CERT CC :

23

0

20000

40000

60000

80000

100000

120000

140000

160000

Incidents rapportés au CERT CC : Attaques non-structurées

◦ Premiers essais de scripts kiddies

Attaques structurées

◦ Mise en œuvre de schémas complexes d’attaque

Attaques externes

◦ Par le biais d’internet

Attaques internes

◦ Avec des complicités internes ou depuis l’interieurdu réseau

24

http://hackerwatch.org/

http://www.cert.org/

http://first.org/

http://tools.cisco.com/security/center/

http://ims.eecs.umich.edu/

http://www.caida.org/analysis/security

http://wail.cs.wisc.edu/

http://cve.mitre.org/

http://www.cymru.com/darknet

http://honeynet.org/

06/01/2015

5

Reconnaissance◦ Découverte, cartographie du réseau (systèmes,

services et vulnérabilités)

Accès à des ressources◦ Attaque afin d’obtenir des données ou de prendre

le contrôle d’un système.

Déni de service (Denial of Service, DoS)◦ Attaque endommageant le fonctionnement d’un

service proposé.

25

Vol, destruction ou corruption d'information

Déni de service

Mascarade d'identité

Rebonds

Utilisation frauduleuse de ressources

26

Dénis de service (DoS, Denial of Service)◦ Objectif : arrêt total ou partiel d’un service

◦ Différentes méthodes Exploitation d’une faille structurelle

Consommation de ressources

◦ Conséquences Perte de production

Dégradation d’image

Peut être utilisée dans le cadre d’attaques plus complexes

27

Prise de contrôle des systèmes◦ Objectif : gain de la maîtrise du système

◦ Méthodes Utilisation d’un accès utilisateur mal protégé

Exploitation de failles structurelles

Exploitation d’erreurs de programmation

Augmentation des privilèges

◦ Conséquences Dénis de service

Perte de confidentialité

Utilisation du système pour un « rebond »

28

Conséquences importantes◦ Vol de logiciels (IDSoftware, Valve)◦ Vol de données (Valéo, Ghostnet, Greenpeace/EDF)◦ Sites down (Yahoo, eBay, …)◦ Utilisation de comptes bancaires◦ Encryptage d’ordinateur

CryptoLocker, $300/ordi -> 27 M$/an

Conséquences limitées◦ Perte de ressource (Serveur pirate)◦ Reconfiguration de matériel ◦ Utilisation de PC Zombie (Jeanson Ancheta)

400 000 PC, 5 ans prison, 3 ans liberté surveillée, 75 000 $◦ Commerce de logiciel

Blackshades -> xVisceral (Michael Hogue) et 23 complices arrêtés

Réputation et image de marque◦ Perte de confiance (Microsoft)

29 30

Rootkit pour les logiciels industriels (Nucléaire Iranien)

RSA Security doit remplacerses SecurID tokens qui ontété hackés en mars 2011.

Ecoutes sur le réseau téléphonique mobile GrecqueLes listes d’adresses emails

gérées par Epsilon ont été collectées

06/01/2015

6

31https://www.shadowserver.org/wiki/uploads/Stats/ddos-twoyear.png

32http://www.shadowserver.org/wiki/uploads/AV/stats/sandbox-avm-chart.png

vendor detected total percentAvast (Windows) 173,674,416 216,828,638 80.0975

BitDefender (Windows) 166,146,446 216,492,475 76.7447

Avira (Windows) 158,360,528 212,924,156 74.3741AVG (Windows) 159,055,946 216,789,264 73.3689

Avira (Linux) 154,627,040 216,902,465 71.2887Symantec (Windows) 152,266,732 216,256,846 70.4101

BitDefender (Linux) 149,221,437 214,467,635 69.5776

Sunbelt (Windows) 149,783,154 215,896,437 69.3773

Eset (Linux) 149,265,121 216,210,262 69.0370Comodo (Windows) 146,286,339 214,835,577 68.0922Ikarus (Windows) 144,939,087 215,391,550 67.2910

Ikarus (Linux) 142,193,539 214,678,126 66.2357

K7 (Windows) 142,744,171 217,382,417 65.6650

McAfee (Windows) 139,995,537 216,108,571 64.7802

Lionic (Windows) 20,653,934 32,677,193 63.2060

Eset (Windows) 133,303,365 210,903,685 63.2058McAfee (Linux) 136,274,928 216,994,177 62.8012

