access-list id

Transcription

access-list id

Julien Bourgeois
Professeur des Universités - Département R&T
IUT Belfort-Montbéliard - France
tél : 03 81 99 47 75
e-mail : [email protected]








Network Intrusion Detection de Stephen
Northcutt et Judy Novak, New riders
www.cert.org
www.securityfocus.com
Hardening Cisco Routers, Thomas Akin,
O’Reilly
Stratégie Anti-hacker
Designing Network Security, Merike Kaeo,
Cisco Press
MISC
Renaud bidou, « Security training »
2

Restons modestes :
◦ Sécurité est un sujet énorme
◦ Impossible à aborder en un cours
◦ Complexe car connaissance très pointue dans
différents domaines




Réseau
Administration
Cryptographie
…
3

Sécuriser un réseau
◦
◦
◦
◦
◦
◦
◦
Sécuriser les locaux
Sécuriser les postes de travail
Sécuriser les serveurs
Sécuriser les applications
Sécuriser l’accès internet
Sécuriser l’accès distant
Sensibilisation des personnels
4


Définir une politique de sécurité
Se donner les moyens de l’appliquer :
◦ Techniques
◦ Humains
◦ Organisationnels
5








Objectifs de ce cours
Principes de sécurité
Sécurisation de l’accès Internet
La translation d’adresses
Le filtrage
Les serveurs AAA
Les réseaux publiques virtuels (VPN)
Conclusion
6






Sécurité = contraintes
Concertation avec les employés
Evaluation des risques
Apporter des réponses à la mesure des
risques
Définir une politique de sécurité
La sécurité est un processus continu
7
Sécuriser
Politique
Améliorer
De
Superviser
Sécurité
Tester
8






Routeur filtrant
Firewall ou garde-barrière ou pare-feu
Dispositif de détection d’intrusions (IDS)
Dispositif de prévention d’intrusions (IPS)
Serveur AAA
Serveur de log
9






1969 : Naissance d’internet
1970 : Naissance du phreaking (Captain Crunch)
1983 : Première arrestation du FBI pour cybercrime,
les 414s
1983 : Début de renforcement des lois US
1986 : 500 réseaux sont connectés, premier vaste
incident de sécurité identifié par Cliff Stoll
1988 : The Morris Worm -> 10% des ordinateurs
US sont stoppés en même temps, c’est le premier
vers
10




1988
1989
1994
1995
:
:
:
:
Création du CERT CC et de FIRST
Diffusion du vers WANK/OILZ
Premier logiciel de sniffing
Arrestation de Kevin Mitnick par le FBI
◦ 5 années de prison dont 4 et ½ en isolement


1998 : CIH (Chen Ing Hau) se répand en vidant la
mémoire flash des ordinateurs
1998 : Hao Jinglong et Hao Jingwen dérobent
$87.000 à une banque -> condamnés à mort
11


2000 : Mafiaboy rend inaccessible Yahoo, eBay,
Amazon.com, CNN et d’autres -> 8 mois de
détention
19/07/2001 : Code Red II, infecte 359.000
serveurs dans le monde en moins de 14h
12


2000 : Mafiaboy rend inaccessible Yahoo, eBay,
Amazon.com, CNN et d’autres -> 8 mois de
détention
19/07/2001 : Code Red II, infecte 359.000
serveurs dans le monde en moins de 14h
13
1. Newbies : Peu de connaissances techniques.
2. Lamers : Newbies ayant trouvé quelques outils et
qui les utilisent. Pensent être des hackers.
Ennuyeux
3. Script kiddies : Sont capables d’utiliser des
attaques automatiques. Dangereux quand les
attaques sont à jour.
4. Hackers : Création d’attaques basées sur leur
connaissances. Très dangereux.
5. Gurus : Développent de nouvelles techniques
d’intrusion. Mortels.
14
1. Hacking : Intrusion des réseaux et des systèmes (DoS,
social engineering, virus, vers, malwares, backdoors
etc. )
2. Phreaking / Boxing : Hacking des lignes téléphoniques.
3. Cracking : Piratage de logiciels (reverse engineering,
warez)
4. Carding : Piratage de cartes à puces (cartes de crédit,
téléphone, TV, etc.)
15

