INF4420: Éléments de Sécurité Informatique Module III : Sécurité des réseaux informatiques José M.
Download ReportTranscript INF4420: Éléments de Sécurité Informatique Module III : Sécurité des réseaux informatiques José M.
Slide 1
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Où sommes-nous ?
Semaine 1 – Intro
Semaines 2, 3 et 4 – Cryptographie
Semaine 6, 7 – Sécurité dans les SE (suite)
Semaine 8 – Période de relâche
Semaine 9 – Sécurité des BD et des applications Web
Semaine 10 – Contrôle périodique
Semaine 11, 12 et 13 – Sécurité des réseaux
Risques spécifiques aux réseaux
Des attaques, des attaques et encore des attaques
Configuration sécuritaires et contre-mesures
Semaine 14 – Gestion de la sécurité.
Intervenants et modes d'intervention
Aspects légaux et déontologiques
2
INF4420
Sécurité Informatique
Semaine 11
Notions de bases sur les réseaux
Risques spécifiques aux réseaux
Analyse de risques par couche
Module III – Sécurité des réseaux
Semaine 13
Détection d'intrus (IDS)
Protocoles sécuritaires de réseaux
• SSH
• Attaques typiques par couche
• SSL et TLS (HTTPS)
• Attaques intra-couche
• IPSEC/IPv6
Semaine 12
Configuration sécuritaire de
réseaux
• Plan d'adressage, routage et NAT
• Pare-feux
• DMZ, VPN et serveurs mandataires
Encore des attaques
• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• Pourriel et hameçonnage
3
INF4420
Sécurité Informatique
Configuration sécuritaire
Principes de bastionnage de réseaux
Bloquer tous le trafic non pertinent
• Paquets qui ne vont pas à la bonne place
adresses IP vs. table de routage
• Applications/services non offerts (superflus)
Ports fermés/ouverts
Segmentation du réseau
• Utiliser des routeurs/passerelles/serveurs mandataires
Cacher les adresses IP internes (par NAT)
Protéger les services/serveurs critiques
« Défense en profondeur »
• Principe de l’oignon
• Chaque niveau à un contexte différent
Permet de mieux ajuster le modèle de sécurité
4
INF4420
Sécurité Informatique
Network Address Translation
Principe de base
Le réseau interne est dans le domaine « privé »
• 10.*.*.* ou 192.168.*.*
• Non-routable (par défaut) vers l’extérieur ou sur l’Internet
Pour les paquets sortant
• (priv_src_IP, priv_src_port) est associé à une nouvelle paire
(public_src_IP, public_src_port)
• Ces associations sont conservés dans une table NAT
Pour les paquets entrant
• On utilise le dest_port pour retrouver la bonne paire
(priv_src_IP, priv_src_port)
Implémenté par
Routeur ou passerelle
Coupe-feu
Serveur mandataire
5
INF4420
Sécurité Informatique
Réseaux privés virtuels (VPN)
Objectifs
Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles
de façons sécuritaires à travers un réseau intermédiaires non sécurisé
Techniques de base
Tunneling
• Chaque sous réseau protégé par une passerelle VPN
• Encapsulation de paquet ( ≠ NAT)
Ancien paquet devient message
Nouvelle entête en fonction des passerelles
Chiffrement
• Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou
modification sur le réseau non-securisé
Contrôle d’accès
• Seuls les paquets provenant des clients ou sous-réseaux autorisés sont
ré-acheminés vers le réseau interne
6
INF4420
Sécurité Informatique
Zone démilitarisée (DMZ)
Objectif
Permettre fournir des services de ou vers l’extérieur du réseau
interne, tout en protégeant celui-ci
Principe de base
Créer une zone intermédiaire où se trouve les services strictement
nécessaires
Adresses des serveurs DMZ sont routables et accessibles
• de l’extérieur : tout le temps
• de l’intérieur : si pertinent
Protégé par un coupe-feu/passerelle
Isolé du réseau interne par un coupe-feu/passerelle
7
INF4420
Sécurité Informatique
Services fournis à l’extérieur
Serveur DNS (pour adresses
DMZ seulement)
Serveur SMTP
Serveur Web
Passerelle VPN
Services typiques dans une DMZ
Services fournis à l’intérieur
Serveur mandataires Web
M-à-j des fichiers du serveur
Web
Connexion avec serveur
SMTP interne
Connexion entre serveur Web
et serveur de BD
8
INF4420
Sécurité Informatique
Selon l’implémentation
Matériel
Types de coupe-feu
Selon les fonctionnalités
Filtrage statique
• Pare-feu filtrant
Filtrage dynamique
• Parfois intégré dans le routeur
Pare-feu d’application
• « Network appliances »
Combine d’autres
• Pare-feu filtrant
• Serveur mandataire (proxy)
fonctionalités
Logiciel
• Serveur pare-feu dédié
• Pare-feu client ou individuel
9
INF4420
Sécurité Informatique
Coupe-feu statique
Principes de fonctionnement
Examine paquet par paquet (« stateless »)
• Adresses IP src et dest
• Port src et dest
• Type de protocole
Utilise des règles pour prendre action « block » ou « accept »
• Règle de routage : « IF src_IP = 123.45.*.* THEN block »
adresses privées
adresses internes/externes
listes noires
• Règle d’application : « IF dest_port = 80 THEN accept »
Par port de destination
• Évaluation séquentielle (!!)
Limitations
Pas de notion de connexion permet certains types d’attaques
10
INF4420
Sécurité Informatique
Coupe-feu dynamique
Principes de bases
Examine paquet par paquet, mais essaie d’établir relations entre paquets
• UDP
Associe paquet avec d’autre paquets sur mêmes ports et adresses
En général, permet seulement réponses si requêtes originales venant
d’adresses internes
• TCP
Garde information sur état et direction de la session TCP
Regarde en plus les flags TCP pour déterminer si hors-protocole
• Applications qui changent de port (e.g. FTP)
Suit et autorise les ports éphémères utilisés par les applications
Limitations
Pas de connaissance de l’état de la connexion au niveau application
Usurpation de port
11
INF4420
Sécurité Informatique
Coupe-feu applicatif
Principe de base
Le coupe-feu regarde le message et interprète son contenu par rapport à
l’application identifié par le port
Routeur filtrant
Bloque ou accepte en fonction du contenu du message
• Bon port pour type d’application
• Bonne séquence à niveau des protocoles d’application
Serveurs mandataires (proxy)
Agisse au nom du client d’application
Déballe et remballe les paquets IP avec nouvel adresse et port src
Autres fonctionnalités
Authentification et contrôle d’accès
VPN
Anti-virus, anti-spam, filtrage de contenu
Caching
12
INF4420
Sécurité Informatique
Étapes d’une attaque standard sur le réseau
1. Définitions et identification d’objectifs
Quelle est la cible ?
2. Reconnaissance
Où se trouve la cible ?
3. Caractérisation (« Fingerprinting »)
Identification de vulnérabilité
4. Pénétration
Exploitation de vulnérabilité
5. Exploitation
Garder l’accès
Ne pas se faire prendre
Accomplir les objectifs
13
INF4420
Sécurité Informatique
Attaques de déni de services (DoS)
Objectifs
Éliminer ou réduire la qualité de service d’un fournisseur de
services
Types
Par vulnérabilité (« crippling DoS »)
Par saturation (« Flood DoS »)
Par absorption (« Black hole DoS »)
Particularités
Pas de pénétration
Camouflage optionnel
Pas de contre-mesures absolues !!
14
INF4420
Sécurité Informatique
Attaque DoS distribuée (DDoS)
Principe de base
1. Prendre le contrôle de plusieurs machines (« botnet »)
2. Utiliser ces machines pour générer des requêtes (saturation)
Exemples
SYN flooding
SYN/ACK flooding
• Direct
• Indirect (backblast)
Session/Application flooding
• TCP, HTTP, SQL
• « Spoofing » plus possible
Défense
Analyse de coût relatif
Faire augmenter le coût de l’attaque
15
INF4420
Sécurité Informatique
Crimes informatiques économiques
1. Polluriel et hameçonnage
Canulards
Vente directe de produits
Vente pyramidale
Arnaques « nigériennes »
Captures de comptes
2. Fraudes publicitaires
Modèle de revenu « par click »
Génération de « faux » click
3. Augmentation de priorité (« shilling »)
Moteurs de recherche
Systèmes de recommandation
16
INF4420
Sécurité Informatique
Pourriel
Contre-mesures
Détecter courriels identiques
• Comparaison intégrale ou par fonction de hachage
Bloquer une adresse IP si plusieurs courriels identiques/similaires
Reconnaissance de pourriel
• Analyse par règles
Contre-contre-mesures
Utiliser des machines « jetables » (botnet)
Générer des messages différents, mais équivalents
• Ajouts d’éléments aléatoires hors-message hachés différents
• Variations du message
Texte mal écrit, mais lisible
Message en HTML
Texte dans une image
Course d’armement entre pollueurs et constructeur de filtres
17
INF4420
Sécurité Informatique
Hameçonnage bancaire
Techniques de base
En apparence lien pointe sur vrai site
Faux site a apparence identique
Session redirigée vers vrai site (« ni vu, ni connu »)
Techniques avancées
DNS spoofing (serveurs DNS compromis ou empoisonné)
Prendre le contrôle d’un serveur web existant
• Sans que le propriétaire s’en rende compte
• Pour éviter de se faire repérer
• Usager/NIP capturés re-acheminé par canal clandestin
18
Slide 2
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Où sommes-nous ?
Semaine 1 – Intro
Semaines 2, 3 et 4 – Cryptographie
Semaine 6, 7 – Sécurité dans les SE (suite)
Semaine 8 – Période de relâche
Semaine 9 – Sécurité des BD et des applications Web
Semaine 10 – Contrôle périodique
Semaine 11, 12 et 13 – Sécurité des réseaux
Risques spécifiques aux réseaux
Des attaques, des attaques et encore des attaques
Configuration sécuritaires et contre-mesures
Semaine 14 – Gestion de la sécurité.
Intervenants et modes d'intervention
Aspects légaux et déontologiques
2
INF4420
Sécurité Informatique
Semaine 11
Notions de bases sur les réseaux
Risques spécifiques aux réseaux
Analyse de risques par couche
Module III – Sécurité des réseaux
Semaine 13
Détection d'intrus (IDS)
Protocoles sécuritaires de réseaux
• SSH
• Attaques typiques par couche
• SSL et TLS (HTTPS)
• Attaques intra-couche
• IPSEC/IPv6
Semaine 12
Configuration sécuritaire de
réseaux
• Plan d'adressage, routage et NAT
• Pare-feux
• DMZ, VPN et serveurs mandataires
Encore des attaques
• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• Pourriel et hameçonnage
3
INF4420
Sécurité Informatique
Configuration sécuritaire
Principes de bastionnage de réseaux
Bloquer tous le trafic non pertinent
• Paquets qui ne vont pas à la bonne place
adresses IP vs. table de routage
• Applications/services non offerts (superflus)
Ports fermés/ouverts
Segmentation du réseau
• Utiliser des routeurs/passerelles/serveurs mandataires
Cacher les adresses IP internes (par NAT)
Protéger les services/serveurs critiques
« Défense en profondeur »
• Principe de l’oignon
• Chaque niveau à un contexte différent
Permet de mieux ajuster le modèle de sécurité
4
INF4420
Sécurité Informatique
Network Address Translation
Principe de base
Le réseau interne est dans le domaine « privé »
• 10.*.*.* ou 192.168.*.*
• Non-routable (par défaut) vers l’extérieur ou sur l’Internet
Pour les paquets sortant
• (priv_src_IP, priv_src_port) est associé à une nouvelle paire
(public_src_IP, public_src_port)
• Ces associations sont conservés dans une table NAT
Pour les paquets entrant
• On utilise le dest_port pour retrouver la bonne paire
(priv_src_IP, priv_src_port)
Implémenté par
Routeur ou passerelle
Coupe-feu
Serveur mandataire
5
INF4420
Sécurité Informatique
Réseaux privés virtuels (VPN)
Objectifs
Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles
de façons sécuritaires à travers un réseau intermédiaires non sécurisé
Techniques de base
Tunneling
• Chaque sous réseau protégé par une passerelle VPN
• Encapsulation de paquet ( ≠ NAT)
Ancien paquet devient message
Nouvelle entête en fonction des passerelles
Chiffrement
• Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou
modification sur le réseau non-securisé
Contrôle d’accès
• Seuls les paquets provenant des clients ou sous-réseaux autorisés sont
ré-acheminés vers le réseau interne
6
INF4420
Sécurité Informatique
Zone démilitarisée (DMZ)
Objectif
Permettre fournir des services de ou vers l’extérieur du réseau
interne, tout en protégeant celui-ci
Principe de base
Créer une zone intermédiaire où se trouve les services strictement
nécessaires
Adresses des serveurs DMZ sont routables et accessibles
• de l’extérieur : tout le temps
• de l’intérieur : si pertinent
Protégé par un coupe-feu/passerelle
Isolé du réseau interne par un coupe-feu/passerelle
7
INF4420
Sécurité Informatique
Services fournis à l’extérieur
Serveur DNS (pour adresses
DMZ seulement)
Serveur SMTP
Serveur Web
Passerelle VPN
Services typiques dans une DMZ
Services fournis à l’intérieur
Serveur mandataires Web
M-à-j des fichiers du serveur
Web
Connexion avec serveur
SMTP interne
Connexion entre serveur Web
et serveur de BD
8
INF4420
Sécurité Informatique
Selon l’implémentation
Matériel
Types de coupe-feu
Selon les fonctionnalités
Filtrage statique
• Pare-feu filtrant
Filtrage dynamique
• Parfois intégré dans le routeur
Pare-feu d’application
• « Network appliances »
Combine d’autres
• Pare-feu filtrant
• Serveur mandataire (proxy)
fonctionalités
Logiciel
• Serveur pare-feu dédié
• Pare-feu client ou individuel
9
INF4420
Sécurité Informatique
Coupe-feu statique
Principes de fonctionnement
Examine paquet par paquet (« stateless »)
• Adresses IP src et dest
• Port src et dest
• Type de protocole
Utilise des règles pour prendre action « block » ou « accept »
• Règle de routage : « IF src_IP = 123.45.*.* THEN block »
adresses privées
adresses internes/externes
listes noires
• Règle d’application : « IF dest_port = 80 THEN accept »
Par port de destination
• Évaluation séquentielle (!!)
Limitations
Pas de notion de connexion permet certains types d’attaques
10
INF4420
Sécurité Informatique
Coupe-feu dynamique
Principes de bases
Examine paquet par paquet, mais essaie d’établir relations entre paquets
• UDP
Associe paquet avec d’autre paquets sur mêmes ports et adresses
En général, permet seulement réponses si requêtes originales venant
d’adresses internes
• TCP
Garde information sur état et direction de la session TCP
Regarde en plus les flags TCP pour déterminer si hors-protocole
• Applications qui changent de port (e.g. FTP)
Suit et autorise les ports éphémères utilisés par les applications
Limitations
Pas de connaissance de l’état de la connexion au niveau application
Usurpation de port
11
INF4420
Sécurité Informatique
Coupe-feu applicatif
Principe de base
Le coupe-feu regarde le message et interprète son contenu par rapport à
l’application identifié par le port
Routeur filtrant
Bloque ou accepte en fonction du contenu du message
• Bon port pour type d’application
• Bonne séquence à niveau des protocoles d’application
Serveurs mandataires (proxy)
Agisse au nom du client d’application
Déballe et remballe les paquets IP avec nouvel adresse et port src
Autres fonctionnalités
Authentification et contrôle d’accès
VPN
Anti-virus, anti-spam, filtrage de contenu
Caching
12
INF4420
Sécurité Informatique
Étapes d’une attaque standard sur le réseau
1. Définitions et identification d’objectifs
Quelle est la cible ?
2. Reconnaissance
Où se trouve la cible ?
3. Caractérisation (« Fingerprinting »)
Identification de vulnérabilité
4. Pénétration
Exploitation de vulnérabilité
5. Exploitation
Garder l’accès
Ne pas se faire prendre
Accomplir les objectifs
13
INF4420
Sécurité Informatique
Attaques de déni de services (DoS)
Objectifs
Éliminer ou réduire la qualité de service d’un fournisseur de
services
Types
Par vulnérabilité (« crippling DoS »)
Par saturation (« Flood DoS »)
Par absorption (« Black hole DoS »)
Particularités
Pas de pénétration
Camouflage optionnel
Pas de contre-mesures absolues !!
14
INF4420
Sécurité Informatique
Attaque DoS distribuée (DDoS)
Principe de base
1. Prendre le contrôle de plusieurs machines (« botnet »)
2. Utiliser ces machines pour générer des requêtes (saturation)
Exemples
SYN flooding
SYN/ACK flooding
• Direct
• Indirect (backblast)
Session/Application flooding
• TCP, HTTP, SQL
• « Spoofing » plus possible
Défense
Analyse de coût relatif
Faire augmenter le coût de l’attaque
15
INF4420
Sécurité Informatique
Crimes informatiques économiques
1. Polluriel et hameçonnage
Canulards
Vente directe de produits
Vente pyramidale
Arnaques « nigériennes »
Captures de comptes
2. Fraudes publicitaires
Modèle de revenu « par click »
Génération de « faux » click
3. Augmentation de priorité (« shilling »)
Moteurs de recherche
Systèmes de recommandation
16
INF4420
Sécurité Informatique
Pourriel
Contre-mesures
Détecter courriels identiques
• Comparaison intégrale ou par fonction de hachage
Bloquer une adresse IP si plusieurs courriels identiques/similaires
Reconnaissance de pourriel
• Analyse par règles
Contre-contre-mesures
Utiliser des machines « jetables » (botnet)
Générer des messages différents, mais équivalents
• Ajouts d’éléments aléatoires hors-message hachés différents
• Variations du message
Texte mal écrit, mais lisible
Message en HTML
Texte dans une image
Course d’armement entre pollueurs et constructeur de filtres
17
INF4420
Sécurité Informatique
Hameçonnage bancaire
Techniques de base
En apparence lien pointe sur vrai site
Faux site a apparence identique
Session redirigée vers vrai site (« ni vu, ni connu »)
Techniques avancées
DNS spoofing (serveurs DNS compromis ou empoisonné)
Prendre le contrôle d’un serveur web existant
• Sans que le propriétaire s’en rende compte
• Pour éviter de se faire repérer
• Usager/NIP capturés re-acheminé par canal clandestin
18
Slide 3
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Où sommes-nous ?
Semaine 1 – Intro
Semaines 2, 3 et 4 – Cryptographie
Semaine 6, 7 – Sécurité dans les SE (suite)
Semaine 8 – Période de relâche
Semaine 9 – Sécurité des BD et des applications Web
Semaine 10 – Contrôle périodique
Semaine 11, 12 et 13 – Sécurité des réseaux
Risques spécifiques aux réseaux
Des attaques, des attaques et encore des attaques
Configuration sécuritaires et contre-mesures
Semaine 14 – Gestion de la sécurité.