Authentium (Windows) 133,511,049 212,846,519 62.7264GData (Windows) 131,590,940 214,083,152 61.4672

Authentium (Linux) 128,480,371 215,136,431 59.7204

AhnLab (Windows) 124,487,573 211,954,838 58.7331Avast (Linux) 122,321,374 211,190,859 57.9198

34

vendor detected total percent

DrWeb (Linux) 118,621,007 209,556,342 56.6058DrWeb (Windows) 110,850,147 196,839,185 56.3151

FSecure (Windows) 111,940,680 201,296,538 55.6098Microsoft (Windows) 117,809,603 214,465,406 54.9318

Norman (Windows) 114,296,459 216,589,371 52.7710

Clam (Linux) 109,798,818 211,127,208 52.0060

Kaspersky (Windows) 110,028,793 212,380,558 51.8074

FProt (Windows) 111,090,447 216,327,741 51.3528TrendMicro (Windows) 77,046,718 152,879,708 50.3970

AVG (Linux) 104,882,876 209,366,310 50.0954Clam (Windows) 99,748,849 200,028,340 49.8674

FProt (Linux) 106,936,606 215,735,421 49.5684

Norman (Linux) 87,552,329 180,718,014 48.4469

K7GW (Windows) 30,795,722 64,650,663 47.6340Sophos (Linux) 93,002,350 199,102,843 46.7107

Sophos (Windows) 94,712,656 204,498,686 46.3146QuickHeal (Linux) 21,038,521 46,094,611 45.6420Fortinet (Windows) 97,775,070 215,631,844 45.3435

35

vendor detected total percent

FSecure (Linux) 96,873,433 214,851,483 45.0886QuickHeal (Windows) 92,444,233 215,477,965 42.9019

TrendMicro (Linux) 66,124,852 215,130,907 30.7370Kaspersky (Linux) 12,784,598 45,371,594 28.1775

Panda (Linux) 42,924,298 214,307,392 20.0293

36

06/01/2015

7

Terminologie◦ Garde-barrière, firewall ou pare-feu

Sans firewall◦ Chaque machine a accès à toutes les machines

connectées et réciproquement

Avec firewall :◦ Point de passage obligé entre le réseau interne et

Internet

37

Dans la vie réelle◦ Un “firewall” (coupe-feu) est un matériau ignifugé

placé de manière à empêcher la propagation du feud’une partie à l’autre d’un bâtiment.

En réseau◦ C’est un appareil ou un groupe d’appareils qui

renforce le contrôle des paquets passants entre plusieurs réseaux

38

Tracer et auditer le trafic entre le réseau interne et le réseau externe

Contrôler ce même trafic

Faciliter l'administration en regroupant les opérations de surveillance et de contrôle

Contrôle des messages entrants (Spamming, virus)

39

Routeur filtrant

Firewall ou garde-barrière ou pare-feu (peut-être un routeur)

Dispositif de détection d’intrusions (IDS)

Serveur AAA

Serveur de log

40

Cisco PIX (501, 506E, 515E, 525 et 535) Checkpoint Firewall-1 Arkoon (A20, A200, A2000) Juniper (NetScreen, SSG)

ZyXEL (ZyWALL) OpenBSD/Linux et netfilter◦ Distrib spécialisée : SmoothWall, Endian, Pfsense,

IPCop

… Ce sont des firewalls réseau, à ne pas

confondre avec les firewalls personnels !!!

41

Firewall à 2 interfaces (pas de DMZ)◦ Inside et outside

Sécurisation par niveaux de sécurité◦ Inside 100 et outside 0

Possibilité de VPN

Filtrage stateful

42

06/01/2015

8

Mettre une adresse IP (pas de menu interface)

ip address nomInterface @IP netmask

Attention le PIX :◦ Ne répond pas au ping

◦ Ne laisse rien passer par défaut

43 44

Internet

Interface outside

Niveau de sécurité 0

Interface dmz1


Réseau local

Une connexion est autorisé si elle commence d’un niveau de

sécurité supérieur vers un niveau de sécurité inférieur

DMZ

Interface inside


Affichage de l’état de vos interfaces ◦ show interface

Affichage de tous les paquets ICMP ◦ debug icmp trace

Sniffeur intégré◦ capture nom_capture [access-list acl_name] [interface name]