Communauté électronique
◦ Création de groupes avec les BBS (the inner circle, l0pht
heavy industry, hack4girlz, Theso …)
◦ Magazines (phrack + magazines éphémères…)
◦ Mailing Lists (bugtraq, …)

Lieux de rencontre
◦ Cons (DefCon, HoHoCon, PumpCon…)
◦ Autres conférences (CCC Camp, HAL, BlackHat, PHNeutral …)

Pas de chefs mais des gourous
◦ Issus du passé : Aleph One, Wietse Venema, Steve
Bellovin, Alec Muffet
◦ Nouvelle génération : Fyodor, Ron Gula, The Hobbit,
Renaud Deraison, Mudge
16







Le filtrage
Les serveurs AAA
17



Principal moyen de connexion avec l’extérieur
Protection des systèmes informatiques contre
ces personnes
Evaluation difficile du nombre d’intrusions
◦ Intrusions parfois non détectées
◦ Réticence des entreprises et administrations
18

Vulnérabilités reportées et cataloguées par
le CERT CC :
9000
8000
7000
6000
5000
4000
3000
2000
1000
0
1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008
19

Incidents rapportés au CERT CC :
160000
140000
120000
100000
80000
60000
40000
20000
0
20

Attaques non-structurées
◦ Premiers essais de scripts kiddies

Attaques structurées
◦ Mise en œuvre de schémas complexes d’attaque

Attaques externes
◦ Par le biais d’internet

Attaques internes
◦ Avec des complicités internes ou depuis l’interieur
du réseau
21

Reconnaissance
◦ Découverte, cartographie du réseau (systèmes,
services et vulnérabilités)

Accès à des ressources
◦ Attaque afin d’obtenir des données ou de prendre
le contrôle d’un système.

Déni de service (Denial of Service, DoS)
◦ Attaque endommageant le fonctionnement d’un
service proposé.
22

Vol, destruction ou corruption d'information

Déni de service

Mascarade d'identité

Rebonds

Utilisation frauduleuse de ressources
23

Dénis de service (DoS, Denial of Service)
◦ Objectif : arrêt total ou partiel d’un service
◦ Différentes méthodes
 Exploitation d’une faille structurelle
 Consommation de ressources
◦ Conséquences
 Perte de production
 Dégradation d’image
 Peut être utilisée dans le cadre d’attaques plus complexes
24

Prise de contrôle des systèmes
◦ Objectif : gain de la maîtrise du système
◦ Méthodes




Utilisation d’un accès utilisateur mal protégé
Exploitation de failles structurelles
Exploitation d’erreurs de programmation
Augmentation des privilèges
◦ Conséquences
 Dénis de service
 Perte de confidentialité
 Utilisation du système pour un « rebond »
25

Conséquences importantes
◦
◦
◦
◦

Vol de logiciels (IDSoftware, Valve)
Vol de données (Valéo, Ghostnet, Greenpeace/EDF)
Sites down (Yahoo, eBay, …)
Utilisation de comptes bancaires
Conséquences limitées
◦ Perte de ressource (Serveur pirate)
◦ Reconfiguration de matériel
◦ Utilisation de PC Zombie (Jeanson Ancheta)
 400 000 PC, 5 ans prison, 3 ans liberté surveillée, 75 000 $

Réputation et image de marque
◦ Perte de confiance (Microsoft)
26

Terminologie
◦ Garde-barrière, firewall ou pare-feu

Sans firewall
◦ Chaque machine a accès à toutes les machines
connectées et réciproquement

Avec firewall :
◦ Point de passage obligé entre le réseau interne et
Internet
27

Dans la vie réelle
◦ Un “firewall” (coupe-feu) est un matériau ignifugé
placé de manière à empêcher la propagation du feu
d’une partie à l’autre d’un bâtiment.

