ssi
DESCRIPTION
SSI. IRT03 Mickaël Grisel. Plan. Déroulement d’une attaque Rendre impossible l’intrusion Le problème d’extension des privilèges Lutter contre la compromission Surveiller les systèmes contre les portes dérobées et les rootkits. Schéma classique d’une attaque. Collecte d’informations. - PowerPoint PPT PresentationTRANSCRIPT
SSI
IRT03Mickaël Grisel
Mickaël GRISEL – ESAIP 2
Plan Déroulement d’une attaque Rendre impossible l’intrusion Le problème d’extension des privilèges Lutter contre la compromission Surveiller les systèmes contre les portes
dérobées et les rootkits
Mickaël GRISEL – ESAIP 3
Schéma classique d’une attaque
Collecte d’informations
Intrusion
Repérage des faillesBalayage
CompromissionExtension des privilèges
Nettoyage des tracesPorte dérobée
Mickaël GRISEL – ESAIP 4
Recherche d’informations La récupération d'informations sur le système
– Préalable à toute attaque. • rassembler le maximum d'informations sur le réseau cible : • Adressage IP, Noms de domaine, Protocoles de réseau, Services activés,
Architecture des serveurs, etc. – Consultation de bases publiques
• En connaissant l'adresse IP publique d'une des machines du réseau ou bien tout simplement le nom de domaine, on est potentiellement capable de connaître l'adressage du réseau tout entier :
– http://www.iana.net – http://www.ripe.net pour l'Europe – http://www.arin.net pour les Etats-Unis
– Consultation de moteurs de recherche• informations sur la structure d'une entreprise, le nom de ses principaux
produits, voire le nom de certains personnels.– Ingénierie sociale
Mickaël GRISEL – ESAIP 5
Scanner le réseau Balayage du réseau
– déterminer quelles sont les adresses IP actives, les ports ouverts, et le système d'exploitation utilisé.
– Exemple : Nmap, reconnu comme un outil indispensable. • agit en envoyant des paquets TCP et/ou UDP à un ensemble de machines sur
un réseau, puis il analyse les réponses. – Selon l'allure des paquets TCP reçus, il lui est possible de déterminer le système
d'exploitation distant pour chaque machine scannée.
– Les mappeurs passifs• n'envoient pas de paquets : ils sont donc indétectable par les IDS. • Enfin, certains outils permettent de capturer les connexions X. Ce système a
pour caractéristique de pouvoir utiliser l'affichage des stations présentes sur le réseau, afin d'étudier ce qui est affiché sur les écrans et éventuellement d'intercepter les touches saisies par les utilisateurs des machines vulnérables.
– Lecture de bannières
Mickaël GRISEL – ESAIP 6
Repérer les failles Le repérage des failles
– Les deux principaux scanneurs de failles : Nessus et SAINT
– certains organismes, en particulier les CERT (Computer Emergency Response Team), sont chargés de capitaliser les vulnérabilités et de fédérer les informations concernant les problèmes de sécurité.
Mickaël GRISEL – ESAIP 7
L’intrusion L'intrusion
– Pour pouvoir s'introduire dans le réseau, le pirate a besoin d'accéder à des comptes valides sur les machines qu'il a recensées.
– Pour ce faire, plusieurs méthodes sont utilisées par les pirates :
• L'ingénierie sociale. • La consultation de l'annuaire ou bien des services de
messagerie ou de partage de fichiers, permettant de trouver des noms d'utilisateurs valides
• Les attaques par force brute.
Mickaël GRISEL – ESAIP 8
Extension des privilèges Extension de privilèges
– Une fois loger sur un ou plusieurs comptes peu protégés, on va chercher à augmenter ses privilèges en obtenant l'accès root.
– Il lui est ainsi possible d'installer un sniffer. Grâce à cette technique, le pirate peut espérer récupérer les couples identifiants/mots de passe lui permettant d'accéder à des comptes possédant des privilèges étendus sur d'autres machines.
– Dès qu'un accès root a été obtenu sur une machine, l'attaquant a la possibilité d'examiner le réseau à la recherche d'informations supplémentaires.
