Chapitre 1 : Introduction La Sécurité des réseaux
Transcription
Chapitre 1 : Introduction La Sécurité des réseaux
La Sécurité des réseaux Chapitre 1 : Introduction 1 Chapitre 1 : Introduction A. ABDALLAH – V 1.0 November 2011 ENSI-Bourges [email protected] La Sécurité des réseaux Chapitre 1 : Introduction 2 Sommaire Ce que nous allons aborder dans ce chapitre Risques Attaques, services et mécanismes Les attaques Services de sécurité Mécanismes de défense Politique de sécurité Architectures de sécurité ENSI-Bourges [email protected] La Sécurité des réseaux Chapitre 1 : Introduction 3 Panorama des attaques - Keylogger Principe Capture des saisies claviers Capture écran/vidéo Matériel/Logiciel Avant Après Motivations Vol mot de passe ou numéro carte bancaire. Espionnage. Surveillance %SystemRoot%\system32\osk.exe Ce clavier est un KeyLogger à mémoire incorporée 2 millions de caractères 300 $ ENSI-Bourges Cette prise enregistre 2MO ! 2 millions de caractères soit 1 an de frappe au clavier 249 $ [email protected] La Sécurité des réseaux Chapitre 1 : Introduction 4 Panorama des attaques – Barre d’Outils Toutes les barres d'outils sont des logiciels espion Les méthodes pour nous fourguer une barre d'outils : Des logiciels gratuits Présentation de la barre d'outils comme un ensemble d'outils absolument indispensables à votre vie sur l'Internet (fonctions de recherches que vous n'utiliserez jamais, fonctions antipopup stupides puisque les navigateurs disposent de leurs propres fonctions antipopup, fonctions anti-spywares offertes avec un anti-spywares totalement inconnu et tellement mauvais qu'il est invendable en tant qu'anti-spywares séparé). Miroir aux alouettes pour gogos naïfs comme "Gagner de l'argent" avec, par exemple, l'adware Eurobarre ! ENSI-Bourges [email protected] La Sécurité des réseaux Chapitre 1 : Introduction 5 Panorama des attaques – Barre d’Outils /Suite Firefox Google propose une version de Firefox avec sa barre d'outils incorporée. vous ne devez jamais télécharger un logiciel depuis un site autre que celui de son éditeur. Google transforme sa version de Firefox en cheval de Troie. Google est le premier espion du monde. Spyware Terminator • La société Crawler, tente une reconverion dans le business juteux de la publicité et a besoin, pour cela, d'espionner les internautes. Il lui faut donc un "truc" pour fourguer sa toolbar. Elle développe alors deux "trucs« : une toolbar aux caractéristiques délibérément futiles et un antispywares gratuit, Spyware Terminator, qui embarque la Crawler Toolbar et sert à la déployer. On notera trois choses : Le truc est présenté d'une manière particulièrement biaisée : ce n'est pas Spyware Terminator qui est l'anti-spyware mais c'est la barre d'outils ! ENSI-Bourges [email protected] La Sécurité des réseaux Chapitre 1 : Introduction 6 Panorama des attaques – les courriers non sollicités (le spam) Pourriel (Spam): Courrier électronique commercial non sollicité par l'internaute qui reçoit (courriels indésirables). Pourrielleur (Spammer): désigne celui qui se livre aux spams. Pollupostage (Spamming): pollution de boîtes aux lettres, pratiquée par les pourrielleurs. N’ouvrez jamais un fichier joint à un Spam : ce pourrait être un virus ou un spyware Surtout ne répondez jamais à un message non sollicité, vous ne feriez que confirmer que votre adresse est valide. S’en protéger: http://www.mailwasher.net Ce logiciel inclut une fonction très utile: il peut envoyer un faux message d'erreur, afin de faire croire que votre adresse de courrier électronique est invalide. Utilisez systématiquement cette option afin de faire diminuer le nombre de courriers de type spam que vous recevrez. http://www.spamihilator.com/ Pour encoder vos adresses mail et publier un lien protégé plutôt que votre mail : http://www.caspam.org/ http://www.digipills.com/cerbermail/intro.php Créez une boite aux lettres "poubelle" que