Utilisation de produits de simulation d intrusions - ARESU
Transcription
Utilisation de produits de simulation d intrusions - ARESU
5TILISATION DE PRODUITS DE SIMULATION D INTRUSIONS .ICOLE $AUSQUE #.2352%# *2%3 $©CEMBRE 3OMMAIRE u Constat u Les produits u Internet Scanner u Méthodologie de mise en œuvre u Mise en œuvre au sein du CNRS u Plus d’informations *2%3 $©CEMBRE .$ ^ #.2352%# 2 1 #ONSTAT 0OURQUOI 1UELS MOYENS 0RINCIPES GLOBAUX *2%3 $©CEMBRE 0OURQUOI .$ ^ #.2352%# 3 .$ ^ #.2352%# 4 Intranet Intranet Renater Renater Internet Internet *2%3 $©CEMBRE 2 0OURQUOI u Méthode proposée lors des opérations sécurité : ✧ ✧ ✧ ✧ ✧ donne des recommandations bien perçue forte demande de soutien de l’effort entrepris mais la méthode est-elle suffisante ? Et comment la valider ? !IDER UNE MEILLEURE CONNAISSANCE DES SYST¨MES ET R©SEAUX G©R©S TOUT EN FAISANT LE POINT SUR LA S©CURIT© ET EN ESSAYANT DE L AM©LIORER *2%3 $©CEMBRE .$ ^ #.2352%# 5 1UELS MOYENS u Évaluation des failles au niveau système ✧ ✧ ✧ ✧ dépendant du type (UNIX, NT…) vérification du système (niveau de correctifs, …) contrôles de configuration (librairies, utilisateurs, …) COPS, System Scanner u Simulation d’intrusions ✧ dépendant du type de système et protocoles réseaux (Unix, NT, IP, NetBios…) ✧ test des failles à travers le réseau ✧ contrôles de configuration (services accessibles, …) ✧ simulation d’attaques (« deni de service », …) ✧ Saint, Ballista, Nessus, Internet Scanner (ISS), NetRecon (Axent technologies) *2%3 $©CEMBRE .$ ^ #.2352%# 6 3 1UELS MOYENS u Détection en temps réel d’intrusions ✧ ✧ ✧ ✧ Écoute des trames en un point du réseau Détection attaques système et réseau kBRUT FORCE{ kSCAN{ Nécessite une administration centralisée Bro, Real Secure (ISS), NetRanger (Cisco), NetProwler (Axent technologies) *2%3 $©CEMBRE .$ ^ #.2352%# 7 0RINCIPES GLOBAUX u Clef d’activation u Bases de failles connues ou bases de signatures d’attaques u Politique de tests u Personnalisation des simulations d’intrusions u Traces des simulations u Remontée d’alarmes pour les détections d’intrusions u Différents types de rapport u Généralement sans intelligence *2%3 $©CEMBRE .$ ^ #.2352%# 8 4 ,ES PRODUITS #RIT¨RES POUR UN CHOIX TUDE DE PRODUITS *2%3 $©CEMBRE 9 .$ ^ #.2352%# #RIT¨RES POUR UN CHOIX u Domaine UNIX, NT u Facilité d’installation u Mise à jour régulière et simple de la base de connaissances u Informations sur les attaques testées u Propositions de corrections pour palier aux failles détectées u Formation ou auto-formation u Exploitation aisée et sans piège u Exploitation contrôlable, adaptable au site et à la politique de sécurité du site *2%3 $©CEMBRE .$ ^ #.2352%# 10 5 TUDE DE PRODUITS u Les produits chez ISS : ✧ S2 :(3YSTEM 3ECURITY 3CANNER) ➤Cops en plus complet. ➤Ne tient pas suffisamment compte des différents types d’UNIX. ✧ IS : )NTERNET 3CANNER ➤Saint en plus complet. ➤Pour administrateurs avertis. ✧ RS : (2EAL 3ECURE) ➤Problème : c ’est un «sniffeur» … ➤Nécessite une politique de site globale et bien structurée. u Tests faits par le LORIA : HTTPWWW,ORIAFRSERVICESMOYENSINFOSECURITE *2%3 $©CEMBRE .