diapositive 1 -...
TRANSCRIPT
06/01/2015
1
Julien BourgeoisProfesseur des Universités - Département R&T
IUT Belfort-Montbéliard - Francetél : 03 81 99 47 75
e-mail : [email protected]
Ordinateurs portables interdits
Prise de note…◦ …même si je vous donne le support de cours
N’hésitez pas à m’interrompre pour poser des questions…◦ …plutôt que d’en discuter avec votre voisin !
Arrivez à l’heure…◦ …pour ne pas déranger les autres
Présence obligatoire Cours/TD/TP…◦ …l’appel sera fait
2 3
Network Intrusion Detection de Stephen Northcutt et Judy Novak, New riders
www.cert.org www.securityfocus.com Hardening Cisco Routers, Thomas Akin,
O’Reilly Stratégie Anti-hacker Designing Network Security, Merike Kaeo,
Cisco Press MISC Renaud bidou, « Security training »
4
Restons modestes :◦ Sécurité est un sujet énorme◦ Impossible à aborder en un cours◦ Complexe car connaissance très pointue dans
différents domaines Réseau
Administration
Cryptographie
…
5
Sécuriser un réseau◦ Sécuriser les locaux
◦ Sécuriser les postes de travail
◦ Sécuriser les serveurs
◦ Sécuriser les applications
◦ Sécuriser l’accès internet
◦ Sécuriser l’accès distant
◦ Sensibilisation des personnels
6
06/01/2015
2
Définir une politique de sécurité
Se donner les moyens de l’appliquer :◦ Techniques
◦ Humains
◦ Organisationnels
7
Objectifs de ce cours
Principes de sécurité
Sécurisation de l’accès Internet
La translation d’adresses
Le filtrage
Les serveurs AAA
Les réseaux publiques virtuels (VPN)
Les botnets
Conclusion
8
Sécurité = contraintes
Concertation avec les employés
Evaluation des risques
Apporter des réponses à la mesure des risques
Définir une politique de sécurité
La sécurité est un processus continu
9
10
Politique
De
Sécurité
Sécuriser
Superviser
Tester
Améliorer
Routeur filtrant
Firewall ou garde-barrière ou pare-feu
Dispositif de détection d’intrusions (IDS)
Dispositif de prévention d’intrusions (IPS)
Serveur AAA
Serveur de log
11
1969 : Naissance d’internet
1970 : Naissance du phreaking (Captain Crunch)
1983 : Première arrestation du FBI pour cybercrime, les 414s
1983 : Début de renforcement des lois US
1986 : 500 réseaux sont connectés, premier vaste incident de sécurité identifié par Cliff Stoll
1988 : The Morris Worm -> 10% des ordinateurs US sont stoppés en même temps, c’est le premier vers
12
06/01/2015
3
1988 : Création du CERT CC et de FIRST
1989 : Diffusion du vers WANK/OILZ
1994 : Premier logiciel de sniffing
1995 : Arrestation de Kevin Mitnick par le FBI◦ 5 années de prison dont 4 et ½ en isolement
1998 : CIH (Chen Ing Hau) se répand en vidant la mémoire flash des ordinateurs
1998 : Hao Jinglong et Hao Jingwen dérobent$87.000 à une banque -> condamnés à mort
13
2000 : Mafiaboy rend inaccessible Yahoo, eBay, Amazon.com, CNN et d’autres -> 8 mois de détention
19/07/2001 : Code Red II, infecte 359.000 serveurs dans le monde en moins de 14h
14
2000 : Mafiaboy rend inaccessible Yahoo, eBay, Amazon.com, CNN et d’autres -> 8 mois de détention
