Chapitre 1 : Introduction La Sécurité des réseaux

Transcription

La Sécurité des réseaux
Chapitre 1 : Introduction
1
A. ABDALLAH – V 1.0
November 2011
ENSI-Bourges
[email protected]
2
Sommaire
Ce que nous allons aborder dans ce chapitre
 Risques
 Attaques, services et mécanismes
 Les attaques
 Services de sécurité
 Mécanismes de défense
 Politique de sécurité
 Architectures de sécurité
ENSI-Bourges
[email protected]
3
Panorama des attaques - Keylogger
Principe
 Capture des saisies claviers
 Capture écran/vidéo
 Matériel/Logiciel
Avant
Après
Motivations
 Vol mot de passe ou numéro carte
bancaire.
 Espionnage.
 Surveillance
%SystemRoot%\system32\osk.exe
Ce clavier est un
KeyLogger à mémoire
incorporée 2 millions de
caractères 300 $
ENSI-Bourges
Cette prise enregistre 2MO !
2 millions de caractères soit
1 an de frappe au clavier
249 $
[email protected]
4
Panorama des attaques – Barre d’Outils


Toutes les barres d'outils sont des
logiciels espion
Les méthodes pour nous fourguer une
barre d'outils :

Des logiciels gratuits

Présentation de la barre d'outils comme un
ensemble d'outils absolument indispensables à
votre vie sur l'Internet (fonctions de recherches
que vous n'utiliserez jamais, fonctions antipopup stupides puisque les navigateurs
disposent de leurs propres fonctions antipopup, fonctions anti-spywares offertes avec
un anti-spywares totalement inconnu et
tellement mauvais qu'il est invendable en tant
qu'anti-spywares séparé).

Miroir aux alouettes pour gogos naïfs comme
"Gagner de l'argent" avec, par exemple,
l'adware Eurobarre !
ENSI-Bourges
[email protected]
5
Panorama des attaques – Barre d’Outils /Suite

Firefox
Google propose une version de Firefox avec sa
barre d'outils incorporée. vous ne devez jamais
télécharger un logiciel depuis un site autre que
celui de son éditeur. Google transforme sa version
de Firefox en cheval de Troie. Google est le premier
espion du monde.
Spyware Terminator
•
La société Crawler, tente une reconverion dans le
business juteux de la publicité et a besoin, pour
cela, d'espionner les internautes. Il lui faut donc un
"truc" pour fourguer sa toolbar. Elle développe
alors deux "trucs«
: une toolbar aux
caractéristiques délibérément futiles et un antispywares gratuit, Spyware Terminator, qui
embarque la Crawler Toolbar et sert à la déployer.
On notera trois choses : Le truc est présenté d'une
manière particulièrement biaisée : ce n'est pas
Spyware Terminator qui est l'anti-spyware mais
c'est la barre d'outils !
ENSI-Bourges
[email protected]
6
Panorama des attaques – les courriers non sollicités (le spam)



Pourriel (Spam): Courrier électronique commercial non sollicité par l'internaute qui reçoit (courriels
indésirables).
Pourrielleur (Spammer): désigne celui qui se livre aux spams.
Pollupostage (Spamming): pollution de boîtes aux lettres, pratiquée par les pourrielleurs.


N’ouvrez jamais un fichier joint à un Spam : ce pourrait être un virus ou un spyware
Surtout ne répondez jamais à un message non sollicité, vous ne feriez que confirmer que votre adresse est
valide.