Mickaël GRISEL – ESAIP 9
La compromission Compromission
– Grâce aux étapes précédentes, le pirate a pu dresser une cartographie complète du réseau, des machines s'y trouvant, de leurs failles et possède un accès root sur au moins l'une d'entre-elles. Il lui est alors possible d'étendre encore son action en exploitant les relations d'approbation existant entre les différentes machines.
Mickaël GRISEL – ESAIP 10
La fin de l’attaque Porte dérobée
– installer une application afin de créer artificiellement une faille de sécurité pour revenir plus facilement
Nettoyage des traces– effacer les traces de son passage en supprimant les fichiers
qu'il a créés et en nettoyant les fichiers de logs des machines dans lesquelles il s'est introduit.
– il existe des rootkits permettant de remplacer les outils d'administration du système par des versions modifiées afin de masquer la présence du pirate sur le système.
• En effet, si l'administrateur se connecte en même temps que le pirate, il est susceptible de remarquer les services que le pirate a lancé ou tout simplement qu'une autre personne
Mickaël GRISEL – ESAIP 11
Objectifs à atteindre Objectifs de sécuriser un réseau
– Rendre impossible l’intrusion– Extension des privilèges– Lutter contre la compromission– Surveiller les systèmes contre les portes dérobées
et les rootkits
Mickaël GRISEL – ESAIP 12
Plan Déroulement d’une attaque Rendre impossible l’intrusion Le problème d’extension des privilèges Lutter contre la compromission Surveiller les systèmes contre les portes
dérobées et les rootkits
Mickaël GRISEL – ESAIP 13
Rendre l’intrusion impossible Nécessite une architecture sécurisée
– le coeur d'une telle architecture est basée sur un firewall.
• but : sécuriser au maximum le LAN, détecter les tentatives d'intrusion et y parer au mieux possible.
• De plus, il peut permettre de restreindre l'accès vers Internet.
– Le firewall : véritable contrôle sur le trafic réseau • Il analyse, sécurise et gére le trafic,
– Interdit une utilisation non souhaitée du réseau (MSN)– Empêche une personne sans autorisation d'accéder à ce réseau
de données.
Mickaël GRISEL – ESAIP 14
Architecture La plus simple :
Internet
Firewall
Serveur(s)
Postes clients
Mickaël GRISEL – ESAIP 15
Architecture Avec DMZ
Serveur(s)
Firewall
Postes clients
Internet
Firewall
Mickaël GRISEL – ESAIP 16
Architecture Tri-résidant
Serveur(s)
Firewall
Postes clients
Internet
Mickaël GRISEL – ESAIP 17
Le filtrage simple de paquets (Stateless)
Le principe.– C'est la méthode la plus simple, elle opère au niveau de la
couche réseau et transport du modèle OSI. – La plupart des routeurs permettent d'effectuer du filtrage
simple de paquet :• L'adresse IP Source/Destination.• Le numéro de port Source/Destination.• Et bien sur le protocole de niveau 3 ou 4.
– Cela nécessite de configurer le Firewall ou le routeur par des règles de filtrages, généralement appelées des ACL (Access Control Lists).
Mickaël GRISEL – ESAIP 18
Le filtrage simple de paquets (Stateless)
Les limites.– Le premier problème vient du fait que l'administrateur réseau
est rapidement contraint à autoriser un trop grand nombre d'accès, pour que le Firewall offre une réelle protection.
• Par exemple, pour autoriser les connexions à Internet à partir du réseau privé, l'administrateur devra accepter toutes les connexions TCP provenant de l'Internet avec un port supérieur à 1024.
– Définir des ACL sur des routeurs supportant un débit important n'est pas sans répercussion sur le débit lui-même.
• Enfin, ce type de filtrage ne résiste pas à certaines attaques de type IP Spoofing / IP Flooding, la mutilation de paquet, ou encore certaines attaques de type DoS
Mickaël GRISEL – ESAIP 19
Le filtrage de paquets avec état (Stateful)
Le Principe.– amélioration par rapport au filtrage simple,
• Conservation de la trace des sessions et des connexions dans des tables d'états internes au Firewall.
– Le Firewall prend alors ses décisions en fonction des états de connexions, et peut réagir dans le cas de situations protocolaires anormales.