19/07/2001 : Code Red II, infecte 359.000 serveurs dans le monde en moins de 14h
15
16
1. Newbies : Peu de connaissances techniques.
2. Lamers : Newbies ayant trouvé quelques outils et qui les utilisent. Pensent être des hackers.Ennuyeux
3. Script kiddies : Sont capables d’utiliser des attaques automatiques. Dangereux quand les attaques sont à jour.
4. Hackers : Création d’attaques basées sur leurconnaissances. Très dangereux.
5. Gurus : Développent de nouvelles techniques d’intrusion. Mortels.
17
1. Hacking : Intrusion des réseaux et des systèmes (DoS, social engineering, virus, vers, malwares, backdoors etc. )
2. Phreaking / Boxing : Hacking des lignes téléphoniques.
3. Cracking : Piratage de logiciels (reverse engineering, warez)
4. Carding : Piratage de cartes à puces (cartes de crédit, téléphone, TV, etc.)
Communauté électronique◦ Création de groupes avec les BBS (the inner circle, l0pht
heavy industry, hack4girlz, Theso …)◦ Magazines (phrack + magazines éphémères…)◦ Mailing Lists (bugtraq, …)
Lieux de rencontre◦ Cons (DefCon, HoHoCon, PumpCon…)◦ Autres conférences (CCC Camp, HAL, BlackHat, PH-
Neutral …)
Pas de chefs mais des gourous◦ Issus du passé : Aleph One, Wietse Venema, Steve
Bellovin, Alec Muffet◦ Nouvelle génération : Fyodor, Ron Gula, The Hobbit,
Renaud Deraison, Mudge
18
06/01/2015
4
Intelligence reports and information about new threats ◦ http://hackerwatch.org◦ http://www.cert.org◦ http://first.org◦ http://tools.cisco.com/security/center/
Internet Motion Sensor (IMS) is a large cluster of systems configured to monitor blocks of routable unused IP addresses. ◦ http://ims.eecs.umich.edu
Other research initiatives and organizations :◦ CAIDA: http://www.caida.org/analysis/security◦ The iSink: http://wail.cs.wisc.edu◦ Common Vulnerability and Exposures: http://cve.mitre.org◦ Team CYMRU Darknet Project: http://www.cymru.com/darknet◦ The Honeynet Project: http://honeynet.org
19
Objectifs de ce cours
Principes de sécurité
Sécurisation de l’accès Internet
La translation d’adresses
Le filtrage
Les serveurs AAA
Les réseaux publiques virtuels (VPN)
20
Principal moyen de connexion avec l’extérieur Protection des systèmes informatiques contre
ces personnes
Evaluation difficile du nombre d’intrusions◦ Intrusions parfois non détectées
◦ Réticence des entreprises et administrations
21
22
0
1000
2000
3000
4000
5000
6000
7000
8000
9000
1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008
Vulnérabilités reportées et cataloguées par le CERT CC :
23
0
20000
40000
60000
80000
100000
120000
140000
160000
Incidents rapportés au CERT CC : Attaques non-structurées
◦ Premiers essais de scripts kiddies
Attaques structurées
◦ Mise en œuvre de schémas complexes d’attaque
Attaques externes
◦ Par le biais d’internet
Attaques internes
◦ Avec des complicités internes ou depuis l’interieurdu réseau
24
06/01/2015
5
Reconnaissance◦ Découverte, cartographie du réseau (systèmes,
services et vulnérabilités)
Accès à des ressources◦ Attaque afin d’obtenir des données ou de prendre
le contrôle d’un système.
Déni de service (Denial of Service, DoS)◦ Attaque endommageant le fonctionnement d’un
service proposé.
25
Vol, destruction ou corruption d'information
Déni de service
Mascarade d'identité
Rebonds
Utilisation frauduleuse de ressources
26
Dénis de service (DoS, Denial of Service)◦ Objectif : arrêt total ou partiel d’un service
◦ Différentes méthodes Exploitation d’une faille structurelle
Consommation de ressources
◦ Conséquences Perte de production
Dégradation d’image
Peut être utilisée dans le cadre d’attaques plus complexes
27
Prise de contrôle des systèmes◦ Objectif : gain de la maîtrise du système
◦ Méthodes Utilisation d’un accès utilisateur mal protégé
Exploitation de failles structurelles
Exploitation d’erreurs de programmation
Augmentation des privilèges
◦ Conséquences Dénis de service
Perte de confidentialité
Utilisation du système pour un « rebond »
28
Conséquences importantes◦ Vol de logiciels (IDSoftware, Valve)◦ Vol de données (Valéo, Ghostnet, Greenpeace/EDF)◦ Sites down (Yahoo, eBay, …)◦ Utilisation de comptes bancaires◦ Encryptage d’ordinateur
CryptoLocker, $300/ordi -> 27 M$/an
Conséquences limitées◦ Perte de ressource (Serveur pirate)◦ Reconfiguration de matériel ◦ Utilisation de PC Zombie (Jeanson Ancheta)
400 000 PC, 5 ans prison, 3 ans liberté surveillée, 75 000 $◦ Commerce de logiciel
Blackshades -> xVisceral (Michael Hogue) et 23 complices arrêtés
Réputation et image de marque◦ Perte de confiance (Microsoft)
29 30
Rootkit pour les logiciels industriels (Nucléaire Iranien)
RSA Security doit remplacerses SecurID tokens qui ontété hackés en mars 2011.