vous utiliserez si vous devez fournir une adresse de courrier électronique pour vous inscrire sur un site autre qu'un site de "confiance" (banque, enseigne connue,etc.). ENSI-Bourges [email protected] La Sécurité des réseaux Chapitre 1 : Introduction 7 Panorama des attaques – le phishing Envoie un courriel d’apparence légitime. On vous dit qu’il y a un problème de sécurité avec votre compte. On vous demande de confirmer vos informations personnelles et financières. On vous demande de cliqué sur un lien. Il mène au site de la compagnie. FAUX!, C’est une réplique identique! « L’hameçonnage » ENSI-Bourges [email protected] La Sécurité des réseaux Chapitre 1 : Introduction 8 Panorama des attaques – cheval de troie Un Cheval de Troie (trojan en anglais) est un programme effectuant une fonction illicite tout en donnant l’apparence d’effectuer une fonction légitime. La fonction illicite peut consister en la divulgation ou l’altération d’informations. Trojan.ByteVerify est un cheval de Troie sous forme d’une applet java. Ce cheval de Troie exploite une vulnérabilité de la machine virtuelle java de Microsoft permettant à un pirate d’exécuter du code arbitraire sur la machine infectée. Par exemple, Trojan.ByteVerify peut modifier la page d’accueil d’Internet Explorer. Un pirate tente habillement de se faire passer pour Colissimo, le service de livraison rapide de La Poste. L’email explique que « Votre colis a été retourné au bureau de Colissimo. La raison du retour est – Erreur dans l’adresse de livraison ! ». Ici, le pirate vous incite à cliquer sur un lien vous ouvrant un PDF appelé « doc_colissimo_suivi.pdf.exe » en prétendant qu’il s’agit de l’étiquette qui vous permettra de renvoyer le colis sans frais. En ouvrant ce document, un cheval de Troie s’installe sur votre ordinateur et a pour mission de récupérer vos frappes clavier et autres fichiers sensibles. ENSI-Bourges Un cheval de Troie découvert par l'éditeur de solutions de sécurité F-Secure s'immisce dans les dossiers des ordinateurs en faisant croire que des fichiers sont corrompus. Datcrypt, le nom de ce nouveau virus, propose à l'internaute de télécharger le logiciel Data Doctor 2010 pour réparer les fichiers endommagés. Son prix est de 89,95 dollars pour finalement réparer un problème inventé de toute pièce par ce cheval de Troie. C'est donc un système de rançon ciblant les utilisateurs pour récupérer leurs données. [email protected] La Sécurité des réseaux Chapitre 1 : Introduction 9 Panorama des attaques – porte dérobée Une porte dérobée (ou backdoor en anglais) est un moyen de contourner les mécanismes de contrôle d’accès. Il s’agit d’une faille du système de sécurité due à une faute de conception accidentelle ou intentionnelle (cheval de Troie en particulier). C’est donc une fonctionnalité inconnue de l’utilisateur légitime qui donne un accès secret au logiciel. Une porte dérobée a été découverte dans le SGBD interbase de Borland au début des années 2000. Il suffisait d’entrer le nom d’utilisateur “ politically ” et le mot de passe “ correct ” pour se connecter à la base de données avec les droits d’administrateur. Venik est une porte dérobée permettant à un attaquant de prendre le contrôle de machines via des réseaux même si ces machines sont protégées par des équipements de sécurité (pare-feu, …). ENSI-Bourges [email protected] La Sécurité des réseaux Chapitre 1 : Introduction 10 Panorama des attaques – virus Un virus est un segment de programme qui, lorsqu’il s’exécute, se reproduit en s’adjoignant à un autre programme (du système ou d’une application). Puis le virus peut ensuite se propager à d’autres ordinateurs (via un réseau) à l’aide du programme légitime sur lequel il s’est greffé. Il peut également avoir comme effets de nuire en perturbant plus ou moins gravement le fonctionnement de l’ordinateur infecté. PsybOt, découvert en 2009, est considéré comme étant le seul