Tableau de bord de la sécurité informatique - Indico LAL
Transcription
Tableau de bord de la sécurité informatique - Indico LAL
Introduction, bilan 2005 Journées Informatiques Valpré septembre 2006 Bilan Sécurité 2005 1 Journées Informatiques Valpré septembre 2006 Le thème Sécurité aux Journées Informatiques • http://ji.in2p3.fr Bilan Sécurité 2005 2 Journées Informatiques Valpré septembre 2006 Bilan de l’année 2005 • • • • • • Groupe sécurité IN2P3 Infrastructure des réseaux des laboratoires Filtrage en entrée Surveillance réseau et détection d’intrusion Evolution de la menace et incidents Conclusion Bilan Sécurité 2005 3 Journées Informatiques Valpré septembre 2006 Le groupe sécurité • • • • 70 personnes Existence antérieure à 10 ans Liste [email protected] Quelques participations, contributions SIARS Bilan Sécurité 2005 4 Journées Informatiques Valpré septembre 2006 Participation aux JS Bilan Sécurité 2005 5 2005Authentification 2005-GANILTRACES 2004-CC-DST 2003-CC-VLAN 2002-CDF-CERT 50 40 30 20 10 0 2002-CENBGcertificats Réunions et f ormations sécurité - Nombre de participants Journées Informatiques Valpré septembre 2006 Répartition par laboratoire 30 2005-Authentification 2005-GANIL-TRACES 25 2004-CC-DST 2003-CC-VLAN 2002-CDF-CERT 20 2002-CENBGcertificats 15 10 5 Bilan Sécurité 2005 AP LP C Ca en L C LR Su C D ba F t L P L ech C PN L A Cl e H E IR PP rm E S A on S t nne t ra c s y IP bou N rg LP O TA rsa C -G y EN A BG CS M N C PP B o S M rd LP M M ea SC a r u x s G eil re le no bl e L IP A N L Ly G on AN C Ci IL n2 p Ad 3 m in 0 6 Journées Informatiques Valpré septembre 2006 C Ce E N A P nt B G C P re -d - Bo ari erd s C CP a l e a P M cul ux -L CS -M a yo n NS rs e M ill G -O e AN rs I L ay -C I P ae N n I R IP -Ly E S N - on - S Or t ra s a y s L A bo L ur L LL A P - O g R- P- rsa P o An y ly n LP te ec ch y Cn Cl L er P C iq u LP m - e N H o n Ca t E- - Fe e n P r LP a ri r an S s- d LP C- VI TA Gr V II e S u -M no o b a n bl e t e t pe c h ll -N ier an te s Infrastructure des réseaux de laboratoire 1/6 • Renater 1000 2004 2005 100 10 1 Bilan Sécurité 2005 7 Journées Informatiques Valpré septembre 2006 C Ce E N A P nt B G C re P -d - Bo ar erd is C CP al ea P M cul ux -L CS -M a yo NS rs e n M ill G -O e AN rs I L ay -C I P ae N n I R I P -Ly E S N on - S -Or t ra s a y s L A bo u LL LA P L- O rg R- P rsa Po -A y l y n ne LP te ch cy Cn Cl er LP iq u C e LP m NH o n - Ca E- t- Fe e n P r LP a ri r an S s- d LP C- VI TA Gr V I I S u -M eno ba on ble t e t pe c h ll -N ier an te s Infrastructure des réseaux de laboratoire 2/6 • Câblage Cablage 2005 3000 2500 2000 Bilan Sécurité 2005 Cat6 1500 1000 Cat5 Cat3 500 0 8 Journées Informatiques Valpré septembre 2006 C Ce E N A P nt B G C re P -d - Bo ar erd is C CP a e a P M lcul ux CS -M Lyo NS ars n M eil l e G -O AN rs I L ay -C I P ae N n I R I P -Ly E S N on - S -Or t ra s a y s LA bo u LL LA P L- O rg R- P rs Po -A a y ly n n LP te ec ch y Cni Cl L q e P LP rm C- ue NH o n Ca E- t- Fe e n P LP a r rr an S is d LP C- - VI TA Gr V I S u -M eno I b a on ble t e t pe c h ll -N ier an te s Infrastructure des réseaux de laboratoire 3/6 • Eléments actifs Actifs 2005 2500 2000 C1000 1500 C100 1000 C10 500 HUB 0 Bilan Sécurité 2005 9 Journées Informatiques Valpré septembre 2006 C Ce E N A P nt B G C re P -d - Bo ari erd s C CP a ea P M lcul ux -L CS -M a yo NS rs e n M il l e G -O AN rs I L ay -C I P ae N n I R I P -Ly E S N on - S -Or t ra s a y s LA bo L L u L L A P - O rg R- P- rsa P o An y ly n LP te