La sécurisation du réseau

Jean-Paul.Le-Guigner@cru.fr

InternetInternet

La vue simpliste, idéaliste

Réseau d’entreprise

Tout le monde est gentil, évite les erreurs,fait attention, travaille sur place

Les matériels et logiciels sont parfaits.

En fait

NON (plaisantins, vengeance, …)

NON (erreur de configuration, …)

NON (on clique trop vite, on télécharge, …)

NON (maison, déplacement, …), visiteurs, échanges avec les partenaires extérieurs (filiales, sous-traitants, fournisseurs, …)

Du chenapan au «criminel »Hackers, pirates, espions,Fraudeurs, Cyber-terroristes, …

Contenus dangereux (Virus, vers, sites mystifiés, bombes, Ch.de Troie,

Il n’y a pas de problème particulier créé par Internet

NON (failles, contrôles faibles par défaut, pas d’intégration de sécurité par défaut)

InternetInternet

Réseau d’entreprise

Que faire?

Indépendant de notre volonté,seules des législations contraignantes pourraient faire évoluer les choses ??????Et peut-être une nouvelle génération de protocoles Internet (des travaux en cours)

(1) Contrôler les accès, les flux, … (deux sens)

(2) Cloisonner les « populations » Différencier les droits, contrôler les accès (services, ressources) et les flux inter-communautés) (3) Renforcer la capacité des équipements et des applications à contrôler, détecter, alerter, corriger, interdire, protéger, …

(4) Surveillance (monitoring), métrologie, traces (logs).

(5) Informer guide de bonnes pratiques(6) Contrôle du « nomadisme »

Trois domaines d’intervention

• Le réglementaire et juridique (national, international)

• Le facteur humain – Chartes,– formation, information l’expertise – les guides et recommandations les bonnes pratiques, obligations, …

• Les technologies

L'INTERNET

Administration ChercheursServeursIntranet

(services purement internes)

Étudiants

« Visiteurs »

Exemple de « cartographie »Réseau d’une université

Zône de contrôleServeurs devant êtreVisibles de l’extérieur

Personnel, étudiantnomade

Les domaines de technologies pouvant servir à sécuriser

PKI, EAM, SSO Clients légersDurcissement

systèmes

Authentification VPNProtection du

poste de travailChiffrement données

Antivirus, AntiSPAM Proxy / CacheAnalyse de

contenu

Détectiond’intrusionPare-feu Sécurisation du Wi-Fi

du nomadisme

Communateurs,routeurs(VLAN, filtres)

Métro

log

ie, sup

ervisio

n, traces, lo

gs

L'INTERNET

Administration ChercheursServeursIntranet

WiFi

Étudiants

« Visiteurs »

Exemple d’une université

DMZ

Relais mail, Web, DNS, Serveur VPN, …Proxy/cache

antivirus centralisé, antiSPAM, analysede contenu, …

Pare-feu (filtrage, NAT, relayage, serveur VPN, …)

Routeurfiltrant

Durcissement de systèmes, filtres, antivirus, analyse deContenus, supervision, Traces, …

Pare-feu personnel antivirus, antispy(mal)ware, …

VLAN

AUTHENTIFICATION

Routeurfiltrant

VPN Chiffrementdes infos

L'INTERNET

ServeursIntranet

DMZ

IDS (Intrusion Detection System) N-IDS

MétrologieSupervisionPerformance,…

Honeypot

Scanner de vulnérabilités

Internet

Séparation des communautésPar VLAN

Pare-feu

Public

Intranet

PC-Nomades

VLAN

• Objectifs– Possibilité sur une même infrastructure physique de distinguer

entre plusieurs ensembles de machines (réseaux logiques ou virtuels)

– limiter les domaines de broadcast– optimiser les performances (partage de charge éventuel)– sécuriser les groupes d ’usagers (contrôle inter-VLAN), les

échanges de paquets entre VLAN passent par un élément de filtrage (routeur, …),

– Spanning-Tree par VLAN (suivant constructeur)

– administration centrale possible de l ’ensemble du réseau

Normalisation : normalisée au travers du protocole 802.q

RouteurInternet Contrôle des

flux inter segment

D1

D2D3

Les VLANs

Communication interne VLAN administration

Communication entre VLAN administration et VLAN pédagogie (avec NetflowSwithing de CISCO possibilité pour les paquets suivants de ne plus remonter au routeur)

commutateurs

VLAN

• Type de VLAN– statique (par port ou par adresse MAC)

• numéro de port, (possibilité filtrage des adresses MAC par port)• adresse MAC (possibilité associer @MAC/@IP)

– dynamique • sous-réseau (IP), • protocole (IP, IPX, IPv6, …)• par authentification de machine(utilisateur)

Tous les constructeurs (Cisco, Juniper, Foundry, Extreme, 3COM, HP, …) le proposent, actuellement on ne gère plus un réseau sans utilisation de VLAN, sauf toutes petites configurations à population homogène.