Ecoutes sur le réseau téléphonique mobile GrecqueLes listes d’adresses emails
gérées par Epsilon ont été collectées
06/01/2015
6
31https://www.shadowserver.org/wiki/uploads/Stats/ddos-twoyear.png
32http://www.shadowserver.org/wiki/uploads/AV/stats/sandbox-avm-chart.png
vendor detected total percentAvast (Windows) 173,674,416 216,828,638 80.0975
BitDefender (Windows) 166,146,446 216,492,475 76.7447
Avira (Windows) 158,360,528 212,924,156 74.3741AVG (Windows) 159,055,946 216,789,264 73.3689
Avira (Linux) 154,627,040 216,902,465 71.2887Symantec (Windows) 152,266,732 216,256,846 70.4101
BitDefender (Linux) 149,221,437 214,467,635 69.5776
Sunbelt (Windows) 149,783,154 215,896,437 69.3773
Eset (Linux) 149,265,121 216,210,262 69.0370Comodo (Windows) 146,286,339 214,835,577 68.0922Ikarus (Windows) 144,939,087 215,391,550 67.2910
Ikarus (Linux) 142,193,539 214,678,126 66.2357
K7 (Windows) 142,744,171 217,382,417 65.6650
McAfee (Windows) 139,995,537 216,108,571 64.7802
Lionic (Windows) 20,653,934 32,677,193 63.2060
Eset (Windows) 133,303,365 210,903,685 63.2058McAfee (Linux) 136,274,928 216,994,177 62.8012
Authentium (Windows) 133,511,049 212,846,519 62.7264GData (Windows) 131,590,940 214,083,152 61.4672
Authentium (Linux) 128,480,371 215,136,431 59.7204
AhnLab (Windows) 124,487,573 211,954,838 58.7331Avast (Linux) 122,321,374 211,190,859 57.9198
34
vendor detected total percent
DrWeb (Linux) 118,621,007 209,556,342 56.6058DrWeb (Windows) 110,850,147 196,839,185 56.3151
FSecure (Windows) 111,940,680 201,296,538 55.6098Microsoft (Windows) 117,809,603 214,465,406 54.9318
Norman (Windows) 114,296,459 216,589,371 52.7710
Clam (Linux) 109,798,818 211,127,208 52.0060
Kaspersky (Windows) 110,028,793 212,380,558 51.8074
FProt (Windows) 111,090,447 216,327,741 51.3528TrendMicro (Windows) 77,046,718 152,879,708 50.3970
AVG (Linux) 104,882,876 209,366,310 50.0954Clam (Windows) 99,748,849 200,028,340 49.8674
FProt (Linux) 106,936,606 215,735,421 49.5684
Norman (Linux) 87,552,329 180,718,014 48.4469
K7GW (Windows) 30,795,722 64,650,663 47.6340Sophos (Linux) 93,002,350 199,102,843 46.7107
Sophos (Windows) 94,712,656 204,498,686 46.3146QuickHeal (Linux) 21,038,521 46,094,611 45.6420Fortinet (Windows) 97,775,070 215,631,844 45.3435
35
vendor detected total percent
FSecure (Linux) 96,873,433 214,851,483 45.0886QuickHeal (Windows) 92,444,233 215,477,965 42.9019
TrendMicro (Linux) 66,124,852 215,130,907 30.7370Kaspersky (Linux) 12,784,598 45,371,594 28.1775
Panda (Linux) 42,924,298 214,307,392 20.0293
36
06/01/2015
7
Terminologie◦ Garde-barrière, firewall ou pare-feu
Sans firewall◦ Chaque machine a accès à toutes les machines
connectées et réciproquement
Avec firewall :◦ Point de passage obligé entre le réseau interne et
Internet
37
Dans la vie réelle◦ Un “firewall” (coupe-feu) est un matériau ignifugé
placé de manière à empêcher la propagation du feud’une partie à l’autre d’un bâtiment.
En réseau◦ C’est un appareil ou un groupe d’appareils qui
renforce le contrôle des paquets passants entre plusieurs réseaux
38
Tracer et auditer le trafic entre le réseau interne et le réseau externe
Contrôler ce même trafic
Faciliter l'administration en regroupant les opérations de surveillance et de contrôle
Contrôle des messages entrants (Spamming, virus)
39
Routeur filtrant
Firewall ou garde-barrière ou pare-feu (peut-être un routeur)
Dispositif de détection d’intrusions (IDS)
Serveur AAA
Serveur de log
40
Cisco PIX (501, 506E, 515E, 525 et 535) Checkpoint Firewall-1 Arkoon (A20, A200, A2000) Juniper (NetScreen, SSG)
ZyXEL (ZyWALL) OpenBSD/Linux et netfilter◦ Distrib spécialisée : SmoothWall, Endian, Pfsense,
IPCop
… Ce sont des firewalls réseau, à ne pas
confondre avec les firewalls personnels !!!
