Transcript secu

Sécurité des
Réseaux
Informatiques
Par Arnaud DEGAVRE & Gihed MEFTAH
DESS Réseaux – Université Claude Bernard Lyon 1
Promo 2000
Sommaire
L'informatique et l'entreprise
La protection des données
Actions des pirates
Statistiques
Un peu de vocabulaire
Les différentes attaques possibles
Méthodes les plus répandues
Mesures pratiques
Évaluer sa sécurité : outils
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux
2
L'informatique et l'entreprise
A l'aube du 3ème millénaire, toute
entreprise, quelque soit sa taille, est
informatisée.
Son informatique s'étend à tous ses
services :
Production,
Administration,
Gestion,
Recherche,
Etc.
Système d'information communicant
mise en réseau de ces services
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux
3
L'informatique et l'entreprise
L'informatique est un outil utilisé par :
Le personnel sédentaire
Réseau local (si un seul site)
Réseau distant (si plusieurs sites)
Le personnel itinérant
Ouverture du réseau interne vers l'extérieur
Autant de risques pour les données
Mise en place d'une politique de sécurité
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux
4
La protection des données
La sécurité des données se définit par :
La disponibilité
Offrir à l'utilisateur un système qui lui permette de continuer ses
travaux en tout temps.
Peut être interrompue à la suite d'un sinistre tel que la panne, la
rupture physique du réseau, l'erreur, la malveillance, etc.
L'intégrité
Garantir la qualité de l'information dans le temps.
Peut être détériorée suite à des erreurs telles que saisie
d'information erronée voire illicite, destruction partielle ou totale
de l'information, etc.
La confidentialité
Se prémunir contre l'accès illicite à l'information par des
personnes non autorisées.
Peut être piratée, détournée, etc.
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux
5
Actions des pirates
Simple accès au réseau,
Destruction, dommages ou modification
des données,
Contrôle du système, en refusant l'accès
aux utilisateurs privilégiés,
Génération des messages dont le
destinataire est le réseau piraté
(spamming),
Implémentation de procédures provocant la
défaillance, le ré-amorçage,
l'immobilisation… du réseau.
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux
6
Statistiques…
Selon Computer Security Institute,
sur 520 sites interrogés en 1998 :
64% ont signalés des violations de sécurité,
25% ont souffert d'attaque par déni de service,
25% ont fait l'objet d'une intrusion à distance,
54% ont indiqué qu'Internet constituait le point d'entrée
pour les intrus.
Selon un chercheur en sécurité : Dan Farmer
Les sites, testés directement par le chercheur, sont
ceux des banques, des organismes de crédit, etc.
Plus de 65% des sites testés sont vulnérables aux
attaques les plus connus,
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux
7
Statistiques…
De nombreuses cibles possédaient des parefeu.
Selon Ernst & Young
Étude portant sur 4 000 directeurs
informatiques interrogés sur une grande variété
de points concernant la sécurité Internet et le ecommerce sécurisé
35% n'employaient pas de systèmes de
détection d'intrusion,
50% ne surveillaient pas les connexions
Internet,
60% ne possédaient aucune stratégie écrite
pour répondre aux incidents de sécurité.
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux
8
Un peu de vocabulaire…
Écoute passive
Rôle du sniffer : vol de l'information, de mot de passe.
Substitution
Spoofing : trucage de la source (se faire passer pour un
autre).
Cheval de Troie (trojan)
Traitement frauduleux sous le couvert d'un programme
autorisé.
Déni de service
Rendre impossible l'accès à un service en le
neutralisant ou en le submergeant.
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux
9
Un peu de vocabulaire…
Bombe logique
Tout programme qui provoque le plantage d'un
système (en général malveillant).
Flood
Un ou plusieurs outils qui permettent d'inonder
la file d'attente de connexion d'un système
exploitant TCP/IP et provoquant ainsi un déni
de service.
Capture de frappe
Utilitaire qui capture à l'insu de l'utilisateur sa
frappe ; utilisé pour obtenir le nom et mot de
passe d'un utilisateur.
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux
10
Les différentes attaques possibles
Attaques sur les systèmes
Intégrité du système,
Exécution de processus non autorisée,
Cheval de Troie,
Etc.
Attaques sur les protocoles de communication
Intrusion,
Attaques du noyau (IP snoofing, TCP flooding, etc.),
Exploiter les failles des protocoles (ICMP, UDP, etc.),
Etc.
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux
11
Les différentes attaques possibles
Attaques sur l'information
Propagation d'un virus dans l'entreprise,
Écoute des données échangées sur le réseau,
Modification des données pendant leur transport,
Etc.
Attaques sur les applications
Applications à risque (DNS, SNMP, HTTP, NFS, FTP,
SMTP, etc.),
Attaquer des applications connues (Oracle, Office…),
Etc.
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux
12
Méthodes les plus répandues…
Système D ou "ingénierie sociale"
Terme utilisé par les hackers pour une technique
d’intrusion sur un système qui repose sur les points
faibles des personnes qui sont en relation avec un
système informatique.
Piéger les gens en leur faisant révéler leur mot de passe ou
toute autre information qui pourrait compromettre la sécurité du
système informatique.
Deviner le mot de passe d’un utilisateur. Les gens qui peuvent
trouver des informations sur un utilisateur, peuvent utiliser ces
informations pour deviner le mot de passe de ce dernier (le
prénom de ses enfants, leur date de naissance ou bien encore
la plaque d’immatriculation de sa voiture sont tout à fait
candidats à être des mots de passe).