◦ show capture nom_capture

Pour pinger l'interface interne :◦ management-access inside

◦ show management-access

45

Filtrage des paquets◦ Simple : Limite les échanges en se servant

d’informations statiques

◦ Stateful : Utilise pleinement les informations de connexions

Proxy◦ Intermédiaire de connexion entre le réseau privé et

internet

46

Routeur avec filtrage des paquets niveau 3

Filtrage des adresses suspectes

Filtrage de certains protocoles

Filtrage sur les destinations

47

DMZ

FTP

HTTP

Internet Routeur avec filtrage

niveau 3 et 4

Information de session

Risque de surcharge du routeur

48

DMZ

FTP

HTTP

Internet

06/01/2015

9

Firewall avec filtrage niveau 3 et 4

Information de session

Risque de surcharge du firewall

Solution équivalente à un routeur

49

DMZ

FTP

HTTP

Internet Routeur avec filtrage

niveau 3 et 4

Firewall avec filtrage applicatif

Pas d’authentification forte

Pas de filtrage sélectif

Pas d’IDS, pas de log

50

DMZ

FTP

HTTP

Internet

Routeur avec filtrage niveau 3 et 4

Firewall avec filtrage stateful

Authentification

Filtrage sélectif

Détection des intrusions

51

DMZ

FTP

HTTP

Internet

IDS

AAA

Routeur avec filtrage niveau 3 et 4

Firewall UTM◦ Anti-virus◦ Anti-spam◦ Filtrage URL◦ IDS◦ VPN

Authentification Filtrage sélectif Détection des intrusions

52

DMZ

FTP

HTTP

Internet

IDS

AAA





Le filtrage

Les serveurs AAA


53

Adresses privées -> adresses publiques

Double objectif :◦ Protéger certaines machines

◦ Mais aussi économiser des IP publiques !

Protection car machines inaccessibles depuis l'extérieur directement

Economie car ces machines n'ont pas d'adresses publiques

54

06/01/2015

10

NAT : Network Address Translation

NAT statique◦ Correspondance entre 1@ privée et 1@ publique

(serveurs)

Translation d'adresses dynamique◦ les @ publiques sont attribuées à la demande

(clients)

Par rapport à un pool d’adresses

Par rapport à un pool de ports (PAT)

Présence d’une table de correspondance

55 56

InternetRéseau local : adressage privé

192.168.100.0/24

DMZ : adressage privé

192.168.101.0/24Internet : adressage public

Entreprise dispose de 205.54.12.32/27

Table de translation

IP publiques

205.54.12.33

IP privées

192.168.101.1

Adresse source :

64.233.183.99

Adresse destination :

192.168.101.1

Port source :

52124

Port destination :

80

Adresse source :

64.233.183.99


205.54.12.33

Port source :

52124

Port destination :

80

Commande PIX static [(internal_if_name, external_if_name)]

{global_ip | interface} local_ip

Exemple du cas précédent static (dmz, outside) 205.54.12.33 192.168.101.1

Créé une correspondance entre une adresse publique et une adresse privée

Attention, il faut filtrer les accès à cette adresse !

57

58

Internet

Internet : adressage public


Le NAT utilise .34 -> .40

Réseau local : adressage privé

192.168.100.0/24


IP publiques IP privées

64.233.183.99192.168.100.1

59

Internet





192.168.100.0/24

Adresse source :

192.168.100.1


64.233.183.99

Port source :

35020

Port destination :

80

Adresse source :

205.54.12.34


64.233.183.99

Port source :

35020

Port destination :

80


IP publiques

205.54.12.34

IP privées

192.168.100.1

60

Internet





192.168.100.0/24

Adresse source :

64.233.183.99


192.168.100.1

Port source :

52124

Port destination :

35020

Adresse source :

64.233.183.99


205.54.12.34

Port source :

52124

Port destination :

35020


IP publiques

205.54.12.34

IP privées

192.168.100.1

06/01/2015

11

Autoriser l’accès au NAT nat [(if_name)] nat_id local_ip

Interdire l’accès au NAT nat [(if_name)] 0 [access-list acl_id ]