» permet aussi de se protéger face à certains types d'attaques DoS.
Mickaël GRISEL – ESAIP 20
Le filtrage de paquets avec état (Stateful)
• Exemple sur les connexions Internet, on va autoriser l'établissement des connexions à la demande,
– On a pas besoin de garder tous les ports > à 1024 ouverts. – Pour les protocoles UDP et ICMP, il n'y a pas de mode connecté.
» La solution consiste à autoriser pendant un certain délai les réponses légitimes aux paquets envoyés.
Mickaël GRISEL – ESAIP 21
Le filtrage de paquets avec état (Stateful)
• Les paquets ICMP sont normalement bloqués par le Firewall, qui doit en garder les traces.
– Cependant, il n'est pas nécessaire de bloquer les paquets ICMP de type 3 (destination inaccessible) et 4 (ralentissement de la source) qui ne sont pas utilisables par un attaquant.
– On peut donc choisir de les laisser passer, suite à l'échec d'une connexion TCP ou après l'envoi d'un paquet UDP.
Mickaël GRISEL – ESAIP 22
Le filtrage de paquets avec état (Stateful)
• Pour le protocole FTP (et les protocoles fonctionnant de la même façon), c'est plus délicat puisqu'il va faut gérer l'état de deux connexions.
– le protocole FTP, gère un canal de contrôle établi par le client, et un canal de données établi par le serveur. Le Firewall devra donc laisser passer le flux de données établi par le serveur.
» Ce qui implique que le Firewall connaisse le protocole FTP, et tous les protocoles fonctionnant sur le même principe. Cette technique est connue sous le nom de filtrage dynamique (Stateful Inspection).
Mickaël GRISEL – ESAIP 23
Le filtrage de paquets avec état (Stateful)
Les limites.– il convient de s'assurer que les deux techniques
sont bien implémentées par les Firewalls. – Ensuite une fois que l'accès à un service a été
autorisé, il n'y a aucun contrôle effectué sur les requêtes et réponses des clients et serveurs.
• Un serveur HTTP pourra donc être attaqué impunément. – Les protocoles maisons utilisant plusieurs flux de
données ne passeront pas, puisque le système de filtrage dynamique n'aura pas connaissance du protocole.
Mickaël GRISEL – ESAIP 24
Le filtrage applicatif également nommé pare-feu de type proxy. Le principe
– Le filtrage applicatif est comme son nom l'indique réalisé au niveau de la couche Application.
• Pour cela, il faut bien sûr pouvoir extraire les données du protocole de niveau 7 pour les étudier. Les requêtes sont traitées par des processus dédiés, par exemple une requête de type HTTP sera filtrée par un processus proxy HTTP. Le pare-feu rejettera toutes les requêtes qui ne sont pas conformes aux spécifications du protocole. Cela implique que le pare-feu proxy connaisse toutes les règles protocolaires des protocoles qu'il doit filtrer.
Mickaël GRISEL – ESAIP 25
Le filtrage applicatif Les limites
– Le premier problème qui se pose est la finesse du filtrage réalisé par le proxy.
• Il est extrêmement difficile de pouvoir réaliser un filtrage qui ne laisse rien passer, vu le nombre de protocoles de niveau 7.
– En outre le fait de devoir connaître les règles protocolaires de chaque protocole filtré pose des problèmes d'adaptabilité à de nouveaux protocoles ou des protocoles maisons.
– Mais il est indéniable que le filtrage applicatif apporte plus de sécurité que le filtrage de paquet avec état, mais cela se paie en performance.
Mickaël GRISEL – ESAIP 26
Que choisir ? Tout d'abord, il faut nuancer la supériorité du filtrage
applicatif par rapport à la technologie Stateful. – les proxys doivent être paramétrés suffisamment finement
pour limiter le champ d'action des attaquants, ce qui nécessite une bonne connaissance des protocoles autorisés à traverser le firewall.
– Ensuite un proxy est plus susceptible de présenter une faille de sécurité permettant à un pirate d'en prendre le contrôle, et de lui donner un accès sans restriction à tout le système d'information
Mickaël GRISEL – ESAIP 27
Que choisir ? il faut protéger le proxy par un Firewall de type
Stateful Inspection. – Il vaut mieux éviter d'installer les deux types de
filtrage sur le même Firewall, car la compromission de l'un entraîne la compromission de l'autre. Enfin cette technique permet également de se protéger contre l'ARP spoofing
Mickaël GRISEL – ESAIP 28
Les firewall bridge Ces derniers sont relativement répandus.
