s écurité des r éseau x i nformatique s par arnaud degavre & gihed meftah dess réseaux –...
TRANSCRIPT
Sécurité des
Réseaux Informatiques
Par Arnaud DEGAVRE & Gihed MEFTAH
DESS Réseaux – Université Claude Bernard Lyon 1
Promo 2000
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 2
SommaireL'informatique et l'entrepriseLa protection des donnéesActions des piratesStatistiquesUn peu de vocabulaireLes différentes attaques possiblesMéthodes les plus répanduesMesures pratiquesÉvaluer sa sécurité : outils
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 3
L'informatique et l'entrepriseA l'aube du 3ème millénaire, toute entreprise, quelque soit sa taille, est informatisée.Son informatique s'étend à tous ses services :
Production,Administration,Gestion,Recherche,Etc.
Système d'information communicantmise en réseau de ces services
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 4
L'informatique et l'entrepriseL'informatique est un outil utilisé par :
Le personnel sédentaireRéseau local (si un seul site)Réseau distant (si plusieurs sites)
Le personnel itinérantOuverture du réseau interne vers l'extérieur
Autant de risques pour les données
Mise en place d'une politique de sécurité
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 5
La protection des donnéesLa sécurité des données se définit par :
La disponibilitéOffrir à l'utilisateur un système qui lui permette de continuer ses travaux en tout temps.Peut être interrompue à la suite d'un sinistre tel que la panne, la rupture physique du réseau, l'erreur, la malveillance, etc.
L'intégritéGarantir la qualité de l'information dans le temps.Peut être détériorée suite à des erreurs telles que saisie d'information erronée voire illicite, destruction partielle ou totale de l'information, etc.
La confidentialitéSe prémunir contre l'accès illicite à l'information par des personnes non autorisées.Peut être piratée, détournée, etc.
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 6
Actions des piratesSimple accès au réseau,Destruction, dommages ou modificationdes données,Contrôle du système, en refusant l'accès aux utilisateurs privilégiés,Génération des messages dont le destinataire est le réseau piraté (spamming),Implémentation de procédures provocant la défaillance, le ré-amorçage, l'immobilisation… du réseau.
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 7
Statistiques…Selon Computer Security Institute, sur 520 sites interrogés en 1998 :
64% ont signalés des violations de sécurité,25% ont souffert d'attaque par déni de service,25% ont fait l'objet d'une intrusion à distance,54% ont indiqué qu'Internet constituait le point d'entrée pour les intrus.
Selon un chercheur en sécurité : Dan FarmerLes sites, testés directement par le chercheur, sont ceux des banques, des organismes de crédit, etc.Plus de 65% des sites testés sont vulnérables aux attaques les plus connus,
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 8
Statistiques…De nombreuses cibles possédaient des pare-feu.
Selon Ernst & Young Étude portant sur 4 000 directeurs informatiques interrogés sur une grande variété de points concernant la sécurité Internet et le e-commerce sécurisé35% n'employaient pas de systèmes de détection d'intrusion,50% ne surveillaient pas les connexions Internet,60% ne possédaient aucune stratégie écrite pour répondre aux incidents de sécurité.
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 9
Un peu de vocabulaire…Écoute passive
Rôle du sniffer : vol de l'information, de mot de passe.
SubstitutionSpoofing : trucage de la source (se faire passer pour un autre).
Cheval de Troie (trojan)Traitement frauduleux sous le couvert d'un programme autorisé.
Déni de serviceRendre impossible l'accès à un service en le neutralisant ou en le submergeant.
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 10
Un peu de vocabulaire…Bombe logique
Tout programme qui provoque le plantage d'un système (en général malveillant).
FloodUn ou plusieurs outils qui permettent d'inonder la file d'attente de connexion d'un système exploitant TCP/IP et provoquant ainsi un déni de service.
Capture de frappeUtilitaire qui capture à l'insu de l'utilisateur sa frappe ; utilisé pour obtenir le nom et mot de passe d'un utilisateur.
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 11
Les différentes attaques possibles
Attaques sur les systèmesIntégrité du système,Exécution de processus non autorisée,Cheval de Troie,Etc.
Attaques sur les protocoles de communicationIntrusion,Attaques du noyau (IP snoofing, TCP flooding, etc.),Exploiter les failles des protocoles (ICMP, UDP, etc.),Etc.
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 12
Les différentes attaques possibles
Attaques sur l'informationPropagation d'un virus dans l'entreprise,Écoute des données échangées sur le réseau,Modification des données pendant leur transport,Etc.
Attaques sur les applicationsApplications à risque (DNS, SNMP, HTTP, NFS, FTP, SMTP, etc.),Attaquer des applications connues (Oracle, Office…),Etc.
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 13
Méthodes les plus répandues…
Système D ou "ingénierie sociale"Terme utilisé par les hackers pour une technique d’intrusion sur un système qui repose sur les points faibles des personnes qui sont en relation avec un système informatique.
Piéger les gens en leur faisant révéler leur mot de passe ou toute autre information qui pourrait compromettre la sécurité du système informatique.Deviner le mot de passe d’un utilisateur. Les gens qui peuvent trouver des informations sur un utilisateur, peuvent utiliser ces informations pour deviner le mot de passe de ce dernier (le prénom de ses enfants, leur date de naissance ou bien encore la plaque d’immatriculation de sa voiture sont tout à fait candidats à être des mots de passe).
