Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 2
Plan de la présentation
Introduction
Prévention
Routeurs
Pare-feu Systèmes de prévention d’intrusion
Conclusions
Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 3
Introduction
La sécurité informatique repose sur deux grands principes:
Veille technologique Connaissez bien vos ennemis.
Analyse des besoins Connaissez-vous vous-même.
Connais ton ennemi et connais-toi toi-même; eussiez-vous cent
guerres à soutenir, cent fois vous serez victorieux.
Sun Tzu, 4ième siècle av.
Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 4
Analyse des besoins
La politique de sécurité est la pierre angulaire de la sécurité d’un
système informatique.
Détermine les actifs à protéger et les objectifs à atteindre.
L’atteinte de ces objectifs repose sur les trois grands piliers de la
sécurité informatique:
Prévention
Détection
Réaction
Defence-in-depth: Utilisation de plusieurs moyens (parfois redondants) afin
de protéger les actifs et de réduire les risques auxquels ils sont exposés.
Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 5
Prévention
Prévenir l’occurrence d’une attaque.
Effectuer une veille technologique afin de découvrir les menaces
découlant des nouvelles vulnérabilités.
Déployer les correctifs remédiant aux vulnérabilités des logiciels (patch).
Déployer une architecture basée la séparation des réseaux.
N’allouer que le trafic légitime – configuration statique.
Par défaut bloquer tout trafic.
Allouer explicitement seulement le trafic désiré.
Bloquer tout trafic ayant été identifié comme malveillant.
Reconnaissance basée sur des signatures d’attaques.
Reconnaissance basée sur la détection d’anomalie.
Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 6
Modèle OSI Modèle TCP/IP
Couche de réseau
Couche de liaison
Couche de transport
Couche de session
Couche de présentation
Couche application
Couche physique
IP
Couche de liaison
TCP
Couche application
Couche physique
Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 7
Filtrer les paquets: Access Control List (ACL)
Routeur
Les routeurs de périphérie peuvent être configurés afin de filtrer les paquets entrant ou sortant du réseau local.
Pare-feu
Dispositif contrôlant les flots d’information entre deux réseaux utilisant des politiques de sécurité différentes.
Internet
R&D
RH
Finance
Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 8
Filtrer les paquets: Access Control List (ACL)
Trafic entrant
Pas d’adresses illégales ou locales
Permet de prévenir le IP spoofing
Aucun paquet provenant de l’Internet ne devrait utiliser une adresse de 152.168.1.0/24
Source IP Source Port Dest. IP Dest. Port Action
0.0.0.0 Any 152.168.1.0/24 Any Deny
10.0.0.0/8 Any 152.168.1.0/24 Any Deny
127.0.0.0/8 Any 152.168.1.0/24 Any Deny
192.168.0.0/16 Any 152.168.1.0/24 Any Deny
152.168.1.0/24 Any Any Any Deny
Any Any 152.168.1.3 25 Allow
Any Any 152.168.1.2 80 Allow
Any Any 152.168.1.0/24 Any Deny
Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 9
Filtrer les paquets: Access Control List (ACL)
Trafic entrant
Serveur SMTP et Serveur Web
Seules communications permises
L’ordre des règles est important.
Source IP Source Port Dest. IP Dest. Port Action
0.0.0.0 Any 152.168.1.0/24 Any Deny
10.0.0.0/8 Any 152.168.1.0/24 Any Deny
127.0.0.0/8 Any 152.168.1.0/24 Any Deny
192.168.0.0/16 Any 152.168.1.0/24 Any Deny
152.168.1.0/24 Any Any Any Deny
Any Any 152.168.1.3 25 Allow
Any Any 152.168.1.2 80 Allow
Any Any 152.168.1.0/24 Any Deny
Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 10
Filtrer les paquets: Access Control List (ACL)
Comment permettre à un site web distant de répondre à un
usager du réseau 152.168.1.0/24 sans ouvrir tous les ports
éphémères?
Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 11
Pare-feu à états
Permettre à une connexion provenant du réseau local d’ouvrir un
tel port pour un intervenant extérieur.
Ainsi, la source locale (adresse IP et port UDP/TCP) ouvre la porte pour
un destinataire extérieur (adresse IP et port UDP/TCP).
Ce destinataire ne peut alors communiquer qu’avec la source initiale.
Les ports éphémères sont bloqués de façon générale.
Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 12
Pare-feu à états – table d’états
Dispositif permettant de filtrer les paquets selon les informations
se retrouvant dans l’entête de TCP/IP (ou UDP/IP) ainsi que
l’état de la connexion.
Le pare-feu doit maintenir une table de connexions permettant de
conserver l’état de chacune d’elles.
Par exemple, bloquer le trafic UDP/25 entrant à moins qu’il ne réponde à une requête
provenant du réseau local.
Si aucune information se retrouve dans la table, les ACL sont utilisés.
Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 13
Pare-feu à états – table d’états
De cette façon, avant de vérifier les ACLs, la table d’états est
vérifiée.