– Ils agissent comme de vrais câbles réseau avec la fonction de filtrage en plus, d'où leur appellation de firewall.
• Leurs interfaces ne possèdent pas d'adresse Ip, – ne font que transférer les paquets d'une interface a une autre en leur
appliquant les règles prédéfinies.– Cette absence est particulièrement utile,
» le firewall est indétectable pour un hacker lambda. » Il ne répondra jamais à une requête ARP. » Ses adresses Mac ne circuleront jamais sur le réseau, et il sera
totalement invisible sur le réseau. » rend impossible toute attaque dirigée directement contre le lui :
aucun paquet ne sera traité comme étant sa propre destination. » Donc, la seule façon de le contourner est de passer outre ses règles
de drop. Toute attaque devra donc « faire » avec ses règles, et essayer de les contourner.
Mickaël GRISEL – ESAIP 29
Les firewall bridge– Ces firewalls se trouvent typiquement sur les switchs.
Avantages.– Impossible de l'éviter– Peu coûteux
Inconvénients.– Possibilité de le contourner
• il suffit de passer outre ses règles
– Configuration souvent contraignante– Les fonctionnalités présentes sont très basiques (filtrage sur
adresse IP, port, le plus souvent en Stateless).
Mickaël GRISEL – ESAIP 30
Les firewall matériels Se trouvent souvent sur des routeurs
– ont une intégration parfaite avec le matériel.– configuration est souvent ardue (les plus anciens), mais
• leur avantage est que leur interaction avec les autres fonctionnalités du routeur est simplifiée de par leur présence sur le même équipement réseau.
• Souvent relativement peu flexibles en terme de configuration,• peu vulnérables aux attaques, car présent dans le routeur. • De plus, étant souvent très liés au matériel, l'accès à leur code est
assez difficile, et le constructeur a produit des système de codes « signés » afin d'authentifier le logiciel (système RSA ou assimilés). Ce système n'est implanté que dans les firewalls haut de gamme, car cela évite un remplacement du logiciel par un autre non produit par le fabricant, ou toute modification de ce dernier, rendant ainsi le firewall très sûr.
Mickaël GRISEL – ESAIP 31
Les firewall matériels– Son administration est souvent plus aisée que les firewall
bridges, les grandes marques de routeurs utilisant cet argument comme argument de vente.
– Leur niveau de sécurité est de plus très bon, sauf découverte de faille éventuelle comme tout firewall.
– Néanmoins, il faut savoir que l'on est totalement dépendant du constructeur du matériel pour cette mise à jour, ce qui peut être, dans certains cas, assez contraignant.
– Enfin, seules les spécificités prévues par le constructeur du matériel sont implémentées.
» Cette dépendance induit que si une possibilité nous intéresse sur un firewall d'une autre marque, son utilisation est impossible. Il faut donc bien déterminer à l'avance ses besoin et choisir le constructeur du routeur avec soin.
Mickaël GRISEL – ESAIP 32
Les firewall matériels Avantages.
– Intégré au matériel réseau– Administration relativement simple– Bon niveau de sécurité
Inconvénients.– Dépendant du constructeur pour les mises à jour– Souvent peu flexibles.
Mickaël GRISEL – ESAIP 33
Les firewall logicielson peut les classer en plusieurs catégories :
– Les firewalls personnels.• Souvent commerciaux, ont pour but de sécuriser
un ordinateur particulier, et non pas un groupe d'ordinateurs.
–ils peuvent être contraignants et quelque fois très peu sécurisés.
–En effet, ils s'orientent plus vers la simplicité d'utilisation plutôt que vers l'exhaustivité, afin de rester accessible à l'utilisateur final.
Mickaël GRISEL – ESAIP 34
Les firewall logiciels– Avantages
• Sécurité en bout de chaîne (le poste client)• Personnalisable assez facilement
– Inconvénients.• Facilement contournable• Difficiles a départager.