En réseau
◦ C’est un appareil ou un groupe d’appareils qui
renforce le contrôle des paquets passante entre
plusieurs réseaux
28




Tracer et auditer le trafic entre le réseau
interne et le réseau externe
Contrôler ce même trafic
Faciliter l'administration en regroupant les
opérations de surveillance et de contrôle
Contrôle des messages entrants (Spamming,
virus)
29





Routeur filtrant
Firewall ou garde-barrière ou pare-feu (peutêtre un routeur)
Dispositif de détection d’intrusions (IDS)
Serveur AAA
Serveur de log
30






Cisco PIX (501, 506E, 515E, 525 et 535)
Checkpoint Firewall-1
Arkoon (A20, A200, A2000)
Juniper (NetScreen, SSG)
ZyXEL (ZyWALL)
OpenBSD/Linux et netfilter
◦ Distrib spécialisée : SmoothWall, Endian, Pfsense,
IPCop


…
Ce sont des firewalls réseau, à ne pas
confondre avec les firewalls personnels !!!
31

Firewall à 2 interfaces (pas de DMZ)
◦ Inside et outside

Sécurisation par niveaux de sécurité
◦ Inside 100 et outside 0


Possibilité de VPN
Filtrage stateful
32



Mettre une adresse IP (pas de menu interface)
ip address nomInterface @IP netmask
Attention le PIX :
◦ Ne répond pas au ping
◦ Ne laisse rien passer par défaut
33
DMZ
Internet
Interface dmz1
Niveau de sécurité 50
Réseau local
Interface outside
Interface inside
Une connexion est autorisé si elle commence d’un niveau de
sécurité supérieur vers un niveau de sécurité inférieur
34

Affichage de l’état de vos interfaces
◦ show interface

Affichage de tous les paquets ICMP
◦ debug icmp trace

Sniffeur intégré
◦ capture nom_capture [access-list acl_name]
[interface name]
◦ show capture nom_capture

Pour pinger l'interface interne :
◦ management-access inside
◦ show management-access
35

Filtrage des paquets
◦ Simple : Limite les échanges en se servant
d’informations statiques
◦ Stateful : Utilise pleinement les informations de
connexions

Proxy
◦ Intermédiaire de connexion entre le réseau privé et
internet
36

Internet

DMZ

FTP
HTTP

Routeur avec filtrage
des paquets niveau 3
Filtrage des adresses
suspectes
Filtrage de certains
protocoles
Filtrage sur les
destinations
37

Internet

DMZ

niveau 3 et 4
Information de session
Risque de surcharge du
routeur
FTP
HTTP
38

Internet

DMZ
FTP
HTTP


Firewall avec filtrage
niveau 3 et 4
Information de session
Risque de surcharge du
firewall
Solution équivalente à
un routeur
39

Internet


DMZ
FTP


niveau 3 et 4
applicatif
Pas d’authentification
forte
Pas de filtrage sélectif
Pas d’IDS, pas de log
HTTP
40

Internet


DMZ
FTP


niveau 3 et 4
stateful
Authentification
Filtrage sélectif
Détection des intrusions
IDS
HTTP
AAA
41

Internet

◦
◦
◦
◦
◦
DMZ
FTP
IDS
HTTP



AAA
niveau 3 et 4
Firewall UTM
Anti-virus
Anti-spam
Filtrage URL
IDS
VPN
Authentification
Filtrage sélectif
Détection des intrusions
42







Le filtrage
Les serveurs AAA
43


Adresses privées -> adresses publiques
Double objectif :
◦ Protéger certaines machines
◦ Mais aussi économiser des IP publiques !


Protection car machines inaccessibles depuis
l'extérieur directement
Economie car ces machines n'ont pas
d'adresses publiques
44


NAT : Network Address Translation
NAT statique
◦ Correspondance entre 1@ privée et 1@ publique
(serveurs)

Translation d'adresses dynamique
◦ les @ publiques sont attribuées à la demande
(clients)
 Par rapport à un pool d’adresses
 Par rapport à un pool de ports (PAT)

Présence d’une table de correspondance
45
Internet : adressage public
Entreprise dispose de 205.54.12.32/27
Réseau local : adressage privé
192.168.100.0/24
Internet
Adresse source :
64.233.183.99
Adresse destination :
205.54.12.33
Port source :
52124
Port destination :
80
DMZ : adressage privé
192.168.101.0/24
Table de translation
IP publiques
IP privées
205.54.12.33 192.168.100.1
Adresse source :
64.233.183.99
192.168.101.1
Port source :
52124
Port destination :
80
46


Commande PIX
static [(internal_if_name, external_if_name)]
{global_ip | interface} local_ip