$ ^ #.2352%# 11 TUDE DE PRODUITS u SAINT ( ) k3ECURITY !NALYSIS 4OOL FOR !UDITING .ETWORKS{ ✧ Pas de verrouillage sur les adresses IP testées ✧ UNIX uniquement (Sun OS) ✧ N’est plus gratuit u NESSUS ✧ ✧ ✧ ✧ ✧ Pas cher… Source accessible Machine source des attaques : UNIX (Linux, BSD, Solaris) 270 tests (« plugings ») Risque de tests en dehors de son propre domaine d’adressage *2%3 $©CEMBRE .$ ^ #.2352%# 12 6 )NTERNET 3CANNER 0RINCIPES )NT©RªTS 0I¨GES #ONFIGURATION MINIMALE *2%3 $©CEMBRE .$ ^ #.2352%# 13 0RINCIPES u Domaine de tests : Unix, NT u Principe : ✧ Fichiers de clefs ⇒ adresse des équipements à tester ✧ Base des attaques connues ( ≅ 600) u Portée des tests : ✧ Réseau interne ✧ A travers un / des routeurs *2%3 $©CEMBRE .$ ^ #.2352%# 14 7 )NT©RªTS u Différentes politiques de tests ✧ Découverte des machines ✧ Découverte des services ✧ Vulnérabilités accessibles via le réseau fonction du type de machine (UNIX, NT, serveur web…) Ø POSSIBILIT© DE PROC©DER GRADUELLEMENT u Choix des vulnérabilités : DE LA CONFIGURATION D UN SERVICE JUSQU AU D©NI DE SERVICE EN PASSANT PAR LE CRAQUAGE DE MOTS DE PASSE TRIVIAUX u Choix des équipements à éprouver *2%3 $©CEMBRE .$ ^ #.2352%# 15 )NT©RªTS u Clef d’activation sur adresses spécifiques Ø ©VITE DE SORTIR DE SON PROPRE DOMAINE D ADRESSAGE u Aide en ligne pour le choix des tests, pour l’interprétation des résultats obtenus u Plusieurs types de rapports u Mise à jour de la base de connaissances *2%3 $©CEMBRE .$ ^ #.2352%# 16 8 0I¨GES u Source des attaques depuis une machine NT ØOBLIGATION D UNE CERTAINE CONNAISSANCE DE .4 u Ne pas être novice en systèmes et réseaux u Pas du type « plug and play » u Connaissances minimales des vulnérabilités testées ✧ Pour le choix des politiques ✧ Pour l’interprétation des résultats u Mise en œuvre : ✧ Nécessite une étude approfondie ✧ Ne peut se faire à la volée *2%3 $©CEMBRE .$ ^ #.2352%# 17 #ONFIGURATION MINIMALE u Disposer d’une machine indépendante ✧ Modèle : PC 200 MHz Pentium Pro (300 MHz Pentium recommandé) ✧ Système : Windows NT 4.0 Workstation (avec Service Pack >= 4), système dédié est recommandé. )MPORTANT : Internet Scanner n’est pas supporté par Windows NT Server ✧ Mémoire : 80 MB ✧ Espace Disque : 90 MB pour le logiciel, 40 MB pour les rapports et de préférence sur une partition NTFS ✧ Internet Explorer : version 4.0 pack 1 ✧ Privilèges : local ou domaine administrateur *2%3 $©CEMBRE .$ ^ #.2352%# 18 9 -©THODOLOGIE DE MISE EN UVRE "UT DE LA M©THODE $©CISION D UTILISATION 2´LE DE LA COORDINATION LOCALE 4¢CHE DE LA COORDINATION LOCALE )NSTALLATION DU LOGICIEL !DRESSES )0 EXPLORER 2©ALISATION DES TESTS %XPLOITATION DES R©SULTATS *2%3 $©CEMBRE .$ ^ #.2352%# 19 .