– Les différents firewalls• Exemple freeware :
– ZoneAlarm de ZoneLabs– Kerio de Kerio– Outpost d'Agnitum Ltd– Sygate Personal Firewall de Sygate Technologies Inc
Mickaël GRISEL – ESAIP 35
Les firewall logiciels• A noter qu'avec la mise à jour de Win Xp Sp2. Le firewall inclus dans
le système demande à être mis en route par défaut !– mais il ne contrôle que les données entrantes pas les sortantes.
– Les firewalls plus « sérieux »• Tournant généralement sous linux, car cet OS offre une sécurité
réseau plus élevée et un contrôle plus adéquat, ils ont généralement pour but d'avoir le même comportement que les firewalls matériels des routeurs, à ceci prêt qu'ils sont configurables à la main.
– Le plus courant est iptables (anciennement ipchains), qui utilise directement le noyau linux. Toute fonctionnalité des firewalls de routeurs est potentiellement réalisable sur une telle plateforme
Mickaël GRISEL – ESAIP 36
Les firewall logicielsAvantages.
• Personnalisables• Niveau de sécurité très bon
– Inconvénients.• Nécessite une administration système
supplémentaire
Mickaël GRISEL – ESAIP 37
Les firewall logiciels Une grande faille :
– ils n'utilisent pas la couche bas réseau. • Il suffit donc de passer outre le noyau en ce qui concerne
la récupération de ces paquets, en utilisant une librairie spéciale, pour récupérer les paquets qui auraient été normalement « droppés » par le firewall.
• Néanmoins, cette faille induit de s'introduire sur l'ordinateur en question pour y faire des modifications... chose qui induit déjà une intrusion dans le réseau, ou une prise de contrôle physique de l'ordinateur, ce qui est déjà Synonyme d'inefficacité de la part du firewall.
Mickaël GRISEL – ESAIP 38
Configuration théorique des défenses Configuration d'un firewall : élément clef de l’efficacité.
– Un firewall mal configuré peut être tout aussi efficace... qu'aucun firewall du tout.
– Il existe deux politiques de configurations de base :• Tout autoriser sauf ce qui est dangereux :
– cette méthode est beaucoup trop laxiste.» En effet, cela laisse toute latitude à l'imagination des intrus de
s'exprimer. Et à moins d'avoir tout prévu de façon exhaustive, on laissera forcément des portes ouvertes, des failles béantes dans notre système.
»A éviter absolument.
Mickaël GRISEL – ESAIP 39
Configuration théorique des défenses Tout interdire sauf ce dont on a besoin et ce en quoi
on a confiance : – cette politique est beaucoup plus sécuritaire.
• En effet, les services sont examinés avant d'être autorisés à passer le firewall, et sont donc tous soumis à un examen plus ou moins approfondi.
• Ainsi, pas de mauvaise surprise sur un service que l'on pensait ne pas avoir installé, plus d'oubli :
• tout service autorisé est explicitement déclaré dans le firewall.
Mickaël GRISEL – ESAIP 40
Configuration théorique des défenses– Cette politique s'accompagne de la création de
deux zones : • une zone interne et l'extérieur.
– On peut considérer que tout ce qui est dans notre réseau local est autorisé, sans prendre de trop gros risques : le firewall est là pour nous protéger des attaques extérieures, pas des attaques internes pour lesquelles il ne peut rien.
» Cette facette peut changer suivant la politique de l'entreprise (interdire l'accès à certains, jeux, etc.).
– La zone externe est par contre considérée comme « non sûre », et donc toute requête envoyée sur un service non explicitement déclaré comme accessible de l'extérieur sera interceptée et ignorée.
– La configuration de la DMZ est ici très importante, et sa gestion aussi.
Mickaël GRISEL – ESAIP 41
Configuration théorique des défenses– Cette politique s'accompagne de plusieurs points à noter :
• Plus de services sont ouverts, plus vulnérable est le système. – C'est logique, car plus le nombre de logiciels accessibles de l'extérieur
est grand, plus le risque qu'un intrus exploite ces dits logiciels pour s'introduire dans le système est important.