41
Firewall à 2 interfaces (pas de DMZ)◦ Inside et outside
Sécurisation par niveaux de sécurité◦ Inside 100 et outside 0
Possibilité de VPN
Filtrage stateful
42
06/01/2015
8
Mettre une adresse IP (pas de menu interface)
ip address nomInterface @IP netmask
Attention le PIX :◦ Ne répond pas au ping
◦ Ne laisse rien passer par défaut
43 44
Internet
Interface outside
Niveau de sécurité 0
Interface dmz1
Niveau de sécurité 50
Réseau local
Une connexion est autorisé si elle commence d’un niveau de
sécurité supérieur vers un niveau de sécurité inférieur
DMZ
Interface inside
Niveau de sécurité 100
Affichage de l’état de vos interfaces ◦ show interface
Affichage de tous les paquets ICMP ◦ debug icmp trace
Sniffeur intégré◦ capture nom_capture [access-list acl_name] [interface name]
◦ show capture nom_capture
Pour pinger l'interface interne :◦ management-access inside
◦ show management-access
45
Filtrage des paquets◦ Simple : Limite les échanges en se servant
d’informations statiques
◦ Stateful : Utilise pleinement les informations de connexions
Proxy◦ Intermédiaire de connexion entre le réseau privé et
internet
46
Routeur avec filtrage des paquets niveau 3
Filtrage des adresses suspectes
Filtrage de certains protocoles
Filtrage sur les destinations
47
DMZ
FTP
HTTP
Internet Routeur avec filtrage
niveau 3 et 4
Information de session
Risque de surcharge du routeur
48
DMZ
FTP
HTTP
Internet
06/01/2015
9
Firewall avec filtrage niveau 3 et 4
Information de session
Risque de surcharge du firewall
Solution équivalente à un routeur
49
DMZ
FTP
HTTP
Internet Routeur avec filtrage
niveau 3 et 4
Firewall avec filtrage applicatif
Pas d’authentification forte
Pas de filtrage sélectif
Pas d’IDS, pas de log
50
DMZ
FTP
HTTP
Internet
Routeur avec filtrage niveau 3 et 4
Firewall avec filtrage stateful
Authentification
Filtrage sélectif
Détection des intrusions
51
DMZ
FTP
HTTP
Internet
IDS
AAA
Routeur avec filtrage niveau 3 et 4
Firewall UTM◦ Anti-virus◦ Anti-spam◦ Filtrage URL◦ IDS◦ VPN
Authentification Filtrage sélectif Détection des intrusions
52
DMZ
FTP
HTTP
Internet
IDS
AAA
Objectifs de ce cours
Principes de sécurité
Sécurisation de l’accès Internet
La translation d’adresses
Le filtrage
Les serveurs AAA
Les réseaux publiques virtuels (VPN)
53
Adresses privées -> adresses publiques
Double objectif :◦ Protéger certaines machines
◦ Mais aussi économiser des IP publiques !
Protection car machines inaccessibles depuis l'extérieur directement
Economie car ces machines n'ont pas d'adresses publiques
54
06/01/2015
10
NAT : Network Address Translation
NAT statique◦ Correspondance entre 1@ privée et 1@ publique
(serveurs)
Translation d'adresses dynamique◦ les @ publiques sont attribuées à la demande
(clients)
Par rapport à un pool d’adresses
Par rapport à un pool de ports (PAT)
Présence d’une table de correspondance
55 56
InternetRéseau local : adressage privé
192.168.100.0/24
DMZ : adressage privé
192.168.101.0/24Internet : adressage public
Entreprise dispose de 205.54.12.32/27
Table de translation
IP publiques
205.54.12.33
IP privées
192.168.101.1
Adresse source :
64.233.183.99
Adresse destination :
192.168.101.1
Port source :
52124
Port destination :
80
Adresse source :
64.233.183.99
Adresse destination :
205.54.12.33
Port source :
52124
Port destination :
80
Commande PIX static [(internal_if_name, external_if_name)]
{global_ip | interface} local_ip
Exemple du cas précédent static (dmz, outside) 205.54.12.33 192.168.101.1
Créé une correspondance entre une adresse publique et une adresse privée
Attention, il faut filtrer les accès à cette adresse !