virus informatique ayant la capacité d’infecter les routeurs et modems haut-débit. ENSI-Bourges [email protected] La Sécurité des réseaux Chapitre 1 : Introduction 11 Les modèles d’attaques 1 2 ENSI-Bourges 3 4 [email protected] La Sécurité des réseaux Chapitre 1 : Introduction 12 Buts des attaques Interruption: vise la disponibilité des informations Interception: vise la confidentialité des informations Modification: vise l’intégrité des informations Fabrication: vise l’authenticité des informations ENSI-Bourges [email protected] La Sécurité des réseaux Chapitre 1 : Introduction 13 Description des attaques : capture ENSI-Bourges [email protected] La Sécurité des réseaux Chapitre 1 : Introduction 14 Description des attaques : analyse de trafic ENSI-Bourges [email protected] La Sécurité des réseaux Chapitre 1 : Introduction 15 Description des attaques : masquarade ENSI-Bourges [email protected] La Sécurité des réseaux Chapitre 1 : Introduction 16 Description des attaques : rejeu ENSI-Bourges [email protected] La Sécurité des réseaux Chapitre 1 : Introduction 17 Description des attaques : man in the middle ENSI-Bourges [email protected] La Sécurité des réseaux Chapitre 1 : Introduction 18 Description des attaques : déni de service Denial of Service (DoS) http://www.engagesecurity.com/downloads/#engagepacketbuilder Le Denial of Service est une technique qui consiste à envoyer un flux de données trop important par rapport à ce que la cible peut recevoir et traîter. Si quelqu’un a votre adresse IP et veut vous priver d’internet ou bloquer l'accès à votre site, il pourra le faire si il dispose d’une connexion suffisamment importante. Il va alors vous flooder et saturer votre bande passante montante, ce qui aura pout effet de perturber énormement votre traffic internet dans les deux sens. ENSI-Bourges [email protected] La Sécurité des réseaux Chapitre 1 : Introduction 19 Service de sécurité Confidentialité : les données (et l'objet et les acteurs) de la communication ne peuvent pas être connues d’un tiers non-autorisé. Authenticité : l’identité des acteurs de la communication est vérifiée. Intégrité : les données de la communication n’ont pas été altérées. • Non-répudiation : les acteurs impliqués dans la communication ne peuvent nier y avoir participer. Disponibilité : les acteurs de la communication accèdent aux données dans de bonnes conditions. ENSI-Bourges [email protected] La Sécurité des réseaux Chapitre 1 : Introduction 20 La stratégie de sécurité Ce que doit contenir la stratégie de sécurité : Répertorier qui est autorisé à faire quoi ? Définir les dispositions à prendre en cas de violation Comprendre parfaitement les risques encourus Accepter ou diminuer les risques Qui définit la stratégie de sécurité ? DSI (Directeur du Système d’Information) ou RSSI (Responsable de la Sécurité des Systèmes d’Information) L’équipe technique ENSI-Bourges [email protected] La Sécurité des réseaux Chapitre 1 : Introduction 21 La stratégie de sécurité (suite) Les mesures de sécurité amènent des contraintes Gêne trop grande pour les utilisateurs stratégies de contournement Nécessité : de sensibiliser les utilisateurs d'établir une politique de sécurité « there is no patch for human stupidity » Le processus de sécurité ENSI-Bourges [email protected] La Sécurité des réseaux Chapitre 1 : Introduction 22 La stratégie de sécurité: éléments d’une politique de sécurité Ce qui est obligatoire – Changer de mot de passe, le garder secret Ce qui est interdit – – Ce qui est illégal (évidemment !) WEB pendant les heures de travail, .... ENSI-Bourges [email protected] La Sécurité des réseaux Chapitre 1 : Introduction 23 La stratégie de sécurité: procédures de sécurité Définition du domaine à protéger Définition de l'architecture et de la politique de sécurité Equipements/Points de sécurité Paramètres de sécurité C-à-d mécanismes de prévention, détection et