Intervenants et modes d'intervention
Aspects légaux et déontologiques
2
INF4420
Sécurité Informatique
Semaine 11
Notions de bases sur les réseaux
Risques spécifiques aux réseaux
Analyse de risques par couche
Module III – Sécurité des réseaux
Semaine 13
Détection d'intrus (IDS)
Protocoles sécuritaires de réseaux
• SSH
• Attaques typiques par couche
• SSL et TLS (HTTPS)
• Attaques intra-couche
• IPSEC/IPv6
Semaine 12
Configuration sécuritaire de
réseaux
• Plan d'adressage, routage et NAT
• Pare-feux
• DMZ, VPN et serveurs mandataires
Encore des attaques
• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• Pourriel et hameçonnage
3
INF4420
Sécurité Informatique
Configuration sécuritaire
Principes de bastionnage de réseaux
Bloquer tous le trafic non pertinent
• Paquets qui ne vont pas à la bonne place
adresses IP vs. table de routage
• Applications/services non offerts (superflus)
Ports fermés/ouverts
Segmentation du réseau
• Utiliser des routeurs/passerelles/serveurs mandataires
Cacher les adresses IP internes (par NAT)
Protéger les services/serveurs critiques
« Défense en profondeur »
• Principe de l’oignon
• Chaque niveau à un contexte différent
Permet de mieux ajuster le modèle de sécurité
4
INF4420
Sécurité Informatique
Network Address Translation
Principe de base
Le réseau interne est dans le domaine « privé »
• 10.*.*.* ou 192.168.*.*
• Non-routable (par défaut) vers l’extérieur ou sur l’Internet
Pour les paquets sortant
• (priv_src_IP, priv_src_port) est associé à une nouvelle paire
(public_src_IP, public_src_port)
• Ces associations sont conservés dans une table NAT
Pour les paquets entrant
• On utilise le dest_port pour retrouver la bonne paire
(priv_src_IP, priv_src_port)
Implémenté par
Routeur ou passerelle
Coupe-feu
Serveur mandataire
5
INF4420
Sécurité Informatique
Réseaux privés virtuels (VPN)
Objectifs
Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles
de façons sécuritaires à travers un réseau intermédiaires non sécurisé
Techniques de base
Tunneling
• Chaque sous réseau protégé par une passerelle VPN
• Encapsulation de paquet ( ≠ NAT)
Ancien paquet devient message
Nouvelle entête en fonction des passerelles
Chiffrement
• Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou
modification sur le réseau non-securisé
Contrôle d’accès
• Seuls les paquets provenant des clients ou sous-réseaux autorisés sont
ré-acheminés vers le réseau interne
6
INF4420
Sécurité Informatique
Zone démilitarisée (DMZ)
Objectif
Permettre fournir des services de ou vers l’extérieur du réseau
interne, tout en protégeant celui-ci
Principe de base
Créer une zone intermédiaire où se trouve les services strictement
nécessaires
Adresses des serveurs DMZ sont routables et accessibles
• de l’extérieur : tout le temps
• de l’intérieur : si pertinent
Protégé par un coupe-feu/passerelle
Isolé du réseau interne par un coupe-feu/passerelle
7
INF4420
Sécurité Informatique
Services fournis à l’extérieur
Serveur DNS (pour adresses
DMZ seulement)
Serveur SMTP
Serveur Web
Passerelle VPN
Services typiques dans une DMZ
Services fournis à l’intérieur
Serveur mandataires Web
M-à-j des fichiers du serveur
Web
Connexion avec serveur
SMTP interne
Connexion entre serveur Web
et serveur de BD
8
INF4420
Sécurité Informatique
Selon l’implémentation
Matériel
Types de coupe-feu
Selon les fonctionnalités
Filtrage statique
• Pare-feu filtrant
Filtrage dynamique
• Parfois intégré dans le routeur
Pare-feu d’application
• « Network appliances »
Combine d’autres
• Pare-feu filtrant
• Serveur mandataire (proxy)
fonctionalités
Logiciel
• Serveur pare-feu dédié
• Pare-feu client ou individuel
9
INF4420
Sécurité Informatique
Coupe-feu statique
Principes de fonctionnement
Examine paquet par paquet (« stateless »)
• Adresses IP src et dest
• Port src et dest
• Type de protocole
Utilise des règles pour prendre action « block » ou « accept »
• Règle de routage : « IF src_IP = 123.45.*.* THEN block »
adresses privées
adresses internes/externes
listes noires
• Règle d’application : « IF dest_port = 80 THEN accept »
Par port de destination
• Évaluation séquentielle (!!)
Limitations
Pas de notion de connexion permet certains types d’attaques
10
INF4420
Sécurité Informatique
Coupe-feu dynamique
Principes de bases
Examine paquet par paquet, mais essaie d’établir relations entre paquets
• UDP
Associe paquet avec d’autre paquets sur mêmes ports et adresses
En général, permet seulement réponses si requêtes originales venant
d’adresses internes
• TCP
Garde information sur état et direction de la session TCP
Regarde en plus les flags TCP pour déterminer si hors-protocole
• Applications qui changent de port (e.g. FTP)
Suit et autorise les ports éphémères utilisés par les applications
Limitations
Pas de connaissance de l’état de la connexion au niveau application
Usurpation de port
11
INF4420
Sécurité Informatique
Coupe-feu applicatif
Principe de base
Le coupe-feu regarde le message et interprète son contenu par rapport à
l’application identifié par le port
Routeur filtrant
Bloque ou accepte en fonction du contenu du message
• Bon port pour type d’application
• Bonne séquence à niveau des protocoles d’application
Serveurs mandataires (proxy)
Agisse au nom du client d’application
Déballe et remballe les paquets IP avec nouvel adresse et port src
Autres fonctionnalités
Authentification et contrôle d’accès
VPN
Anti-virus, anti-spam, filtrage de contenu
Caching
12
INF4420
Sécurité Informatique
Étapes d’une attaque standard sur le réseau
1. Définitions et identification d’objectifs
Quelle est la cible ?
2. Reconnaissance
Où se trouve la cible ?
3. Caractérisation (« Fingerprinting »)
Identification de vulnérabilité
4. Pénétration
Exploitation de vulnérabilité
5. Exploitation
Garder l’accès
Ne pas se faire prendre
Accomplir les objectifs
13
INF4420
Sécurité Informatique
Attaques de déni de services (DoS)
Objectifs
Éliminer ou réduire la qualité de service d’un fournisseur de
services
Types
Par vulnérabilité (« crippling DoS »)
Par saturation (« Flood DoS »)
Par absorption (« Black hole DoS »)
Particularités
Pas de pénétration
Camouflage optionnel
Pas de contre-mesures absolues !!
14
INF4420
Sécurité Informatique
Attaque DoS distribuée (DDoS)
Principe de base
1. Prendre le contrôle de plusieurs machines (« botnet »)
2. Utiliser ces machines pour générer des requêtes (saturation)
Exemples
SYN flooding
SYN/ACK flooding
• Direct
• Indirect (backblast)
Session/Application flooding
• TCP, HTTP, SQL
• « Spoofing » plus possible
Défense
Analyse de coût relatif
Faire augmenter le coût de l’attaque
15
INF4420
Sécurité Informatique
Crimes informatiques économiques
1. Polluriel et hameçonnage
Canulards
Vente directe de produits
Vente pyramidale
Arnaques « nigériennes »
Captures de comptes
2. Fraudes publicitaires
Modèle de revenu « par click »
Génération de « faux » click
3. Augmentation de priorité (« shilling »)
Moteurs de recherche
Systèmes de recommandation
16
INF4420
Sécurité Informatique
Pourriel
Contre-mesures
Détecter courriels identiques
• Comparaison intégrale ou par fonction de hachage
Bloquer une adresse IP si plusieurs courriels identiques/similaires
Reconnaissance de pourriel
• Analyse par règles
Contre-contre-mesures
Utiliser des machines « jetables » (botnet)
Générer des messages différents, mais équivalents
• Ajouts d’éléments aléatoires hors-message hachés différents
• Variations du message
Texte mal écrit, mais lisible
Message en HTML
Texte dans une image
Course d’armement entre pollueurs et constructeur de filtres
17
INF4420
Sécurité Informatique
Hameçonnage bancaire
Techniques de base
En apparence lien pointe sur vrai site
Faux site a apparence identique
Session redirigée vers vrai site (« ni vu, ni connu »)
Techniques avancées
DNS spoofing (serveurs DNS compromis ou empoisonné)
Prendre le contrôle d’un serveur web existant
• Sans que le propriétaire s’en rende compte
• Pour éviter de se faire repérer
• Usager/NIP capturés re-acheminé par canal clandestin
18
Slide 4
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Où sommes-nous ?
Semaine 1 – Intro
Semaines 2, 3 et 4 – Cryptographie
Semaine 6, 7 – Sécurité dans les SE (suite)
Semaine 8 – Période de relâche
Semaine 9 – Sécurité des BD et des applications Web
Semaine 10 – Contrôle périodique
Semaine 11, 12 et 13 – Sécurité des réseaux
Risques spécifiques aux réseaux
Des attaques, des attaques et encore des attaques
Configuration sécuritaires et contre-mesures
Semaine 14 – Gestion de la sécurité.
Intervenants et modes d'intervention
Aspects légaux et déontologiques
2
INF4420
Sécurité Informatique
Semaine 11
Notions de bases sur les réseaux
Risques spécifiques aux réseaux
Analyse de risques par couche
Module III – Sécurité des réseaux
Semaine 13
Détection d'intrus (IDS)
Protocoles sécuritaires de réseaux
• SSH
• Attaques typiques par couche
• SSL et TLS (HTTPS)
• Attaques intra-couche
• IPSEC/IPv6
Semaine 12
Configuration sécuritaire de
réseaux
• Plan d'adressage, routage et NAT
• Pare-feux
• DMZ, VPN et serveurs mandataires
Encore des attaques
• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• Pourriel et hameçonnage
3
INF4420
Sécurité Informatique
Configuration sécuritaire
Principes de bastionnage de réseaux
Bloquer tous le trafic non pertinent
• Paquets qui ne vont pas à la bonne place
adresses IP vs. table de routage
• Applications/services non offerts (superflus)
Ports fermés/ouverts
Segmentation du réseau
• Utiliser des routeurs/passerelles/serveurs mandataires
Cacher les adresses IP internes (par NAT)
Protéger les services/serveurs critiques
« Défense en profondeur »
• Principe de l’oignon
• Chaque niveau à un contexte différent
Permet de mieux ajuster le modèle de sécurité
4
INF4420
Sécurité Informatique
Network Address Translation
Principe de base
Le réseau interne est dans le domaine « privé »
• 10.*.*.* ou 192.168.*.*
• Non-routable (par défaut) vers l’extérieur ou sur l’Internet
Pour les paquets sortant
• (priv_src_IP, priv_src_port) est associé à une nouvelle paire
(public_src_IP, public_src_port)
• Ces associations sont conservés dans une table NAT
Pour les paquets entrant
• On utilise le dest_port pour retrouver la bonne paire
(priv_src_IP, priv_src_port)
Implémenté par
Routeur ou passerelle
Coupe-feu
Serveur mandataire
5
INF4420
Sécurité Informatique
Réseaux privés virtuels (VPN)
Objectifs
Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles
de façons sécuritaires à travers un réseau intermédiaires non sécurisé
Techniques de base
Tunneling
• Chaque sous réseau protégé par une passerelle VPN
• Encapsulation de paquet ( ≠ NAT)
Ancien paquet devient message
Nouvelle entête en fonction des passerelles
Chiffrement
• Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou
modification sur le réseau non-securisé
Contrôle d’accès
• Seuls les paquets provenant des clients ou sous-réseaux autorisés sont
ré-acheminés vers le réseau interne
6
INF4420
Sécurité Informatique
Zone démilitarisée (DMZ)
Objectif
Permettre fournir des services de ou vers l’extérieur du réseau
interne, tout en protégeant celui-ci
Principe de base
Créer une zone intermédiaire où se trouve les services strictement
nécessaires
Adresses des serveurs DMZ sont routables et accessibles
• de l’extérieur : tout le temps
• de l’intérieur : si pertinent
Protégé par un coupe-feu/passerelle
Isolé du réseau interne par un coupe-feu/passerelle
7
INF4420
Sécurité Informatique
Services fournis à l’extérieur
Serveur DNS (pour adresses
DMZ seulement)
Serveur SMTP
Serveur Web
Passerelle VPN
Services typiques dans une DMZ
Services fournis à l’intérieur
Serveur mandataires Web
M-à-j des fichiers du serveur
Web
Connexion avec serveur
SMTP interne
Connexion entre serveur Web
et serveur de BD
8
INF4420
Sécurité Informatique
Selon l’implémentation
Matériel
Types de coupe-feu
Selon les fonctionnalités
Filtrage statique
• Pare-feu filtrant
Filtrage dynamique
• Parfois intégré dans le routeur
Pare-feu d’application
• « Network appliances »
Combine d’autres
• Pare-feu filtrant
• Serveur mandataire (proxy)
fonctionalités
Logiciel
• Serveur pare-feu dédié
• Pare-feu client ou individuel
9
INF4420
Sécurité Informatique
Coupe-feu statique
Principes de fonctionnement
Examine paquet par paquet (« stateless »)
• Adresses IP src et dest
• Port src et dest
• Type de protocole
Utilise des règles pour prendre action « block » ou « accept »
• Règle de routage : « IF src_IP = 123.45.*.* THEN block »
adresses privées
adresses internes/externes
listes noires
• Règle d’application : « IF dest_port = 80 THEN accept »
Par port de destination
• Évaluation séquentielle (!!)
Limitations
Pas de notion de connexion permet certains types d’attaques
10
INF4420
Sécurité Informatique
Coupe-feu dynamique
Principes de bases
Examine paquet par paquet, mais essaie d’établir relations entre paquets
• UDP
Associe paquet avec d’autre paquets sur mêmes ports et adresses
En général, permet seulement réponses si requêtes originales venant
d’adresses internes
• TCP
Garde information sur état et direction de la session TCP
Regarde en plus les flags TCP pour déterminer si hors-protocole
• Applications qui changent de port (e.g. FTP)
Suit et autorise les ports éphémères utilisés par les applications
Limitations
Pas de connaissance de l’état de la connexion au niveau application
Usurpation de port
11
INF4420
Sécurité Informatique
Coupe-feu applicatif
Principe de base
Le coupe-feu regarde le message et interprète son contenu par rapport à
l’application identifié par le port
Routeur filtrant
Bloque ou accepte en fonction du contenu du message
• Bon port pour type d’application
• Bonne séquence à niveau des protocoles d’application
Serveurs mandataires (proxy)
Agisse au nom du client d’application
Déballe et remballe les paquets IP avec nouvel adresse et port src
Autres fonctionnalités
Authentification et contrôle d’accès
VPN
Anti-virus, anti-spam, filtrage de contenu
Caching
12
INF4420
Sécurité Informatique
Étapes d’une attaque standard sur le réseau
1. Définitions et identification d’objectifs
Quelle est la cible ?
2. Reconnaissance
Où se trouve la cible ?
3. Caractérisation (« Fingerprinting »)
Identification de vulnérabilité
4. Pénétration
Exploitation de vulnérabilité
5. Exploitation
Garder l’accès
Ne pas se faire prendre
Accomplir les objectifs
13
INF4420
Sécurité Informatique
Attaques de déni de services (DoS)
Objectifs
Éliminer ou réduire la qualité de service d’un fournisseur de
services
Types
Par vulnérabilité (« crippling DoS »)
Par saturation (« Flood DoS »)
Par absorption (« Black hole DoS »)
Particularités
Pas de pénétration
Camouflage optionnel
Pas de contre-mesures absolues !!
14
INF4420
Sécurité Informatique
Attaque DoS distribuée (DDoS)
Principe de base
1. Prendre le contrôle de plusieurs machines (« botnet »)
2. Utiliser ces machines pour générer des requêtes (saturation)
Exemples
SYN flooding
SYN/ACK flooding
• Direct
• Indirect (backblast)
Session/Application flooding
• TCP, HTTP, SQL
• « Spoofing » plus possible
Défense
Analyse de coût relatif
Faire augmenter le coût de l’attaque
15
INF4420
Sécurité Informatique
Crimes informatiques économiques
1. Polluriel et hameçonnage
Canulards
Vente directe de produits
Vente pyramidale
Arnaques « nigériennes »
Captures de comptes
2. Fraudes publicitaires
Modèle de revenu « par click »
Génération de « faux » click
3. Augmentation de priorité (« shilling »)
Moteurs de recherche
Systèmes de recommandation
16
INF4420
Sécurité Informatique
Pourriel
Contre-mesures
Détecter courriels identiques
• Comparaison intégrale ou par fonction de hachage
Bloquer une adresse IP si plusieurs courriels identiques/similaires
Reconnaissance de pourriel
• Analyse par règles
Contre-contre-mesures
Utiliser des machines « jetables » (botnet)
Générer des messages différents, mais équivalents
• Ajouts d’éléments aléatoires hors-message hachés différents
• Variations du message
Texte mal écrit, mais lisible
Message en HTML
Texte dans une image
Course d’armement entre pollueurs et constructeur de filtres
17
INF4420
Sécurité Informatique
Hameçonnage bancaire
Techniques de base
En apparence lien pointe sur vrai site
Faux site a apparence identique
Session redirigée vers vrai site (« ni vu, ni connu »)
Techniques avancées
DNS spoofing (serveurs DNS compromis ou empoisonné)
Prendre le contrôle d’un serveur web existant
• Sans que le propriétaire s’en rende compte
• Pour éviter de se faire repérer
• Usager/NIP capturés re-acheminé par canal clandestin
18
Slide 5
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Où sommes-nous ?
Semaine 1 – Intro
Semaines 2, 3 et 4 – Cryptographie
Semaine 6, 7 – Sécurité dans les SE (suite)
Semaine 8 – Période de relâche
Semaine 9 – Sécurité des BD et des applications Web
Semaine 10 – Contrôle périodique
Semaine 11, 12 et 13 – Sécurité des réseaux
Risques spécifiques aux réseaux
Des attaques, des attaques et encore des attaques
Configuration sécuritaires et contre-mesures
Semaine 14 – Gestion de la sécurité.