L ’identité du VLAN est traduite par un champs supplémentaire dans la trame Ethernet (le « tag »)

VLAN

• Les commutateurs– configurés afin d ’identifier les machines et leur affecter un numéro de

VLAN

– commutent les trames au sein d ’un même VLAN

– Peuvent avoir une certaine connaissance du niveau 3.

– Pourront servir (*) de proxy pour une certaine connaissance au niveau du routage. Configurer l ’adresse gateway sur les machines ne sera pas nécessaire.

• Les matériels de routage – doivent appartenir à plusieurs VLAN

– Sur un même lien physique ils voient plusieurs interfaces logiques.

• Les serveurs– Pour des raisons de performance appartiendront souvent à plusieurs

VLANs évitant ainsi le passage par les routeurs.

– Doivent donc être bien protégés (bien administrés).

Le filtrage

Filtrage IP

• Contrôler les flux entre « domaines »

• Avant d’écrire des filtres une phase d’étude déterminer/constituer les domaines  ’ ’ les flux inter-domaines Tout ceci en prenant en compte la PSSI de l’entreprise

• Produire les filtres et les appliquer• Avec un « scanner » vérifier si l’objectif est atteint

Un conseil expliciter les filtres au travers de schémasCela permet de mieux comprendre la politique mise en oeuvre

• Traitement au niveau 3-4 ISO (IP/TCP)

• Activé dans un matériel de type « routeur »– A noter que les commutateurs intègrent actuellement de telles

fonctionnalités (cartes spéciales, ou en natif)

• Se base sur les information du paquet IP– adresses source et destination

– type de protocole

– ports source et destination

– QoS, (flux données, vidéo, voix, SNMP, …)

– Bits spéciaux : SYN, ACK, RST, …

tous les champs de l’en-tête paquet (ou presque)

Filtrage IP

Données

En-tête TCP

En-tête IP

En-tête Eth

Adresse Mactype de protocole (IP, IPX, ...)---> ne nous concerne pas.

Adresse source, destinationType de protocole supérieur (TCP, UDP,ICMP,EGP, ...)Options IP (source-routing, ...)

Ports source et destination (identification de l'application)

Les bits ACK, RST, SYN

Les informations utiles pour le filtrage

Premier paquet --> pas d'ACKtous les autres l'ont, dans les2 sensSYN sans ACK --> connexion

En TCP (mode connecté) pour casser une session ilsuffit de « droper » le paquet d ’initialisation

Allocation ports TCPClient Serveur

512

1024

6000 x11Services RPC(ypbind, lock)

Services "officiels"(telnetd, ftpd, smtpd, httpd, ...)

Services Unix (rlogind, rhsd, ...)

Services RPC "root"(ypserv, status, mountd, ...)

111 Portmap

560Clients RPC "root"(ypserv, status, mountd, ...)

rcp, rsh, rlogin

les clients en général

Allocation ports UDPClient Serveur

512

1024

Services RPC(ypbind, lock)

Services "officiels"

Services Unix

Services RPC "root"(ypserv, status, mountd, ...)

111 Portmap

560Clients RPC "root"(ypserv, status, mountd, ...)

rcp, rsh, rlogin

les clients en général1525 archie

RPC(ypbind, lock,) talk, ...

Paquets ICMP --> Type et Code (information de filtrage)

Type:

• Destination unreachable• Time exceeded• Parameter Problem• Source Squench• Redirect• Echo ou Echo Reply• TimeStamp ou TimeStampReply• Information Request ou Information Reply

Code: précisions supplémentaires

Il y a plus de type voir les rfcs.

Informations « hors » paquet IP

• Interface d'entrée (pour IN et pour OUT)– Interface physique (eth0, …) ou logique (No de VLAN)

• Paquet :– en transit, – généré en local, – à destination du système local

• Fréquence même type de paquet – (détection de DoS, attaques, …)

• Etc.

Principes pour le filtrage (1)

• Le filtrage est basé sur les adresses. Il faut qu'elles soient correctes (pas de spoofing). Il faut donc une vérification de cohérence en entrée (depuis l'extérieur comme l'intérieur)

• Un paquet ne satisfait pas les règles --> "drop"• Un message de log si violation des règles

– cela peut faire beaucoup de log, qui va regarder?