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 14
Méthodes les plus répandues…
Spoofing : usurpation d'adresse IPCible : serveur(s) de l'entreprise même protégé(s) par un pare-feuBut : tromper la machine cible pour obtenir un droit d'accèsMéthode :
L'@ IP de l'agresseur sera un client certifié par le serveurConstruction d'une route source jusqu'au serveur
Riposte :Chiffrer les sessions avec sshFiltrer les paquet IP issus de l'Internet mais arborant une adresse source localeLire les avis du CERT 95-01 CERT 96-21
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 15
Méthodes les plus répanduesPing de la mort (Ping Of Death)
Cible : serveurs et routeursBut :
Paniquer la machine et la bloquant en déclenchant une série de refus de connexion (deny of service)Affaiblir l'adversaire, l'empêcher d'agir
Méthode :Envoyer un paquet 1 octet plus gros que le datagramme du pingFragmentation du ping et à l'arrivée le serveur se bloque en tentant de recoller les fragments. L'écho répond dans le vide
Variante du flooding. Riposte :
La plupart des systèmes sont protégés contre cette attaque : les outils de ping sont limités à 65500 octets
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 16
Méthodes les plus répanduesAttaque frontale
Cible : toute machine connectée à Internet protégée par un identifiant et un mot de passeBut : obtenir les droits sur cette machine pour remonter vers le serveurMéthode :
Tentative par telnet (même sécurisé) ou ftpMoulinette pour trouver mot de passe
RiposteMot de passe dynamiqueCalculette du type Secure IDQuestions bloquantes posées durant la session d'identification
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 17
Méthodes les plus répanduesCheval de Troie (Trojan)
Cible : système d'exploitation de la machine déjà attaquéeBut : récupérer les donnéesMéthode :
C'est un programme p de petite taille caché dans un autre programme P.Lorsque P est lancé, p se lance également et ouvre les ports.p verrouille alors tous les programmes de protection et d'identification
Riposte :Les AntivirusLes patchs
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 18
Méthodes les plus répanduesMail Bomber
Cible : machine recevant des e-mailsBut : planter la machine car un système planté est vulnérableMéthode : bombarder de mails une machine
Il existe des programmes (UpYours) qui permettent de lancer depuis n'importe quelle machine sur Internet, une multitude (certains génèrent 1000 e-mails/min) de mails vers une personne sans qu'elle sache l'expéditeur.
Riposte :Mettre en place une partition pour le répertoire de mailsMettre un quota disque par personne
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 19
Mesures pratiquesMots de passeSauvegardesAntivirusPorts ouvertsDroits sur les serveurs ftpScripts CGISSL pour les données sensiblesRestriction IP
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 20
Évaluer sa sécurité : outilsSATAN
Security Analysis Tool for Auditing NetworksPackage logiciel comprenant
Pages HTML pour l'interface et la documentation,Scripts Perl pour la collecte d'informations et l'analyse,Programmes C de tests.
Détection de machines et de réseaux,Détection des services disponibles,Détection de bugs connus,Analyse des résultats
Par machine,Par réseau,Par service,Par application vulnérable (bug).
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 21
Évaluer sa sécurité : outilsCOPS
Computer Oracle and Password SystemEnsemble de programmes qui vérifient ou détectent :
Les permissions de certains fichiers, répertoires,Les mots de passe,Le contenu des fichiers passwd et group,Les programmes lancés dans etc/rc et cron,Les fichiers SUID root,L'accès à certains fichiers (.profile,.cshrc…),L'installation correcte de ftp anonyme,Certains trous de sécurité (montage NFS…).
Audit de sécurité sur une machine UNIXPeut être exécuté sans être root
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 22
Évaluer sa sécurité : outilsInternet Scanner Safesuite
Suite logicielle d'audit pour tester la sécurité réseau,Test de 140 vulnérabilités,Scan des sites Web, firewalls, routeurs, serveurs NT et Unix, périphériques TCP/IP,Recommandation des corrections appropriées,Configurable et automatisable,
Planification périodique des scans,Priorité de niveaux de vulnérabilité,Etc.
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 23
Évaluer sa sécuritéAudit en temps réel :
Système de détection et de réponse aux attaques en temps réel (en surveillant le réseau),
Ex : Agent RealSecure de Firewall-1Caractéristiques :
Reconnaissance des modèles d’attaques, Détection et réponse automatique, Reporting détaillé, Mise à jour fréquente des reconnaissances de modèles
d’attaques, Capture des intrus en temps réel, Surveillance du trafic réseau.
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 24
Quelques sites…http://security.web-france.com/http://www.cru.fr/securite/
Comité Réseaux des Universités
http://www.cert.orgComputer Emergency Response Team
http://www.w3.org/Security/http://www.urec.cnrs.fr/securite/
Unité Réseaux du CNRS
http://www.scssi.gouv.fr/document/index.html
Service Central de la Sécurité des Systèmes d'Information
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 25
Des questions ?
Fin de la présentation
Merci de votre attention