Définir les adresses à utiliser pour sortir global [(if_name)] nat_id global_ip-global_ip

[netmask global_mask]

61

Exemple précédent :

Autoriser l’accès au NAT nat (inside) 5 0 0

Définir les adresses à utiliser pour sortir global (outside) 5 205.54.12.34-205.54.12.40

netmask 255.255.255.224

62 63

Internet


Entreprise dispose d’une adresse :

205.54.12.41


192.168.100.0/24


IP publiques IP privées

64.233.183.99192.168.100.1

64

Internet


192.168.100.0/24

Adresse source :

192.168.100.1


64.233.183.99

Port source :

35020

Port destination :

80

Adresse source :

205.54.12.41


64.233.183.99

Port source :

2500

Port destination :

80


IP publiques

205.54.12.41

:2500

IP privées

192.168.100.1

:35020



205.54.12.41

65

Internet




192.168.100.0/24

Adresse source :

64.233.183.99


192.168.100.1

Port source :

52124

Port destination :

35020

Adresse source :

64.233.183.99


205.54.12.41

Port source :

52124

Port destination :

2500


IP publiques

205.54.12.41

:2500

IP privées

192.168.100.1

:35020


Autoriser l’accès au NAT (si pas déjà fait) nat (inside) 5 0 0

Définir l’adresse à utiliser pour le PAT global (outside) 5 205.54.12.41 netmask

255.255.255.224

Ou utiliser l’adresse de l’interface global (outside) 5 interface

66

06/01/2015

12

67

Internet



205.54.12.33


192.168.100.0/24


64.233.183.99192.168.100.1

IP publiques

205.54.12.33

:4662

IP privées

192.168.100.1

:4662

68

Internet




192.168.100.0/24

Adresse source :

64.233.183.99


192.168.100.1

Port source :

52124

Port destination :

4662

Adresse source :

64.233.183.99


205.54.12.33

Port source :

52124

Port destination :

4662


IP publiques

205.54.12.33

:4662

IP privées

192.168.100.1

:4662

Permet d’utiliser un serveur sans faire une translation complète

Sécurise mieux votre machine◦ Car un seul port est accessible

◦ Pas besoin d’ACL supplémentaires

69


Autoriser l’accès au serveur web static (inside, outside) tcp interface www

10.1.1.15 www

70

show static◦ Affiche les translations statiques

show xlate◦ Affiche la table de correspondance

show xlate detail◦ Affiche la table de correspondance en détail

show xlate debug

71

Restreint la visibilité vis à vis de l'extérieur◦ Sauf pour le statique (NAT ou PAT)

◦ Sauf pour le dynamique

Sans effet pour une attaque interne

Permet en même temps d'économiser des adresses IP

72

06/01/2015

13

73

Internetadressage

public

Réseau local en

adressage privé

192.168.100.0/24

Réseau local en

adressage privé

192.168.100.0/24





Le filtrage

Les serveurs AAA

Les réseaux privés virtuels (VPN)

74 75

==Si

alors…

Cet immeuble a 65535 portes

Et chaque porte représente un port de l’ordinateur

Si vous aviez la surveillance de cet immeuble, est-ce que vous laisseriez n’importe qui entrer par n’importe quelle porte ?

Si vous aviez la surveillance de la ville ?

76

Chaque port à un numéro

Liste des ports réservés et enregistrés :◦ http://www.iana.org/assignments/port-numbers

◦ 0-1024 -> réservés

◦ 1024-65535 -> enregistrés

De nombreux ports sont ouverts sur les machines clientes◦ netstat –abf (windows)

◦ netstat –ap (linux)

77

HTTP ?

HTTPS ?

FTP ?

SSH ?

Telnet ?

Pop ?

Pops ?

Imap ?

Imaps ?