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux
13
Méthodes les plus répandues…
Spoofing : usurpation d'adresse IP
Cible : serveur(s) de l'entreprise même protégé(s) par
un pare-feu
But : tromper la machine cible pour obtenir un droit
d'accès
Méthode :
L'@ IP de l'agresseur sera un client certifié par le serveur
Construction d'une route source jusqu'au serveur
Riposte :
Chiffrer les sessions avec ssh
Filtrer les paquet IP issus de l'Internet mais arborant une
adresse source locale
Lire les avis du CERT 95-01 CERT 96-21
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux
14
Méthodes les plus répandues
Ping de la mort (Ping Of Death)
Cible : serveurs et routeurs
But :
Paniquer la machine et la bloquant en déclenchant une série de
refus de connexion (deny of service)
Affaiblir l'adversaire, l'empêcher d'agir
Méthode :
Envoyer un paquet 1 octet plus gros que le datagramme du
ping
Fragmentation du ping et à l'arrivée le serveur se bloque en
tentant de recoller les fragments. L'écho répond dans le vide
Variante du flooding.
Riposte :
La plupart des systèmes sont protégés contre cette attaque : les
outils de ping sont limités à 65500 octets
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux
15
Méthodes les plus répandues
Attaque frontale
Cible : toute machine connectée à Internet protégée par
un identifiant et un mot de passe
But : obtenir les droits sur cette machine pour remonter
vers le serveur
Méthode :
Tentative par telnet (même sécurisé) ou ftp
Moulinette pour trouver mot de passe
Riposte
Mot de passe dynamique
Calculette du type Secure ID
Questions bloquantes posées durant la session d'identification
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux
16
Méthodes les plus répandues
Cheval de Troie (Trojan)
Cible : système d'exploitation de la machine déjà
attaquée
But : récupérer les données
Méthode :
C'est un programme p de petite taille caché dans un autre
programme P.
Lorsque P est lancé, p se lance également et ouvre les ports.
p verrouille alors tous les programmes de protection et
d'identification
Riposte :
Les Antivirus
Les patchs
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux
17
Méthodes les plus répandues
Mail Bomber
Cible : machine recevant des e-mails
But : planter la machine car un système planté est
vulnérable
Méthode : bombarder de mails une machine
Il existe des programmes (UpYours) qui permettent de lancer
depuis n'importe quelle machine sur Internet, une multitude
(certains génèrent 1000 e-mails/min) de mails vers une
personne sans qu'elle sache l'expéditeur.
Riposte :
Mettre en place une partition pour le répertoire de mails
Mettre un quota disque par personne
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux
18
Mesures pratiques
Mots de passe
Sauvegardes
Antivirus
Ports ouverts
Droits sur les serveurs ftp
Scripts CGI
SSL pour les données sensibles
Restriction IP
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux
19
Évaluer sa sécurité : outils
SATAN
Security Analysis Tool for Auditing Networks
Package logiciel comprenant
Pages HTML pour l'interface et la documentation,
Scripts Perl pour la collecte d'informations et l'analyse,
Programmes C de tests.
Détection de machines et de réseaux,
Détection des services disponibles,
Détection de bugs connus,
Analyse des résultats
Par machine,
Par réseau,
Par service,
Par application vulnérable (bug).
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux
20
Évaluer sa sécurité : outils
COPS
Computer Oracle and Password System
Ensemble de programmes qui vérifient ou détectent :
Les permissions de certains fichiers, répertoires,
Les mots de passe,
Le contenu des fichiers passwd et group,
Les programmes lancés dans etc/rc et cron,
Les fichiers SUID root,
L'accès à certains fichiers (.profile,.cshrc…),
L'installation correcte de ftp anonyme,
Certains trous de sécurité (montage NFS…).
Audit de sécurité sur une machine UNIX
Peut être exécuté sans être root
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux
21
Évaluer sa sécurité : outils
Internet Scanner Safesuite
Suite logicielle d'audit pour tester la sécurité
réseau,
Test de 140 vulnérabilités,
Scan des sites Web, firewalls, routeurs,
serveurs NT et Unix, périphériques TCP/IP,
Recommandation des corrections appropriées,
Configurable et automatisable,
Planification périodique des scans,
Priorité de niveaux de vulnérabilité,
Etc.
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux
22
Évaluer sa sécurité
Audit en temps réel :
Système de détection et de réponse aux
attaques en temps réel (en surveillant le
réseau),
Ex : Agent RealSecure de Firewall-1
Caractéristiques :






Reconnaissance des modèles d’attaques,
Détection et réponse automatique,
Reporting détaillé,
Mise à jour fréquente des reconnaissances de modèles
d’attaques,
Capture des intrus en temps réel,
Surveillance du trafic réseau.
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux
23
Quelques sites…
http://security.web-france.com/
http://www.cru.fr/securite/
Comité Réseaux des Universités
http://www.cert.org
Computer Emergency Response Team
http://www.w3.org/Security/
http://www.urec.cnrs.fr/securite/
Unité Réseaux du CNRS
http://www.scssi.gouv.fr/document/index.html
Service Central de la Sécurité des Systèmes
d'Information
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux
24
Des questions ?
Fin de la présentation
Merci de votre attention
Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux
25