» C'est ainsi que, par exemple, si on utilise un serveur Web qui interface déjà le serveur de base de donnée, il est inutile d'autoriser le trafic entrant vers le serveur de base de données... vu que le serveur Web joue le rôle d'interface.
• Suivant la politique de l'entreprise, l'accès ou non à certains services peut être bloqué dans les deux sens.
– Cela peut servir, par exemple, à empêcher le jeu en ligne, ou autres activités que l'entreprise ne désire pas voir se dérouler sur ses propres infrastructures.
Mickaël GRISEL – ESAIP 42
Configuration théorique des défenses– Certains protocoles sont assez difficiles à autoriser,
notamment le FTP. Le comportement du protocole FTP est assez atypique et mérite que l'on s'y attarde.
• Le fonctionnement du FTP prévoit que ce soit le serveur qui initie la connexion sur le client pour lui transmettre le fichier.
– Par exemple :» Le client demande le fichier index.txt» Le serveur envoie un message au client « accepte la connexion sur
le port 2563 »» Le client attend une connexion sur ce port et renvoie un ACK au
serveur» Le serveur initie la connexion et lance le transfert de données.
Mickaël GRISEL – ESAIP 43
Configuration théorique des défenses• Ce comportement implique que le serveur, dans la zone « externe », initie
une connexion sur un port choisi par lui-même sur le client. Or, nous l’avons interdit. Il y a donc deux solutions :
– Interdire le FTP.– Forcer le client à utiliser la commande PASV, qui indique que le serveur doit
adopter un comportement passif, et accepter la connexion du client sur un port spécifié par ce dernier. C'est donc le client qui initiera la connexion, et donc, la connexion sera autorisée par le firewall. Avec la commande PASV, l'échange se passe donc ainsi :
» Le client envoie la commande PASV» Le serveur répond avec l'adresse et le port sur lequel le client peut se
connecter» Le client demande le fichier index.txt (RETR index.txt)» Le serveur envoie un reçu et attend la connexion du client» Le client se connecte et reçoit le fichier
– La configuration efficace d'un firewall n'est pas chose évidente, et implique une grande rigueur, la moindre erreur ouvrant une brèche exploitable par les hackers.
Mickaël GRISEL – ESAIP 44
Ipcop Firewall Open Source
– Initialement basé sur SmoothWall Avantages :
– Distribution spécifique : gain en sécurité– Légère : en théorie prévue pour être installée sur des
machines recyclées• En pratique minimum de 256 Mo de Ram si add-on et 600 MHz
– Add-ons : nombreux, ils permettent de personnaliser la configuration facilement
– Administration par interface web
Mickaël GRISEL – ESAIP 45
Ipcop Inconvénients :
– Configuration par défaut ne permet pas de gérer les flux sortants
– Configuration délicate si plus d’un serveur par service dans la DMZ
– Firewall Tri-résidant
Mickaël GRISEL – ESAIP 46
Ipcop Présentation :
– Firewall utilisé dans les réseaux de PME– Par défaut permet :
• Filtrage réseau par IPTable ; • serveur DHCP • client NTP et serveur NTP• sonde de détection d'intrusions sur TOUS les réseaux• Réseau Privé Virtuel (RPV ou VPN)• serveur mandataire Web et DNS• NAT/PAT• Lissage de traffic• Mise à jour automatique• administration de la machine par une interface web sécurisée avec :
– l'affichage des performances (graphiques) ; – la visualisation des journaux d'évènement
Mickaël GRISEL – ESAIP 47
Ipcop Identification des réseaux
– Rouge : Internet– Orange : DMZ– Vert : LAN– Bleu : wifi (ou second LAN)
Mickaël GRISEL – ESAIP 48
Ipcop Traffic par défaut :
– Rouge => IPCOP : fermé – Rouge => Vert : fermé – Rouge => Orange : fermé
– Orange => IPCOP : fermé– Orange => Vert : fermé – Orange => Rouge : ouvert
– Vert => IPCOP : ouvert – Vert => Orange : ouvert – Vert => Rouge : ouvert
Mickaël GRISEL – ESAIP 49
Ipcop Add-ons
– Permettent de réaliser facilement différentes tâches en s’intégrant dans l’interface graphique :
– Principaux :• Gestion du proxy, filtrage d’URL, Gestion des flux
sortants, filtrage du flux entrant (avec antivirus), Qualité de service, Protection du firewall contre les attaques, Création de nouveaux graphiques
Mickaël GRISEL – ESAIP 50
Ipcop SquidGuard
– Schéma fonctionnel
Mickaël GRISEL – ESAIP 51
Ipcop SquidGuard
– Configuration
Mickaël GRISEL – ESAIP 52
Ipcop SquidGuard
– Configuration
Mickaël GRISEL – ESAIP 53
Ipcop
Mickaël GRISEL – ESAIP 54
Ipcop
Mickaël GRISEL – ESAIP 55
Ipcop Guardian
– Protection du firewall en assurant une meilleure gestion des règles SNORT.