• Faut-il renvoyer un ICMP (erreur) ---> NON, cela pourrait aider les "pirates" a comprendre la politique sécurité du site et l’architecture réseau

• Bien faire attention a différencier IN de OUT de FORWARD et les interfaces d’entrée, de sortie, etc.

Principes pour le filtrage (2)

• Faire attention à l’ordre des règles– Chaque paquet est analysé par rapport aux règles,– Dès qu’une règle est satisfaite :

• Elle est appliquée au paquet,• L’analyse s’achève,• Les règles qui suivent ne sont pas pris en compte,

• Si aucune règle ne s’applique c’est la règle par défaut

Faire en sorte que la règle par défaut soit:« Tout interdire, sauf ce qui est explicitement autorisé »

Les caractéristiques par protocole

Telnet C--->S TCP X>1023 23

port-s port-d

S-->C TCP 23 X Smtp C--->S X>1023 25

Nntp C--->S X>1023 119 S--->C 119 X

DNS C--->S Tcp/Udp X>1023 53 S--->S 53 53

DNS (transfert de zone/primaire --> secondaire) idem. Si filtres mal mis --> secondaire isole

NTP C-->S Udp X>1023 123

NTP S--->S Udp 123 123

S--->C TCP 25 X

Les caractéristiques par protocole

port-s port-d

Ftp C-->S TCP Y>1023 21 (session de contrôle)

S-->C 21 Y «  » S-->C 20 Z>1023 (sessions données)

C-->S Z 20

Pb

Les caracteristiques par protocoles (suite)

port-s port-d

Http C-->S TCP X>1023 80 Proxy-Http "  » X>1023 8080

X11 «  TCP X>1023 6000 (ou 6001, …)

Syslog C-->S UDP X>1023 514 port-s port-d

SNMP UDP X>1023 161,162

Les caracteristiques par protocoles (suite)

"r-command" TCP X<=1023 512 (rexec)

513 (rlogin)

514 (rsh,rcp,rdist)

Ne pas laisser passer

RPC (YP, NIS, NFS, ...) TCP/UDP Z alloué par le port mapper

Portmapper TCP/UDP 111

Autoriser au compte goutte 111 depuis l ’extérieur

Il reste le P2P qui représente plus de difficulté.

Types de filtrage

• Statique– Les premiers à apparaître

– L’ensemble des règles est fixe et n’évolue pas suivant les applications utilisées.

• Dynamique– Prennent en compte les environnements H323, RTSP, SIP, FTP,

…

• Dynamique avec contrôle des contenus– Idem ci-dessus + vérification des commandes pour les flux SMTP,

HTTP, SQLNet, FTP, …

Exemple d’environnement de filtrage Netfilter / « iptables»

• Environnement sous Linux

• Netfilter : partie opérationnelle intégrée noyau

• Iptables : partie commande (action admin)

Autres environnements « libres »

IP Filter pour Unix libres et intégré sour FreeBSD et NetBSDPacket Filter sous OpenBSD

Netfilter / « iptables»

• Des règles classées par « chaîne »– Chaînes par défaut = IN, OUT, FORWARD

– Chaînes utilisateur possible

• Un paquet satisfait une règle action et arrêt chaîne– Les politiques par défaut en fin des règles

• Prise en compte « état du trafic » pour situer le paquet– NEW, ESTABLISHED, RELATED, INVALID

Chaîneutilisateur

INTERNET

WL_NET(réseau sans fil)

« INTER_NET » (réseau d’interco)

INTRA_NET(réseau interne)

PUBLIC_NET(réseau public)

IF_INT

IF_EXT

IF_WLIF_PUB

ROUTER_ADDR(adresse IP routeur)

FW_EXT(addresse IP)

S_ML

S_WEB

SERVEUR TOTO

AP1000

Et ensuite?

• Du filtrage dynamique (stateful inspection)

• Un adressage privé interne et du NAT• Protéger le service DNS en architecturant

correctement• Protéger la messagerie (antiSPAM, antiVirus)• Contrôler le contenus des flux HTTP entrants et

l’accès aux sites distants• Portables :

– Des VPNs pour leur connexion distante– Les contrôler avant leur connexion au réseau local– Protéger les données par du chiffrement

• …

Filtrage dynamique (stateful inspection de CheckPoint)

• Certaines application utilisent des ports dynamiques– Il faudrait autoriser tous ces ports en permanence trop dangereux

• Filtrage dynamique (CheckPoint, CBAC cisco, …)– Filtrage basé sur le contexte d’une connexion (application),

– Examen du contenu d’un flux détection de demande d’ouverture sur un(des) port(s) dynamique(s),

– On ajoute pour un instant des règles dans les listes de règles,

– Elles seront supprimées après fermeture de la connexion ou Time-out.