Exemple du cas précédent

static (inside, outside) 205.54.12.33 192.168.101.1


Créé une correspondance entre une adresse
publique et une adresse privée
Attention, il faut filtrer les accès à cette
adresse !
47
Le NAT utilise .34 -> .40
192.168.100.0/24
Internet
192.168.100.1
64.233.183.99
IP publiques
IP privées
48
192.168.100.0/24
Internet
Adresse source :
205.54.12.34
64.233.183.99
Port source :
35020
Port destination :
80
IP publiques
IP privées
205.54.12.34 192.168.100.1
Adresse source :
192.168.100.1
64.233.183.99
Port source :
35020
Port destination :
80
49
192.168.100.0/24
Internet
Adresse source :
64.233.183.99
205.54.12.34
Port source :
52124
Port destination :
35020
IP publiques
IP privées
205.54.12.34 192.168.100.1
Adresse source :
64.233.183.99
192.168.100.1
Port source :
52124
Port destination :
35020
50

Autoriser l’accès au NAT

nat [(if_name)] nat_id local_ip

Interdire l’accès au NAT

nat [(if_name)] 0 [access-list acl_id ]

Définir les adresses à utiliser pour sortir

global [(if_name)] nat_id global_ip-global_ip
[netmask global_mask]
51

Exemple précédent :
Autoriser l’accès au NAT

nat (inside) 5 0 0

Définir les adresses à utiliser pour sortir


global (outside) 5 205.54.12.34-205.54.12.40
netmask 255.255.255.224
52
Entreprise dispose d’une adresse :
205.54.12.41
192.168.100.0/24
Internet
192.168.100.1
64.233.183.99
IP publiques
IP privées
53
205.54.12.41
192.168.100.0/24
Internet
Adresse source :
205.54.12.41
64.233.183.99
Port source :
2500
Port destination :
80
IP publiques
IP privées
205.54.12.41 192.168.100.1
:2500
:35020
Adresse source :
192.168.100.1
64.233.183.99
Port source :
35020
Port destination :
80
54
192.168.100.0/24
Internet
Adresse source :
64.233.183.99
205.54.12.41
Port source :
52124
Port destination :
2500
IP publiques
IP privées
205.54.12.41 192.168.100.1
:2500
:35020
Adresse source :
64.233.183.99
192.168.100.1
Port source :
52124
Port destination :
35020
55

Exemple précédent :
Autoriser l’accès au NAT (si pas déjà fait)

nat (inside) 5 0 0

Définir l’adresse à utiliser pour le PAT


global (outside) 5 205.54.12.41 netmask
255.255.255.224

Ou utiliser l’adresse de l’interface

global (outside) 5 interface
56
205.54.12.33
192.168.100.0/24
Internet
192.168.100.1
64.233.183.99
IP publiques
IP privées
205.54.12.33 192.168.100.1
:4662
:4662
57
192.168.100.0/24
Internet
Adresse source :
64.233.183.99
205.54.12.33
Port source :
52124
Port destination :
4662
IP publiques
IP privées
205.54.12.33 192.168.100.1
:4662
:4662
Adresse source :
64.233.183.99
192.168.100.1
Port source :
52124
Port destination :
4662
58


Permet d’utiliser un serveur sans faire une
translation complète
Sécurise mieux votre machine
◦ Car un seul port est accessible
◦ Pas besoin d’ACL supplémentaires
59

show static
◦ Affiche les translations statiques

show xlate
◦ Affiche la table de correspondance

show xlate detail
◦ Affiche la table de correspondance en détail

show xlate debug
60

Restreint la visibilité vis à vis de l'extérieur
◦ Sauf pour le statique (NAT ou PAT)
◦ Sauf pour le dynamique


Sans effet pour une attaque interne
Permet en même temps d'économiser des
adresses IP
61
Réseau local en
adressage privé
192.168.100.0/24
Réseau local en
adressage privé
192.168.100.0/24
Internet
adressage
public
62







Le filtrage
Les serveurs AAA
63
Si
==
alors…
64




Cet immeuble a 65535 portes
Et chaque porte représente un port de
l’ordinateur
Si vous aviez la surveillance de cet immeuble,
est-ce que vous laisseriez n’importe qui
entrer par n’importe quelle porte ?
Si vous aviez la surveillance de la ville ?
65