Si une connexion initiée de l’intérieur du réseau local utilise un port
éphémère, l’autre intervenant peut « entrer » par ce port.
Donc, il serait possible de bloquer les ports éphémères en entrée
(tel que présenté précédemment).
Source IP Source Port Dest. IP Dest. Port État
152.168.1.12 1030 80.210.1.3 80 Établi
152.168.1.13 1031 173.22.1.1 80 Établi
Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 14
Filtrer les paquets – Difficultés
Après l’étude de 37 architectures réseau (télecom, financier,
energie, media, santé, …):
Table 1. Complexité de la configuration.
Description Minimum Maximum Average
Règles 5 2,671 144.0
Objets 24 5,847 968.0
Postes, sous-réseaux, et groupes
Interfaces 2 13 4.0
A. Wool. A Quantitative Study of Firewall Configuration Errors. IEEE Computer, 2004.
Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 15
Filtrer les paquets – Difficultés
Erreurs
1 No stealth rule –connexions au pare-feu non filtrées
2-4 Check Point implicit rules – Présence de règles par défaut
5 Insecure firewall management – Connexion au Firewall via telnet
6 Too many management machines – Gestion à partir de # postes
7 External management machines – Gestion à partir de postes externes
8 NetBIOS service –connexions NetBIOS non filtrées! Souvent
attaqués
9 Portmapper/Remote Procedure Call service - port 111 non bloqué
10 Zone-spanning objects – règles portant sur deux zones d’ @ ip
11 “Any” service on inbound – Voir 8 et 9
12 “Any” destination on outbound – connexions sortantes non limitées
Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 18
Modèle OSI Modèle TCP/IP
Couche de réseau
Couche de liaison
Couche de transport
Couche de session
Couche de présentation
Couche application
Couche physique
IP
Couche de liaison
TCP
Couche application
Couche physique
Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 19
Comment bloquer les flots d’information en se basant sur le contenu applicatif des paquets?
Comment bloquer les logiciels malveillants spécifiques à un protocole (p.e. ActiveX ou JavaScript pour HTTP, virus pour SMTP)?
Solution:
Utiliser un dispositif interceptant la communication entre deux intervenants.
Ce dispositif devrait pouvoir interpréter les informations applicatives afin de pouvoir prendre une décision le plus juste possible. Par exemple, la reconstruction des paquets IP fragmentés.
Le man-in-the middle autorisé!
Pare-feu proxy
Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 20
Pare-feu proxy – schématiquement
Internet
R&D
1.TCP/80 – HTTP Get
192.168.1.12 134.154.24.4
Client
192.168.1.12
Proxy
134.154.24.4
seule adresse connue
à l’extérieur
Serveur
23.14.3.41
2.TCP/80 – HTTP Get
134.154.24.4 23.14.3.41
3.Response
23.14.3.41 134.154.24.4
4.Response
134.154.24.4 192.168.1.12
Réseau local – Environnement sécurisé Internet – Environnement hostile
Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 21
Pare-feu proxy – types
Niveau applicatif (application-level proxy)
Spécifique à un protocole applicatif (p.e. HTTP, NTP, SMTP, …)
Analyse le paquet au niveau applicatif.
Beaucoup plus exigent au niveau des ressources.
Niveau circuit (circuit-level proxy)
Création d’un circuit entre le client et le serveur.
Niveau Session dans le modèle OSI.
Aucune analyse au niveau applicatif.
Peut supporter plusieurs protocoles.
Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 22
Pare-feu application-level proxy
HTTP
Authentification de l’usager.
Bloque l’accès aux url inappropriés.
Bloque les ActiveX ou JavaScript.
Bloque certaines commandes (p.e. http delete)
…
SMTP
Authentification de l’usager.
Bloque les ActiveX ou JavaScript.
Bloque les courriels avec pièces jointes.
Bloque certaines extensions de MIME.
Analyse les pièces jointes à la recherche de virus.
…
La différence entre un SMTP proxy-server et le serveur SMTP n’est pas très clair puisque le SMTP serveur est déjà un intermédiaire.
Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 23
Pare-feu proxy – sommaire
Pour
Décision prise selon les données applicatives. Validation du protocole.
Authentification des usagers. À noter que cela aurait pu être mentionné aussi pour les autres types de pare-feu car
la démarcation entre ces diverses fonctionnalités n’est pas très clair.
Création de fichiers d’audit exhaustifs Au niveau applicatif puisque le pare-feu a accès à toute l’information (et non
seulement l’entête).
Contre
Problèmes de performance.
Dépendant de l’application. Nombre limité de proxy applicatifs.
Bris de la communication client/serveur Bris du lien de confiance?
Table de connexions peut être la cible d’une attaque DoS.
Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 24
Pare-feu – architecture
Les pare-feu peuvent être installés à divers endroits dans
l’infrastructure de réseau.
Rappel: Le pare-feu sert à séparer deux réseaux utilisant des
politiques de sécurité différentes.
Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 25
Pare-feu – architecture de base (dual-home)
Le pare-feu repose sur un ordinateur sécurisé (bastion host)
ayant deux cartes réseau.
Nombre minimal de services – avec les ports fermés.
Services mis à jour régulièrement.
Nombre limité de comptes usager – avec des mots de passe robustes.
Internet
R&D
Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 26
Zone démilitarisée
Zone tampon d'un réseau d'entreprise, située entre le réseau
local et Internet, derrière le coupe-feu, qui correspond à un
réseau intermédiaire regroupant des serveurs publics (HTTP,
SMTP, FTP, DSN, etc.), et dont le but est d'éviter toute
connexion directe avec le réseau interne et de prévenir celui-
ci de toute attaque extérieure depuis le Web.
Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 27
Pare-feu DMZ
Restreindre les flots
Internet / DMZ
DMZ / Local
Internet / Local
InternetLocal SMTP
DNS
HTTP
Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 28
Pare-feu DMZ
Restreindre les flots
Internet / Local
Internet / DMZ
DMZ / Local
Le pare-feu a simplement trois cartes réseau.
Toutefois, un seul ordinateur doit être compromis pour que tout s’écroule.
InternetLocal
SMTP DNSHTTP
Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 29
Pare-feu DMZ – politique de sécurité
Les flots d’information de l’Internet vers le DMZ et du DMZ
vers le réseau local ne doivent pas compromettre l’intégrité
des informations se retrouvant dans le DMZ ou le réseau local.
Les flots d’information du réseau local vers le DMZ et du
DMZ vers l’Internet ne doivent pas compromettre
l’intégrité et la confidentialité des informations se retrouvant
dans le réseau local ou le DMZ.
Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 30
Pare-feu DMZ – politique de sécurité
Quatre grands principes:
Moindre privilège
Un sujet ne doit avoir que les privilèges minimales afin de compléter ses tâches.
Séparation des privilèges
Un sujet ne doit pas être autorisé seulement en se basant sur une condition unique.
Protégé par défaut
À moins d’être explicitement autorisé, un sujet ne doit pas avoir accès à un objet.
Économie de moyen
Les mécanismes de sécurité doivent être le plus simple possible afin d’éviter des
failles (logicielles ou matérielles) pouvant être exploitées.
Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 31
Pare-feu DMZ – pare-feu externe
Cacher les adresses utilisées par les serveurs dans le DMZ.
Le pare-feu externe expose seulement son adresse IP.
Bloquer tout trafic illégitime.
Provenant directement de l’Internet pour accéder au réseau local.
Provenant du réseau local pour accéder directement à l’Internet.
Offrir des proxy applicatifs (p.e. SMTP, DNS, HTTP, FTP)
Filtres de premier niveau: jeux de caractères, longueur de lignes, … (vérification syntaxique)
Filtres applicatifs: virus, vers, … (toutefois, ces vérifications peuvent être redondantes)
Économie de moyen + Séparation des privilèges
Protégé par défaut
Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 32
Pare-feu DMZ – pare-feu interne
Cacher les adresses utilisées par le réseau local.
Network Address Translation (NAT).
Bloquer tout trafic illégitime.
Seulement le trafic X de ou vers un serveur du DMZ est permis.
Exception: Trafic administratif
Serveur d’administration local serveur DMZ (SSH)
Économie de moyen + Séparation des privilèges
Protégé par défaut
Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 33
Pare-feu DMZ – les serveurs proxy
Analyser les trafic applicatifs.
Mettre en œuvre des filtres complexes.
Par exemple, décompresser un fichier joint à un courriel afin de
rechercher des vers ou virus.
Principaux dispositifs afin de mettre en œuvre la politique
de sécurité.
Complémentent les proxy applicatifs du pare-feu.
Dans certains cas, il peut y avoir redondance.
Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 34
Pare-feu – conclusions
Les pare-feu offrent maintenant beaucoup de fonctionnalités
en plus de filtrer les paquets.
Network Address Translation (NAT)
Utilisation d’adresses privées pour l’intérieur du réseau local.
10.0.0.0/8 172.16.0.0/16 192.168.0.0/16
Ces adresses doivent correspondre à une adresse publique.
Une adresse publique + ports Nombreuses adresses privées + ports (limités)
Dynamic Host Configuration Protocol (DHCP)
Serveur allouant les adresses IP dans le réseau local
Virtual Private Networks (VPN)
Permettant aux usagers distants d’établir une communication sécurisée avec le réseau
local.
Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 35
Conclusions
Nombreux dispositifs existent afin d’offrir une solution
technologique sécurisée.
Afin de déterminer la solution la plus adéquate, il faut
absolument
Connaître ses besoins.
Politique de sécurité détaillant les objectifs pour les divers actifs.
Connaître ses ennemis
Veille technologique vulnérabilité, menaces, …
Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 36
Terminologie et définitions
Les définitions en italique ainsi que les termes français
proviennent de grand dictionnaire terminologique de
l’Office de la langue française du Québec.
(http://www.oqlf.gouv.qc.ca/ressources/gdt.html)