ec c Chn y Cl er LP i q u C- e LP m o NH n C a t E- - Fe e n P r LP a r r an S C is- V d LP I TA -Gr -V I S u -M eno I ba on bl e t e t pe c h ll -N i e r an te s Infrastructure des réseaux de laboratoire 4/6 • Wi-Fi Nb-Wi-Fi 30 25 20 15 Bilan Sécurité 2005 2004 10 5 2005 0 10 Journées Informatiques Valpré septembre 2006 C Ce E N A P nt B G C re P -d - Bo ari erd s CP C a ea P M lcul ux -L CS -M a yo NS rs e n M ill G -O e AN rs I L ay -C I P ae N n I R I P -Ly E S N on - S -Or t ra s a y s LA bo L L u LL A P - O rg R- P- rsa P o An y ly n LP te ec ch y Cn Cl er LP i q u C LP m - e NH o n Ca t E- - Fe e n P r LP a r r an d S is LP C- - VI TA Gr V I S u -M eno I ba on bl e t e t pe c h ll -N ier an te s Infrastructure des réseaux de laboratoire 5/6 • Cloisonnement Nb_VLAN 30 25 20 15 10 Bilan Sécurité 2005 2004 2005 5 0 11 Journées Informatiques Valpré septembre 2006 Contrôle de l’accès au réseau • Filaire : – 11 laboratoires ne contrôlent pas l’accès au réseau filaire. – 6 laboratoires effectuent un contrôle tel que : • Activation des prises à la demande • Verrouillage des adresses MAC (Subatech). • VMPS (CC-IN2P3, CENBG, LPSC, IPNL). • Wi-Fi : – 9 laboratoires sur 10 effectuent un contrôle d’accès pour le Wi-Fi, le 10ème a placé le Wi-Fi dans une zone à part. – Ce contrôle d’accès met en œuvre une ou plusieurs des techniques suivantes : • • • • la non diffusion du SSID, le chiffrement WEP le contrôle des adresses MAC WPA Bilan Sécurité 2005 12 Journées Informatiques Valpré septembre 2006 C Ce E N A P nt B G C re P -d - Bo ari erd s CP C a ea P M lcul ux -L CS -M a yo NS rs e n M ill G -O e AN rs I L ay -C I P ae N n I R I P -Ly E S N on - S -Or t ra s a y s LA bo L L u LL A P - O rg R- P- rsa P o An y ly n LP te ec ch y Cn Cl er LP iq u C- e LP m NH o n Ca t E- - Fe e n P r LP a r r an d S is LP C- - VI TA Gr V I S u -M eno I ba on ble t e t pe c h ll -N ier an te s Infrastructure des réseaux de laboratoire 6/6 • VPN Nb_VPN 2,5 2 1,5 2004 1 2005 0,5 0 Bilan Sécurité 2005 13 Journées Informatiques Valpré septembre 2006 Filtrage en entrée 1/2 • Exposition des laboratoires et efficacité des actions en terme de filtrage. • Nombre total de service (TCP) ouverts vers l’extérieur est de 998. • Extrait des ACL des routeurs de laboratoire • Fermeture des services non chiffrés (en rouge dans le tableau). • Tableau du filtrage en entrée de site Bilan Sécurité 2005 14 Journées Informatiques Valpré septembre 2006 Filtrage en entrée 2/2 • Evolutions depuis 2005 – POP et IMAP fermés depuis l’extérieur (au profit de POPS et IMAPS) • 2 en 2005 • 9 en 2006. – Il ne reste plus qu’un TELNET ouvert au lieu de 22 dans 6 sites en 2005. – Il n’y a plus de SHELL ouvert. – Il subsiste un nombre important de serveurs FTP, il faudrait vérifier que la plupart ne sont accessibles qu’en lecture seule et en mode anonymous. Bilan Sécurité 2005 15 Journées Informatiques Valpré septembre 2006 Surveillance réseau et détection d’intrusion • Extra est déployé dans tous les laboratoires. • Scripts déclenchés automatiquement pour la surveillance – Virus test les connexions sortantes sur les ports Windows, envoie des mails d’alerte • Virusday 060612 – IP – 134.158.40.1 445 Port 16295 NbHits – Extrastat comptabilise les scans (une machine externe echange des paquets avec N machines/ports internes), resultats stockés dans une bdd, pour l’instant non exploité. • Détection des attaques « brute force » SSH, pot de miel pour capturer les mots de passe, alerte en cas d’attaque venant de l’IN2P3. (voir