Chaque port à un numéro
Liste des ports réservés et enregistrés :
◦ http://www.iana.org/assignments/port-numbers
◦ 0-1024 -> réservés
◦ 1024-65535 -> enregistrés

De nombreux ports sont ouverts sur les
machines clientes
◦ netstat –abf (windows)
◦ netstat –ap (linux)
66









HTTP ?
HTTPS ?
FTP ?
SSH ?
Telnet ?
Pop ?
Pops ?
Imap ?
Imaps ?
67


Ne concerne que les machines qui sont
accessibles depuis l’extérieur
Plusieurs niveaux de filtrage :
◦
◦
◦
◦


Filtrage
Filtrage
Filtrage
Filtrage
simple des paquets (niveau 3)
avec information de session (niveau 4)
applicatif (niveau 5)
par utilisateur
Niveaux complémentaires
Complexité croissante -> compilation des filtres
68



Un filtre s’applique sur une interface
Un filtre a un sens (in ou out)
Règles :
◦ Filtrage au plus tôt
◦ 1 filtre par sens et par interface
69

Rappel :
◦ « Une connexion est autorisée si elle commence
d’un niveau de sécurité supérieur vers un niveau de
sécurité inférieur »


Donc toute connexion entrante est filtrée !
Les filtres ne concernent donc que les
serveurs
70

Définition du filtre :
access-list id [line line-num] {deny | permit} protocol
source_addr source_mask [operator port [port] | interface if_name ]
destination_addr destination_mask [operator port [port]]
[log [[disable | default] | [level]]] [interval secs]]

Application du filtre :
access-group access-list in interface interface_name
71






Informations niveau 4 non suffisantes
Connexions TCP changeant de port
Suivi des numéros de séquence
Commandes permises (Ex. SMTP, HTTP)
Dernier paquet transmis ?
Nombre de connexions semi-ouvertes permises,
etc.
72


Firewall est responsable du filtrage niv. 5
Filtrage appelé stateful, applicatif ou de contenu
d’application
73



Authentification de l’utilisateur
Filtres personnalisés
Besoins :
◦ Serveur AAA
◦ Firewall
◦ Echange AAA-Firewall lors de l’authentification
74







Le filtrage
Les serveurs AAA
75

Plusieurs méthodes possibles :
◦
◦
◦
◦
◦
TACACS+
RADIUS
Kerberos
Fortezza
DCE
76



Développé pour les militaires (MILNET)
Repris et amélioré par CISCO
Basé sur TCP port 49
77


L ’authentification est générique (PPP PAP,
CHAP, EAP, token, Kerberos, etc.)
Trois phases :
◦ Client envoie un paquet START au serveur (type
d ’authentification + données)
◦ Serveur envoie un REPLY, authentification terminée
ou pas
◦ Client envoie un CONTINUE avec les données
nécessaires
78


L’autorisation détermine les droits de
l’utilisateur authentifié ou non
Deux phases :
◦ Client envoie un REQUEST
◦ Serveur envoie une RESPONSE
79


L’accounting ou comptabilité enregistre
toutes les actions
Trois type d ’enregistrement :
◦ start : le service commence
◦ stop : le service s ’arrête
◦ update : le service est toujours en utilisation
80





Développé par Livingston Enterprises Inc.
RFC 2058, 2059 Bases 1996
RFC 2138, 2139 modifications 1997
RFC 2865, 2866 modifications 2000
RFC 2548, 2618, 2619, 2620, 2621, 2809,
2867, 2868, 2869, 2882, 3162, 3575, 3576,
3579, 3580 ajouts (-> 09/2003)
81


Basé sur UDP
Ports
◦ 1812 -> Radius
◦ 1813 -> Radius accounting
82


Utilisateur envoie username/password au
serveur
Réponse du serveur :
◦
◦
◦
◦
ACCEPT
REJECT
CHALLENGE -> plus d’information
CHANGE PASSWORD
83







Le filtrage
Les serveurs AAA
86


Virtual Private Network
Réseau privé
◦ Un seul utilisateur du medium

Reseau privé virtuel
◦ Plusieurs utilisateurs du médium mais mon canal de
communication est inaccessible aux autres
87