$ ^ #.2352%# 20 "UT DE LA M©THODE u Mise en garde u Regrouper les compétences u Coordination locale et régionale *2%3 $©CEMBRE 10 $©CISION D UTILISATION u Pré requis : ✧ ✧ ✧ ✧ ✧ Adhésion de la direction du laboratoire Maîtrise de l’opération par l’administrateur systèmes réseaux Maîtrise des équipements testés Connaissance de l’impact des tests d’intrusions Connaissance de l’importance des informations obtenues -ISE EN ©VIDENCE DES VULN©RABILIT©S L UTILISATION DU PRODUIT DOIT SE FAIRE AVEC UNE APPROCHE SYNTH©TIQUE ET M©THODIQUE *2%3 $©CEMBRE .$ ^ #.2352%# 21 2´LE DE LA COORDINATION LOCALE u Dialogue avec les instances nationales (UREC) u Interface avec les administrateurs locaux u Aide aux laboratoires dépourvus d’administrateur *2%3 $©CEMBRE .$ ^ #.2352%# 22 11 4¢CHES DE LA COORDINATION LOCALE u Créer une liste de diffusion u Organiser la formation minimum u Recenser les moyens techniques utilisables par l’ensemble des laboratoires ✧ Matériels pour tests depuis l’extérieur du laboratoire u Définir la procédure d’utilisation de ces matériels mis en commun u Planifier les tests, en particulier ceux réalisés depuis l’extérieur *2%3 $©CEMBRE .$ ^ #.2352%# 23 4¢CHES DE LA COORDINATION LOCALE u Dresser avec les administrateurs, la liste des adresses IP des matériels à explorer u Diffuser, en concertation avec l’UREC, les clefs d’activation u Prévenir les services pour qui les tests pourraient apporter des nuisances u Aider à effectuer les tests (à la demande d’un laboratoire, en liaison avec l’administrateur) *2%3 $©CEMBRE .$ ^ #.2352%# 24 12 4¢CHES DE LA COORDINATION LOCALE u Effectuer les tests, à la demande du directeur, dans les laboratoires sans administrateur ,E COORDINATEUR NE DOIT PAS S ING©RER DANS LA POLITIQUE D UTILISATION DU LOGICIEL AU SEIN DES AUTRES LABORATOIRES SAUF DANS LE CAS DES LABORATOIRES SANS ADMINISTRATEUR O¹ IL PEUT AGIR AVEC L AVAL DU DIRECTEUR CONCERN© *2%3 $©CEMBRE .$ ^ #.2352%# 25 )NSTALLATION DU LOGICIEL u Disposer d’une machine dédiée ⇒ EFFICACIT© ✧ Pour installer le logiciel ⇒ DISPONIBILIT© ✧ Pour réaliser les tests ✧ Pour recevoir les résultats ⇒ CONFIDENTIALIT© u Protéger le fichier des clefs d’activation #ONFIGURER LA MACHINE DE MANI¨RE LA RENDRE LA MOINS VULN©RABLE POSSIBLE *2%3 $©CEMBRE .$ ^ #.2352%# 26 13 !DRESSES )0 EXPLORER u Choisir et définir les adresses IP à explorer ✧ Serveurs et/ou stations personnelles ➤Type de configuration particulière ➤Machine sensible (contrats, données confidentielles,…) ➤Machine à spécificité particulière (« boite noire ») ➤Nouvelle machine à installer ✧ Routeurs et imprimantes ,A MA®TRISE DE CES ©QUIPEMENTS EST FORTEMENT RECOMMAND©E *2%3 $©CEMBRE .$ ^ #.2352%# 27 2©ALISATION DES TESTS u Méthode : ✧ Définir les types de tests ➤Niveau de profondeur fonction de la politique (« découverte des équipements », « découverte des services », « failles spécifiques »,…) ➤Localement, à travers un routeur (géré, externe,…) ✧ Définir les périodes d’utilisation du logiciel ➤Hors charge de travail ➤Hors charge réseau importante ✧ Avertir les utilisateurs ➤Poste autogéré ➤Poste de travail personnel *2%3 $©CEMBRE .