78

http://www.iana.org/assignments/port-numbers

06/01/2015

14

Ne concerne que les machines qui sontaccessibles depuis l’extérieur

Plusieurs niveaux de filtrage :◦ Filtrage simple des paquets (niveau 3)◦ Filtrage avec information de session (niveau 4)◦ Filtrage applicatif (niveau 5-7)◦ Filtrage par utilisateur

Niveaux complémentaires Complexité croissante -> compilation des filtres

79

Un filtre s’applique sur une interface

Un filtre a un sens (in ou out)

Règles :◦ Filtrage au plus tôt

◦ 1 filtre par sens et par interface

80

Rappel : ◦ « Une connexion est autorisée si elle commence

d’un niveau de sécurité supérieur vers un niveau de sécurité inférieur »

Donc toute connexion entrante est filtrée !

Les filtres sont donc principalement utilisés pour autoriser certaines connexions

81

Définition du filtre :access-list id [line line-num] {deny | permit} protocol

source_addr source_mask [operator port [port] | interface if_name ]

destination_addr destination_mask [operator port [port]]

[log [[disable | default] | [level]]] [interval secs]]

Application du filtre :access-group id in interface interface_name

Debugging du filtre (aussi avec hitcnt) :[no] debug access-list all | standard | turbo

82

Informations niveau 4 non suffisantes

Connexions TCP changeant de port

Suivi des numéros de séquence

Commandes permises (Ex. SMTP, HTTP)

Dernier paquet transmis ?

Nombre de connexions semi-ouvertes permises, etc.

83

Firewall est responsable du filtrage niv. 5-7

Filtrage appelé stateful, applicatif ou de contenu d’application

On peut aussi trouver le terme de « deep packetinspection » signifiant une analyse plus approfondie des paquets

84

06/01/2015

15

Authentification de l’utilisateur

Filtres personnalisés

Besoins :◦ Serveur AAA

◦ Firewall

◦ Echange AAA-Firewall lors de l’authentification

85 86





Le filtrage

Les serveurs AAA


87

Plusieurs méthodes possibles :◦ Normes :

TACACS+

RADIUS

◦ Outils existants (hors normes) :

Kerberos

Fortezza

DCE

88

Développé pour les militaires (MILNET)

Repris et amélioré par CISCO

Basé sur TCP port 49

89

L ’authentification est générique (PPP PAP, CHAP, EAP, token, Kerberos, etc.)

Trois phases :◦ Client envoie un paquet START au serveur (type

d ’authentification + données)

◦ Serveur envoie un REPLY, authentification terminée ou pas

◦ Client envoie un CONTINUE avec les données nécessaires

90

06/01/2015

16

L’autorisation détermine les droits de l’utilisateur authentifié ou non

Deux phases :◦ Client envoie un REQUEST

◦ Serveur envoie une RESPONSE

91

L’accounting ou comptabilité enregistre toutes les actions

Trois type d ’enregistrement :◦ start : le service commence

◦ stop : le service s ’arrête

◦ update : le service est toujours en utilisation

92

Développé par Livingston Enterprises Inc.

RFC 2058, 2059 Bases 1996

RFC 2138, 2139 modifications 1997

RFC 2865, 2866 modifications 2000

RFC 2548, 2618, 2619, 2620, 2621, 2809, 2867, 2868, 2869, 2882, 3162, 3575, 3576, 3579, 3580 ajouts (-> 09/2003)

93

Basé sur UDP

Ports ◦ 1812 -> Radius

◦ 1813 -> Radius accounting

94

Utilisateur envoie username/password au serveur

Réponse du serveur :◦ ACCEPT

◦ REJECT

◦ CHALLENGE -> plus d’information

◦ CHANGE PASSWORD

95





Le filtrage

Les serveurs AAA


98

06/01/2015

17

Virtual Private Network

Réseau privé ◦ Un seul utilisateur du medium

Reseau privé virtuel◦ Plusieurs utilisateurs du médium mais mon canal de

communication est inaccessible aux autres

99

Propriétés d’un VPN◦ Authentification des acteurs

◦ Intégrité des données

◦ Confidentialité des données

Avantages attendus◦ Réduction des coûts

◦ Augmentation mobilité

◦ Externalisation des activités

100

VPN peuvent intervenir à plusieurs niveaux

Point-to-Point Tunneling Protocol (PPTP)

Layer 2 Forwarding (L2F) Protocol

Layer 2 Tunneling Protocol (L2TP)

Generic Routing Encapsulation (GRE) Protocol

Multiprotocol Label Switching (MPLS) VPN

Internet Protocol Security (IPsec)

Secure Socket Layer (SSL)

101

Le plus utilisé : VPN sur IP

Le protocole IPSec est le plus utilisé pour créer des VPNs, car :◦ Standard actuel

◦ Futur (IPv6)

102

Chiffrement (cryptage)◦ Symétrique (clé privée partagée)

◦ Asymétrique (clé privée + clé publique partagée)

Authentification◦ Connexions

◦ Données

Contrôle d’intégrité

103

Data Encryption Standard (DES), 56-bit.◦ Plus assez sûr !

