Utilisation de produits de simulation d intrusions - ARESU

5TILISATION DE PRODUITS DE
SIMULATION D INTRUSIONS
.ICOLE $AUSQUE
#.2352%#
*2%3 $©CEMBRE 3OMMAIRE
u Constat
u Les produits
u Internet Scanner
u Méthodologie de mise en œuvre
u Mise en œuvre au sein du CNRS
u Plus d’informations
*2%3 $©CEMBRE .$ ^ #.2352%#
2
1
#ONSTAT
0OURQUOI 1UELS MOYENS 0RINCIPES GLOBAUX
*2%3 $©CEMBRE 0OURQUOI .$ ^ #.2352%#
3
.$ ^ #.2352%#
4
Intranet
Intranet
Renater
Renater
Internet
Internet
*2%3 $©CEMBRE 2
0OURQUOI u Méthode proposée lors des opérations sécurité :
✧
✧
✧
✧
✧
donne des recommandations
bien perçue
forte demande de soutien de l’effort entrepris
mais la méthode est-elle suffisante ?
Et comment la valider ?
!IDER UNE MEILLEURE CONNAISSANCE DES SYST¨MES ET R©SEAUX
G©R©S TOUT EN FAISANT LE POINT SUR LA S©CURIT© ET EN ESSAYANT DE
L AM©LIORER
*2%3 $©CEMBRE .$ ^ #.2352%#
5
1UELS MOYENS u Évaluation des failles au niveau système
✧
✧
✧
✧
dépendant du type (UNIX, NT…)
vérification du système (niveau de correctifs, …)
contrôles de configuration (librairies, utilisateurs, …)
COPS, System Scanner
u Simulation d’intrusions
✧ dépendant du type de système et protocoles réseaux (Unix, NT,
IP, NetBios…)
✧ test des failles à travers le réseau
✧ contrôles de configuration (services accessibles, …)
✧ simulation d’attaques (« deni de service », …)
✧ Saint, Ballista, Nessus, Internet Scanner (ISS), NetRecon (Axent
technologies)
*2%3 $©CEMBRE .$ ^ #.2352%#
6
3
1UELS MOYENS u Détection en temps réel d’intrusions
✧
✧
✧
✧
Écoute des trames en un point du réseau
Détection attaques système et réseau kBRUT FORCE{ kSCAN{ Nécessite une administration centralisée
Bro, Real Secure (ISS), NetRanger (Cisco), NetProwler (Axent
technologies)
*2%3 $©CEMBRE .$ ^ #.2352%#
7
0RINCIPES GLOBAUX
u Clef d’activation
u Bases de failles connues ou bases de signatures
d’attaques
u Politique de tests
u Personnalisation des simulations d’intrusions
u Traces des simulations
u Remontée d’alarmes pour les détections d’intrusions
u Différents types de rapport
u Généralement sans intelligence
*2%3 $©CEMBRE .$ ^ #.2352%#
8
4
,ES PRODUITS
#RIT¨RES POUR UN CHOIX
‰TUDE DE PRODUITS
*2%3 $©CEMBRE 9
.$ ^ #.2352%#
#RIT¨RES POUR UN CHOIX
u Domaine UNIX, NT
u Facilité d’installation
u Mise à jour régulière et simple de la base de
connaissances
u Informations sur les attaques testées
u Propositions de corrections pour palier aux failles
détectées
u Formation ou auto-formation
u Exploitation aisée et sans piège
u Exploitation contrôlable, adaptable au site et à la politique
de sécurité du site
*2%3 $©CEMBRE .$ ^ #.2352%#
10
5
‰TUDE DE PRODUITS
u Les produits chez ISS :
✧ S2 :(3YSTEM 3ECURITY 3CANNER)
➤Cops en plus complet.
➤Ne tient pas suffisamment compte des différents types d’UNIX.
✧ IS : )NTERNET 3CANNER
➤Saint en plus complet.
➤Pour administrateurs avertis.