enregistrement des incidents Plan de réponse après incident Procédure de reprise Procédure pour empêcher que cela se renouvelle Suppression de la vulnérabilité, ou suppression de l'attaquant Charte du bon comportement de l'employé Procédures d'intégration et de départ des employés Politique de mise à jour des logiciels Méthodologie de développement des logiciels Définition des responsabilités (organigramme) Etc. ENSI-Bourges [email protected] La Sécurité des réseaux Chapitre 1 : Introduction 24 La stratégie de sécurité: éléments techniques Réseaux interne / externe Adresses privées / publiques Routeurs, passerelles, filtrage... Serveurs, Postes-clients, « Bastions »,... Proxy (mandataire, relais) Tunnels, réseaux privés virtuels (VPN) ENSI-Bourges [email protected] La Sécurité des réseaux Chapitre 1 : Introduction 25 La stratégie de sécurité: approche fonctionnelle Un réseau, avec des machines à intérieur, relié à l'extérieur Permettre l'accès – De l'intérieur, à certains services extérieurs – De l'extérieur, à certains services hébergés sur des serveurs internes Protection des machines internes ENSI-Bourges [email protected] La Sécurité des réseaux Chapitre 1 : Introduction 26 La stratégie de sécurité: approche fonctionnelle (Suite) • • • Bastions : les serveurs « exposés » qui doivent être surveillés particulièrement En général, on limite l'accès aux services extérieurs Rappel : responsabilité des employeurs ENSI-Bourges [email protected] La Sécurité des réseaux Chapitre 1 : Introduction 27 La stratégie de sécurité: isolation du réseau interne Se fait par Un routeur filtrant (boîtier spécialisé avec 2 interfaces réseau), Un « hôte à double réseau » (ordinateur avec 2 interfaces réseau) ENSI-Bourges [email protected] La Sécurité des réseaux Chapitre 1 : Introduction 28 La stratégie de sécurité: réseau virtuel privé VPN (Virtual Private Network) ou RPV (Réseau privé virtuel) Réseau : Raccordement d’un ensemble de machines Privé la communication entre ces machines est secrète : Virtuel : les utilisateurs ont l'impression de se connecter directement sur le réseau de leur entreprise - Fournir une connexion au Système d’Information de l’entreprise * Internet * Réseau IP privé d’un opérateur; - Raccorder * des travailleurs nomades * Intranet * Extranet Etendre un LAN par delà un WAN En toute sécurité (piratage) ENSI-Bourges [email protected] La Sécurité des réseaux Chapitre 1 : Introduction 29 La stratégie de sécurité: réseau virtuel privé (suite) Fonctionnement Serveur VPN (Concentrateur) Client VPN : ordinateur demandant la connexion vers le concentrateur Protocole de tunnelisation : protocole permettant aux données passant d'une extrémité à l'autre du VPN d'être sécurisées par des algorithmes de cryptographie ( ) Le terme de « tunnel » : symbolise le fait qu’entre l’entrée et la sortie du VPN les données sont chiffrées (cryptées) et donc incompréhensible Lors d'une demande de connexion : - le serveur authentifie le client et s'accorde avec lui sur les méthodes de chiffrement - Une fois le tunnel ouvert, la source chiffre les données et les envoie dans ce tunnel - A l'arrivée, le serveur VPN déchiffre les données et les distribue sur le réseau local ENSI-Bourges [email protected] La Sécurité des réseaux Chapitre 1 : Introduction 30 La stratégie de sécurité: réseau virtuel privé (suite) Caractérisé par les obligations suivantes : authentification des entités communicantes authentification des utilisateurs gestion des adresses cryptage du tunnel les clés de cryptage doivent être régénérées souvent (automatiquement) le VPN doit supporter tous les protocoles ENSI-Bourges OpenVPN est un logiciel libre permettant de créer facilement une liaison VPN site à site. OpenVPN permet à des pairs de s'authentifier entre eux à l'aide d'une clé privée partagée à l'avance ou de certificats. Il fonctionne sur un mode client/serveur, ce qui implique son