57
58
Internet
Internet : adressage public
Entreprise dispose de 205.54.12.32/27
Le NAT utilise .34 -> .40
Réseau local : adressage privé
192.168.100.0/24
Table de translation
IP publiques IP privées
64.233.183.99192.168.100.1
59
Internet
Internet : adressage public
Entreprise dispose de 205.54.12.32/27
Le NAT utilise .34 -> .40
Réseau local : adressage privé
192.168.100.0/24
Adresse source :
192.168.100.1
Adresse destination :
64.233.183.99
Port source :
35020
Port destination :
80
Adresse source :
205.54.12.34
Adresse destination :
64.233.183.99
Port source :
35020
Port destination :
80
Table de translation
IP publiques
205.54.12.34
IP privées
192.168.100.1
60
Internet
Internet : adressage public
Entreprise dispose de 205.54.12.32/27
Le NAT utilise .34 -> .40
Réseau local : adressage privé
192.168.100.0/24
Adresse source :
64.233.183.99
Adresse destination :
192.168.100.1
Port source :
52124
Port destination :
35020
Adresse source :
64.233.183.99
Adresse destination :
205.54.12.34
Port source :
52124
Port destination :
35020
Table de translation
IP publiques
205.54.12.34
IP privées
192.168.100.1
06/01/2015
11
Autoriser l’accès au NAT nat [(if_name)] nat_id local_ip
Interdire l’accès au NAT nat [(if_name)] 0 [access-list acl_id ]
Définir les adresses à utiliser pour sortir global [(if_name)] nat_id global_ip-global_ip
[netmask global_mask]
61
Exemple précédent :
Autoriser l’accès au NAT nat (inside) 5 0 0
Définir les adresses à utiliser pour sortir global (outside) 5 205.54.12.34-205.54.12.40
netmask 255.255.255.224
62 63
Internet
Internet : adressage public
Entreprise dispose d’une adresse :
205.54.12.41
Réseau local : adressage privé
192.168.100.0/24
Table de translation
IP publiques IP privées
64.233.183.99192.168.100.1
64
Internet
Réseau local : adressage privé
192.168.100.0/24
Adresse source :
192.168.100.1
Adresse destination :
64.233.183.99
Port source :
35020
Port destination :
80
Adresse source :
205.54.12.41
Adresse destination :
64.233.183.99
Port source :
2500
Port destination :
80
Table de translation
IP publiques
205.54.12.41
:2500
IP privées
192.168.100.1
:35020
Internet : adressage public
Entreprise dispose d’une adresse :
205.54.12.41
65
Internet
Internet : adressage public
Entreprise dispose de 205.54.12.32/27
Réseau local : adressage privé
192.168.100.0/24
Adresse source :
64.233.183.99
Adresse destination :
192.168.100.1
Port source :
52124
Port destination :
35020
Adresse source :
64.233.183.99
Adresse destination :
205.54.12.41
Port source :
52124
Port destination :
2500
Table de translation
IP publiques
205.54.12.41
:2500
IP privées
192.168.100.1
:35020
Exemple précédent :
Autoriser l’accès au NAT (si pas déjà fait) nat (inside) 5 0 0
Définir l’adresse à utiliser pour le PAT global (outside) 5 205.54.12.41 netmask
255.255.255.224
Ou utiliser l’adresse de l’interface global (outside) 5 interface
66
06/01/2015
12
67
Internet
Internet : adressage public
Entreprise dispose d’une adresse :
205.54.12.33
Réseau local : adressage privé
192.168.100.0/24
Table de translation
64.233.183.99192.168.100.1
IP publiques
205.54.12.33
:4662
IP privées
192.168.100.1
:4662
68
Internet
Internet : adressage public
Entreprise dispose de 205.54.12.32/27
Réseau local : adressage privé
192.168.100.0/24
Adresse source :
64.233.183.99
Adresse destination :
192.168.100.1
Port source :
52124
Port destination :
4662
Adresse source :
64.233.183.99
Adresse destination :
205.54.12.33
Port source :
52124
Port destination :
4662
Table de translation
IP publiques
205.54.12.33
:4662
IP privées
192.168.100.1
:4662
Permet d’utiliser un serveur sans faire une translation complète
Sécurise mieux votre machine◦ Car un seul port est accessible
◦ Pas besoin d’ACL supplémentaires
69
Exemple précédent :
Autoriser l’accès au serveur web static (inside, outside) tcp interface www
10.1.1.15 www
70
show static◦ Affiche les translations statiques
show xlate◦ Affiche la table de correspondance
show xlate detail◦ Affiche la table de correspondance en détail
show xlate debug
71
Restreint la visibilité vis à vis de l'extérieur◦ Sauf pour le statique (NAT ou PAT)
◦ Sauf pour le dynamique
Sans effet pour une attaque interne
Permet en même temps d'économiser des adresses IP
72
06/01/2015
13
73
Internetadressage
public
Réseau local en
adressage privé
192.168.100.0/24
Réseau local en
adressage privé
192.168.100.0/24
Objectifs de ce cours
Principes de sécurité
Sécurisation de l’accès Internet
La translation d’adresses
Le filtrage
Les serveurs AAA
Les réseaux privés virtuels (VPN)
74 75
==Si
alors…
Cet immeuble a 65535 portes
Et chaque porte représente un port de l’ordinateur
Si vous aviez la surveillance de cet immeuble, est-ce que vous laisseriez n’importe qui entrer par n’importe quelle porte ?