Intervenants et modes d'intervention
Aspects légaux et déontologiques
2
INF4420
Sécurité Informatique
Semaine 11
Notions de bases sur les réseaux
Risques spécifiques aux réseaux
Analyse de risques par couche
Module III – Sécurité des réseaux
Semaine 13
Détection d'intrus (IDS)
Protocoles sécuritaires de réseaux
• SSH
• Attaques typiques par couche
• SSL et TLS (HTTPS)
• Attaques intra-couche
• IPSEC/IPv6
Semaine 12
Configuration sécuritaire de
réseaux
• Plan d'adressage, routage et NAT
• Pare-feux
• DMZ, VPN et serveurs mandataires
Encore des attaques
• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• Pourriel et hameçonnage
3
INF4420
Sécurité Informatique
Configuration sécuritaire
Principes de bastionnage de réseaux
Bloquer tous le trafic non pertinent
• Paquets qui ne vont pas à la bonne place
adresses IP vs. table de routage
• Applications/services non offerts (superflus)
Ports fermés/ouverts
Segmentation du réseau
• Utiliser des routeurs/passerelles/serveurs mandataires
Cacher les adresses IP internes (par NAT)
Protéger les services/serveurs critiques
« Défense en profondeur »
• Principe de l’oignon
• Chaque niveau à un contexte différent
Permet de mieux ajuster le modèle de sécurité
4
INF4420
Sécurité Informatique
Network Address Translation
Principe de base
Le réseau interne est dans le domaine « privé »
• 10.*.*.* ou 192.168.*.*
• Non-routable (par défaut) vers l’extérieur ou sur l’Internet
Pour les paquets sortant
• (priv_src_IP, priv_src_port) est associé à une nouvelle paire
(public_src_IP, public_src_port)
• Ces associations sont conservés dans une table NAT
Pour les paquets entrant
• On utilise le dest_port pour retrouver la bonne paire
(priv_src_IP, priv_src_port)
Implémenté par
Routeur ou passerelle
Coupe-feu
Serveur mandataire
5
INF4420
Sécurité Informatique
Réseaux privés virtuels (VPN)
Objectifs
Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles
de façons sécuritaires à travers un réseau intermédiaires non sécurisé
Techniques de base
Tunneling
• Chaque sous réseau protégé par une passerelle VPN
• Encapsulation de paquet ( ≠ NAT)
Ancien paquet devient message
Nouvelle entête en fonction des passerelles
Chiffrement
• Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou
modification sur le réseau non-securisé
Contrôle d’accès
• Seuls les paquets provenant des clients ou sous-réseaux autorisés sont
ré-acheminés vers le réseau interne
6
INF4420
Sécurité Informatique
Zone démilitarisée (DMZ)
Objectif
Permettre fournir des services de ou vers l’extérieur du réseau
interne, tout en protégeant celui-ci
Principe de base
Créer une zone intermédiaire où se trouve les services strictement
nécessaires
Adresses des serveurs DMZ sont routables et accessibles
• de l’extérieur : tout le temps
• de l’intérieur : si pertinent
Protégé par un coupe-feu/passerelle
Isolé du réseau interne par un coupe-feu/passerelle
7
INF4420
Sécurité Informatique
Services fournis à l’extérieur
Serveur DNS (pour adresses
DMZ seulement)
Serveur SMTP
Serveur Web
Passerelle VPN
Services typiques dans une DMZ
Services fournis à l’intérieur
Serveur mandataires Web
M-à-j des fichiers du serveur
Web
Connexion avec serveur
SMTP interne
Connexion entre serveur Web
et serveur de BD
8
INF4420
Sécurité Informatique
Selon l’implémentation
Matériel
Types de coupe-feu
Selon les fonctionnalités
Filtrage statique
• Pare-feu filtrant
Filtrage dynamique
• Parfois intégré dans le routeur
Pare-feu d’application
• « Network appliances »
Combine d’autres
• Pare-feu filtrant
• Serveur mandataire (proxy)
fonctionalités
Logiciel
• Serveur pare-feu dédié
• Pare-feu client ou individuel
9
INF4420
Sécurité Informatique
Coupe-feu statique
Principes de fonctionnement
Examine paquet par paquet (« stateless »)
• Adresses IP src et dest
• Port src et dest
• Type de protocole
Utilise des règles pour prendre action « block » ou « accept »
• Règle de routage : « IF src_IP = 123.45.*.* THEN block »
adresses privées
adresses internes/externes
listes noires
• Règle d’application : « IF dest_port = 80 THEN accept »
Par port de destination
• Évaluation séquentielle (!!)
Limitations
Pas de notion de connexion permet certains types d’attaques
10
INF4420
Sécurité Informatique
Coupe-feu dynamique
Principes de bases
Examine paquet par paquet, mais essaie d’établir relations entre paquets
• UDP
Associe paquet avec d’autre paquets sur mêmes ports et adresses
En général, permet seulement réponses si requêtes originales venant
d’adresses internes
• TCP
Garde information sur état et direction de la session TCP
Regarde en plus les flags TCP pour déterminer si hors-protocole
• Applications qui changent de port (e.g. FTP)
Suit et autorise les ports éphémères utilisés par les applications
Limitations
Pas de connaissance de l’état de la connexion au niveau application
Usurpation de port
11
INF4420
Sécurité Informatique
Coupe-feu applicatif
Principe de base
Le coupe-feu regarde le message et interprète son contenu par rapport à
l’application identifié par le port
Routeur filtrant
Bloque ou accepte en fonction du contenu du message
• Bon port pour type d’application
• Bonne séquence à niveau des protocoles d’application
Serveurs mandataires (proxy)
Agisse au nom du client d’application
Déballe et remballe les paquets IP avec nouvel adresse et port src
Autres fonctionnalités
Authentification et contrôle d’accès
VPN
Anti-virus, anti-spam, filtrage de contenu
Caching
12
INF4420
Sécurité Informatique
Étapes d’une attaque standard sur le réseau
1. Définitions et identification d’objectifs
Quelle est la cible ?
2. Reconnaissance
Où se trouve la cible ?
3. Caractérisation (« Fingerprinting »)
Identification de vulnérabilité
4. Pénétration
Exploitation de vulnérabilité
5. Exploitation
Garder l’accès
Ne pas se faire prendre
Accomplir les objectifs
13
INF4420
Sécurité Informatique
Attaques de déni de services (DoS)
Objectifs
Éliminer ou réduire la qualité de service d’un fournisseur de
services
Types
Par vulnérabilité (« crippling DoS »)
Par saturation (« Flood DoS »)
Par absorption (« Black hole DoS »)
Particularités
Pas de pénétration
Camouflage optionnel
Pas de contre-mesures absolues !!
14
INF4420
Sécurité Informatique
Attaque DoS distribuée (DDoS)
Principe de base
1. Prendre le contrôle de plusieurs machines (« botnet »)
2. Utiliser ces machines pour générer des requêtes (saturation)
Exemples
SYN flooding
SYN/ACK flooding
• Direct
• Indirect (backblast)
Session/Application flooding
• TCP, HTTP, SQL
• « Spoofing » plus possible
Défense
Analyse de coût relatif
Faire augmenter le coût de l’attaque
15
INF4420
Sécurité Informatique
Crimes informatiques économiques
1. Polluriel et hameçonnage
Canulards
Vente directe de produits
Vente pyramidale
Arnaques « nigériennes »
Captures de comptes
2. Fraudes publicitaires
Modèle de revenu « par click »
Génération de « faux » click
3. Augmentation de priorité (« shilling »)
Moteurs de recherche
Systèmes de recommandation
16
INF4420
Sécurité Informatique
Pourriel
Contre-mesures
Détecter courriels identiques
• Comparaison intégrale ou par fonction de hachage
Bloquer une adresse IP si plusieurs courriels identiques/similaires
Reconnaissance de pourriel
• Analyse par règles
Contre-contre-mesures
Utiliser des machines « jetables » (botnet)
Générer des messages différents, mais équivalents
• Ajouts d’éléments aléatoires hors-message hachés différents
• Variations du message
Texte mal écrit, mais lisible
Message en HTML
Texte dans une image
Course d’armement entre pollueurs et constructeur de filtres
17
INF4420
Sécurité Informatique
Hameçonnage bancaire
Techniques de base
En apparence lien pointe sur vrai site
Faux site a apparence identique
Session redirigée vers vrai site (« ni vu, ni connu »)
Techniques avancées
DNS spoofing (serveurs DNS compromis ou empoisonné)
Prendre le contrôle d’un serveur web existant
• Sans que le propriétaire s’en rende compte
• Pour éviter de se faire repérer
• Usager/NIP capturés re-acheminé par canal clandestin
18
Slide 6
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Où sommes-nous ?
Semaine 1 – Intro
Semaines 2, 3 et 4 – Cryptographie
Semaine 6, 7 – Sécurité dans les SE (suite)
Semaine 8 – Période de relâche
Semaine 9 – Sécurité des BD et des applications Web
Semaine 10 – Contrôle périodique
Semaine 11, 12 et 13 – Sécurité des réseaux
Risques spécifiques aux réseaux
Des attaques, des attaques et encore des attaques
Configuration sécuritaires et contre-mesures
Semaine 14 – Gestion de la sécurité.
Intervenants et modes d'intervention
Aspects légaux et déontologiques
2
INF4420
Sécurité Informatique
Semaine 11
Notions de bases sur les réseaux
Risques spécifiques aux réseaux
Analyse de risques par couche
Module III – Sécurité des réseaux
Semaine 13
Détection d'intrus (IDS)
Protocoles sécuritaires de réseaux
• SSH
• Attaques typiques par couche
• SSL et TLS (HTTPS)
• Attaques intra-couche
• IPSEC/IPv6
Semaine 12
Configuration sécuritaire de
réseaux
• Plan d'adressage, routage et NAT
• Pare-feux
• DMZ, VPN et serveurs mandataires
Encore des attaques
• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• Pourriel et hameçonnage
3
INF4420
Sécurité Informatique
Configuration sécuritaire
Principes de bastionnage de réseaux
Bloquer tous le trafic non pertinent
• Paquets qui ne vont pas à la bonne place
adresses IP vs. table de routage
• Applications/services non offerts (superflus)
Ports fermés/ouverts
Segmentation du réseau
• Utiliser des routeurs/passerelles/serveurs mandataires
Cacher les adresses IP internes (par NAT)
Protéger les services/serveurs critiques
« Défense en profondeur »
• Principe de l’oignon
• Chaque niveau à un contexte différent
Permet de mieux ajuster le modèle de sécurité
4
INF4420
Sécurité Informatique
Network Address Translation
Principe de base
Le réseau interne est dans le domaine « privé »
• 10.*.*.* ou 192.168.*.*
• Non-routable (par défaut) vers l’extérieur ou sur l’Internet
Pour les paquets sortant
• (priv_src_IP, priv_src_port) est associé à une nouvelle paire
(public_src_IP, public_src_port)
• Ces associations sont conservés dans une table NAT
Pour les paquets entrant
• On utilise le dest_port pour retrouver la bonne paire
(priv_src_IP, priv_src_port)
Implémenté par
Routeur ou passerelle
Coupe-feu
Serveur mandataire
5
INF4420
Sécurité Informatique
Réseaux privés virtuels (VPN)
Objectifs
Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles
de façons sécuritaires à travers un réseau intermédiaires non sécurisé
Techniques de base
Tunneling
• Chaque sous réseau protégé par une passerelle VPN
• Encapsulation de paquet ( ≠ NAT)
Ancien paquet devient message
Nouvelle entête en fonction des passerelles
Chiffrement
• Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou
modification sur le réseau non-securisé
Contrôle d’accès
• Seuls les paquets provenant des clients ou sous-réseaux autorisés sont
ré-acheminés vers le réseau interne
6
INF4420
Sécurité Informatique
Zone démilitarisée (DMZ)
Objectif
Permettre fournir des services de ou vers l’extérieur du réseau
interne, tout en protégeant celui-ci
Principe de base
Créer une zone intermédiaire où se trouve les services strictement
nécessaires
Adresses des serveurs DMZ sont routables et accessibles
• de l’extérieur : tout le temps
• de l’intérieur : si pertinent
Protégé par un coupe-feu/passerelle
Isolé du réseau interne par un coupe-feu/passerelle
7
INF4420
Sécurité Informatique
Services fournis à l’extérieur
Serveur DNS (pour adresses
DMZ seulement)
Serveur SMTP
Serveur Web
Passerelle VPN
Services typiques dans une DMZ
Services fournis à l’intérieur
Serveur mandataires Web
M-à-j des fichiers du serveur
Web
Connexion avec serveur
SMTP interne
Connexion entre serveur Web
et serveur de BD
8
INF4420
Sécurité Informatique
Selon l’implémentation
Matériel
Types de coupe-feu
Selon les fonctionnalités
Filtrage statique
• Pare-feu filtrant
Filtrage dynamique
• Parfois intégré dans le routeur
Pare-feu d’application
• « Network appliances »
Combine d’autres
• Pare-feu filtrant
• Serveur mandataire (proxy)
fonctionalités
Logiciel
• Serveur pare-feu dédié
• Pare-feu client ou individuel
9
INF4420
Sécurité Informatique
Coupe-feu statique
Principes de fonctionnement
Examine paquet par paquet (« stateless »)
• Adresses IP src et dest
• Port src et dest
• Type de protocole
Utilise des règles pour prendre action « block » ou « accept »
• Règle de routage : « IF src_IP = 123.45.*.* THEN block »
adresses privées
adresses internes/externes
listes noires
• Règle d’application : « IF dest_port = 80 THEN accept »
Par port de destination
• Évaluation séquentielle (!!)
Limitations
Pas de notion de connexion permet certains types d’attaques
10
INF4420
Sécurité Informatique
Coupe-feu dynamique
Principes de bases
Examine paquet par paquet, mais essaie d’établir relations entre paquets
• UDP
Associe paquet avec d’autre paquets sur mêmes ports et adresses
En général, permet seulement réponses si requêtes originales venant
d’adresses internes
• TCP
Garde information sur état et direction de la session TCP
Regarde en plus les flags TCP pour déterminer si hors-protocole
• Applications qui changent de port (e.g. FTP)
Suit et autorise les ports éphémères utilisés par les applications
Limitations
Pas de connaissance de l’état de la connexion au niveau application
Usurpation de port
11
INF4420
Sécurité Informatique
Coupe-feu applicatif
Principe de base
Le coupe-feu regarde le message et interprète son contenu par rapport à
l’application identifié par le port
Routeur filtrant
Bloque ou accepte en fonction du contenu du message
• Bon port pour type d’application
• Bonne séquence à niveau des protocoles d’application
Serveurs mandataires (proxy)
Agisse au nom du client d’application
Déballe et remballe les paquets IP avec nouvel adresse et port src
Autres fonctionnalités
Authentification et contrôle d’accès
VPN
Anti-virus, anti-spam, filtrage de contenu
Caching
12
INF4420
Sécurité Informatique
Étapes d’une attaque standard sur le réseau
1. Définitions et identification d’objectifs
Quelle est la cible ?
2. Reconnaissance
Où se trouve la cible ?
3. Caractérisation (« Fingerprinting »)
Identification de vulnérabilité
4. Pénétration
Exploitation de vulnérabilité
5. Exploitation
Garder l’accès
Ne pas se faire prendre
Accomplir les objectifs
13
INF4420
Sécurité Informatique
Attaques de déni de services (DoS)
Objectifs
Éliminer ou réduire la qualité de service d’un fournisseur de
services
Types
Par vulnérabilité (« crippling DoS »)
Par saturation (« Flood DoS »)
Par absorption (« Black hole DoS »)
Particularités
Pas de pénétration
Camouflage optionnel
Pas de contre-mesures absolues !!
14
INF4420
Sécurité Informatique
Attaque DoS distribuée (DDoS)
Principe de base
1. Prendre le contrôle de plusieurs machines (« botnet »)
2. Utiliser ces machines pour générer des requêtes (saturation)
Exemples
SYN flooding
SYN/ACK flooding
• Direct
• Indirect (backblast)
Session/Application flooding
• TCP, HTTP, SQL
• « Spoofing » plus possible
Défense
Analyse de coût relatif
Faire augmenter le coût de l’attaque
15
INF4420
Sécurité Informatique
Crimes informatiques économiques
1. Polluriel et hameçonnage
Canulards
Vente directe de produits
Vente pyramidale
Arnaques « nigériennes »
Captures de comptes
2. Fraudes publicitaires
Modèle de revenu « par click »
Génération de « faux » click
3. Augmentation de priorité (« shilling »)
Moteurs de recherche
Systèmes de recommandation
16
INF4420
Sécurité Informatique
Pourriel
Contre-mesures
Détecter courriels identiques
• Comparaison intégrale ou par fonction de hachage
Bloquer une adresse IP si plusieurs courriels identiques/similaires
Reconnaissance de pourriel
• Analyse par règles
Contre-contre-mesures
Utiliser des machines « jetables » (botnet)
Générer des messages différents, mais équivalents
• Ajouts d’éléments aléatoires hors-message hachés différents
• Variations du message
Texte mal écrit, mais lisible
Message en HTML
Texte dans une image
Course d’armement entre pollueurs et constructeur de filtres
17
INF4420
Sécurité Informatique
Hameçonnage bancaire
Techniques de base
En apparence lien pointe sur vrai site
Faux site a apparence identique
Session redirigée vers vrai site (« ni vu, ni connu »)
Techniques avancées
DNS spoofing (serveurs DNS compromis ou empoisonné)
Prendre le contrôle d’un serveur web existant
• Sans que le propriétaire s’en rende compte
• Pour éviter de se faire repérer
• Usager/NIP capturés re-acheminé par canal clandestin
18
Slide 7
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Où sommes-nous ?
Semaine 1 – Intro
Semaines 2, 3 et 4 – Cryptographie
Semaine 6, 7 – Sécurité dans les SE (suite)
Semaine 8 – Période de relâche
Semaine 9 – Sécurité des BD et des applications Web
Semaine 10 – Contrôle périodique
Semaine 11, 12 et 13 – Sécurité des réseaux
Risques spécifiques aux réseaux
Des attaques, des attaques et encore des attaques
Configuration sécuritaires et contre-mesures
Semaine 14 – Gestion de la sécurité.