– Bloque le scan des ports– Blocage d’adresses IP automatiquement ou
manuellement
Mickaël GRISEL – ESAIP 56
Ipcop BlockOutTraffic (BOT)
– Bloque tout le trafic laisser ouvert par Ipcop– Interface Graphique pour créer les règles de contrôle du
trafic– Principales caractéristiques
• Intégration transparente au GUI d’IPCop• Contrôle du trafic envoyé et traversant le pare-feu• Restriction du trafic au niveau MAC, IP et des cartes d'interface• Regroupement d'adresses• Création de services personnalisés• Regroupement de services• Règles basées sur les heures d'utilisation• Contrôle du niveau de complexité des journaux du pare-feu
Mickaël GRISEL – ESAIP 57
Ipcop
Mickaël GRISEL – ESAIP 58
Ipcop Copfilter
– paserelle antivirus et antispam– filtre les flux HTTP, FTP, SMTP, POP3
• antivirus – Clams par défaut mais peut utiliser F-prot ou AVG
• anti-spam – Spamassassin– Filtre Bayesien, SURBL, DNSBL, Razor, DCC, and SARE Spam
Rulesets
• Élimine les pubs et pop-up en html
Mickaël GRISEL – ESAIP 59
Ipcop
Mickaël GRISEL – ESAIP 60
Ipcop
Mickaël GRISEL – ESAIP 61
Ipcop
Mickaël GRISEL – ESAIP 62
Ipcop
Mickaël GRISEL – ESAIP 63
Ipcop
Mickaël GRISEL – ESAIP 64
Ipcop
Mickaël GRISEL – ESAIP 65
Plan Déroulement d’une attaque Rendre impossible l’intrusion Le problème d’extension des privilèges Lutter contre la compromission Surveiller les systèmes contre les portes
dérobées et les rootkits
Mickaël GRISEL – ESAIP 66
Extension des privilèges Politique de gestion des comptes et des mots
de passe :– Nombre de caractères– Durée de validité d’un mot de passe– Gestion des employés temporaires– …
Mickaël GRISEL – ESAIP 67
Plan Déroulement d’une attaque Rendre impossible l’intrusion Le problème d’extension des privilèges Lutter contre la compromission Surveiller les systèmes contre les portes
dérobées et les rootkits
Mickaël GRISEL – ESAIP 68
Lutter contre la compromission Rendre impossible l’interception de nouveau
compte– Utilisation de protocoles sécurisés sur le LAN
• Exemple : SSL pour le mail Détecter une intrusion et agir
– IDS et IPS
Mickaël GRISEL – ESAIP 69
IDS-IPS Qu’est ce qu’un IDS ?
– IDS : Intrusion Detection System– mécanisme destiné à repérer des activités
anormales ou suspectes sur la cible analysée• un réseau ou un hôte.
– Il permet ainsi d'avoir une action de prévention sur les risques d'intrusion.
Mickaël GRISEL – ESAIP 70
IDS-IPS Deux principes de détection d'intrusion :
– Systèmes neuronaux : • se basent sur la détection d'anomalies, après une période
d'apprentissage d'un flux normal– Systèmes à base de signatures :
• s'appuient sur des empruntes d'attaques afin de détecter l'intrusion (pattern matching, approche par scénarii).