Si vous aviez la surveillance de la ville ?
76
Chaque port à un numéro
Liste des ports réservés et enregistrés :◦ http://www.iana.org/assignments/port-numbers
◦ 0-1024 -> réservés
◦ 1024-65535 -> enregistrés
De nombreux ports sont ouverts sur les machines clientes◦ netstat –abf (windows)
◦ netstat –ap (linux)
77
HTTP ?
HTTPS ?
FTP ?
SSH ?
Telnet ?
Pop ?
Pops ?
Imap ?
Imaps ?
78
06/01/2015
14
Ne concerne que les machines qui sontaccessibles depuis l’extérieur
Plusieurs niveaux de filtrage :◦ Filtrage simple des paquets (niveau 3)◦ Filtrage avec information de session (niveau 4)◦ Filtrage applicatif (niveau 5-7)◦ Filtrage par utilisateur
Niveaux complémentaires Complexité croissante -> compilation des filtres
79
Un filtre s’applique sur une interface
Un filtre a un sens (in ou out)
Règles :◦ Filtrage au plus tôt
◦ 1 filtre par sens et par interface
80
Rappel : ◦ « Une connexion est autorisée si elle commence
d’un niveau de sécurité supérieur vers un niveau de sécurité inférieur »
Donc toute connexion entrante est filtrée !
Les filtres sont donc principalement utilisés pour autoriser certaines connexions
81
Définition du filtre :access-list id [line line-num] {deny | permit} protocol
source_addr source_mask [operator port [port] | interface if_name ]
destination_addr destination_mask [operator port [port]]
[log [[disable | default] | [level]]] [interval secs]]
Application du filtre :access-group id in interface interface_name
Debugging du filtre (aussi avec hitcnt) :[no] debug access-list all | standard | turbo
82
Informations niveau 4 non suffisantes
Connexions TCP changeant de port
Suivi des numéros de séquence
Commandes permises (Ex. SMTP, HTTP)
Dernier paquet transmis ?
Nombre de connexions semi-ouvertes permises, etc.
83
Firewall est responsable du filtrage niv. 5-7
Filtrage appelé stateful, applicatif ou de contenu d’application
On peut aussi trouver le terme de « deep packetinspection » signifiant une analyse plus approfondie des paquets
84
06/01/2015
15
Authentification de l’utilisateur
Filtres personnalisés
Besoins :◦ Serveur AAA
◦ Firewall
◦ Echange AAA-Firewall lors de l’authentification
85 86
Objectifs de ce cours
Principes de sécurité
Sécurisation de l’accès Internet
La translation d’adresses
Le filtrage
Les serveurs AAA
Les réseaux privés virtuels (VPN)
87
Plusieurs méthodes possibles :◦ Normes :
TACACS+
RADIUS
◦ Outils existants (hors normes) :
Kerberos
Fortezza
DCE
88
Développé pour les militaires (MILNET)
Repris et amélioré par CISCO
Basé sur TCP port 49
89
L ’authentification est générique (PPP PAP, CHAP, EAP, token, Kerberos, etc.)
Trois phases :◦ Client envoie un paquet START au serveur (type
d ’authentification + données)
◦ Serveur envoie un REPLY, authentification terminée ou pas
◦ Client envoie un CONTINUE avec les données nécessaires
90
06/01/2015
16
L’autorisation détermine les droits de l’utilisateur authentifié ou non
Deux phases :◦ Client envoie un REQUEST
◦ Serveur envoie une RESPONSE
91
L’accounting ou comptabilité enregistre toutes les actions
Trois type d ’enregistrement :◦ start : le service commence
◦ stop : le service s ’arrête
◦ update : le service est toujours en utilisation
92
Développé par Livingston Enterprises Inc.