Intervenants et modes d'intervention
Aspects légaux et déontologiques
2
INF4420
Sécurité Informatique
Semaine 11
Notions de bases sur les réseaux
Risques spécifiques aux réseaux
Analyse de risques par couche
Module III – Sécurité des réseaux
Semaine 13
Détection d'intrus (IDS)
Protocoles sécuritaires de réseaux
• SSH
• Attaques typiques par couche
• SSL et TLS (HTTPS)
• Attaques intra-couche
• IPSEC/IPv6
Semaine 12
Configuration sécuritaire de
réseaux
• Plan d'adressage, routage et NAT
• Pare-feux
• DMZ, VPN et serveurs mandataires
Encore des attaques
• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• Pourriel et hameçonnage
3
INF4420
Sécurité Informatique
Configuration sécuritaire
Principes de bastionnage de réseaux
Bloquer tous le trafic non pertinent
• Paquets qui ne vont pas à la bonne place
adresses IP vs. table de routage
• Applications/services non offerts (superflus)
Ports fermés/ouverts
Segmentation du réseau
• Utiliser des routeurs/passerelles/serveurs mandataires
Cacher les adresses IP internes (par NAT)
Protéger les services/serveurs critiques
« Défense en profondeur »
• Principe de l’oignon
• Chaque niveau à un contexte différent
Permet de mieux ajuster le modèle de sécurité
4
INF4420
Sécurité Informatique
Network Address Translation
Principe de base
Le réseau interne est dans le domaine « privé »
• 10.*.*.* ou 192.168.*.*
• Non-routable (par défaut) vers l’extérieur ou sur l’Internet
Pour les paquets sortant
• (priv_src_IP, priv_src_port) est associé à une nouvelle paire
(public_src_IP, public_src_port)
• Ces associations sont conservés dans une table NAT
Pour les paquets entrant
• On utilise le dest_port pour retrouver la bonne paire
(priv_src_IP, priv_src_port)
Implémenté par
Routeur ou passerelle
Coupe-feu
Serveur mandataire
5
INF4420
Sécurité Informatique
Réseaux privés virtuels (VPN)
Objectifs
Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles
de façons sécuritaires à travers un réseau intermédiaires non sécurisé
Techniques de base
Tunneling
• Chaque sous réseau protégé par une passerelle VPN
• Encapsulation de paquet ( ≠ NAT)
Ancien paquet devient message
Nouvelle entête en fonction des passerelles
Chiffrement
• Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou
modification sur le réseau non-securisé
Contrôle d’accès
• Seuls les paquets provenant des clients ou sous-réseaux autorisés sont
ré-acheminés vers le réseau interne
6
INF4420
Sécurité Informatique
Zone démilitarisée (DMZ)
Objectif
Permettre fournir des services de ou vers l’extérieur du réseau
interne, tout en protégeant celui-ci
Principe de base
Créer une zone intermédiaire où se trouve les services strictement
nécessaires
Adresses des serveurs DMZ sont routables et accessibles
• de l’extérieur : tout le temps
• de l’intérieur : si pertinent
Protégé par un coupe-feu/passerelle
Isolé du réseau interne par un coupe-feu/passerelle
7
INF4420
Sécurité Informatique
Services fournis à l’extérieur
Serveur DNS (pour adresses
DMZ seulement)
Serveur SMTP
Serveur Web
Passerelle VPN
Services typiques dans une DMZ
Services fournis à l’intérieur
Serveur mandataires Web
M-à-j des fichiers du serveur
Web
Connexion avec serveur
SMTP interne
Connexion entre serveur Web
et serveur de BD
8
INF4420
Sécurité Informatique
Selon l’implémentation
Matériel
Types de coupe-feu
Selon les fonctionnalités
Filtrage statique
• Pare-feu filtrant
Filtrage dynamique
• Parfois intégré dans le routeur
Pare-feu d’application
• « Network appliances »
Combine d’autres
• Pare-feu filtrant
• Serveur mandataire (proxy)
fonctionalités
Logiciel
• Serveur pare-feu dédié
• Pare-feu client ou individuel
9
INF4420
Sécurité Informatique
Coupe-feu statique
Principes de fonctionnement
Examine paquet par paquet (« stateless »)
• Adresses IP src et dest
• Port src et dest
• Type de protocole
Utilise des règles pour prendre action « block » ou « accept »
• Règle de routage : « IF src_IP = 123.45.*.* THEN block »
adresses privées
adresses internes/externes
listes noires
• Règle d’application : « IF dest_port = 80 THEN accept »
Par port de destination
• Évaluation séquentielle (!!)
Limitations
Pas de notion de connexion permet certains types d’attaques
10
INF4420
Sécurité Informatique
Coupe-feu dynamique
Principes de bases
Examine paquet par paquet, mais essaie d’établir relations entre paquets
• UDP
Associe paquet avec d’autre paquets sur mêmes ports et adresses
En général, permet seulement réponses si requêtes originales venant
d’adresses internes
• TCP
Garde information sur état et direction de la session TCP
Regarde en plus les flags TCP pour déterminer si hors-protocole
• Applications qui changent de port (e.g. FTP)
Suit et autorise les ports éphémères utilisés par les applications
Limitations
Pas de connaissance de l’état de la connexion au niveau application
Usurpation de port
11
INF4420
Sécurité Informatique
Coupe-feu applicatif
Principe de base
Le coupe-feu regarde le message et interprète son contenu par rapport à
l’application identifié par le port
Routeur filtrant
Bloque ou accepte en fonction du contenu du message
• Bon port pour type d’application
• Bonne séquence à niveau des protocoles d’application
Serveurs mandataires (proxy)
Agisse au nom du client d’application
Déballe et remballe les paquets IP avec nouvel adresse et port src
Autres fonctionnalités
Authentification et contrôle d’accès
VPN
Anti-virus, anti-spam, filtrage de contenu
Caching
12
INF4420
Sécurité Informatique
Étapes d’une attaque standard sur le réseau
1. Définitions et identification d’objectifs
Quelle est la cible ?
2. Reconnaissance
Où se trouve la cible ?
3. Caractérisation (« Fingerprinting »)
Identification de vulnérabilité
4. Pénétration
Exploitation de vulnérabilité
5. Exploitation
Garder l’accès
Ne pas se faire prendre
Accomplir les objectifs
13
INF4420
Sécurité Informatique
Attaques de déni de services (DoS)
Objectifs
Éliminer ou réduire la qualité de service d’un fournisseur de
services
Types
Par vulnérabilité (« crippling DoS »)
Par saturation (« Flood DoS »)
Par absorption (« Black hole DoS »)
Particularités
Pas de pénétration
Camouflage optionnel
Pas de contre-mesures absolues !!
14
INF4420
Sécurité Informatique
Attaque DoS distribuée (DDoS)
Principe de base
1. Prendre le contrôle de plusieurs machines (« botnet »)
2. Utiliser ces machines pour générer des requêtes (saturation)
Exemples
SYN flooding
SYN/ACK flooding
• Direct
• Indirect (backblast)
Session/Application flooding
• TCP, HTTP, SQL
• « Spoofing » plus possible
Défense
Analyse de coût relatif
Faire augmenter le coût de l’attaque
15
INF4420
Sécurité Informatique
Crimes informatiques économiques
1. Polluriel et hameçonnage
Canulards
Vente directe de produits
Vente pyramidale
Arnaques « nigériennes »
Captures de comptes
2. Fraudes publicitaires
Modèle de revenu « par click »
Génération de « faux » click
3. Augmentation de priorité (« shilling »)
Moteurs de recherche
Systèmes de recommandation
16
INF4420
Sécurité Informatique
Pourriel
Contre-mesures
Détecter courriels identiques
• Comparaison intégrale ou par fonction de hachage
Bloquer une adresse IP si plusieurs courriels identiques/similaires
Reconnaissance de pourriel
• Analyse par règles
Contre-contre-mesures
Utiliser des machines « jetables » (botnet)
Générer des messages différents, mais équivalents
• Ajouts d’éléments aléatoires hors-message hachés différents
• Variations du message
Texte mal écrit, mais lisible
Message en HTML
Texte dans une image
Course d’armement entre pollueurs et constructeur de filtres
17
INF4420
Sécurité Informatique
Hameçonnage bancaire
Techniques de base
En apparence lien pointe sur vrai site
Faux site a apparence identique
Session redirigée vers vrai site (« ni vu, ni connu »)
Techniques avancées
DNS spoofing (serveurs DNS compromis ou empoisonné)
Prendre le contrôle d’un serveur web existant
• Sans que le propriétaire s’en rende compte
• Pour éviter de se faire repérer
• Usager/NIP capturés re-acheminé par canal clandestin
18
Slide 8
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Où sommes-nous ?
Semaine 1 – Intro
Semaines 2, 3 et 4 – Cryptographie
Semaine 6, 7 – Sécurité dans les SE (suite)
Semaine 8 – Période de relâche
Semaine 9 – Sécurité des BD et des applications Web
Semaine 10 – Contrôle périodique
Semaine 11, 12 et 13 – Sécurité des réseaux
Risques spécifiques aux réseaux
Des attaques, des attaques et encore des attaques
Configuration sécuritaires et contre-mesures
Semaine 14 – Gestion de la sécurité.
Intervenants et modes d'intervention
Aspects légaux et déontologiques
2
INF4420
Sécurité Informatique
Semaine 11
Notions de bases sur les réseaux
Risques spécifiques aux réseaux
Analyse de risques par couche
Module III – Sécurité des réseaux
Semaine 13
Détection d'intrus (IDS)
Protocoles sécuritaires de réseaux
• SSH
• Attaques typiques par couche
• SSL et TLS (HTTPS)
• Attaques intra-couche
• IPSEC/IPv6
Semaine 12
Configuration sécuritaire de
réseaux
• Plan d'adressage, routage et NAT
• Pare-feux
• DMZ, VPN et serveurs mandataires
Encore des attaques
• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• Pourriel et hameçonnage
3
INF4420
Sécurité Informatique
Configuration sécuritaire
Principes de bastionnage de réseaux
Bloquer tous le trafic non pertinent
• Paquets qui ne vont pas à la bonne place
adresses IP vs. table de routage
• Applications/services non offerts (superflus)
Ports fermés/ouverts
Segmentation du réseau
• Utiliser des routeurs/passerelles/serveurs mandataires
Cacher les adresses IP internes (par NAT)
Protéger les services/serveurs critiques
« Défense en profondeur »
• Principe de l’oignon
• Chaque niveau à un contexte différent
Permet de mieux ajuster le modèle de sécurité
4
INF4420
Sécurité Informatique
Network Address Translation
Principe de base
Le réseau interne est dans le domaine « privé »
• 10.*.*.* ou 192.168.*.*
• Non-routable (par défaut) vers l’extérieur ou sur l’Internet
Pour les paquets sortant
• (priv_src_IP, priv_src_port) est associé à une nouvelle paire
(public_src_IP, public_src_port)
• Ces associations sont conservés dans une table NAT
Pour les paquets entrant
• On utilise le dest_port pour retrouver la bonne paire
(priv_src_IP, priv_src_port)
Implémenté par
Routeur ou passerelle
Coupe-feu
Serveur mandataire
5
INF4420
Sécurité Informatique
Réseaux privés virtuels (VPN)
Objectifs
Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles
de façons sécuritaires à travers un réseau intermédiaires non sécurisé
Techniques de base
Tunneling
• Chaque sous réseau protégé par une passerelle VPN
• Encapsulation de paquet ( ≠ NAT)
Ancien paquet devient message
Nouvelle entête en fonction des passerelles
Chiffrement
• Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou
modification sur le réseau non-securisé
Contrôle d’accès
• Seuls les paquets provenant des clients ou sous-réseaux autorisés sont
ré-acheminés vers le réseau interne
6
INF4420
Sécurité Informatique
Zone démilitarisée (DMZ)
Objectif
Permettre fournir des services de ou vers l’extérieur du réseau
interne, tout en protégeant celui-ci
Principe de base
Créer une zone intermédiaire où se trouve les services strictement
nécessaires
Adresses des serveurs DMZ sont routables et accessibles
• de l’extérieur : tout le temps
• de l’intérieur : si pertinent
Protégé par un coupe-feu/passerelle
Isolé du réseau interne par un coupe-feu/passerelle
7
INF4420
Sécurité Informatique
Services fournis à l’extérieur
Serveur DNS (pour adresses
DMZ seulement)
Serveur SMTP
Serveur Web
Passerelle VPN
Services typiques dans une DMZ
Services fournis à l’intérieur
Serveur mandataires Web
M-à-j des fichiers du serveur
Web
Connexion avec serveur
SMTP interne
Connexion entre serveur Web
et serveur de BD
8
INF4420
Sécurité Informatique
Selon l’implémentation
Matériel
Types de coupe-feu
Selon les fonctionnalités
Filtrage statique
• Pare-feu filtrant
Filtrage dynamique
• Parfois intégré dans le routeur
Pare-feu d’application
• « Network appliances »
Combine d’autres
• Pare-feu filtrant
• Serveur mandataire (proxy)
fonctionalités
Logiciel
• Serveur pare-feu dédié
• Pare-feu client ou individuel
9
INF4420
Sécurité Informatique
Coupe-feu statique
Principes de fonctionnement
Examine paquet par paquet (« stateless »)
• Adresses IP src et dest
• Port src et dest
• Type de protocole
Utilise des règles pour prendre action « block » ou « accept »
• Règle de routage : « IF src_IP = 123.45.*.* THEN block »
adresses privées
adresses internes/externes
listes noires
• Règle d’application : « IF dest_port = 80 THEN accept »
Par port de destination
• Évaluation séquentielle (!!)
Limitations
Pas de notion de connexion permet certains types d’attaques
10
INF4420
Sécurité Informatique
Coupe-feu dynamique
Principes de bases
Examine paquet par paquet, mais essaie d’établir relations entre paquets
• UDP
Associe paquet avec d’autre paquets sur mêmes ports et adresses
En général, permet seulement réponses si requêtes originales venant
d’adresses internes
• TCP
Garde information sur état et direction de la session TCP
Regarde en plus les flags TCP pour déterminer si hors-protocole
• Applications qui changent de port (e.g. FTP)
Suit et autorise les ports éphémères utilisés par les applications
Limitations
Pas de connaissance de l’état de la connexion au niveau application
Usurpation de port
11
INF4420
Sécurité Informatique
Coupe-feu applicatif
Principe de base
Le coupe-feu regarde le message et interprète son contenu par rapport à
l’application identifié par le port
Routeur filtrant
Bloque ou accepte en fonction du contenu du message
• Bon port pour type d’application
• Bonne séquence à niveau des protocoles d’application
Serveurs mandataires (proxy)
Agisse au nom du client d’application
Déballe et remballe les paquets IP avec nouvel adresse et port src
Autres fonctionnalités
Authentification et contrôle d’accès
VPN
Anti-virus, anti-spam, filtrage de contenu
Caching
12
INF4420
Sécurité Informatique
Étapes d’une attaque standard sur le réseau
1. Définitions et identification d’objectifs
Quelle est la cible ?
2. Reconnaissance
Où se trouve la cible ?
3. Caractérisation (« Fingerprinting »)
Identification de vulnérabilité
4. Pénétration
Exploitation de vulnérabilité
5. Exploitation
Garder l’accès
Ne pas se faire prendre
Accomplir les objectifs
13
INF4420
Sécurité Informatique
Attaques de déni de services (DoS)
Objectifs
Éliminer ou réduire la qualité de service d’un fournisseur de
services
Types
Par vulnérabilité (« crippling DoS »)
Par saturation (« Flood DoS »)
Par absorption (« Black hole DoS »)
Particularités
Pas de pénétration
Camouflage optionnel
Pas de contre-mesures absolues !!
14
INF4420
Sécurité Informatique
Attaque DoS distribuée (DDoS)
Principe de base
1. Prendre le contrôle de plusieurs machines (« botnet »)
2. Utiliser ces machines pour générer des requêtes (saturation)
Exemples
SYN flooding
SYN/ACK flooding
• Direct
• Indirect (backblast)
Session/Application flooding
• TCP, HTTP, SQL
• « Spoofing » plus possible
Défense
Analyse de coût relatif
Faire augmenter le coût de l’attaque
15
INF4420
Sécurité Informatique
Crimes informatiques économiques
1. Polluriel et hameçonnage
Canulards
Vente directe de produits
Vente pyramidale
Arnaques « nigériennes »
Captures de comptes
2. Fraudes publicitaires
Modèle de revenu « par click »
Génération de « faux » click
3. Augmentation de priorité (« shilling »)
Moteurs de recherche
Systèmes de recommandation
16
INF4420
Sécurité Informatique
Pourriel
Contre-mesures
Détecter courriels identiques
• Comparaison intégrale ou par fonction de hachage
Bloquer une adresse IP si plusieurs courriels identiques/similaires
Reconnaissance de pourriel
• Analyse par règles
Contre-contre-mesures
Utiliser des machines « jetables » (botnet)
Générer des messages différents, mais équivalents
• Ajouts d’éléments aléatoires hors-message hachés différents
• Variations du message
Texte mal écrit, mais lisible
Message en HTML
Texte dans une image
Course d’armement entre pollueurs et constructeur de filtres
17
INF4420
Sécurité Informatique
Hameçonnage bancaire
Techniques de base
En apparence lien pointe sur vrai site
Faux site a apparence identique
Session redirigée vers vrai site (« ni vu, ni connu »)
Techniques avancées
DNS spoofing (serveurs DNS compromis ou empoisonné)
Prendre le contrôle d’un serveur web existant
• Sans que le propriétaire s’en rende compte
• Pour éviter de se faire repérer
• Usager/NIP capturés re-acheminé par canal clandestin
18
Slide 9
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Où sommes-nous ?
Semaine 1 – Intro
Semaines 2, 3 et 4 – Cryptographie
Semaine 6, 7 – Sécurité dans les SE (suite)
Semaine 8 – Période de relâche
Semaine 9 – Sécurité des BD et des applications Web
Semaine 10 – Contrôle périodique
Semaine 11, 12 et 13 – Sécurité des réseaux
Risques spécifiques aux réseaux
Des attaques, des attaques et encore des attaques
Configuration sécuritaires et contre-mesures
Semaine 14 – Gestion de la sécurité.