✧ RS : (2EAL 3ECURE)
➤Problème : c ’est un «sniffeur» …
➤Nécessite une politique de site globale et bien structurée.
u Tests faits par le LORIA :
HTTPWWW,ORIAFRSERVICESMOYENSINFOSECURITE
*2%3 $©CEMBRE .$ ^ #.2352%#
11
‰TUDE DE PRODUITS u SAINT (
)
k3ECURITY !NALYSIS 4OOL FOR !UDITING .ETWORKS{
✧ Pas de verrouillage sur les adresses IP testées
✧ UNIX uniquement (Sun OS)
✧ N’est plus gratuit
u NESSUS
✧
✧
✧
✧
✧
Pas cher…
Source accessible
Machine source des attaques : UNIX (Linux, BSD, Solaris)
270 tests (« plugings »)
Risque de tests en dehors de son propre domaine d’adressage
*2%3 $©CEMBRE .$ ^ #.2352%#
12
6
)NTERNET 3CANNER
0RINCIPES
)NT©RªTS
0I¨GES
#ONFIGURATION MINIMALE
*2%3 $©CEMBRE .$ ^ #.2352%#
13
0RINCIPES
u Domaine de tests : Unix, NT
u Principe :
✧ Fichiers de clefs ⇒ adresse des équipements à tester
✧ Base des attaques connues ( ≅ 600)
u Portée des tests :
✧ Réseau interne
✧ A travers un / des routeurs
*2%3 $©CEMBRE .$ ^ #.2352%#
14
7
)NT©RªTS
u Différentes politiques de tests
✧ Découverte des machines
✧ Découverte des services
✧ Vulnérabilités accessibles via le réseau fonction du type de
machine (UNIX, NT, serveur web…)
Ø POSSIBILIT© DE PROC©DER GRADUELLEMENT
u Choix des vulnérabilités : DE LA CONFIGURATION D UN SERVICE
JUSQU AU D©NI DE SERVICE EN PASSANT PAR LE CRAQUAGE DE MOTS DE
PASSE TRIVIAUX
u Choix des équipements à éprouver
*2%3 $©CEMBRE .$ ^ #.2352%#
15
)NT©RªTS u Clef d’activation sur adresses spécifiques Ø ©VITE DE SORTIR
DE SON PROPRE DOMAINE D ADRESSAGE
u Aide en ligne pour le choix des tests, pour l’interprétation
des résultats obtenus
u Plusieurs types de rapports
u Mise à jour de la base de connaissances
*2%3 $©CEMBRE .$ ^ #.2352%#
16
8
0I¨GES
u Source des attaques depuis une machine NT ØOBLIGATION
D UNE CERTAINE CONNAISSANCE DE .4
u Ne pas être novice en systèmes et réseaux
u Pas du type « plug and play »
u Connaissances minimales des vulnérabilités testées
✧ Pour le choix des politiques
✧ Pour l’interprétation des résultats
u Mise en œuvre :
✧ Nécessite une étude approfondie
✧ Ne peut se faire à la volée
*2%3 $©CEMBRE .$ ^ #.2352%#
17
#ONFIGURATION MINIMALE
u Disposer d’une machine indépendante
✧ Modèle : PC 200 MHz Pentium Pro (300 MHz Pentium
recommandé)
✧ Système : Windows NT 4.0 Workstation (avec Service Pack >= 4),
système dédié est recommandé. )MPORTANT : Internet Scanner
n’est pas supporté par Windows NT Server
✧ Mémoire : 80 MB
✧ Espace Disque : 90 MB pour le logiciel, 40 MB pour les rapports
et de préférence sur une partition NTFS
✧ Internet Explorer : version 4.0 pack 1
✧ Privilèges : local ou domaine administrateur
*2%3 $©CEMBRE .$ ^ #.2352%#
18
9
-©THODOLOGIE DE MISE EN UVRE
"UT DE LA M©THODE
$©CISION D UTILISATION
2´LE DE LA COORDINATION LOCALE
4¢CHE DE LA COORDINATION LOCALE
)NSTALLATION DU LOGICIEL
!DRESSES )0 EXPLORER
2©ALISATION DES TESTS
%XPLOITATION DES R©SULTATS
*2%3 $©CEMBRE .$ ^ #.2352%#
19
.$ ^ #.2352%#
20
"UT DE LA M©THODE
u Mise en garde
u Regrouper les compétences
u Coordination locale et régionale
*2%3 $©CEMBRE 10
$©CISION D UTILISATION
u Pré requis :