Triple DES (3DES), 3 fois DES◦ Pas équivalent du tout à DES 168 bits

Advanced Encryption Standard (AES)◦ Dernier protocole normalisé

CAST◦ Moins sûr que 3DES mais plus rapide

104

06/01/2015

18

105Source : IPSec VPN DesignBy Vijay Bollapragada, Mohamed Khalid, Scott Wainner

RSA (Rivest, Shamir, and Adleman)

Digital Signature Algorithm (DSA), authentification seulement

Diffie-Hellman (DH), utilisé par Internet Key Exchange (IKE) dans Ipsec

KEA (Key Exchange Algorithm)

106 107

Source : IPSec VPN DesignBy Vijay Bollapragada, Mohamed Khalid, Scott Wainner

Hashing Message Authentication Codes (HMAC)◦ MD5

◦ SHA-1

108

Security Association

A chaque relation unidirectionnelle estassociée une SA

Fixe les opérations qu’IPSec doit appliqueraux datagrammes◦ Informations sur AH, ESP, anti-répétition, etc.

Deux différents types de SA :◦ ISAKMP SA (ISAKMP Phase 1)

◦ IPSEC SA (ISAKMP Phase 2)

109

Problème de gestion des clefs privéesutilisées pour le chiffrement◦ Génération, distribution, stockage

Manuelle

Automatique◦ IKE (Internet Key Exchange)

◦ ISAKMP (Internet Security Association and Key Management Protocol)

110

06/01/2015

19

Sert à établir une clé commune temporaire

Attention, cette méthode est vulnérable au MiM

111

Source : Wikipédia

g représente le groupe

Groupe 1, 768 bits◦ Compatible avec tous les équipements

◦ Plus rapide que le groupe 2

◦ Moins sûr que le groupe 2

Groupe 2 1024 bits◦ Ne fonctionne pas sur certains équipements

◦ Plus lent que le groupe 1, attention certains équipements compatibles ne supporteront pas la charge (Cisco 2500, par exemple) !

◦ Plus sécurisé que le groupe 1

112

SKEME –> ISAKMP -> IKE

ISAKMP définit :

Comment les IPSEC communiquent

Le format des messages échangés

Les étapes nécessaires pour établir uneconnexion

ISAKMP NE définit PAS :◦ Comment l’échange de clés est réalisé

C’est IKE qui définit comment l’échange de clés est réalisé

113

SKEME –> ISAKMP -> IKE

ISAKMP possède 2 phases :◦ Phase 1 : Mise en place de la communication

bidirectionnelle (Les SAs) avec génération d’une clé secrète

◦ Phase 2 : Négociation des SAs

Phase 1 :◦ ISAKMP possède deux modes différents

Mode principal (main mode), 6 étapes

Protège l’identité des participants

Mode agressif (agressive mode), 3 étapes

Divulgue l’identité des participants, le groupe doit être le même

114 115

Nombre aléatoire (Nonce)

Source : End-to-end network security, Omar Santos

Authentification par chiffrement asymétrique et

hash

Phase 2 :◦ ISAKMP n’a qu’un seul mode, Quick Mode

◦ La phase 1 a créé un canal sécurisé

◦ La phase 2 négocie les paramètres des SAs

116

06/01/2015

20

117

Source : End-to-end network security, Omar Santos

118

Basé sur le RFC2401 :

Protocoles de sécurité

Authentication header (AH)

Encapsulation security payload (ESP)