Mickaël GRISEL – ESAIP 71
IDS-IPS Systèmes neuronaux :
– Approche comportementale • Analyser si un utilisateur a eu un comportement anormal
par rapport à son habitude. – Par exemple, la secrétaire qui se connecte la nuit à certaines
heures, en plus de la journée.– Il se base pour cela sur un modèle statistique : des variables
seront définies (ici la plage horaire des connections de la secrétaire par jour), et représenteront le profil type (comportement normal) d'un utilisateur.
Mickaël GRISEL – ESAIP 72
IDS-IPS Avantages et ses inconvénients :
– L'approche comportementale • permet de détecter des attaques inconnues.• Elle ne nécessite pas non plus de construction de base
d'attaques, et donc d'un suivi de cette base,• mais peut-etre victime de faux positifs :
– l'IDS détecte des attaques qui n'en sont pas.
• Pour l'approche par scénarios, c'est l'inverse.– L'IDS se base sur des attaques connues pour effectuer son
analyse, mais il est difficile de maintenir cette base de signatures.
Mickaël GRISEL – ESAIP 73
IDS-IPS Cibles analysées :
– Les N-IDS (Network Based Intrusion Detection System), qui surveillent l'état de la sécurité au niveau du réseau.
• approche par scénario
Mickaël GRISEL – ESAIP 74
IDS-IPS– Les H-IDS (HostBased Intrusion Detection System),
qui surveillent l'état de la sécurité au niveau des hôtes.
• Approche comportementale
Mickaël GRISEL – ESAIP 75
IDS-IPS– Un autre type d'H-IDS cherche les intrusions dans
le « noyau » (kernel) du système, et les modifications qui y sont apportées. Certains appellent cette technique « analyse protocolaire ». Très rapide, elle ne nécessite pas de recherche dans une base de signature. Exemples de contrôles pour Windows ...
Mickaël GRISEL – ESAIP 76
IDS-IPS Stack-Based IDS
– Dernière génération d’IDS– Basé sur la pile TCP/IP
• Analyse le paquet dans toute les couches du modèle OSI• Analyse le trafic entrant et sortant• Permet de détecter l’attaque avant l’application
Mickaël GRISEL – ESAIP 77
IDS-IPS Points fort d’un N-IDS
– Coût d’utilisation– Analyse de paquets : temps réel– Permet l’identification de l’attaquant– Complète le firewall– Indépendant de l’OS
Mickaël GRISEL – ESAIP 78
IDS-IPS Points fort d’un H-IDS
– Permet de savoir si l’attaque à réussi ou pas– Surveiller les activités d’un OS (log, fichiers
consultés, modifications de droits admin …)– Surveiller des points particuliers (dll, base de
registres…)– Proche du temps réel (temps réel si Stack- based
IDS)– Pas de matériel supplémentaire
Mickaël GRISEL – ESAIP 79
IDS-IPS H-IDS et N-IDS se complémentent
Mickaël GRISEL – ESAIP 80
IDS-IPS
Mickaël GRISEL – ESAIP 81
IDS-IPS Snort : N-IDS
– Snort est un système de détection d'intrusion open source sous licence GPL.
• À l'origine écrit par Martin Roesch, il appartient actuellement à Sourcefire
• Le plus utilisé au monde• Possibilité de souscrire gratuitement pour maintenir les
listes à jour 5 jours après leur parution
Mickaël GRISEL – ESAIP 82
IDS-IPS H-IDS :
– AIDE– DarkSpy– FCheck– IceSword– Integrit– Nabou– OSSEC– Osiris– Samhain– Tripwire
Mickaël GRISEL – ESAIP 83
IDS-IPS IPS :
– Ensemble de technologies de sécurité– But : Anticiper et stopper les attaques– Principe de fonctionnement : Symétrie avec IDS
• Host IPS & Network IPS,• Analyse des contextes de connexion,• Automatisation d'analyse des logs,• Coupure des connexions suspectes,
Mickaël GRISEL – ESAIP 84
Plan Déroulement d’une attaque Rendre impossible l’intrusion Le problème d’extension des privilèges Lutter contre la compromission Surveiller les systèmes contre les portes
dérobées et les rootkits
Mickaël GRISEL – ESAIP 85
Lutter contre les rootkits Lutter contre les rootkits :
– Exemple : F-Secure a publié un petit logiciel gratuit : BlackLight