présentation de Jean-Michel). Bilan Sécurité 2005 16 Journées Informatiques Valpré septembre 2006 Menace et incidents • Passerelle antivirus du Centre de Calcul 2003 2500000 V irus 2004 2500000 Rejetés 2000000 Délivrés 2000000 2005 2500000 V irus V irus Rejet és Rejetés 2000000 Délivrés 1000000 1000000 1000000 500000 500000 500000 0 0 0 17 ja n ja n ju in - Bilan Sécurité 2005 vfé 0 5 vr m - 05 ar sav 05 r- 0 m 5 ai -0 ju 5 in -0 ju 5 ilao 05 ût s e 05 pt -0 oc 5 t-0 no 5 v0 dé 5 c05 1500000 vfé 0 4 vr m - 04 ar s0 av 4 r- 0 m 4 ai -0 ju 4 in -0 ju 4 ilao 04 ût s e 04 pt -0 oc 4 t-0 no 4 v0 dé 4 c04 1500000 03 ju il0 ao 3 ût -0 se 3 pt -0 3 oc t-0 no 3 v0 dé 3 c03 1500000 Délivrés Journées Informatiques Valpré septembre 2006 Menace et incidents • Virus reportés malgré l’antivirus (mail CERT-Renater, mail reçu à [email protected], détection par extra). 18 2005 2005 mail à abuse@ EXTRA ou aut r e 2005 Signalés par le CERTRenat er nv i F é er vr ie M r ar s Av r il M ai Ju in Ju il le S e Ao t pt ût em O br e c N to b ov r e e D mb éc r e em br e Ja Bilan Sécurité 2005 2004 Si gnal és par l e CERTRenater 20 18 16 14 12 10 8 6 4 2 0 Ja 2003 Si gnal és par l e CERTRenater 2004 mai l à abuse@ ou autr e nv F é i er vr ie M r ar s Av r il M ai Ju i Ju n il le Se A t p t oû em t O br c e N tob ov r e D em éc br em e br e 2003 mai l à abuse@ ou autr e 2004 20 18 16 14 12 10 8 6 4 2 0 Ja 2003 nv i F é er vr ie M r ar s Av r il M ai Ju i Ju n il le Se A t p t oû em t O br e c N tob ov r e e D mb éc r e em br e 20 18 16 14 12 10 8 6 4 2 0 Journées Informatiques Valpré septembre 2006 Menaces et incidents Intensification des attaques SSH • Voir présentation de Jean-Michel Barbet • Peu de retour sur les protestations à abuse@ 25 Nb mail envoyés Nb réponses 20 15 10 5 Bilan Sécurité 2005 c05 dé v05 5 no t-0 oc pt -0 5 5 se ût -0 05 19 ao il- ju in -0 5 -0 5 ju 5 ai m r-0 05 av 5 ar s- vr -0 m fé ja nv -0 5 0 Journées Informatiques Valpré septembre 2006 Menaces et incidents • Compromission de machines – - xyzt268 : compromission découverte suite à l’implication de la machine dans un DDOS. Utilisation de AWStats.pl 2005/VULN095 CERT-Renater. Compromission du compte apache, pas de passage root, – - 134.158.xyz.219 et 134.158.xyz.70 compromises suite à une perte d’ACL due à un bug dans IOS Cisco 12.2.25SEB en cas d’activation des sondes RMON. Compromission du compte root, sniffer et backdoor sur la machine 219. – - xyz.in2p3.fr, xyz01, xyz02, xyz03 compromission d’un compte utilisateur, robot IRC et keyboard logger, pas de passage root. – - xyzs1, xyzs9, xyzs8 rootkit suckit, compromission du compte root, nombreux mots de passe sniffés. Bilan Sécurité 2005 20 Journées Informatiques Valpré septembre 2006 Menaces et incidents • rootkit Suckit – installé à partir d'une faille dans la routine p_trace. Ce rootkit peut être détecté avec une simple commande ls ls -li /sbin/telinit /sbin/init 1599495 -rwxr-xr-x 1 root root 1599503 lrwxrwxrwx 1 root root /sbin/telinit -> init 27036 Feb 10 2003 /sbin/init 4 Apr 29 2004 Si les deux inodes sont différents la machine n'est pas infectée. Si les deux inodes sont identiques la machine est infectée ce qui peut être confirmé par un cat /proc/1/maps qui fait apparaître un autre processus à la place de /sbin/init (genre /sbin/initxyz) Bilan Sécurité 2005 21 Journées Informatiques Valpré septembre 2006 Conclusion • • • • Filtrage Cloisonnement 14/18 Extra Authentification Bilan Sécurité 2005 22 Journées Informatiques Valpré septembre 2006