RFC 2058, 2059 Bases 1996
RFC 2138, 2139 modifications 1997
RFC 2865, 2866 modifications 2000
RFC 2548, 2618, 2619, 2620, 2621, 2809, 2867, 2868, 2869, 2882, 3162, 3575, 3576, 3579, 3580 ajouts (-> 09/2003)
93
Basé sur UDP
Ports ◦ 1812 -> Radius
◦ 1813 -> Radius accounting
94
Utilisateur envoie username/password au serveur
Réponse du serveur :◦ ACCEPT
◦ REJECT
◦ CHALLENGE -> plus d’information
◦ CHANGE PASSWORD
95
Objectifs de ce cours
Principes de sécurité
Sécurisation de l’accès Internet
La translation d’adresses
Le filtrage
Les serveurs AAA
Les réseaux privés virtuels (VPN)
98
06/01/2015
17
Virtual Private Network
Réseau privé ◦ Un seul utilisateur du medium
Reseau privé virtuel◦ Plusieurs utilisateurs du médium mais mon canal de
communication est inaccessible aux autres
99
Propriétés d’un VPN◦ Authentification des acteurs
◦ Intégrité des données
◦ Confidentialité des données
Avantages attendus◦ Réduction des coûts
◦ Augmentation mobilité
◦ Externalisation des activités
100
VPN peuvent intervenir à plusieurs niveaux
Point-to-Point Tunneling Protocol (PPTP)
Layer 2 Forwarding (L2F) Protocol
Layer 2 Tunneling Protocol (L2TP)
Generic Routing Encapsulation (GRE) Protocol
Multiprotocol Label Switching (MPLS) VPN
Internet Protocol Security (IPsec)
Secure Socket Layer (SSL)
101
Le plus utilisé : VPN sur IP
Le protocole IPSec est le plus utilisé pour créer des VPNs, car :◦ Standard actuel
◦ Futur (IPv6)
102
Chiffrement (cryptage)◦ Symétrique (clé privée partagée)
◦ Asymétrique (clé privée + clé publique partagée)
Authentification◦ Connexions
◦ Données
Contrôle d’intégrité
103
Data Encryption Standard (DES), 56-bit.◦ Plus assez sûr !
Triple DES (3DES), 3 fois DES◦ Pas équivalent du tout à DES 168 bits
Advanced Encryption Standard (AES)◦ Dernier protocole normalisé
CAST◦ Moins sûr que 3DES mais plus rapide
104
06/01/2015
18
105Source : IPSec VPN DesignBy Vijay Bollapragada, Mohamed Khalid, Scott Wainner
RSA (Rivest, Shamir, and Adleman)
Digital Signature Algorithm (DSA), authentification seulement
Diffie-Hellman (DH), utilisé par Internet Key Exchange (IKE) dans Ipsec
KEA (Key Exchange Algorithm)
106 107
Source : IPSec VPN DesignBy Vijay Bollapragada, Mohamed Khalid, Scott Wainner
Hashing Message Authentication Codes (HMAC)◦ MD5
◦ SHA-1
108
Security Association
A chaque relation unidirectionnelle estassociée une SA
Fixe les opérations qu’IPSec doit appliqueraux datagrammes◦ Informations sur AH, ESP, anti-répétition, etc.
Deux différents types de SA :◦ ISAKMP SA (ISAKMP Phase 1)
◦ IPSEC SA (ISAKMP Phase 2)
109
Problème de gestion des clefs privéesutilisées pour le chiffrement◦ Génération, distribution, stockage
Manuelle
Automatique◦ IKE (Internet Key Exchange)
◦ ISAKMP (Internet Security Association and Key Management Protocol)
110
06/01/2015
19
Sert à établir une clé commune temporaire
Attention, cette méthode est vulnérable au MiM
111
Source : Wikipédia
g représente le groupe
Groupe 1, 768 bits◦ Compatible avec tous les équipements
◦ Plus rapide que le groupe 2
◦ Moins sûr que le groupe 2
Groupe 2 1024 bits◦ Ne fonctionne pas sur certains équipements
◦ Plus lent que le groupe 1, attention certains équipements compatibles ne supporteront pas la charge (Cisco 2500, par exemple) !