✧
✧
✧
✧
✧
Adhésion de la direction du laboratoire
Maîtrise de l’opération par l’administrateur systèmes réseaux
Maîtrise des équipements testés
Connaissance de l’impact des tests d’intrusions
Connaissance de l’importance des informations obtenues
-ISE EN ©VIDENCE DES VULN©RABILIT©S L UTILISATION DU PRODUIT
DOIT SE FAIRE AVEC UNE APPROCHE SYNTH©TIQUE ET M©THODIQUE
*2%3 $©CEMBRE .$ ^ #.2352%#
21
2´LE DE LA COORDINATION
LOCALE
u Dialogue avec les instances nationales (UREC)
u Interface avec les administrateurs locaux
u Aide aux laboratoires dépourvus d’administrateur
*2%3 $©CEMBRE .$ ^ #.2352%#
22
11
4¢CHES DE LA COORDINATION
LOCALE
u Créer une liste de diffusion
u Organiser la formation minimum
u Recenser les moyens techniques utilisables par
l’ensemble des laboratoires
✧ Matériels pour tests depuis l’extérieur du laboratoire
u Définir la procédure d’utilisation de ces matériels mis en
commun
u Planifier les tests, en particulier ceux réalisés depuis
l’extérieur
*2%3 $©CEMBRE .$ ^ #.2352%#
23
4¢CHES DE LA COORDINATION
LOCALE u Dresser avec les administrateurs, la liste des adresses IP
des matériels à explorer
u Diffuser, en concertation avec l’UREC, les clefs
d’activation
u Prévenir les services pour qui les tests pourraient
apporter des nuisances
u Aider à effectuer les tests (à la demande d’un laboratoire,
en liaison avec l’administrateur)
*2%3 $©CEMBRE .$ ^ #.2352%#
24
12
4¢CHES DE LA COORDINATION
LOCALE u Effectuer les tests, à la demande du directeur, dans les
laboratoires sans administrateur
,E COORDINATEUR NE DOIT PAS S ING©RER DANS LA POLITIQUE
D UTILISATION DU LOGICIEL AU SEIN DES AUTRES LABORATOIRES SAUF
DANS LE CAS DES LABORATOIRES SANS ADMINISTRATEUR O¹ IL PEUT
AGIR AVEC L AVAL DU DIRECTEUR CONCERN©
*2%3 $©CEMBRE .$ ^ #.2352%#
25
)NSTALLATION DU LOGICIEL
u Disposer d’une machine dédiée
⇒ EFFICACIT©
✧ Pour installer le logiciel
⇒ DISPONIBILIT©
✧ Pour réaliser les tests
✧ Pour recevoir les résultats ⇒ CONFIDENTIALIT©
u Protéger le fichier des clefs d’activation
#ONFIGURER LA MACHINE DE MANI¨RE LA RENDRE LA MOINS
VULN©RABLE POSSIBLE
*2%3 $©CEMBRE .$ ^ #.2352%#
26
13
!DRESSES )0 EXPLORER
u Choisir et définir les adresses IP à explorer
✧ Serveurs et/ou stations personnelles
➤Type de configuration particulière
➤Machine sensible (contrats, données confidentielles,…)
➤Machine à spécificité particulière (« boite noire »)
➤Nouvelle machine à installer
✧ Routeurs et imprimantes
,A MA®TRISE DE CES ©QUIPEMENTS EST FORTEMENT RECOMMAND©E
*2%3 $©CEMBRE .$ ^ #.2352%#
27
2©ALISATION DES TESTS
u Méthode :
✧ Définir les types de tests
➤Niveau de profondeur fonction de la politique (« découverte des
équipements », « découverte des services », « failles
spécifiques »,…)
➤Localement, à travers un routeur (géré, externe,…)
✧ Définir les périodes d’utilisation du logiciel
➤Hors charge de travail
➤Hors charge réseau importante
✧ Avertir les utilisateurs
➤Poste autogéré
➤Poste de travail personnel
*2%3 $©CEMBRE .$ ^ #.2352%#
28
14
2©ALISATION DES TESTS u Conseils :
✧ Étudier auparavant les possibilités des tests