S’en protéger:
 http://www.mailwasher.net Ce logiciel inclut une fonction très utile: il peut envoyer un faux message
d'erreur, afin de faire croire que votre adresse de courrier électronique est invalide. Utilisez
systématiquement cette option afin de faire diminuer le nombre de courriers de type spam que vous
recevrez.
 http://www.spamihilator.com/ Pour encoder vos adresses mail et publier un lien protégé plutôt que votre
mail :
 http://www.caspam.org/
 http://www.digipills.com/cerbermail/intro.php
 Créez une boite aux lettres "poubelle" que vous utiliserez si vous devez fournir une adresse de courrier
électronique pour vous inscrire sur un site autre qu'un site de "confiance" (banque, enseigne connue,etc.).
ENSI-Bourges
[email protected]
7
Panorama des attaques – le phishing




Envoie un courriel d’apparence légitime.
On vous dit qu’il y a un problème de sécurité avec votre compte.
On vous demande de confirmer vos informations personnelles et financières.
On vous demande de cliqué sur un lien. Il mène au site de la compagnie. FAUX!, C’est une réplique
identique!
« L’hameçonnage »
ENSI-Bourges
[email protected]
8
Panorama des attaques – cheval de troie

Un Cheval de Troie (trojan en anglais) est un programme effectuant une fonction illicite tout en
donnant l’apparence d’effectuer une fonction légitime.

La fonction illicite peut consister en la divulgation ou l’altération d’informations.

Trojan.ByteVerify est un cheval de Troie sous forme d’une applet java. Ce cheval de Troie exploite
une vulnérabilité de la machine virtuelle java de Microsoft permettant à un pirate d’exécuter du
code arbitraire sur la machine infectée. Par exemple, Trojan.ByteVerify peut modifier la page
d’accueil d’Internet Explorer.
Un pirate tente habillement de se faire passer pour
Colissimo, le service de livraison rapide de La Poste.
L’email explique que « Votre colis a été retourné au
bureau de Colissimo. La raison du retour est – Erreur
dans l’adresse de livraison ! ».
Ici, le pirate vous incite à cliquer sur un lien vous
ouvrant un PDF appelé
« doc_colissimo_suivi.pdf.exe » en prétendant qu’il
s’agit de l’étiquette qui vous permettra de renvoyer le
colis sans frais. En ouvrant ce document, un cheval
de Troie s’installe sur votre ordinateur et a pour
mission de récupérer vos frappes clavier et autres
fichiers sensibles.
ENSI-Bourges
Un cheval de Troie découvert par l'éditeur de
solutions de sécurité F-Secure s'immisce dans
les dossiers des ordinateurs en faisant croire
que des fichiers sont corrompus. Datcrypt, le
nom de ce nouveau virus, propose à l'internaute
de télécharger le logiciel Data Doctor 2010 pour
réparer les fichiers endommagés. Son prix est
de 89,95 dollars pour finalement réparer un
problème inventé de toute pièce par ce cheval
de Troie. C'est donc un système de rançon
ciblant les utilisateurs pour récupérer leurs
données.
[email protected]
9
Panorama des attaques – porte dérobée

Une porte dérobée (ou backdoor en anglais) est un
moyen de contourner les mécanismes de contrôle
d’accès. Il s’agit d’une faille du système de sécurité due
à une faute de conception accidentelle ou
intentionnelle (cheval de Troie en particulier).

C’est donc une fonctionnalité inconnue de l’utilisateur
légitime qui donne un accès secret au logiciel.

Une porte dérobée a été découverte dans le SGBD
interbase de Borland au début des années 2000. Il
suffisait d’entrer le nom d’utilisateur “ politically ” et le
mot de passe “ correct ” pour se connecter à la base
de données avec les droits d’administrateur.
Venik est une porte dérobée permettant à un
attaquant de prendre le contrôle de machines via
des réseaux même si ces machines sont protégées
par des équipements de sécurité (pare-feu, …).
ENSI-Bourges
[email protected]
10
Panorama des attaques – virus

Un virus est un segment de programme qui, lorsqu’il
s’exécute, se reproduit en s’adjoignant à un autre
programme (du système ou d’une application).

Puis le virus peut ensuite se propager à d’autres ordinateurs
(via un réseau) à l’aide du programme légitime sur lequel il
s’est greffé.