Intervenants et modes d'intervention
Aspects légaux et déontologiques
2
INF4420
Sécurité Informatique
Semaine 11
Notions de bases sur les réseaux
Risques spécifiques aux réseaux
Analyse de risques par couche
Module III – Sécurité des réseaux
Semaine 13
Détection d'intrus (IDS)
Protocoles sécuritaires de réseaux
• SSH
• Attaques typiques par couche
• SSL et TLS (HTTPS)
• Attaques intra-couche
• IPSEC/IPv6
Semaine 12
Configuration sécuritaire de
réseaux
• Plan d'adressage, routage et NAT
• Pare-feux
• DMZ, VPN et serveurs mandataires
Encore des attaques
• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• Pourriel et hameçonnage
3
INF4420
Sécurité Informatique
Configuration sécuritaire
Principes de bastionnage de réseaux
Bloquer tous le trafic non pertinent
• Paquets qui ne vont pas à la bonne place
adresses IP vs. table de routage
• Applications/services non offerts (superflus)
Ports fermés/ouverts
Segmentation du réseau
• Utiliser des routeurs/passerelles/serveurs mandataires
Cacher les adresses IP internes (par NAT)
Protéger les services/serveurs critiques
« Défense en profondeur »
• Principe de l’oignon
• Chaque niveau à un contexte différent
Permet de mieux ajuster le modèle de sécurité
4
INF4420
Sécurité Informatique
Network Address Translation
Principe de base
Le réseau interne est dans le domaine « privé »
• 10.*.*.* ou 192.168.*.*
• Non-routable (par défaut) vers l’extérieur ou sur l’Internet
Pour les paquets sortant
• (priv_src_IP, priv_src_port) est associé à une nouvelle paire
(public_src_IP, public_src_port)
• Ces associations sont conservés dans une table NAT
Pour les paquets entrant
• On utilise le dest_port pour retrouver la bonne paire
(priv_src_IP, priv_src_port)
Implémenté par
Routeur ou passerelle
Coupe-feu
Serveur mandataire
5
INF4420
Sécurité Informatique
Réseaux privés virtuels (VPN)
Objectifs
Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles
de façons sécuritaires à travers un réseau intermédiaires non sécurisé
Techniques de base
Tunneling
• Chaque sous réseau protégé par une passerelle VPN
• Encapsulation de paquet ( ≠ NAT)
Ancien paquet devient message
Nouvelle entête en fonction des passerelles
Chiffrement
• Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou
modification sur le réseau non-securisé
Contrôle d’accès
• Seuls les paquets provenant des clients ou sous-réseaux autorisés sont
ré-acheminés vers le réseau interne
6
INF4420
Sécurité Informatique
Zone démilitarisée (DMZ)
Objectif
Permettre fournir des services de ou vers l’extérieur du réseau
interne, tout en protégeant celui-ci
Principe de base
Créer une zone intermédiaire où se trouve les services strictement
nécessaires
Adresses des serveurs DMZ sont routables et accessibles
• de l’extérieur : tout le temps
• de l’intérieur : si pertinent
Protégé par un coupe-feu/passerelle
Isolé du réseau interne par un coupe-feu/passerelle
7
INF4420
Sécurité Informatique
Services fournis à l’extérieur
Serveur DNS (pour adresses
DMZ seulement)
Serveur SMTP
Serveur Web
Passerelle VPN
Services typiques dans une DMZ
Services fournis à l’intérieur
Serveur mandataires Web
M-à-j des fichiers du serveur
Web
Connexion avec serveur
SMTP interne
Connexion entre serveur Web
et serveur de BD
8
INF4420
Sécurité Informatique
Selon l’implémentation
Matériel
Types de coupe-feu
Selon les fonctionnalités
Filtrage statique
• Pare-feu filtrant
Filtrage dynamique
• Parfois intégré dans le routeur
Pare-feu d’application
• « Network appliances »
Combine d’autres
• Pare-feu filtrant
• Serveur mandataire (proxy)
fonctionalités
Logiciel
• Serveur pare-feu dédié
• Pare-feu client ou individuel
9
INF4420
Sécurité Informatique
Coupe-feu statique
Principes de fonctionnement
Examine paquet par paquet (« stateless »)
• Adresses IP src et dest
• Port src et dest
• Type de protocole
Utilise des règles pour prendre action « block » ou « accept »
• Règle de routage : « IF src_IP = 123.45.*.* THEN block »
adresses privées
adresses internes/externes
listes noires
• Règle d’application : « IF dest_port = 80 THEN accept »
Par port de destination
• Évaluation séquentielle (!!)
Limitations
Pas de notion de connexion permet certains types d’attaques
10
INF4420
Sécurité Informatique
Coupe-feu dynamique
Principes de bases
Examine paquet par paquet, mais essaie d’établir relations entre paquets
• UDP
Associe paquet avec d’autre paquets sur mêmes ports et adresses
En général, permet seulement réponses si requêtes originales venant
d’adresses internes
• TCP
Garde information sur état et direction de la session TCP
Regarde en plus les flags TCP pour déterminer si hors-protocole
• Applications qui changent de port (e.g. FTP)
Suit et autorise les ports éphémères utilisés par les applications
Limitations
Pas de connaissance de l’état de la connexion au niveau application
Usurpation de port
11
INF4420
Sécurité Informatique
Coupe-feu applicatif
Principe de base
Le coupe-feu regarde le message et interprète son contenu par rapport à
l’application identifié par le port
Routeur filtrant
Bloque ou accepte en fonction du contenu du message
• Bon port pour type d’application
• Bonne séquence à niveau des protocoles d’application
Serveurs mandataires (proxy)
Agisse au nom du client d’application
Déballe et remballe les paquets IP avec nouvel adresse et port src
Autres fonctionnalités
Authentification et contrôle d’accès
VPN
Anti-virus, anti-spam, filtrage de contenu
Caching
12
INF4420
Sécurité Informatique
Étapes d’une attaque standard sur le réseau
1. Définitions et identification d’objectifs
Quelle est la cible ?
2. Reconnaissance
Où se trouve la cible ?
3. Caractérisation (« Fingerprinting »)
Identification de vulnérabilité
4. Pénétration
Exploitation de vulnérabilité
5. Exploitation
Garder l’accès
Ne pas se faire prendre
Accomplir les objectifs
13
INF4420
Sécurité Informatique
Attaques de déni de services (DoS)
Objectifs
Éliminer ou réduire la qualité de service d’un fournisseur de
services
Types
Par vulnérabilité (« crippling DoS »)
Par saturation (« Flood DoS »)
Par absorption (« Black hole DoS »)
Particularités
Pas de pénétration
Camouflage optionnel
Pas de contre-mesures absolues !!
14
INF4420
Sécurité Informatique
Attaque DoS distribuée (DDoS)
Principe de base
1. Prendre le contrôle de plusieurs machines (« botnet »)
2. Utiliser ces machines pour générer des requêtes (saturation)
Exemples
SYN flooding
SYN/ACK flooding
• Direct
• Indirect (backblast)
Session/Application flooding
• TCP, HTTP, SQL
• « Spoofing » plus possible
Défense
Analyse de coût relatif
Faire augmenter le coût de l’attaque
15
INF4420
Sécurité Informatique
Crimes informatiques économiques
1. Polluriel et hameçonnage
Canulards
Vente directe de produits
Vente pyramidale
Arnaques « nigériennes »
Captures de comptes
2. Fraudes publicitaires
Modèle de revenu « par click »
Génération de « faux » click
3. Augmentation de priorité (« shilling »)
Moteurs de recherche
Systèmes de recommandation
16
INF4420
Sécurité Informatique
Pourriel
Contre-mesures
Détecter courriels identiques
• Comparaison intégrale ou par fonction de hachage
Bloquer une adresse IP si plusieurs courriels identiques/similaires
Reconnaissance de pourriel
• Analyse par règles
Contre-contre-mesures
Utiliser des machines « jetables » (botnet)
Générer des messages différents, mais équivalents
• Ajouts d’éléments aléatoires hors-message hachés différents
• Variations du message
Texte mal écrit, mais lisible
Message en HTML
Texte dans une image
Course d’armement entre pollueurs et constructeur de filtres
17
INF4420
Sécurité Informatique
Hameçonnage bancaire
Techniques de base
En apparence lien pointe sur vrai site
Faux site a apparence identique
Session redirigée vers vrai site (« ni vu, ni connu »)
Techniques avancées
DNS spoofing (serveurs DNS compromis ou empoisonné)
Prendre le contrôle d’un serveur web existant
• Sans que le propriétaire s’en rende compte
• Pour éviter de se faire repérer
• Usager/NIP capturés re-acheminé par canal clandestin
18
Slide 10
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Où sommes-nous ?
Semaine 1 – Intro
Semaines 2, 3 et 4 – Cryptographie
Semaine 6, 7 – Sécurité dans les SE (suite)
Semaine 8 – Période de relâche
Semaine 9 – Sécurité des BD et des applications Web
Semaine 10 – Contrôle périodique
Semaine 11, 12 et 13 – Sécurité des réseaux
Risques spécifiques aux réseaux
Des attaques, des attaques et encore des attaques
Configuration sécuritaires et contre-mesures
Semaine 14 – Gestion de la sécurité.
Intervenants et modes d'intervention
Aspects légaux et déontologiques
2
INF4420
Sécurité Informatique
Semaine 11
Notions de bases sur les réseaux
Risques spécifiques aux réseaux
Analyse de risques par couche
Module III – Sécurité des réseaux
Semaine 13
Détection d'intrus (IDS)
Protocoles sécuritaires de réseaux
• SSH
• Attaques typiques par couche
• SSL et TLS (HTTPS)
• Attaques intra-couche
• IPSEC/IPv6
Semaine 12
Configuration sécuritaire de
réseaux
• Plan d'adressage, routage et NAT
• Pare-feux
• DMZ, VPN et serveurs mandataires
Encore des attaques
• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• Pourriel et hameçonnage
3
INF4420
Sécurité Informatique
Configuration sécuritaire
Principes de bastionnage de réseaux
Bloquer tous le trafic non pertinent
• Paquets qui ne vont pas à la bonne place
adresses IP vs. table de routage
• Applications/services non offerts (superflus)
Ports fermés/ouverts
Segmentation du réseau
• Utiliser des routeurs/passerelles/serveurs mandataires
Cacher les adresses IP internes (par NAT)
Protéger les services/serveurs critiques
« Défense en profondeur »
• Principe de l’oignon
• Chaque niveau à un contexte différent
Permet de mieux ajuster le modèle de sécurité
4
INF4420
Sécurité Informatique
Network Address Translation
Principe de base
Le réseau interne est dans le domaine « privé »
• 10.*.*.* ou 192.168.*.*
• Non-routable (par défaut) vers l’extérieur ou sur l’Internet
Pour les paquets sortant
• (priv_src_IP, priv_src_port) est associé à une nouvelle paire
(public_src_IP, public_src_port)
• Ces associations sont conservés dans une table NAT
Pour les paquets entrant
• On utilise le dest_port pour retrouver la bonne paire
(priv_src_IP, priv_src_port)
Implémenté par
Routeur ou passerelle
Coupe-feu
Serveur mandataire
5
INF4420
Sécurité Informatique
Réseaux privés virtuels (VPN)
Objectifs
Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles
de façons sécuritaires à travers un réseau intermédiaires non sécurisé
Techniques de base
Tunneling
• Chaque sous réseau protégé par une passerelle VPN
• Encapsulation de paquet ( ≠ NAT)
Ancien paquet devient message
Nouvelle entête en fonction des passerelles
Chiffrement
• Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou
modification sur le réseau non-securisé
Contrôle d’accès
• Seuls les paquets provenant des clients ou sous-réseaux autorisés sont
ré-acheminés vers le réseau interne
6
INF4420
Sécurité Informatique
Zone démilitarisée (DMZ)
Objectif
Permettre fournir des services de ou vers l’extérieur du réseau
interne, tout en protégeant celui-ci
Principe de base
Créer une zone intermédiaire où se trouve les services strictement
nécessaires
Adresses des serveurs DMZ sont routables et accessibles
• de l’extérieur : tout le temps
• de l’intérieur : si pertinent
Protégé par un coupe-feu/passerelle
Isolé du réseau interne par un coupe-feu/passerelle
7
INF4420
Sécurité Informatique
Services fournis à l’extérieur
Serveur DNS (pour adresses
DMZ seulement)
Serveur SMTP
Serveur Web
Passerelle VPN
Services typiques dans une DMZ
Services fournis à l’intérieur
Serveur mandataires Web
M-à-j des fichiers du serveur
Web
Connexion avec serveur
SMTP interne
Connexion entre serveur Web
et serveur de BD
8
INF4420
Sécurité Informatique
Selon l’implémentation
Matériel
Types de coupe-feu
Selon les fonctionnalités
Filtrage statique
• Pare-feu filtrant
Filtrage dynamique
• Parfois intégré dans le routeur
Pare-feu d’application
• « Network appliances »
Combine d’autres
• Pare-feu filtrant
• Serveur mandataire (proxy)
fonctionalités
Logiciel
• Serveur pare-feu dédié
• Pare-feu client ou individuel
9
INF4420
Sécurité Informatique
Coupe-feu statique
Principes de fonctionnement
Examine paquet par paquet (« stateless »)
• Adresses IP src et dest
• Port src et dest
• Type de protocole
Utilise des règles pour prendre action « block » ou « accept »
• Règle de routage : « IF src_IP = 123.45.*.* THEN block »
adresses privées
adresses internes/externes
listes noires
• Règle d’application : « IF dest_port = 80 THEN accept »
Par port de destination
• Évaluation séquentielle (!!)
Limitations
Pas de notion de connexion permet certains types d’attaques
10
INF4420
Sécurité Informatique
Coupe-feu dynamique
Principes de bases
Examine paquet par paquet, mais essaie d’établir relations entre paquets
• UDP
Associe paquet avec d’autre paquets sur mêmes ports et adresses
En général, permet seulement réponses si requêtes originales venant
d’adresses internes
• TCP
Garde information sur état et direction de la session TCP
Regarde en plus les flags TCP pour déterminer si hors-protocole
• Applications qui changent de port (e.g. FTP)
Suit et autorise les ports éphémères utilisés par les applications
Limitations
Pas de connaissance de l’état de la connexion au niveau application
Usurpation de port
11
INF4420
Sécurité Informatique
Coupe-feu applicatif
Principe de base
Le coupe-feu regarde le message et interprète son contenu par rapport à
l’application identifié par le port
Routeur filtrant
Bloque ou accepte en fonction du contenu du message
• Bon port pour type d’application
• Bonne séquence à niveau des protocoles d’application
Serveurs mandataires (proxy)
Agisse au nom du client d’application
Déballe et remballe les paquets IP avec nouvel adresse et port src
Autres fonctionnalités
Authentification et contrôle d’accès
VPN
Anti-virus, anti-spam, filtrage de contenu
Caching
12
INF4420
Sécurité Informatique
Étapes d’une attaque standard sur le réseau
1. Définitions et identification d’objectifs
Quelle est la cible ?
2. Reconnaissance
Où se trouve la cible ?
3. Caractérisation (« Fingerprinting »)
Identification de vulnérabilité
4. Pénétration
Exploitation de vulnérabilité
5. Exploitation
Garder l’accès
Ne pas se faire prendre
Accomplir les objectifs
13
INF4420
Sécurité Informatique
Attaques de déni de services (DoS)
Objectifs
Éliminer ou réduire la qualité de service d’un fournisseur de
services
Types
Par vulnérabilité (« crippling DoS »)
Par saturation (« Flood DoS »)
Par absorption (« Black hole DoS »)
Particularités
Pas de pénétration
Camouflage optionnel
Pas de contre-mesures absolues !!
14
INF4420
Sécurité Informatique
Attaque DoS distribuée (DDoS)
Principe de base
1. Prendre le contrôle de plusieurs machines (« botnet »)
2. Utiliser ces machines pour générer des requêtes (saturation)
Exemples
SYN flooding
SYN/ACK flooding
• Direct
• Indirect (backblast)
Session/Application flooding
• TCP, HTTP, SQL
• « Spoofing » plus possible
Défense
Analyse de coût relatif
Faire augmenter le coût de l’attaque
15
INF4420
Sécurité Informatique
Crimes informatiques économiques
1. Polluriel et hameçonnage
Canulards
Vente directe de produits
Vente pyramidale
Arnaques « nigériennes »
Captures de comptes
2. Fraudes publicitaires
Modèle de revenu « par click »
Génération de « faux » click
3. Augmentation de priorité (« shilling »)
Moteurs de recherche
Systèmes de recommandation
16
INF4420
Sécurité Informatique
Pourriel
Contre-mesures
Détecter courriels identiques
• Comparaison intégrale ou par fonction de hachage
Bloquer une adresse IP si plusieurs courriels identiques/similaires
Reconnaissance de pourriel
• Analyse par règles
Contre-contre-mesures
Utiliser des machines « jetables » (botnet)
Générer des messages différents, mais équivalents
• Ajouts d’éléments aléatoires hors-message hachés différents
• Variations du message
Texte mal écrit, mais lisible
Message en HTML
Texte dans une image
Course d’armement entre pollueurs et constructeur de filtres
17
INF4420
Sécurité Informatique
Hameçonnage bancaire
Techniques de base
En apparence lien pointe sur vrai site
Faux site a apparence identique
Session redirigée vers vrai site (« ni vu, ni connu »)
Techniques avancées
DNS spoofing (serveurs DNS compromis ou empoisonné)
Prendre le contrôle d’un serveur web existant
• Sans que le propriétaire s’en rende compte
• Pour éviter de se faire repérer
• Usager/NIP capturés re-acheminé par canal clandestin
18
Slide 11
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Où sommes-nous ?
Semaine 1 – Intro
Semaines 2, 3 et 4 – Cryptographie
Semaine 6, 7 – Sécurité dans les SE (suite)
Semaine 8 – Période de relâche
Semaine 9 – Sécurité des BD et des applications Web
Semaine 10 – Contrôle périodique
Semaine 11, 12 et 13 – Sécurité des réseaux
Risques spécifiques aux réseaux
Des attaques, des attaques et encore des attaques
Configuration sécuritaires et contre-mesures
Semaine 14 – Gestion de la sécurité.
Intervenants et modes d'intervention
Aspects légaux et déontologiques
2
INF4420
Sécurité Informatique
Semaine 11
Notions de bases sur les réseaux
Risques spécifiques aux réseaux
Analyse de risques par couche
Module III – Sécurité des réseaux
Semaine 13
Détection d'intrus (IDS)
Protocoles sécuritaires de réseaux
• SSH
• Attaques typiques par couche
• SSL et TLS (HTTPS)
• Attaques intra-couche
• IPSEC/IPv6
Semaine 12
Configuration sécuritaire de
réseaux
• Plan d'adressage, routage et NAT
• Pare-feux
• DMZ, VPN et serveurs mandataires
Encore des attaques
• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• Pourriel et hameçonnage
3
INF4420
Sécurité Informatique
Configuration sécuritaire
Principes de bastionnage de réseaux
Bloquer tous le trafic non pertinent
• Paquets qui ne vont pas à la bonne place
adresses IP vs. table de routage
• Applications/services non offerts (superflus)
Ports fermés/ouverts
Segmentation du réseau
• Utiliser des routeurs/passerelles/serveurs mandataires
Cacher les adresses IP internes (par NAT)
Protéger les services/serveurs critiques
« Défense en profondeur »
• Principe de l’oignon
• Chaque niveau à un contexte différent
Permet de mieux ajuster le modèle de sécurité
4
INF4420
Sécurité Informatique
Network Address Translation
Principe de base
Le réseau interne est dans le domaine « privé »
• 10.*.*.* ou 192.168.*.*
• Non-routable (par défaut) vers l’extérieur ou sur l’Internet
Pour les paquets sortant
• (priv_src_IP, priv_src_port) est associé à une nouvelle paire
(public_src_IP, public_src_port)
• Ces associations sont conservés dans une table NAT
Pour les paquets entrant
• On utilise le dest_port pour retrouver la bonne paire
(priv_src_IP, priv_src_port)
Implémenté par
Routeur ou passerelle
Coupe-feu
Serveur mandataire
5
INF4420
Sécurité Informatique
Réseaux privés virtuels (VPN)
Objectifs
Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles
de façons sécuritaires à travers un réseau intermédiaires non sécurisé
Techniques de base
Tunneling
• Chaque sous réseau protégé par une passerelle VPN
• Encapsulation de paquet ( ≠ NAT)
Ancien paquet devient message
Nouvelle entête en fonction des passerelles
Chiffrement
• Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou
modification sur le réseau non-securisé
Contrôle d’accès
• Seuls les paquets provenant des clients ou sous-réseaux autorisés sont
ré-acheminés vers le réseau interne
6
INF4420
Sécurité Informatique
Zone démilitarisée (DMZ)
Objectif
Permettre fournir des services de ou vers l’extérieur du réseau
interne, tout en protégeant celui-ci
Principe de base
Créer une zone intermédiaire où se trouve les services strictement
nécessaires
Adresses des serveurs DMZ sont routables et accessibles
• de l’extérieur : tout le temps
• de l’intérieur : si pertinent
Protégé par un coupe-feu/passerelle
Isolé du réseau interne par un coupe-feu/passerelle
7
INF4420
Sécurité Informatique
Services fournis à l’extérieur
Serveur DNS (pour adresses
DMZ seulement)
Serveur SMTP
Serveur Web
Passerelle VPN
Services typiques dans une DMZ
Services fournis à l’intérieur
Serveur mandataires Web
M-à-j des fichiers du serveur
Web
Connexion avec serveur
SMTP interne
Connexion entre serveur Web
et serveur de BD
8
INF4420
Sécurité Informatique
Selon l’implémentation
Matériel
Types de coupe-feu
Selon les fonctionnalités
Filtrage statique
• Pare-feu filtrant
Filtrage dynamique
• Parfois intégré dans le routeur
Pare-feu d’application
• « Network appliances »
Combine d’autres
• Pare-feu filtrant
• Serveur mandataire (proxy)
fonctionalités
Logiciel
• Serveur pare-feu dédié
• Pare-feu client ou individuel
9
INF4420
Sécurité Informatique
Coupe-feu statique
Principes de fonctionnement
Examine paquet par paquet (« stateless »)
• Adresses IP src et dest
• Port src et dest
• Type de protocole
Utilise des règles pour prendre action « block » ou « accept »
• Règle de routage : « IF src_IP = 123.45.*.* THEN block »
adresses privées
adresses internes/externes
listes noires
• Règle d’application : « IF dest_port = 80 THEN accept »
Par port de destination
• Évaluation séquentielle (!!)