Gestion des clés

ISAKMP, IKE, SKEME

Algorithme de cryptage et d’authentification

119

AH est une en-tête

Authentification de l’émetteur

Contrôle d’intégrité du paquet

En-tête IP En-tête L4 Données

En-tête IPV4

En-tête IP AH Données

En-tête IPV4 + IPSec AH

En-tête L4

120

ESP est une en-tête

Chiffrement et intégrité des données

Anti-répétition des sessions

En-tête IP En-tête L4 Données

En-tête IPV4

En-tête IP ESP Données

En-tête IPV4 + IPSec ESP

En-tête L4 Trailer ESP

Chiffrement

Trois méthodes possibles :◦ ESP avec authentification

◦ ESP sans authentification, puis AH

◦ AH en premier puis ESP avec authentification

121

show crypto ipsec sa show crypto isakmp sa show crypto map show isakmp show isakmp policy

clear crypto IPSec sa clear crypto isakmp sa

debug crypto IPSec debug crypto isakmp

122

06/01/2015

21

Intrusion Detection System

Intrusion Prevention System

Objectifs◦ IDS : Détecter les intrusions complexes

◦ IPS : Détecter les intrusions simples et les arrêter

IDS◦ Avec détection par signature

◦ Avec détection comportementale

123

Détection par signature◦ Base de données de toutes les vulnérabilités

◦ Les plus connues/utilisées

CVE (Common Vulnerabilities and Exposures)

OSVDB (The Open Source Vulnerability Database)

Security Focus

US-CERT Vulnerability Notes

Packet Storm

IDS sniffe et analyse tout le traffic et essaie de détecter des schémas d’attaques

124

Détection comportementale

L’IDS est entraîné sur le réseau

Puis détecte tout changement de comportement suspect d’un utilisateur ou d’un service

125

Problème des IDS◦ Faux positifs

◦ Faux négatifs

Nombreuses méthodes d’évasions◦ Fragmentation de paquets

◦ Modification chaines de caractères

◦ CodeGen

◦ DoS sur l’IDS

◦ Etc.

126

Snort (GPL)◦ Acheter des règles de corrélation

127

Botnet◦ Ensemble d’ordinateurs connectés à internet qui

interagissent pour accomplir une tâche commune. Ces ordinateurs sont compromis et utilisés sans l’accord de leur propriétaire

Drone ou Zombie◦ Machine compromise

Bot◦ Logiciel s’exécutant sur le zombie

C&C◦ Centre de commande du botnet

Herder (berger)◦ Personne contrôlant le botnet

128

06/01/2015

22

Utilisation de botnet◦ Click Fraud

◦ DDoS

◦ Keylogging

◦ Warez

◦ Spam

◦ Camouflage d’identité

129

https://www.shadowserver.org/wiki/pmwiki.php/Stats/BotnetCharts

130

http://www.shadowserver.org/wiki/pmwiki.php/Stats/BotCounts

131

132http://www.shadowserver.org/wiki/uploads/Stats/ccip-combineda.jpg

Un peu de maths◦ 1500 botnets minimum

◦ De 20 000 drones minimum

◦ = 30 000 000 de drones MINIMUM

Pourquoi ?◦ Auto-réplication

◦ Plus un botnet est gros, plus il est influent

133

Comment ça marche ?◦ Le C&C est souvent un serveur IRC ou HTTP

◦ Les bots se connectent et reçoivent des ordres par le biais de commandes IRC ou HTTP

◦ IRC, temps-réel

◦ HTTP, asynchrone

134

https://www.shadowserver.org/wiki/pmwiki.php/Stats/BotnetCharts

http://www.shadowserver.org/wiki/pmwiki.php/Stats/BotCounts

http://www.shadowserver.org/wiki/uploads/Stats/ccip-combineda.jpg

06/01/2015

23

TDLBotnetA RogueAVBotnet ZeusBotnetB

◦ https://goz.shadowserver.org/gozcheck/

Monkif Koobface.A Conficker.C

◦ http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

Hamweq AdwareTrojanBotnet Sality SpyEyeBotnetA (OneStreetTroop)

135

Il n’y a pas de sécurité totale !◦ Définir les réactions quand un problème arrivera

◦ Limiter la propagation des risques

Trouver un compromis pour chaque situation : pas besoin d’IDS pour votre boulangère

Coûts conséquents pour mettre en place etentretenir la sécurité

136

https://goz.shadowserver.org/gozcheck/

http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

diapositive 1 -...

Documents