Il peut également avoir comme effets de nuire en
perturbant plus ou moins gravement le fonctionnement de
l’ordinateur infecté.

PsybOt, découvert en 2009, est considéré comme étant le
seul virus informatique ayant la capacité d’infecter les
routeurs et modems haut-débit.
ENSI-Bourges
[email protected]
11
Les modèles d’attaques
1
2
ENSI-Bourges
3
4
[email protected]
12
Buts des attaques
 Interruption: vise la disponibilité des informations
 Interception: vise la confidentialité des informations
 Modification: vise l’intégrité des informations
 Fabrication: vise l’authenticité des informations
ENSI-Bourges
[email protected]
13
Description des attaques : capture
ENSI-Bourges
[email protected]
14
Description des attaques : analyse de trafic
ENSI-Bourges
[email protected]
15
Description des attaques : masquarade
ENSI-Bourges
[email protected]
16
Description des attaques : rejeu
ENSI-Bourges
[email protected]
17
Description des attaques : man in the middle
ENSI-Bourges
[email protected]
18
Description des attaques : déni de service
Denial of Service (DoS)
http://www.engagesecurity.com/downloads/#engagepacketbuilder
Le Denial of Service est une technique qui consiste à
envoyer un flux de données trop important par rapport à
ce que la cible peut recevoir et traîter. Si quelqu’un a
votre adresse IP et veut vous priver d’internet ou bloquer
l'accès à votre site, il pourra le faire si il dispose d’une
connexion suffisamment importante. Il va alors vous
flooder et saturer votre bande passante montante, ce qui
aura pout effet de perturber énormement votre traffic
internet dans les deux sens.
ENSI-Bourges
[email protected]
19
Service de sécurité

Confidentialité : les données (et l'objet et les acteurs)
de la communication ne peuvent pas être connues d’un
tiers non-autorisé.

Authenticité : l’identité des acteurs de la
communication est vérifiée.
Intégrité : les données de la communication n’ont pas
été altérées.
•

Non-répudiation : les acteurs impliqués dans la
communication ne peuvent nier y avoir participer.

Disponibilité : les acteurs de la communication
accèdent aux données dans de bonnes conditions.
ENSI-Bourges
[email protected]
20
La stratégie de sécurité

Ce que doit contenir la stratégie de sécurité :
 Répertorier qui est autorisé à faire quoi ?
 Définir les dispositions à prendre en cas de violation

Comprendre parfaitement les risques encourus
 Accepter ou diminuer les risques

Qui définit la stratégie de sécurité ?
 DSI (Directeur du Système d’Information) ou RSSI (Responsable de la Sécurité des
Systèmes d’Information)
 L’équipe technique
ENSI-Bourges
[email protected]
21
La stratégie de sécurité (suite)
 Les mesures de sécurité amènent des contraintes
 Gêne trop grande pour les utilisateurs
 stratégies de contournement
 Nécessité :


de sensibiliser les utilisateurs
d'établir une politique de sécurité
« there is no patch for human stupidity »
Le processus de sécurité
ENSI-Bourges
[email protected]
22
La stratégie de sécurité: éléments d’une politique de sécurité

Ce qui est obligatoire
–

Changer de mot de passe, le garder secret
Ce qui est interdit
–
–
Ce qui est illégal (évidemment !)
WEB pendant les heures de travail, ....
ENSI-Bourges
[email protected]
23
La stratégie de sécurité: procédures de sécurité










Définition du domaine à protéger
Définition de l'architecture et de la politique de sécurité
 Equipements/Points de sécurité
 Paramètres de sécurité
 C-à-d mécanismes de prévention, détection et enregistrement des incidents
Plan de réponse après incident
 Procédure de reprise
 Procédure pour empêcher que cela se renouvelle
Suppression de la vulnérabilité, ou suppression de l'attaquant
Charte du bon comportement de l'employé
Procédures d'intégration et de départ des employés
Politique de mise à jour des logiciels
Méthodologie de développement des logiciels
Définition des responsabilités (organigramme)
Etc.
ENSI-Bourges
[email protected]
24
La stratégie de sécurité: éléments techniques