Limitations
Pas de notion de connexion permet certains types d’attaques
10
INF4420
Sécurité Informatique
Coupe-feu dynamique
Principes de bases
Examine paquet par paquet, mais essaie d’établir relations entre paquets
• UDP
Associe paquet avec d’autre paquets sur mêmes ports et adresses
En général, permet seulement réponses si requêtes originales venant
d’adresses internes
• TCP
Garde information sur état et direction de la session TCP
Regarde en plus les flags TCP pour déterminer si hors-protocole
• Applications qui changent de port (e.g. FTP)
Suit et autorise les ports éphémères utilisés par les applications
Limitations
Pas de connaissance de l’état de la connexion au niveau application
Usurpation de port
11
INF4420
Sécurité Informatique
Coupe-feu applicatif
Principe de base
Le coupe-feu regarde le message et interprète son contenu par rapport à
l’application identifié par le port
Routeur filtrant
Bloque ou accepte en fonction du contenu du message
• Bon port pour type d’application
• Bonne séquence à niveau des protocoles d’application
Serveurs mandataires (proxy)
Agisse au nom du client d’application
Déballe et remballe les paquets IP avec nouvel adresse et port src
Autres fonctionnalités
Authentification et contrôle d’accès
VPN
Anti-virus, anti-spam, filtrage de contenu
Caching
12
INF4420
Sécurité Informatique
Étapes d’une attaque standard sur le réseau
1. Définitions et identification d’objectifs
Quelle est la cible ?
2. Reconnaissance
Où se trouve la cible ?
3. Caractérisation (« Fingerprinting »)
Identification de vulnérabilité
4. Pénétration
Exploitation de vulnérabilité
5. Exploitation
Garder l’accès
Ne pas se faire prendre
Accomplir les objectifs
13
INF4420
Sécurité Informatique
Attaques de déni de services (DoS)
Objectifs
Éliminer ou réduire la qualité de service d’un fournisseur de
services
Types
Par vulnérabilité (« crippling DoS »)
Par saturation (« Flood DoS »)
Par absorption (« Black hole DoS »)
Particularités
Pas de pénétration
Camouflage optionnel
Pas de contre-mesures absolues !!
14
INF4420
Sécurité Informatique
Attaque DoS distribuée (DDoS)
Principe de base
1. Prendre le contrôle de plusieurs machines (« botnet »)
2. Utiliser ces machines pour générer des requêtes (saturation)
Exemples
SYN flooding
SYN/ACK flooding
• Direct
• Indirect (backblast)
Session/Application flooding
• TCP, HTTP, SQL
• « Spoofing » plus possible
Défense
Analyse de coût relatif
Faire augmenter le coût de l’attaque
15
INF4420
Sécurité Informatique
Crimes informatiques économiques
1. Polluriel et hameçonnage
Canulards
Vente directe de produits
Vente pyramidale
Arnaques « nigériennes »
Captures de comptes
2. Fraudes publicitaires
Modèle de revenu « par click »
Génération de « faux » click
3. Augmentation de priorité (« shilling »)
Moteurs de recherche
Systèmes de recommandation
16
INF4420
Sécurité Informatique
Pourriel
Contre-mesures
Détecter courriels identiques
• Comparaison intégrale ou par fonction de hachage
Bloquer une adresse IP si plusieurs courriels identiques/similaires
Reconnaissance de pourriel
• Analyse par règles
Contre-contre-mesures
Utiliser des machines « jetables » (botnet)
Générer des messages différents, mais équivalents
• Ajouts d’éléments aléatoires hors-message hachés différents
• Variations du message
Texte mal écrit, mais lisible
Message en HTML
Texte dans une image
Course d’armement entre pollueurs et constructeur de filtres
17
INF4420
Sécurité Informatique
Hameçonnage bancaire
Techniques de base
En apparence lien pointe sur vrai site
Faux site a apparence identique
Session redirigée vers vrai site (« ni vu, ni connu »)
Techniques avancées
DNS spoofing (serveurs DNS compromis ou empoisonné)
Prendre le contrôle d’un serveur web existant
• Sans que le propriétaire s’en rende compte
• Pour éviter de se faire repérer
• Usager/NIP capturés re-acheminé par canal clandestin
18
Slide 12
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Où sommes-nous ?
Semaine 1 – Intro
Semaines 2, 3 et 4 – Cryptographie
Semaine 6, 7 – Sécurité dans les SE (suite)
Semaine 8 – Période de relâche
Semaine 9 – Sécurité des BD et des applications Web
Semaine 10 – Contrôle périodique
Semaine 11, 12 et 13 – Sécurité des réseaux
Risques spécifiques aux réseaux
Des attaques, des attaques et encore des attaques
Configuration sécuritaires et contre-mesures
Semaine 14 – Gestion de la sécurité.
Intervenants et modes d'intervention
Aspects légaux et déontologiques
2
INF4420
Sécurité Informatique
Semaine 11
Notions de bases sur les réseaux
Risques spécifiques aux réseaux
Analyse de risques par couche
Module III – Sécurité des réseaux
Semaine 13
Détection d'intrus (IDS)
Protocoles sécuritaires de réseaux
• SSH
• Attaques typiques par couche
• SSL et TLS (HTTPS)
• Attaques intra-couche
• IPSEC/IPv6
Semaine 12
Configuration sécuritaire de
réseaux
• Plan d'adressage, routage et NAT
• Pare-feux
• DMZ, VPN et serveurs mandataires
Encore des attaques
• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• Pourriel et hameçonnage
3
INF4420
Sécurité Informatique
Configuration sécuritaire
Principes de bastionnage de réseaux
Bloquer tous le trafic non pertinent
• Paquets qui ne vont pas à la bonne place
adresses IP vs. table de routage
• Applications/services non offerts (superflus)
Ports fermés/ouverts
Segmentation du réseau
• Utiliser des routeurs/passerelles/serveurs mandataires
Cacher les adresses IP internes (par NAT)
Protéger les services/serveurs critiques
« Défense en profondeur »
• Principe de l’oignon
• Chaque niveau à un contexte différent
Permet de mieux ajuster le modèle de sécurité
4
INF4420
Sécurité Informatique
Network Address Translation
Principe de base
Le réseau interne est dans le domaine « privé »
• 10.*.*.* ou 192.168.*.*
• Non-routable (par défaut) vers l’extérieur ou sur l’Internet
Pour les paquets sortant
• (priv_src_IP, priv_src_port) est associé à une nouvelle paire
(public_src_IP, public_src_port)
• Ces associations sont conservés dans une table NAT
Pour les paquets entrant
• On utilise le dest_port pour retrouver la bonne paire
(priv_src_IP, priv_src_port)
Implémenté par
Routeur ou passerelle
Coupe-feu
Serveur mandataire
5
INF4420
Sécurité Informatique
Réseaux privés virtuels (VPN)
Objectifs
Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles
de façons sécuritaires à travers un réseau intermédiaires non sécurisé
Techniques de base
Tunneling
• Chaque sous réseau protégé par une passerelle VPN
• Encapsulation de paquet ( ≠ NAT)
Ancien paquet devient message
Nouvelle entête en fonction des passerelles
Chiffrement
• Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou
modification sur le réseau non-securisé
Contrôle d’accès
• Seuls les paquets provenant des clients ou sous-réseaux autorisés sont
ré-acheminés vers le réseau interne
6
INF4420
Sécurité Informatique
Zone démilitarisée (DMZ)
Objectif
Permettre fournir des services de ou vers l’extérieur du réseau
interne, tout en protégeant celui-ci
Principe de base
Créer une zone intermédiaire où se trouve les services strictement
nécessaires
Adresses des serveurs DMZ sont routables et accessibles
• de l’extérieur : tout le temps
• de l’intérieur : si pertinent
Protégé par un coupe-feu/passerelle
Isolé du réseau interne par un coupe-feu/passerelle
7
INF4420
Sécurité Informatique
Services fournis à l’extérieur
Serveur DNS (pour adresses
DMZ seulement)
Serveur SMTP
Serveur Web
Passerelle VPN
Services typiques dans une DMZ
Services fournis à l’intérieur
Serveur mandataires Web
M-à-j des fichiers du serveur
Web
Connexion avec serveur
SMTP interne
Connexion entre serveur Web
et serveur de BD
8
INF4420
Sécurité Informatique
Selon l’implémentation
Matériel
Types de coupe-feu
Selon les fonctionnalités
Filtrage statique
• Pare-feu filtrant
Filtrage dynamique
• Parfois intégré dans le routeur
Pare-feu d’application
• « Network appliances »
Combine d’autres
• Pare-feu filtrant
• Serveur mandataire (proxy)
fonctionalités
Logiciel
• Serveur pare-feu dédié
• Pare-feu client ou individuel
9
INF4420
Sécurité Informatique
Coupe-feu statique
Principes de fonctionnement
Examine paquet par paquet (« stateless »)
• Adresses IP src et dest
• Port src et dest
• Type de protocole
Utilise des règles pour prendre action « block » ou « accept »
• Règle de routage : « IF src_IP = 123.45.*.* THEN block »
adresses privées
adresses internes/externes
listes noires
• Règle d’application : « IF dest_port = 80 THEN accept »
Par port de destination
• Évaluation séquentielle (!!)
Limitations
Pas de notion de connexion permet certains types d’attaques
10
INF4420
Sécurité Informatique
Coupe-feu dynamique
Principes de bases
Examine paquet par paquet, mais essaie d’établir relations entre paquets
• UDP
Associe paquet avec d’autre paquets sur mêmes ports et adresses
En général, permet seulement réponses si requêtes originales venant
d’adresses internes
• TCP
Garde information sur état et direction de la session TCP
Regarde en plus les flags TCP pour déterminer si hors-protocole
• Applications qui changent de port (e.g. FTP)
Suit et autorise les ports éphémères utilisés par les applications
Limitations
Pas de connaissance de l’état de la connexion au niveau application
Usurpation de port
11
INF4420
Sécurité Informatique
Coupe-feu applicatif
Principe de base
Le coupe-feu regarde le message et interprète son contenu par rapport à
l’application identifié par le port
Routeur filtrant
Bloque ou accepte en fonction du contenu du message
• Bon port pour type d’application
• Bonne séquence à niveau des protocoles d’application
Serveurs mandataires (proxy)
Agisse au nom du client d’application
Déballe et remballe les paquets IP avec nouvel adresse et port src
Autres fonctionnalités
Authentification et contrôle d’accès
VPN
Anti-virus, anti-spam, filtrage de contenu
Caching
12
INF4420
Sécurité Informatique
Étapes d’une attaque standard sur le réseau
1. Définitions et identification d’objectifs
Quelle est la cible ?
2. Reconnaissance
Où se trouve la cible ?
3. Caractérisation (« Fingerprinting »)
Identification de vulnérabilité
4. Pénétration
Exploitation de vulnérabilité
5. Exploitation
Garder l’accès
Ne pas se faire prendre
Accomplir les objectifs
13
INF4420
Sécurité Informatique
Attaques de déni de services (DoS)
Objectifs
Éliminer ou réduire la qualité de service d’un fournisseur de
services
Types
Par vulnérabilité (« crippling DoS »)
Par saturation (« Flood DoS »)
Par absorption (« Black hole DoS »)
Particularités
Pas de pénétration
Camouflage optionnel
Pas de contre-mesures absolues !!
14
INF4420
Sécurité Informatique
Attaque DoS distribuée (DDoS)
Principe de base
1. Prendre le contrôle de plusieurs machines (« botnet »)
2. Utiliser ces machines pour générer des requêtes (saturation)
Exemples
SYN flooding
SYN/ACK flooding
• Direct
• Indirect (backblast)
Session/Application flooding
• TCP, HTTP, SQL
• « Spoofing » plus possible
Défense
Analyse de coût relatif
Faire augmenter le coût de l’attaque
15
INF4420
Sécurité Informatique
Crimes informatiques économiques
1. Polluriel et hameçonnage
Canulards
Vente directe de produits
Vente pyramidale
Arnaques « nigériennes »
Captures de comptes
2. Fraudes publicitaires
Modèle de revenu « par click »
Génération de « faux » click
3. Augmentation de priorité (« shilling »)
Moteurs de recherche
Systèmes de recommandation
16
INF4420
Sécurité Informatique
Pourriel
Contre-mesures
Détecter courriels identiques
• Comparaison intégrale ou par fonction de hachage
Bloquer une adresse IP si plusieurs courriels identiques/similaires
Reconnaissance de pourriel
• Analyse par règles
Contre-contre-mesures
Utiliser des machines « jetables » (botnet)
Générer des messages différents, mais équivalents
• Ajouts d’éléments aléatoires hors-message hachés différents
• Variations du message
Texte mal écrit, mais lisible
Message en HTML
Texte dans une image
Course d’armement entre pollueurs et constructeur de filtres
17
INF4420
Sécurité Informatique
Hameçonnage bancaire
Techniques de base
En apparence lien pointe sur vrai site
Faux site a apparence identique
Session redirigée vers vrai site (« ni vu, ni connu »)
Techniques avancées
DNS spoofing (serveurs DNS compromis ou empoisonné)
Prendre le contrôle d’un serveur web existant
• Sans que le propriétaire s’en rende compte
• Pour éviter de se faire repérer
• Usager/NIP capturés re-acheminé par canal clandestin
18
Slide 13
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Où sommes-nous ?
Semaine 1 – Intro
Semaines 2, 3 et 4 – Cryptographie
Semaine 6, 7 – Sécurité dans les SE (suite)
Semaine 8 – Période de relâche
Semaine 9 – Sécurité des BD et des applications Web
Semaine 10 – Contrôle périodique
Semaine 11, 12 et 13 – Sécurité des réseaux
Risques spécifiques aux réseaux
Des attaques, des attaques et encore des attaques
Configuration sécuritaires et contre-mesures
Semaine 14 – Gestion de la sécurité.
Intervenants et modes d'intervention
Aspects légaux et déontologiques
2
INF4420
Sécurité Informatique
Semaine 11
Notions de bases sur les réseaux
Risques spécifiques aux réseaux
Analyse de risques par couche
Module III – Sécurité des réseaux
Semaine 13
Détection d'intrus (IDS)
Protocoles sécuritaires de réseaux
• SSH
• Attaques typiques par couche
• SSL et TLS (HTTPS)
• Attaques intra-couche
• IPSEC/IPv6
Semaine 12
Configuration sécuritaire de
réseaux
• Plan d'adressage, routage et NAT
• Pare-feux
• DMZ, VPN et serveurs mandataires
Encore des attaques
• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• Pourriel et hameçonnage
3
INF4420
Sécurité Informatique
Configuration sécuritaire
Principes de bastionnage de réseaux
Bloquer tous le trafic non pertinent
• Paquets qui ne vont pas à la bonne place
adresses IP vs. table de routage
• Applications/services non offerts (superflus)
Ports fermés/ouverts
Segmentation du réseau
• Utiliser des routeurs/passerelles/serveurs mandataires
Cacher les adresses IP internes (par NAT)
Protéger les services/serveurs critiques
« Défense en profondeur »
• Principe de l’oignon
• Chaque niveau à un contexte différent
Permet de mieux ajuster le modèle de sécurité
4
INF4420
Sécurité Informatique
Network Address Translation
Principe de base
Le réseau interne est dans le domaine « privé »
• 10.*.*.* ou 192.168.*.*
• Non-routable (par défaut) vers l’extérieur ou sur l’Internet
Pour les paquets sortant
• (priv_src_IP, priv_src_port) est associé à une nouvelle paire
(public_src_IP, public_src_port)
• Ces associations sont conservés dans une table NAT
Pour les paquets entrant
• On utilise le dest_port pour retrouver la bonne paire
(priv_src_IP, priv_src_port)
Implémenté par
Routeur ou passerelle
Coupe-feu
Serveur mandataire
5
INF4420
Sécurité Informatique
Réseaux privés virtuels (VPN)
Objectifs
Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles
de façons sécuritaires à travers un réseau intermédiaires non sécurisé
Techniques de base
Tunneling
• Chaque sous réseau protégé par une passerelle VPN
• Encapsulation de paquet ( ≠ NAT)
Ancien paquet devient message
Nouvelle entête en fonction des passerelles
Chiffrement
• Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou
modification sur le réseau non-securisé
Contrôle d’accès
• Seuls les paquets provenant des clients ou sous-réseaux autorisés sont
ré-acheminés vers le réseau interne
6
INF4420
Sécurité Informatique
Zone démilitarisée (DMZ)
Objectif
Permettre fournir des services de ou vers l’extérieur du réseau
interne, tout en protégeant celui-ci
Principe de base
Créer une zone intermédiaire où se trouve les services strictement
nécessaires
Adresses des serveurs DMZ sont routables et accessibles
• de l’extérieur : tout le temps
• de l’intérieur : si pertinent
Protégé par un coupe-feu/passerelle
Isolé du réseau interne par un coupe-feu/passerelle
7
INF4420
Sécurité Informatique
Services fournis à l’extérieur
Serveur DNS (pour adresses
DMZ seulement)
Serveur SMTP
Serveur Web
Passerelle VPN
Services typiques dans une DMZ
Services fournis à l’intérieur
Serveur mandataires Web
M-à-j des fichiers du serveur
Web
Connexion avec serveur
SMTP interne
Connexion entre serveur Web
et serveur de BD
8
INF4420
Sécurité Informatique
Selon l’implémentation
Matériel
Types de coupe-feu
Selon les fonctionnalités
Filtrage statique
• Pare-feu filtrant
Filtrage dynamique
• Parfois intégré dans le routeur
Pare-feu d’application
• « Network appliances »
Combine d’autres
• Pare-feu filtrant
• Serveur mandataire (proxy)
fonctionalités
Logiciel
• Serveur pare-feu dédié
• Pare-feu client ou individuel
9
INF4420
Sécurité Informatique
Coupe-feu statique
Principes de fonctionnement
Examine paquet par paquet (« stateless »)
• Adresses IP src et dest
• Port src et dest
• Type de protocole
Utilise des règles pour prendre action « block » ou « accept »
• Règle de routage : « IF src_IP = 123.45.*.* THEN block »
adresses privées
adresses internes/externes
listes noires
• Règle d’application : « IF dest_port = 80 THEN accept »
Par port de destination
• Évaluation séquentielle (!!)