◦ Plus sécurisé que le groupe 1
112
SKEME –> ISAKMP -> IKE
ISAKMP définit :
Comment les IPSEC communiquent
Le format des messages échangés
Les étapes nécessaires pour établir uneconnexion
ISAKMP NE définit PAS :◦ Comment l’échange de clés est réalisé
C’est IKE qui définit comment l’échange de clés est réalisé
113
SKEME –> ISAKMP -> IKE
ISAKMP possède 2 phases :◦ Phase 1 : Mise en place de la communication
bidirectionnelle (Les SAs) avec génération d’une clé secrète
◦ Phase 2 : Négociation des SAs
Phase 1 :◦ ISAKMP possède deux modes différents
Mode principal (main mode), 6 étapes
Protège l’identité des participants
Mode agressif (agressive mode), 3 étapes
Divulgue l’identité des participants, le groupe doit être le même
114 115
Nombre aléatoire (Nonce)
Source : End-to-end network security, Omar Santos
Authentification par chiffrement asymétrique et
hash
Phase 2 :◦ ISAKMP n’a qu’un seul mode, Quick Mode
◦ La phase 1 a créé un canal sécurisé
◦ La phase 2 négocie les paramètres des SAs
116
06/01/2015
20
117
Source : End-to-end network security, Omar Santos
118
Basé sur le RFC2401 :
Protocoles de sécurité
Authentication header (AH)
Encapsulation security payload (ESP)
Gestion des clés
ISAKMP, IKE, SKEME
Algorithme de cryptage et d’authentification
119
AH est une en-tête
Authentification de l’émetteur
Contrôle d’intégrité du paquet
En-tête IP En-tête L4 Données
En-tête IPV4
En-tête IP AH Données
En-tête IPV4 + IPSec AH
En-tête L4
120
ESP est une en-tête
Chiffrement et intégrité des données
Anti-répétition des sessions
En-tête IP En-tête L4 Données
En-tête IPV4
En-tête IP ESP Données
En-tête IPV4 + IPSec ESP
En-tête L4 Trailer ESP
Chiffrement
Trois méthodes possibles :◦ ESP avec authentification
◦ ESP sans authentification, puis AH
◦ AH en premier puis ESP avec authentification
121
show crypto ipsec sa show crypto isakmp sa show crypto map show isakmp show isakmp policy
clear crypto IPSec sa clear crypto isakmp sa
debug crypto IPSec debug crypto isakmp
122
06/01/2015
21
Intrusion Detection System
Intrusion Prevention System
Objectifs◦ IDS : Détecter les intrusions complexes
◦ IPS : Détecter les intrusions simples et les arrêter
IDS◦ Avec détection par signature
◦ Avec détection comportementale
123
Détection par signature◦ Base de données de toutes les vulnérabilités
◦ Les plus connues/utilisées
CVE (Common Vulnerabilities and Exposures)
OSVDB (The Open Source Vulnerability Database)
Security Focus
US-CERT Vulnerability Notes
Packet Storm
IDS sniffe et analyse tout le traffic et essaie de détecter des schémas d’attaques
124
Détection comportementale
L’IDS est entraîné sur le réseau
Puis détecte tout changement de comportement suspect d’un utilisateur ou d’un service
125
Problème des IDS◦ Faux positifs
◦ Faux négatifs
Nombreuses méthodes d’évasions◦ Fragmentation de paquets
◦ Modification chaines de caractères
◦ CodeGen
◦ DoS sur l’IDS
◦ Etc.
126
Snort (GPL)◦ Acheter des règles de corrélation
127
Botnet◦ Ensemble d’ordinateurs connectés à internet qui
interagissent pour accomplir une tâche commune. Ces ordinateurs sont compromis et utilisés sans l’accord de leur propriétaire
Drone ou Zombie◦ Machine compromise
Bot◦ Logiciel s’exécutant sur le zombie
C&C◦ Centre de commande du botnet
Herder (berger)◦ Personne contrôlant le botnet
128
06/01/2015
22
Utilisation de botnet◦ Click Fraud
◦ DDoS
◦ Keylogging
◦ Warez
◦ Spam
◦ Camouflage d’identité
129
https://www.shadowserver.org/wiki/pmwiki.php/Stats/BotnetCharts
130
http://www.shadowserver.org/wiki/pmwiki.php/Stats/BotCounts
131
132http://www.shadowserver.org/wiki/uploads/Stats/ccip-combineda.jpg
Un peu de maths◦ 1500 botnets minimum
◦ De 20 000 drones minimum
◦ = 30 000 000 de drones MINIMUM
Pourquoi ?◦ Auto-réplication
◦ Plus un botnet est gros, plus il est influent
133
Comment ça marche ?◦ Le C&C est souvent un serveur IRC ou HTTP
◦ Les bots se connectent et reçoivent des ordres par le biais de commandes IRC ou HTTP
◦ IRC, temps-réel
◦ HTTP, asynchrone
134
06/01/2015
23
TDLBotnetA RogueAVBotnet ZeusBotnetB
◦ https://goz.shadowserver.org/gozcheck/
Monkif Koobface.A Conficker.C
◦ http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/
Hamweq AdwareTrojanBotnet Sality SpyEyeBotnetA (OneStreetTroop)
135
Il n’y a pas de sécurité totale !◦ Définir les réactions quand un problème arrivera
◦ Limiter la propagation des risques
Trouver un compromis pour chaque situation : pas besoin d’IDS pour votre boulangère
Coûts conséquents pour mettre en place etentretenir la sécurité
136