✧ Préférer une politique par type d’équipements
,ES TESTS NE DOIVENT PAS ªTRE LANC©S EN AUTOMATIQUE LA FIN DE
LA PROC©DURE DOIT ªTRE ATTENDUE AFIN DE CONSULTER TOUT DE SUITE
LES R©SULTATS
*2%3 $©CEMBRE .$ ^ #.2352%#
29
%XPLOITATION DES R©SULTATS PRINCIPE
u Protéger les résultats
✧ Sauvegarder sur support externe
✧ Effacer toutes traces informant des vulnérabilités détectées
✧ S’assurer de la fiabilité (confidentialité) du support choisi
*2%3 $©CEMBRE .$ ^ #.2352%#
30
15
%XPLOITATION DES R©SULTATS DIFFUSION
u Définir une politique de diffusion
✧ En accord avec le directeur du laboratoire et le service
informatique
u Envisager une diffusion sélective
✧
✧
✧
✧
✧
✧
Administrateur uniquement
Directeur de laboratoire
Coordinateur local
Utilisateur en étroite relation avec l’équipement
Ensemble du laboratoire
Autre
*2%3 $©CEMBRE .$ ^ #.2352%#
31
%N GUISE DE CONCLUSION
!PPLIQUER LES CORRECTIONS POUR LES FAILLES D©COUVERTES ET
REPRENDRE UNE NOUVELLE SESSION DE TESTS
*2%3 $©CEMBRE .$ ^ #.2352%#
32
16
-ISE EN UVRE AU SEIN DU #.23
/BJECTIFS
/RGANISATION
"ILAN ACTUEL
*2%3 $©CEMBRE .$ ^ #.2352%#
33
/BJECTIFS
u Actuellement :
✧ Opérationnelle sur une cinquantaine de laboratoires (Toulouse,
Nancy, Orléans, Grenoble) avec l’aide des DR locales
✧ En test par les coordinateurs locaux des sites ayant participé aux
opérations sécurité
u But : (2000 licences achetées)
✧ Étendre à tous les laboratoires ayant participé aux opérations
sécurité
✧ 12 licences « distribuables » en moyenne par laboratoire
u Principe :
✧ Recommandations et guide d’utilisation de produit de simulation
d’intrusions
✧ Adaptable aux sites et/ou aux laboratoires
*2%3 $©CEMBRE .$ ^ #.2352%#
34
17
/RGANISATION
u Demie journée d’information sur site
✧ Présentation du produit
✧ Conseils d’utilisation
✧ Conseils pour le choix des adresses des équipements à tester
u Choix des adresses
u Création des clefs d’activation
u Installation du produit
u Période de tests des équipements sur 7 semaines environ
u Bilan
*2%3 $©CEMBRE .$ ^ #.2352%#
35
"ILAN ACTUEL
u Démarrage souvent lent : « ENCORE UNE NOUVELLE T¢CHE POUR
LES ADMINISTRATEURS SYST¨MES ET R©SEAUX »
u Sur deux sites : globalement positif
u Demande de clefs supplémentaires
u Très apprécié pour tester une nouvelle configuration
*2%3 $©CEMBRE .$ ^ #.2352%#
36
18
0LUS D INFORMATIONS
u
u
u
u
u
u
u
u
u
u
u
u
http://www.urec.cnrs.fr/securite/articles/ope.secu.html
http://www.urec.cnrs.fr/securite/articles/confRaid98.html
http://www.urec.cnrs.fr/securite/outils/index.html
http://www.iss.net/
http://www.loria.fr/
http://www.loria.fr/services/moyens-info/securite/
http://www.wwdsi.com/saint/
http://www.wwdsi.com/saint/docs/dangers.html#leashing-saint
http://www.idg.net/crd_ballista_15926.html
http://www.nessus.org/
http://www.ossir.org/ftp/supports/98/nessus/pres/
http://www-nrg.ee.lbl.gov/bro-info.html
*2%3 $©CEMBRE .$ ^ #.2352%#
37
0LUS D INFORMATIONS u
Liste diffusion :
u
Revue « Sécurité informatique » : http://www.cnrs.fr/Infosecu/Revue.html
✧ [email protected]
✧ [email protected]
✧ N°21
✧ N°22
*2%3 $©CEMBRE .$ ^ #.2352%#
38
19