installation sur les 2 sites distants, l'un côté client, l'autre côté serveur. [email protected] La Sécurité des réseaux Chapitre 1 : Introduction 31 Mécanisme de défense Chiffrement : algorithme généralement basé sur des clefs et transformant les données. Sa sécurité est dépendante du niveau de sécurité des clefs. Signature numérique: données ajoutées pour vérifier l'intégrité ou l'origine des données. Bourrage de trafic : données ajoutées pour assurer la confidentialité, notamment au niveau du volume du trafic. Notarisation : utilisation d’un tiers de confiance pour assurer certains services de sécurité. Contrôle d’accès : vérifie les droits d’accès d'un acteur aux données. N'empêche pas l'exploitation d'une vulnérabilité. ENSI-Bourges [email protected] La Sécurité des réseaux Chapitre 1 : Introduction 32 Mécanisme de défense (suite) Antivirus : logiciel censé protéger ordinateur contre les logiciels (ou fichiers potentiellement exécutables) néfastes. Ne protège pas contre un intrus qui emploie un logiciel légitime, ou contre un utilisateur légitime qui accède à une ressource alors qu'il n'est pas autorisé à le faire. Le pare-feu : un élément (logiciel ou matériel) du réseau informatique contrôlant les communications qui le traversent. Il a pour fonction de faire respecter la politique de sécurité du réseau, celle-ci définissant quels sont les communications autorisés ou interdits. N'empêche pas un attaquant d'utiliser une connexion autorisée pour attaquer le système. Ne protège pas contre une attaque venant du réseau intérieur (qui ne le traverse pas). Détection d'intrusion : repère les activités anormales ou suspectes sur le réseau surveillé. Ne détecte pas les accès incorrects mais autorisés par un utilisateur légitime. Mauvaise détection : taux de faux positifs, faux négatifs. Journalisation ("logs") : Enregistrement des activités de chaque acteurs. Permet de constater que des attaques ont eu lieu, de les analyser et potentiellement de faire en sorte qu'elles ne se reproduisent pas. Analyse des vulnérabilité ("security audit") : identification des points de vulnérabilité du système. Ne détecte pas les attaques ayant déjà eu lieu, ou lorsqu'elles auront lieu. ENSI-Bourges [email protected] La Sécurité des réseaux Chapitre 1 : Introduction 33 Mécanisme de défense (suite) Contrôle du routage : sécurisation des chemins (liens et équipements d'interconnexion). Contrôle d'accès aux communications : le moyen de communication n'est utilisé que par des acteurs autorisés. Par VPN ou tunnels. Horodatage : marquage sécurisé des instants significatifs . Certification : preuve d'un fait, d'un droit accordé. Distribution de clefs : distribution sécurisée des clefs entre les entités concernées. ENSI-Bourges [email protected] La Sécurité des réseaux Chapitre 1 : Introduction 34 Mécanisme de défense (suite) Authentification : Authentifier un acteur peut se faire en utilisant une ou plusieurs de ses éléments. Ce qu'il sait. Par ex. : votre mot de passe, la date anniversaire de votre grand-mère Ce qu'il a. Par ex. : une carte à puce Ce qu'il est. Par ex. : la biométrie (empreinte digitale, oculaire ou vocale) Dans le domaine des communications, on authentifie l'émetteur du message. Si l'on considère les (deux) extrémités d'une communication il faut effectuer un double authentification Par ex. pour lutter contre le « phishing » L'authentification est nécessaire au bon fonctionnement des autres mécanismes. La protection physique : peut fournir une protection totale, mais qui peut être excessive. Par ex. isoler complètement son système est une solution qui peut être trop radicale. ENSI-Bourges [email protected] La Sécurité des réseaux Chapitre 1 : Introduction 35 Eléments d architecture Pare-feu DMZ IDS Log VPN ENSI-Bourges [email protected] La Sécurité des réseaux Chapitre 1 : Introduction 36 Eléments d architecture (suite) ENSI-Bourges [email protected]