Limitations
Pas de notion de connexion permet certains types d’attaques
10
INF4420
Sécurité Informatique
Coupe-feu dynamique
Principes de bases
Examine paquet par paquet, mais essaie d’établir relations entre paquets
• UDP
Associe paquet avec d’autre paquets sur mêmes ports et adresses
En général, permet seulement réponses si requêtes originales venant
d’adresses internes
• TCP
Garde information sur état et direction de la session TCP
Regarde en plus les flags TCP pour déterminer si hors-protocole
• Applications qui changent de port (e.g. FTP)
Suit et autorise les ports éphémères utilisés par les applications
Limitations
Pas de connaissance de l’état de la connexion au niveau application
Usurpation de port
11
INF4420
Sécurité Informatique
Coupe-feu applicatif
Principe de base
Le coupe-feu regarde le message et interprète son contenu par rapport à
l’application identifié par le port
Routeur filtrant
Bloque ou accepte en fonction du contenu du message
• Bon port pour type d’application
• Bonne séquence à niveau des protocoles d’application
Serveurs mandataires (proxy)
Agisse au nom du client d’application
Déballe et remballe les paquets IP avec nouvel adresse et port src
Autres fonctionnalités
Authentification et contrôle d’accès
VPN
Anti-virus, anti-spam, filtrage de contenu
Caching
12
INF4420
Sécurité Informatique
Étapes d’une attaque standard sur le réseau
1. Définitions et identification d’objectifs
Quelle est la cible ?
2. Reconnaissance
Où se trouve la cible ?
3. Caractérisation (« Fingerprinting »)
Identification de vulnérabilité
4. Pénétration
Exploitation de vulnérabilité
5. Exploitation
Garder l’accès
Ne pas se faire prendre
Accomplir les objectifs
13
INF4420
Sécurité Informatique
Attaques de déni de services (DoS)
Objectifs
Éliminer ou réduire la qualité de service d’un fournisseur de
services
Types
Par vulnérabilité (« crippling DoS »)
Par saturation (« Flood DoS »)
Par absorption (« Black hole DoS »)
Particularités
Pas de pénétration
Camouflage optionnel
Pas de contre-mesures absolues !!
14
INF4420
Sécurité Informatique
Attaque DoS distribuée (DDoS)
Principe de base
1. Prendre le contrôle de plusieurs machines (« botnet »)
2. Utiliser ces machines pour générer des requêtes (saturation)
Exemples
SYN flooding
SYN/ACK flooding
• Direct
• Indirect (backblast)
Session/Application flooding
• TCP, HTTP, SQL
• « Spoofing » plus possible
Défense
Analyse de coût relatif
Faire augmenter le coût de l’attaque
15
INF4420
Sécurité Informatique
Crimes informatiques économiques
1. Polluriel et hameçonnage
Canulards
Vente directe de produits
Vente pyramidale
Arnaques « nigériennes »
Captures de comptes
2. Fraudes publicitaires
Modèle de revenu « par click »
Génération de « faux » click
3. Augmentation de priorité (« shilling »)
Moteurs de recherche
Systèmes de recommandation
16
INF4420
Sécurité Informatique
Pourriel
Contre-mesures
Détecter courriels identiques
• Comparaison intégrale ou par fonction de hachage
Bloquer une adresse IP si plusieurs courriels identiques/similaires
Reconnaissance de pourriel
• Analyse par règles
Contre-contre-mesures
Utiliser des machines « jetables » (botnet)
Générer des messages différents, mais équivalents
• Ajouts d’éléments aléatoires hors-message hachés différents
• Variations du message
Texte mal écrit, mais lisible
Message en HTML
Texte dans une image
Course d’armement entre pollueurs et constructeur de filtres
17
INF4420
Sécurité Informatique
Hameçonnage bancaire
Techniques de base
En apparence lien pointe sur vrai site
Faux site a apparence identique
Session redirigée vers vrai site (« ni vu, ni connu »)
Techniques avancées
DNS spoofing (serveurs DNS compromis ou empoisonné)
Prendre le contrôle d’un serveur web existant
• Sans que le propriétaire s’en rende compte
• Pour éviter de se faire repérer
• Usager/NIP capturés re-acheminé par canal clandestin
18
Slide 14
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Où sommes-nous ?
Semaine 1 – Intro
Semaines 2, 3 et 4 – Cryptographie
Semaine 6, 7 – Sécurité dans les SE (suite)
Semaine 8 – Période de relâche
Semaine 9 – Sécurité des BD et des applications Web
Semaine 10 – Contrôle périodique
Semaine 11, 12 et 13 – Sécurité des réseaux
Risques spécifiques aux réseaux
Des attaques, des attaques et encore des attaques
Configuration sécuritaires et contre-mesures
Semaine 14 – Gestion de la sécurité.
Intervenants et modes d'intervention
Aspects légaux et déontologiques
2
INF4420
Sécurité Informatique
Semaine 11
Notions de bases sur les réseaux
Risques spécifiques aux réseaux
Analyse de risques par couche
Module III – Sécurité des réseaux
Semaine 13
Détection d'intrus (IDS)
Protocoles sécuritaires de réseaux
• SSH
• Attaques typiques par couche
• SSL et TLS (HTTPS)
• Attaques intra-couche
• IPSEC/IPv6
Semaine 12
Configuration sécuritaire de
réseaux
• Plan d'adressage, routage et NAT
• Pare-feux
• DMZ, VPN et serveurs mandataires
Encore des attaques
• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• Pourriel et hameçonnage
3
INF4420
Sécurité Informatique
Configuration sécuritaire
Principes de bastionnage de réseaux
Bloquer tous le trafic non pertinent
• Paquets qui ne vont pas à la bonne place
adresses IP vs. table de routage
• Applications/services non offerts (superflus)
Ports fermés/ouverts
Segmentation du réseau
• Utiliser des routeurs/passerelles/serveurs mandataires
Cacher les adresses IP internes (par NAT)
Protéger les services/serveurs critiques
« Défense en profondeur »
• Principe de l’oignon
• Chaque niveau à un contexte différent
Permet de mieux ajuster le modèle de sécurité
4
INF4420
Sécurité Informatique
Network Address Translation
Principe de base
Le réseau interne est dans le domaine « privé »
• 10.*.*.* ou 192.168.*.*
• Non-routable (par défaut) vers l’extérieur ou sur l’Internet
Pour les paquets sortant
• (priv_src_IP, priv_src_port) est associé à une nouvelle paire
(public_src_IP, public_src_port)
• Ces associations sont conservés dans une table NAT
Pour les paquets entrant
• On utilise le dest_port pour retrouver la bonne paire
(priv_src_IP, priv_src_port)
Implémenté par
Routeur ou passerelle
Coupe-feu
Serveur mandataire
5
INF4420
Sécurité Informatique
Réseaux privés virtuels (VPN)
Objectifs
Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles
de façons sécuritaires à travers un réseau intermédiaires non sécurisé
Techniques de base
Tunneling
• Chaque sous réseau protégé par une passerelle VPN
• Encapsulation de paquet ( ≠ NAT)
Ancien paquet devient message
Nouvelle entête en fonction des passerelles
Chiffrement
• Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou
modification sur le réseau non-securisé
Contrôle d’accès
• Seuls les paquets provenant des clients ou sous-réseaux autorisés sont
ré-acheminés vers le réseau interne
6
INF4420
Sécurité Informatique
Zone démilitarisée (DMZ)
Objectif
Permettre fournir des services de ou vers l’extérieur du réseau
interne, tout en protégeant celui-ci
Principe de base
Créer une zone intermédiaire où se trouve les services strictement
nécessaires
Adresses des serveurs DMZ sont routables et accessibles
• de l’extérieur : tout le temps
• de l’intérieur : si pertinent
Protégé par un coupe-feu/passerelle
Isolé du réseau interne par un coupe-feu/passerelle
7
INF4420
Sécurité Informatique
Services fournis à l’extérieur
Serveur DNS (pour adresses
DMZ seulement)
Serveur SMTP
Serveur Web
Passerelle VPN
Services typiques dans une DMZ
Services fournis à l’intérieur
Serveur mandataires Web
M-à-j des fichiers du serveur
Web
Connexion avec serveur
SMTP interne
Connexion entre serveur Web
et serveur de BD
8
INF4420
Sécurité Informatique
Selon l’implémentation
Matériel
Types de coupe-feu
Selon les fonctionnalités
Filtrage statique
• Pare-feu filtrant
Filtrage dynamique
• Parfois intégré dans le routeur
Pare-feu d’application
• « Network appliances »
Combine d’autres
• Pare-feu filtrant
• Serveur mandataire (proxy)
fonctionalités
Logiciel
• Serveur pare-feu dédié
• Pare-feu client ou individuel
9
INF4420
Sécurité Informatique
Coupe-feu statique
Principes de fonctionnement
Examine paquet par paquet (« stateless »)
• Adresses IP src et dest
• Port src et dest
• Type de protocole
Utilise des règles pour prendre action « block » ou « accept »
• Règle de routage : « IF src_IP = 123.45.*.* THEN block »
adresses privées
adresses internes/externes
listes noires
• Règle d’application : « IF dest_port = 80 THEN accept »
Par port de destination
• Évaluation séquentielle (!!)
Limitations
Pas de notion de connexion permet certains types d’attaques
10
INF4420
Sécurité Informatique
Coupe-feu dynamique
Principes de bases
Examine paquet par paquet, mais essaie d’établir relations entre paquets
• UDP
Associe paquet avec d’autre paquets sur mêmes ports et adresses
En général, permet seulement réponses si requêtes originales venant
d’adresses internes
• TCP
Garde information sur état et direction de la session TCP
Regarde en plus les flags TCP pour déterminer si hors-protocole
• Applications qui changent de port (e.g. FTP)
Suit et autorise les ports éphémères utilisés par les applications
Limitations
Pas de connaissance de l’état de la connexion au niveau application
Usurpation de port
11
INF4420
Sécurité Informatique
Coupe-feu applicatif
Principe de base
Le coupe-feu regarde le message et interprète son contenu par rapport à
l’application identifié par le port
Routeur filtrant
Bloque ou accepte en fonction du contenu du message
• Bon port pour type d’application
• Bonne séquence à niveau des protocoles d’application
Serveurs mandataires (proxy)
Agisse au nom du client d’application
Déballe et remballe les paquets IP avec nouvel adresse et port src
Autres fonctionnalités
Authentification et contrôle d’accès
VPN
Anti-virus, anti-spam, filtrage de contenu
Caching
12
INF4420
Sécurité Informatique
Étapes d’une attaque standard sur le réseau
1. Définitions et identification d’objectifs
Quelle est la cible ?
2. Reconnaissance
Où se trouve la cible ?
3. Caractérisation (« Fingerprinting »)
Identification de vulnérabilité
4. Pénétration
Exploitation de vulnérabilité
5. Exploitation
Garder l’accès
Ne pas se faire prendre
Accomplir les objectifs
13
INF4420
Sécurité Informatique
Attaques de déni de services (DoS)
Objectifs
Éliminer ou réduire la qualité de service d’un fournisseur de
services
Types
Par vulnérabilité (« crippling DoS »)
Par saturation (« Flood DoS »)
Par absorption (« Black hole DoS »)
Particularités
Pas de pénétration
Camouflage optionnel
Pas de contre-mesures absolues !!
14
INF4420
Sécurité Informatique
Attaque DoS distribuée (DDoS)
Principe de base
1. Prendre le contrôle de plusieurs machines (« botnet »)
2. Utiliser ces machines pour générer des requêtes (saturation)
Exemples
SYN flooding
SYN/ACK flooding
• Direct
• Indirect (backblast)
Session/Application flooding
• TCP, HTTP, SQL
• « Spoofing » plus possible
Défense
Analyse de coût relatif
Faire augmenter le coût de l’attaque
15
INF4420
Sécurité Informatique
Crimes informatiques économiques
1. Polluriel et hameçonnage
Canulards
Vente directe de produits
Vente pyramidale
Arnaques « nigériennes »
Captures de comptes
2. Fraudes publicitaires
Modèle de revenu « par click »
Génération de « faux » click
3. Augmentation de priorité (« shilling »)
Moteurs de recherche
Systèmes de recommandation
16
INF4420
Sécurité Informatique
Pourriel
Contre-mesures
Détecter courriels identiques
• Comparaison intégrale ou par fonction de hachage
Bloquer une adresse IP si plusieurs courriels identiques/similaires
Reconnaissance de pourriel
• Analyse par règles
Contre-contre-mesures
Utiliser des machines « jetables » (botnet)
Générer des messages différents, mais équivalents
• Ajouts d’éléments aléatoires hors-message hachés différents
• Variations du message
Texte mal écrit, mais lisible
Message en HTML
Texte dans une image
Course d’armement entre pollueurs et constructeur de filtres
17
INF4420
Sécurité Informatique
Hameçonnage bancaire
Techniques de base
En apparence lien pointe sur vrai site
Faux site a apparence identique
Session redirigée vers vrai site (« ni vu, ni connu »)
Techniques avancées
DNS spoofing (serveurs DNS compromis ou empoisonné)
Prendre le contrôle d’un serveur web existant
• Sans que le propriétaire s’en rende compte
• Pour éviter de se faire repérer
• Usager/NIP capturés re-acheminé par canal clandestin
18
Slide 15
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Où sommes-nous ?
Semaine 1 – Intro
Semaines 2, 3 et 4 – Cryptographie
Semaine 6, 7 – Sécurité dans les SE (suite)
Semaine 8 – Période de relâche
Semaine 9 – Sécurité des BD et des applications Web
Semaine 10 – Contrôle périodique
Semaine 11, 12 et 13 – Sécurité des réseaux
Risques spécifiques aux réseaux
Des attaques, des attaques et encore des attaques
Configuration sécuritaires et contre-mesures
Semaine 14 – Gestion de la sécurité.
Intervenants et modes d'intervention
Aspects légaux et déontologiques
2
INF4420
Sécurité Informatique
Semaine 11
Notions de bases sur les réseaux
Risques spécifiques aux réseaux
Analyse de risques par couche
Module III – Sécurité des réseaux
Semaine 13
Détection d'intrus (IDS)
Protocoles sécuritaires de réseaux
• SSH
• Attaques typiques par couche
• SSL et TLS (HTTPS)
• Attaques intra-couche
• IPSEC/IPv6
Semaine 12
Configuration sécuritaire de
réseaux
• Plan d'adressage, routage et NAT
• Pare-feux
• DMZ, VPN et serveurs mandataires
Encore des attaques
• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• Pourriel et hameçonnage
3
INF4420
Sécurité Informatique
Configuration sécuritaire
Principes de bastionnage de réseaux
Bloquer tous le trafic non pertinent
• Paquets qui ne vont pas à la bonne place
adresses IP vs. table de routage
• Applications/services non offerts (superflus)
Ports fermés/ouverts
Segmentation du réseau
• Utiliser des routeurs/passerelles/serveurs mandataires
Cacher les adresses IP internes (par NAT)
Protéger les services/serveurs critiques
« Défense en profondeur »
• Principe de l’oignon
• Chaque niveau à un contexte différent
Permet de mieux ajuster le modèle de sécurité
4
INF4420
Sécurité Informatique
Network Address Translation
Principe de base
Le réseau interne est dans le domaine « privé »
• 10.*.*.* ou 192.168.*.*
• Non-routable (par défaut) vers l’extérieur ou sur l’Internet
Pour les paquets sortant
• (priv_src_IP, priv_src_port) est associé à une nouvelle paire
(public_src_IP, public_src_port)
• Ces associations sont conservés dans une table NAT
Pour les paquets entrant
• On utilise le dest_port pour retrouver la bonne paire
(priv_src_IP, priv_src_port)
Implémenté par
Routeur ou passerelle
Coupe-feu
Serveur mandataire
5
INF4420
Sécurité Informatique
Réseaux privés virtuels (VPN)
Objectifs
Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles
de façons sécuritaires à travers un réseau intermédiaires non sécurisé
Techniques de base
Tunneling
• Chaque sous réseau protégé par une passerelle VPN
• Encapsulation de paquet ( ≠ NAT)
Ancien paquet devient message
Nouvelle entête en fonction des passerelles
Chiffrement
• Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou
modification sur le réseau non-securisé
Contrôle d’accès
• Seuls les paquets provenant des clients ou sous-réseaux autorisés sont
ré-acheminés vers le réseau interne
6
INF4420
Sécurité Informatique
Zone démilitarisée (DMZ)
Objectif
Permettre fournir des services de ou vers l’extérieur du réseau
interne, tout en protégeant celui-ci
Principe de base
Créer une zone intermédiaire où se trouve les services strictement
nécessaires
Adresses des serveurs DMZ sont routables et accessibles
• de l’extérieur : tout le temps
• de l’intérieur : si pertinent
Protégé par un coupe-feu/passerelle
Isolé du réseau interne par un coupe-feu/passerelle
7
INF4420
Sécurité Informatique
Services fournis à l’extérieur
Serveur DNS (pour adresses
DMZ seulement)
Serveur SMTP
Serveur Web
Passerelle VPN
Services typiques dans une DMZ
Services fournis à l’intérieur
Serveur mandataires Web
M-à-j des fichiers du serveur
Web
Connexion avec serveur
SMTP interne
Connexion entre serveur Web
et serveur de BD
8
INF4420
Sécurité Informatique
Selon l’implémentation
Matériel
Types de coupe-feu
Selon les fonctionnalités
Filtrage statique
• Pare-feu filtrant
Filtrage dynamique
• Parfois intégré dans le routeur
Pare-feu d’application
• « Network appliances »
Combine d’autres
• Pare-feu filtrant
• Serveur mandataire (proxy)
fonctionalités
Logiciel
• Serveur pare-feu dédié
• Pare-feu client ou individuel
9
INF4420
Sécurité Informatique
Coupe-feu statique
Principes de fonctionnement
Examine paquet par paquet (« stateless »)
• Adresses IP src et dest
• Port src et dest
• Type de protocole
Utilise des règles pour prendre action « block » ou « accept »
• Règle de routage : « IF src_IP = 123.45.*.* THEN block »
adresses privées
adresses internes/externes
listes noires
• Règle d’application : « IF dest_port = 80 THEN accept »
Par port de destination
• Évaluation séquentielle (!!)