$ ^ #.2352%# 28 14 2©ALISATION DES TESTS u Conseils : ✧ Étudier auparavant les possibilités des tests ✧ Préférer une politique par type d’équipements ,ES TESTS NE DOIVENT PAS ªTRE LANC©S EN AUTOMATIQUE LA FIN DE LA PROC©DURE DOIT ªTRE ATTENDUE AFIN DE CONSULTER TOUT DE SUITE LES R©SULTATS *2%3 $©CEMBRE .$ ^ #.2352%# 29 %XPLOITATION DES R©SULTATS PRINCIPE u Protéger les résultats ✧ Sauvegarder sur support externe ✧ Effacer toutes traces informant des vulnérabilités détectées ✧ S’assurer de la fiabilité (confidentialité) du support choisi *2%3 $©CEMBRE .$ ^ #.2352%# 30 15 %XPLOITATION DES R©SULTATS DIFFUSION u Définir une politique de diffusion ✧ En accord avec le directeur du laboratoire et le service informatique u Envisager une diffusion sélective ✧ ✧ ✧ ✧ ✧ ✧ Administrateur uniquement Directeur de laboratoire Coordinateur local Utilisateur en étroite relation avec l’équipement Ensemble du laboratoire Autre *2%3 $©CEMBRE .$ ^ #.2352%# 31 %N GUISE DE CONCLUSION !PPLIQUER LES CORRECTIONS POUR LES FAILLES D©COUVERTES ET REPRENDRE UNE NOUVELLE SESSION DE TESTS *2%3 $©CEMBRE .$ ^ #.2352%# 32 16 -ISE EN UVRE AU SEIN DU #.23 /BJECTIFS /RGANISATION "ILAN ACTUEL *2%3 $©CEMBRE .$ ^ #.2352%# 33 /BJECTIFS u Actuellement : ✧ Opérationnelle sur une cinquantaine de laboratoires (Toulouse, Nancy, Orléans, Grenoble) avec l’aide des DR locales ✧ En test par les coordinateurs locaux des sites ayant participé aux opérations sécurité u But : (2000 licences achetées) ✧ Étendre à tous les laboratoires ayant participé aux opérations sécurité ✧ 12 licences « distribuables » en moyenne par laboratoire u Principe : ✧ Recommandations et guide d’utilisation de produit de simulation d’intrusions ✧ Adaptable aux sites et/ou aux laboratoires *2%3 $©CEMBRE .$ ^ #.2352%# 34 17 /RGANISATION u Demie journée d’information sur site ✧ Présentation du produit ✧ Conseils d’utilisation ✧ Conseils pour le choix des adresses des équipements à tester u Choix des adresses u Création des clefs d’activation u Installation du produit u Période de tests des équipements sur 7 semaines environ u Bilan *2%3 $©CEMBRE .$ ^ #.2352%# 35 "ILAN ACTUEL u Démarrage souvent lent : « ENCORE UNE NOUVELLE T¢CHE POUR LES ADMINISTRATEURS SYST¨MES ET R©SEAUX » u Sur deux sites : globalement positif u Demande de clefs supplémentaires u Très apprécié pour tester une nouvelle configuration *2%3 $©CEMBRE .$ ^ #.2352%# 36 18 0LUS D INFORMATIONS u u u u u u u u u u u u http://www.urec.cnrs.fr/securite/articles/ope.secu.html http://www.urec.cnrs.fr/securite/articles/confRaid98.html http://www.urec.cnrs.fr/securite/outils/index.html http://www.iss.net/ http://www.loria.fr/ http://www.loria.fr/services/moyens-info/securite/ http://www.wwdsi.com/saint/ http://www.wwdsi.com/saint/docs/dangers.html#leashing-saint http://www.idg.net/crd_ballista_15926.html http://www.nessus.org/ http://www.ossir.org/ftp/supports/98/nessus/pres/ http://www-nrg.ee.lbl.gov/bro-info.html *2%3 $©CEMBRE .$ ^ #.2352%# 37 0LUS D INFORMATIONS u Liste diffusion : u Revue « Sécurité informatique » : http://www.cnrs.fr/Infosecu/Revue.html ✧ [email protected] ✧ [email protected] ✧ N°21 ✧ N°22 *2%3 $©CEMBRE .$ ^ #.2352%# 38 19