Avantages attendus
◦ Réduction des coûts
◦ Augmentation mobilité
◦ Externalisation des activités
88



VPN peuvent intervenir à plusieurs niveaux
Le plus utilisé : VPN sur IP
Le protocole IPSec est le plus utilisé pour
créer des VPNs, car :
◦ Standard actuel
◦ Futur (IPv6)
89

Chiffrement (cryptage)
◦ Symétrique (clé privée partagée)
◦ Asymétrique (clé privée + clé publique partagée)

Authentification
◦ Connexions
◦ Données

Contrôle d’intégrité
90

Data Encryption Standard (DES), 56-bit.
◦ Plus assez sûr !

Triple DES (3DES), 3 fois DES
◦ Pas équivalent du tout à DES 168 bits

Advanced Encryption Standard (AES)
◦ Dernier protocole normalisé

CAST
◦ Moins sûr que 3DES mais plus rapide
91
Source : IPSec VPN DesignBy Vijay Bollapragada, Mohamed Khalid, Scott Wainner
92




RSA (Rivest, Shamir, and Adleman)
Digital Signature Algorithm (DSA),
authentification seulement
Diffie-Hellman (DH), utilisé par Internet Key
Exchange (IKE) dans Ipsec
KEA (Key Exchange Algorithm)
93
Source : IPSec VPN DesignBy Vijay Bollapragada, Mohamed Khalid, Scott Wainner
94

Hashing Message Authentication Codes
(HMAC)
◦ MD5
◦ SHA-1
95


Basé sur le RFC2401 :
Protocoles de sécurité



Gestion des clés


Authentication header (AH)
Encapsulation security payload (ESP)
ISAKMP, IKE, SKEME
Algorithme de cryptage et d’authentification
96

AH est une en-tête


Authentification de l’émetteur
Contrôle d’intégrité du paquet
En-tête IPV4
En-tête IP
En-tête L4
Données
En-tête IPV4 + IPSec AH
En-tête IP
AH
En-tête L4
Données
97

ESP est une en-tête


Chiffrement et intégrité des données
Anti-répétition des sessions
En-tête IPV4
En-tête IP
En-tête L4
Données
En-tête IPV4 + IPSec ESP
En-tête IP
ESP
En-tête L4
Données
Trailer ESP
Chiffrement
98

Trois méthodes possibles :
◦ ESP avec authentification
◦ ESP sans authentification, puis AH
◦ AH en premier puis ESP avec authentification
99



Security Association
A chaque relation unidirectionnelle est
associée une SA
Fixe les opérations qu’IPSec doit appliquer
aux datagrammes
◦ Informations sur AH, ESP, anti-répétition, etc.
10
0

Problème de gestion des clefs privées
◦ Génération, distribution, stockage


Manuelle
Automatique
◦ IKE (Internet Key Exchange)
◦ ISAKMP (Internet Security Association and Key
Management Protocol)
10
1













show
show
show
show
show
crypto ipsec sa
crypto isakmp sa
crypto map
isakmp
isakmp policy
clear crypto IPSec sa—This command resets the IPSec SAs after failed
attempts to negotiate a VPN tunnel.
clear crypto isakmp sa—This command resets the ISAKMP SAs after
failed attempts to negotiate a VPN tunnel.
debug crypto IPSec—This command shows if a client is negotiating the
IPSec portion of the VPN connection.
debug crypto isakmp—This command shows if the peers are
negotiating the ISAKMP portion
10
2

Il n’y a pas de sécurité totale !
◦ Définir les réactions quand un problème arrivera
◦ Limiter la propagation des risques


Trouver un compromis pour chaque
situation : pas besoin d’IDS pour votre
boulangère
Coûts conséquents pour mettre en place et
entretenir la sécurité
10
4

access-list id

Transcription

Documents pareils

Diapositive 1

Stormshield SN910

La gestion de l`Internet

1. Navigateurs pour enfants 2. Filtres pour navigateurs et applications

Routeur VPN avec switch 4 ports 10/100Mbps Firewall D

Gestionnaire Back Office Sécurité financière filtrage CDD (H/F)

TheGreenBow IPsec VPN Client

Product presentation

Utilisation des Firewalls : VPN IPSec