Réseaux interne / externe
Adresses privées / publiques
Routeurs, passerelles, filtrage...
Serveurs, Postes-clients, « Bastions »,...
Proxy (mandataire, relais)
Tunnels, réseaux privés virtuels (VPN)
ENSI-Bourges
[email protected]
25
La stratégie de sécurité: approche fonctionnelle

Un réseau, avec des machines à intérieur, relié à
l'extérieur

Permettre l'accès
– De l'intérieur, à certains services extérieurs
– De l'extérieur, à certains services hébergés sur
des serveurs internes
Protection des machines internes

ENSI-Bourges
[email protected]
26
La stratégie de sécurité: approche fonctionnelle (Suite)
•
•
•
Bastions : les serveurs « exposés » qui doivent être surveillés
particulièrement
En général, on limite l'accès aux services extérieurs
Rappel : responsabilité des employeurs
ENSI-Bourges
[email protected]
27
La stratégie de sécurité: isolation du réseau interne
Se fait par
 Un routeur filtrant (boîtier spécialisé
avec 2 interfaces réseau),
 Un « hôte à double réseau »
(ordinateur avec 2 interfaces réseau)
ENSI-Bourges
[email protected]
28
La stratégie de sécurité: réseau virtuel privé
VPN (Virtual Private Network) ou RPV (Réseau privé virtuel)
Réseau :
Raccordement d’un ensemble de machines
Privé
la communication entre ces machines est secrète
:
Virtuel :
les utilisateurs ont l'impression de se connecter directement sur le réseau de leur entreprise
- Fournir une connexion au Système d’Information de l’entreprise
* Internet
* Réseau IP privé d’un opérateur;
- Raccorder
* des travailleurs nomades
* Intranet
* Extranet
Etendre un LAN par delà un WAN En toute sécurité (piratage)
ENSI-Bourges
[email protected]
29
La stratégie de sécurité: réseau virtuel privé (suite)
Fonctionnement
Serveur VPN (Concentrateur)
Client VPN : ordinateur demandant la connexion vers le concentrateur
Protocole de tunnelisation : protocole permettant aux données passant d'une extrémité à l'autre
du VPN d'être sécurisées par des algorithmes de cryptographie ( )
Le terme de « tunnel » : symbolise le fait qu’entre l’entrée et la sortie du VPN les données sont
chiffrées (cryptées) et donc incompréhensible
Lors d'une demande de connexion :
- le serveur authentifie le client et s'accorde avec lui sur les méthodes de chiffrement
- Une fois le tunnel ouvert, la source chiffre les données et les envoie dans ce tunnel
- A l'arrivée, le serveur VPN déchiffre les données et les distribue sur le réseau local
ENSI-Bourges
[email protected]
30
La stratégie de sécurité: réseau virtuel privé (suite)
Caractérisé par les obligations suivantes :





authentification des entités communicantes
authentification des utilisateurs
gestion des adresses
cryptage du tunnel
les clés de cryptage doivent être régénérées
souvent (automatiquement)
 le VPN doit supporter tous les protocoles
ENSI-Bourges
OpenVPN est un logiciel libre permettant de
créer facilement une liaison VPN site à site.
OpenVPN permet à des pairs de
s'authentifier entre eux à l'aide d'une clé
privée partagée à l'avance ou de certificats.
Il fonctionne sur un mode client/serveur, ce
qui implique son installation sur les 2 sites
distants, l'un côté client, l'autre côté
serveur.
[email protected]
31
Mécanisme de défense

Chiffrement : algorithme généralement basé sur des clefs et transformant les données.
Sa sécurité est dépendante du niveau de sécurité des clefs.

Signature numérique: données ajoutées pour vérifier l'intégrité ou l'origine des
données.