• Les protocoles concernés :– FTP (passive), H323, ToIP, RCMD, …

Le NAT (Network Address Translation)

• Traduction d’adresses; privées <--> publiques machines internes non accessibles directement Rend la vie plus difficile aux pirates

• Un atout pour la sécurité certes, mais en complément de sérieux filtrages et autres contrôles.

Groupe de Travail NAT CNRS 36

Aperçu de NAT

Internet

Interne10.4.4.5

10.1.1.1

Extérieur

Adresses IP locales

10.1.1.110.4.4.5

Vision globaledes adresses

192.2.2.2192.3.3.6

Table NAT

SA192.2.2.2SA

10.1.1.1

Différentes catégories de NAT: • Statique (une adresse privée pour une publique)

peu d’intérêt, atouts pour la sécurité à démontrer.• Dynamique

• une adresse privée pour une publique mais partage des adresses publiques par plusieurs adresses privées suivant les flux

• Surcharge adresses internes•Une adresse publique pour plusieurs privées•On traduit un couple adressePrivée-Source/portSource1 en adressePubliqueSource/portSource2 pour un certain temps.

• « Overlapping »• distribution de charge TCP

Autres objectifs que la sécurité

Protection du DNS

• Questions:– Qui a le droit d’utiliser le DNS?– Pour quel type de résolution?

• Réponses conduisent à :– Une architecture cible séparant les différents

services DNS– Une politique limitant les accès et donc les risques.

INTERNET

DMZ InternetDMZ production

DNS interne

DHCP

Serveur SMTP

DNS Externe

DNS cache DMZ

DNS cacheProxy HTTP

INTERNET

DMZ InternetDMZ production

DNS interne

DHCP

Serveur SMTP

DNS Externe

DNS cache DMZ

DNS cacheProxy HTTP

INTERNET

DMZ InternetDMZ production

DNS interne DNS Externe

DNS cache DMZ

Annuaired’authentification

Proxy HTTP1

2

3 4

5

Authentification des accès HTTP Contrôle des contenus

(antiSpyware, Antivirus, …)

Lutte antiSpam

• Ce n’est plus une option

• C’est un élément de la politique de sécurité

• Mettre en œuvre et prévenir les utilisateurs

INTERNET

DMZ InternetDMZ

Routeur sortant

MXMSA

Annuaired’authentification

Serveur De boîte aux lettres

Exemple d’architecture de messagerie

IMAPS

Mail entrant

Mail sortant

authentification

FiltrageantiSPAMantiVirus

Et ensuite ? Surveiller, …

• Détecter les intrusions et alerter:– Outils de type IDS

• Mieux les contrecarrer si l’on en détecte– Outils de type IPS

• Mettre en place de la métrologie– Détecter les anomalies de trafic, des flux étranges, des variations

anormales, …

• Utiliser des outils de supervision tels NAGIOS– Détecter des anomalies de fonctionnement des applications,– Identifier des utilisations anormales de ressources, – …

IDS / IPS • Détection les attaques classiques :

– Basée sur des signatures d’attaques connues.

• Et surtout analyser les contenus HTTP :– Protection contre l’exploitation des failles navigateurs– Détection de spyware, malware, contenus avec virus

• On peut également d’office bloquer certains type/format de contenus

– Et repérer dans l’autre sens les commandes douteuses• Machine infectée ou « chenapan » interne

• L’IDS se contente de poster une alerte• L’IPS va de plus dropper les paquets et couper la session.• L’un et l’autre peuvent être intégrés dans un produit pare-feu

ou être des modules séparés.

Métrologie• Utilité :

– Connaître le profil d’utilisation du réseau • Cartographie des flux. A quoi sert le réseau? Comprendre!

• Aider à prévoir la stratégie d’évolution des infrastructures

– Détecter d’éventuels incidents • Flux « non habituels », pics de trafic bizarres, …

• Types d’environnement– « sniffer » sur le réseau : NTOP, …

– En accès direct (ou via SNMP) sur les logs routeurs : Mrtg, NetMet, …

D’après Renater 90% des incidents pourraient être détectés par la métrologie