Bourrage de trafic : données ajoutées pour assurer la confidentialité, notamment au
niveau du volume du trafic.

Notarisation : utilisation d’un tiers de confiance pour assurer certains services de
sécurité.

Contrôle d’accès : vérifie les droits d’accès d'un acteur aux données. N'empêche pas
l'exploitation d'une vulnérabilité.
ENSI-Bourges
[email protected]
32
Mécanisme de défense (suite)

Antivirus : logiciel censé protéger ordinateur contre les logiciels (ou fichiers potentiellement exécutables)
néfastes. Ne protège pas contre un intrus qui emploie un logiciel légitime, ou contre un utilisateur légitime qui
accède à une ressource alors qu'il n'est pas autorisé à le faire.

Le pare-feu : un élément (logiciel ou matériel) du réseau informatique contrôlant les communications qui le
traversent. Il a pour fonction de faire respecter la politique de sécurité du réseau, celle-ci définissant quels sont
les communications autorisés ou interdits. N'empêche pas un attaquant d'utiliser une connexion autorisée pour
attaquer le système. Ne protège pas contre une attaque venant du réseau intérieur (qui ne le traverse pas).

Détection d'intrusion : repère les activités anormales ou suspectes sur le réseau surveillé. Ne détecte pas les
accès incorrects mais autorisés par un utilisateur légitime. Mauvaise détection : taux de faux positifs, faux
négatifs.

Journalisation ("logs") : Enregistrement des activités de chaque acteurs. Permet de constater que des attaques
ont eu lieu, de les analyser et potentiellement de faire en sorte qu'elles ne se reproduisent pas.

Analyse des vulnérabilité ("security audit") : identification des points de vulnérabilité du système. Ne détecte
pas les attaques ayant déjà eu lieu, ou lorsqu'elles auront lieu.
ENSI-Bourges
[email protected]
33

Contrôle du routage : sécurisation des chemins (liens et équipements
d'interconnexion).

Contrôle d'accès aux communications : le moyen de communication n'est utilisé que
par des acteurs autorisés. Par VPN ou tunnels.

Horodatage : marquage sécurisé des instants significatifs .

Certification : preuve d'un fait, d'un droit accordé.

Distribution de clefs : distribution sécurisée des clefs entre les entités concernées.
ENSI-Bourges
[email protected]
34

Authentification : Authentifier un acteur peut se faire en utilisant une ou plusieurs de ses
éléments.
 Ce qu'il sait. Par ex. : votre mot de passe, la date anniversaire de votre grand-mère
 Ce qu'il a. Par ex. : une carte à puce
 Ce qu'il est. Par ex. : la biométrie (empreinte digitale, oculaire ou vocale)

Dans le domaine des communications, on authentifie l'émetteur du message. Si l'on considère les
(deux) extrémités d'une communication il faut effectuer un double authentification
 Par ex. pour lutter contre le « phishing »

L'authentification est nécessaire au bon fonctionnement des autres mécanismes.

La protection physique : peut fournir une protection totale, mais qui peut être excessive. Par ex.
isoler complètement son système est une solution qui peut être trop radicale.
ENSI-Bourges
[email protected]
35
Eléments d architecture





Pare-feu
DMZ
IDS
Log
VPN
ENSI-Bourges
[email protected]
36
Eléments d architecture (suite)
ENSI-Bourges
[email protected]

Chapitre 1 : Introduction La Sécurité des réseaux

Transcription

Documents pareils

Untitled - Educ`Horus

Chord Pro Manager

le texte est ici

Al- Guz al-arbaun min ahbar Misr li al-Musabbihi izz al

John Updike dans la peau d`un terroriste

Séminaire CyberSécurité 2015

atemi ju-jitsu - Ecole Atemi jujitsu EAJJ

Art culture paris,art culture France,evenement

télécharger cet article - l`Institut d`Histoire sociale

Judo/ JuJutsu