Limitations
Pas de notion de connexion permet certains types d’attaques
10
INF4420
Sécurité Informatique
Coupe-feu dynamique
Principes de bases
Examine paquet par paquet, mais essaie d’établir relations entre paquets
• UDP
Associe paquet avec d’autre paquets sur mêmes ports et adresses
En général, permet seulement réponses si requêtes originales venant
d’adresses internes
• TCP
Garde information sur état et direction de la session TCP
Regarde en plus les flags TCP pour déterminer si hors-protocole
• Applications qui changent de port (e.g. FTP)
Suit et autorise les ports éphémères utilisés par les applications
Limitations
Pas de connaissance de l’état de la connexion au niveau application
Usurpation de port
11
INF4420
Sécurité Informatique
Coupe-feu applicatif
Principe de base
Le coupe-feu regarde le message et interprète son contenu par rapport à
l’application identifié par le port
Routeur filtrant
Bloque ou accepte en fonction du contenu du message
• Bon port pour type d’application
• Bonne séquence à niveau des protocoles d’application
Serveurs mandataires (proxy)
Agisse au nom du client d’application
Déballe et remballe les paquets IP avec nouvel adresse et port src
Autres fonctionnalités
Authentification et contrôle d’accès
VPN
Anti-virus, anti-spam, filtrage de contenu
Caching
12
INF4420
Sécurité Informatique
Étapes d’une attaque standard sur le réseau
1. Définitions et identification d’objectifs
Quelle est la cible ?
2. Reconnaissance
Où se trouve la cible ?
3. Caractérisation (« Fingerprinting »)
Identification de vulnérabilité
4. Pénétration
Exploitation de vulnérabilité
5. Exploitation
Garder l’accès
Ne pas se faire prendre
Accomplir les objectifs
13
INF4420
Sécurité Informatique
Attaques de déni de services (DoS)
Objectifs
Éliminer ou réduire la qualité de service d’un fournisseur de
services
Types
Par vulnérabilité (« crippling DoS »)
Par saturation (« Flood DoS »)
Par absorption (« Black hole DoS »)
Particularités
Pas de pénétration
Camouflage optionnel
Pas de contre-mesures absolues !!
14
INF4420
Sécurité Informatique
Attaque DoS distribuée (DDoS)
Principe de base
1. Prendre le contrôle de plusieurs machines (« botnet »)
2. Utiliser ces machines pour générer des requêtes (saturation)
Exemples
SYN flooding
SYN/ACK flooding
• Direct
• Indirect (backblast)
Session/Application flooding
• TCP, HTTP, SQL
• « Spoofing » plus possible
Défense
Analyse de coût relatif
Faire augmenter le coût de l’attaque
15
INF4420
Sécurité Informatique
Crimes informatiques économiques
1. Polluriel et hameçonnage
Canulards
Vente directe de produits
Vente pyramidale
Arnaques « nigériennes »
Captures de comptes
2. Fraudes publicitaires
Modèle de revenu « par click »
Génération de « faux » click
3. Augmentation de priorité (« shilling »)
Moteurs de recherche
Systèmes de recommandation
16
INF4420
Sécurité Informatique
Pourriel
Contre-mesures
Détecter courriels identiques
• Comparaison intégrale ou par fonction de hachage
Bloquer une adresse IP si plusieurs courriels identiques/similaires
Reconnaissance de pourriel
• Analyse par règles
Contre-contre-mesures
Utiliser des machines « jetables » (botnet)
Générer des messages différents, mais équivalents
• Ajouts d’éléments aléatoires hors-message hachés différents
• Variations du message
Texte mal écrit, mais lisible
Message en HTML
Texte dans une image
Course d’armement entre pollueurs et constructeur de filtres
17
INF4420
Sécurité Informatique
Hameçonnage bancaire
Techniques de base
En apparence lien pointe sur vrai site
Faux site a apparence identique
Session redirigée vers vrai site (« ni vu, ni connu »)
Techniques avancées
DNS spoofing (serveurs DNS compromis ou empoisonné)
Prendre le contrôle d’un serveur web existant
• Sans que le propriétaire s’en rende compte
• Pour éviter de se faire repérer
• Usager/NIP capturés re-acheminé par canal clandestin
18
Slide 16
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Où sommes-nous ?
Semaine 1 – Intro
Semaines 2, 3 et 4 – Cryptographie
Semaine 6, 7 – Sécurité dans les SE (suite)
Semaine 8 – Période de relâche
Semaine 9 – Sécurité des BD et des applications Web
Semaine 10 – Contrôle périodique
Semaine 11, 12 et 13 – Sécurité des réseaux
Risques spécifiques aux réseaux
Des attaques, des attaques et encore des attaques
Configuration sécuritaires et contre-mesures
Semaine 14 – Gestion de la sécurité.
Intervenants et modes d'intervention
Aspects légaux et déontologiques
2
INF4420
Sécurité Informatique
Semaine 11
Notions de bases sur les réseaux
Risques spécifiques aux réseaux
Analyse de risques par couche
Module III – Sécurité des réseaux
Semaine 13
Détection d'intrus (IDS)
Protocoles sécuritaires de réseaux
• SSH
• Attaques typiques par couche
• SSL et TLS (HTTPS)
• Attaques intra-couche
• IPSEC/IPv6
Semaine 12
Configuration sécuritaire de
réseaux
• Plan d'adressage, routage et NAT
• Pare-feux
• DMZ, VPN et serveurs mandataires
Encore des attaques
• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• Pourriel et hameçonnage
3
INF4420
Sécurité Informatique
Configuration sécuritaire
Principes de bastionnage de réseaux
Bloquer tous le trafic non pertinent
• Paquets qui ne vont pas à la bonne place
adresses IP vs. table de routage
• Applications/services non offerts (superflus)
Ports fermés/ouverts
Segmentation du réseau
• Utiliser des routeurs/passerelles/serveurs mandataires
Cacher les adresses IP internes (par NAT)
Protéger les services/serveurs critiques
« Défense en profondeur »
• Principe de l’oignon
• Chaque niveau à un contexte différent
Permet de mieux ajuster le modèle de sécurité
4
INF4420
Sécurité Informatique
Network Address Translation
Principe de base
Le réseau interne est dans le domaine « privé »
• 10.*.*.* ou 192.168.*.*
• Non-routable (par défaut) vers l’extérieur ou sur l’Internet
Pour les paquets sortant
• (priv_src_IP, priv_src_port) est associé à une nouvelle paire
(public_src_IP, public_src_port)
• Ces associations sont conservés dans une table NAT
Pour les paquets entrant
• On utilise le dest_port pour retrouver la bonne paire
(priv_src_IP, priv_src_port)
Implémenté par
Routeur ou passerelle
Coupe-feu
Serveur mandataire
5
INF4420
Sécurité Informatique
Réseaux privés virtuels (VPN)
Objectifs
Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles
de façons sécuritaires à travers un réseau intermédiaires non sécurisé
Techniques de base
Tunneling
• Chaque sous réseau protégé par une passerelle VPN
• Encapsulation de paquet ( ≠ NAT)
Ancien paquet devient message
Nouvelle entête en fonction des passerelles
Chiffrement
• Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou
modification sur le réseau non-securisé
Contrôle d’accès
• Seuls les paquets provenant des clients ou sous-réseaux autorisés sont
ré-acheminés vers le réseau interne
6
INF4420
Sécurité Informatique
Zone démilitarisée (DMZ)
Objectif
Permettre fournir des services de ou vers l’extérieur du réseau
interne, tout en protégeant celui-ci
Principe de base
Créer une zone intermédiaire où se trouve les services strictement
nécessaires
Adresses des serveurs DMZ sont routables et accessibles
• de l’extérieur : tout le temps
• de l’intérieur : si pertinent
Protégé par un coupe-feu/passerelle
Isolé du réseau interne par un coupe-feu/passerelle
7
INF4420
Sécurité Informatique
Services fournis à l’extérieur
Serveur DNS (pour adresses
DMZ seulement)
Serveur SMTP
Serveur Web
Passerelle VPN
Services typiques dans une DMZ
Services fournis à l’intérieur
Serveur mandataires Web
M-à-j des fichiers du serveur
Web
Connexion avec serveur
SMTP interne
Connexion entre serveur Web
et serveur de BD
8
INF4420
Sécurité Informatique
Selon l’implémentation
Matériel
Types de coupe-feu
Selon les fonctionnalités
Filtrage statique
• Pare-feu filtrant
Filtrage dynamique
• Parfois intégré dans le routeur
Pare-feu d’application
• « Network appliances »
Combine d’autres
• Pare-feu filtrant
• Serveur mandataire (proxy)
fonctionalités
Logiciel
• Serveur pare-feu dédié
• Pare-feu client ou individuel
9
INF4420
Sécurité Informatique
Coupe-feu statique
Principes de fonctionnement
Examine paquet par paquet (« stateless »)
• Adresses IP src et dest
• Port src et dest
• Type de protocole
Utilise des règles pour prendre action « block » ou « accept »
• Règle de routage : « IF src_IP = 123.45.*.* THEN block »
adresses privées
adresses internes/externes
listes noires
• Règle d’application : « IF dest_port = 80 THEN accept »
Par port de destination
• Évaluation séquentielle (!!)
Limitations
Pas de notion de connexion permet certains types d’attaques
10
INF4420
Sécurité Informatique
Coupe-feu dynamique
Principes de bases
Examine paquet par paquet, mais essaie d’établir relations entre paquets
• UDP
Associe paquet avec d’autre paquets sur mêmes ports et adresses
En général, permet seulement réponses si requêtes originales venant
d’adresses internes
• TCP
Garde information sur état et direction de la session TCP
Regarde en plus les flags TCP pour déterminer si hors-protocole
• Applications qui changent de port (e.g. FTP)
Suit et autorise les ports éphémères utilisés par les applications
Limitations
Pas de connaissance de l’état de la connexion au niveau application
Usurpation de port
11
INF4420
Sécurité Informatique
Coupe-feu applicatif
Principe de base
Le coupe-feu regarde le message et interprète son contenu par rapport à
l’application identifié par le port
Routeur filtrant
Bloque ou accepte en fonction du contenu du message
• Bon port pour type d’application
• Bonne séquence à niveau des protocoles d’application
Serveurs mandataires (proxy)
Agisse au nom du client d’application
Déballe et remballe les paquets IP avec nouvel adresse et port src
Autres fonctionnalités
Authentification et contrôle d’accès
VPN
Anti-virus, anti-spam, filtrage de contenu
Caching
12
INF4420
Sécurité Informatique
Étapes d’une attaque standard sur le réseau
1. Définitions et identification d’objectifs
Quelle est la cible ?
2. Reconnaissance
Où se trouve la cible ?
3. Caractérisation (« Fingerprinting »)
Identification de vulnérabilité
4. Pénétration
Exploitation de vulnérabilité
5. Exploitation
Garder l’accès
Ne pas se faire prendre
Accomplir les objectifs
13
INF4420
Sécurité Informatique
Attaques de déni de services (DoS)
Objectifs
Éliminer ou réduire la qualité de service d’un fournisseur de
services
Types
Par vulnérabilité (« crippling DoS »)
Par saturation (« Flood DoS »)
Par absorption (« Black hole DoS »)
Particularités
Pas de pénétration
Camouflage optionnel
Pas de contre-mesures absolues !!
14
INF4420
Sécurité Informatique
Attaque DoS distribuée (DDoS)
Principe de base
1. Prendre le contrôle de plusieurs machines (« botnet »)
2. Utiliser ces machines pour générer des requêtes (saturation)
Exemples
SYN flooding
SYN/ACK flooding
• Direct
• Indirect (backblast)
Session/Application flooding
• TCP, HTTP, SQL
• « Spoofing » plus possible
Défense
Analyse de coût relatif
Faire augmenter le coût de l’attaque
15
INF4420
Sécurité Informatique
Crimes informatiques économiques
1. Polluriel et hameçonnage
Canulards
Vente directe de produits
Vente pyramidale
Arnaques « nigériennes »
Captures de comptes
2. Fraudes publicitaires
Modèle de revenu « par click »
Génération de « faux » click
3. Augmentation de priorité (« shilling »)
Moteurs de recherche
Systèmes de recommandation
16
INF4420
Sécurité Informatique
Pourriel
Contre-mesures
Détecter courriels identiques
• Comparaison intégrale ou par fonction de hachage
Bloquer une adresse IP si plusieurs courriels identiques/similaires
Reconnaissance de pourriel
• Analyse par règles
Contre-contre-mesures
Utiliser des machines « jetables » (botnet)
Générer des messages différents, mais équivalents
• Ajouts d’éléments aléatoires hors-message hachés différents
• Variations du message
Texte mal écrit, mais lisible
Message en HTML
Texte dans une image
Course d’armement entre pollueurs et constructeur de filtres
17
INF4420
Sécurité Informatique
Hameçonnage bancaire
Techniques de base
En apparence lien pointe sur vrai site
Faux site a apparence identique
Session redirigée vers vrai site (« ni vu, ni connu »)
Techniques avancées
DNS spoofing (serveurs DNS compromis ou empoisonné)
Prendre le contrôle d’un serveur web existant
• Sans que le propriétaire s’en rende compte
• Pour éviter de se faire repérer
• Usager/NIP capturés re-acheminé par canal clandestin
18
Slide 17
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Où sommes-nous ?
Semaine 1 – Intro
Semaines 2, 3 et 4 – Cryptographie
Semaine 6, 7 – Sécurité dans les SE (suite)
Semaine 8 – Période de relâche
Semaine 9 – Sécurité des BD et des applications Web
Semaine 10 – Contrôle périodique
Semaine 11, 12 et 13 – Sécurité des réseaux
Risques spécifiques aux réseaux
Des attaques, des attaques et encore des attaques
Configuration sécuritaires et contre-mesures
Semaine 14 – Gestion de la sécurité.
Intervenants et modes d'intervention
Aspects légaux et déontologiques
2
INF4420
Sécurité Informatique
Semaine 11
Notions de bases sur les réseaux
Risques spécifiques aux réseaux
Analyse de risques par couche
Module III – Sécurité des réseaux
Semaine 13
Détection d'intrus (IDS)
Protocoles sécuritaires de réseaux
• SSH
• Attaques typiques par couche
• SSL et TLS (HTTPS)
• Attaques intra-couche
• IPSEC/IPv6
Semaine 12
Configuration sécuritaire de
réseaux
• Plan d'adressage, routage et NAT
• Pare-feux
• DMZ, VPN et serveurs mandataires
Encore des attaques
• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• Pourriel et hameçonnage
3
INF4420
Sécurité Informatique
Configuration sécuritaire
Principes de bastionnage de réseaux
Bloquer tous le trafic non pertinent
• Paquets qui ne vont pas à la bonne place
adresses IP vs. table de routage
• Applications/services non offerts (superflus)
Ports fermés/ouverts
Segmentation du réseau
• Utiliser des routeurs/passerelles/serveurs mandataires
Cacher les adresses IP internes (par NAT)
Protéger les services/serveurs critiques
« Défense en profondeur »
• Principe de l’oignon
• Chaque niveau à un contexte différent
Permet de mieux ajuster le modèle de sécurité
4
INF4420
Sécurité Informatique
Network Address Translation
Principe de base
Le réseau interne est dans le domaine « privé »
• 10.*.*.* ou 192.168.*.*
• Non-routable (par défaut) vers l’extérieur ou sur l’Internet
Pour les paquets sortant
• (priv_src_IP, priv_src_port) est associé à une nouvelle paire
(public_src_IP, public_src_port)
• Ces associations sont conservés dans une table NAT
Pour les paquets entrant
• On utilise le dest_port pour retrouver la bonne paire
(priv_src_IP, priv_src_port)
Implémenté par
Routeur ou passerelle
Coupe-feu
Serveur mandataire
5
INF4420
Sécurité Informatique
Réseaux privés virtuels (VPN)
Objectifs
Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles
de façons sécuritaires à travers un réseau intermédiaires non sécurisé
Techniques de base
Tunneling
• Chaque sous réseau protégé par une passerelle VPN
• Encapsulation de paquet ( ≠ NAT)
Ancien paquet devient message
Nouvelle entête en fonction des passerelles
Chiffrement
• Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou
modification sur le réseau non-securisé
Contrôle d’accès
• Seuls les paquets provenant des clients ou sous-réseaux autorisés sont
ré-acheminés vers le réseau interne
6
INF4420
Sécurité Informatique
Zone démilitarisée (DMZ)
Objectif
Permettre fournir des services de ou vers l’extérieur du réseau
interne, tout en protégeant celui-ci
Principe de base
Créer une zone intermédiaire où se trouve les services strictement
nécessaires
Adresses des serveurs DMZ sont routables et accessibles
• de l’extérieur : tout le temps
• de l’intérieur : si pertinent
Protégé par un coupe-feu/passerelle
Isolé du réseau interne par un coupe-feu/passerelle
7
INF4420
Sécurité Informatique
Services fournis à l’extérieur
Serveur DNS (pour adresses
DMZ seulement)
Serveur SMTP
Serveur Web
Passerelle VPN
Services typiques dans une DMZ
Services fournis à l’intérieur
Serveur mandataires Web
M-à-j des fichiers du serveur
Web
Connexion avec serveur
SMTP interne
Connexion entre serveur Web
et serveur de BD
8
INF4420
Sécurité Informatique
Selon l’implémentation
Matériel
Types de coupe-feu
Selon les fonctionnalités
Filtrage statique
• Pare-feu filtrant
Filtrage dynamique
• Parfois intégré dans le routeur
Pare-feu d’application
• « Network appliances »
Combine d’autres
• Pare-feu filtrant
• Serveur mandataire (proxy)
fonctionalités
Logiciel
• Serveur pare-feu dédié
• Pare-feu client ou individuel
9
INF4420
Sécurité Informatique
Coupe-feu statique
Principes de fonctionnement
Examine paquet par paquet (« stateless »)
• Adresses IP src et dest
• Port src et dest
• Type de protocole
Utilise des règles pour prendre action « block » ou « accept »
• Règle de routage : « IF src_IP = 123.45.*.* THEN block »
adresses privées
adresses internes/externes
listes noires
• Règle d’application : « IF dest_port = 80 THEN accept »
Par port de destination
• Évaluation séquentielle (!!)
Limitations
Pas de notion de connexion permet certains types d’attaques
10
INF4420
Sécurité Informatique
Coupe-feu dynamique
Principes de bases
Examine paquet par paquet, mais essaie d’établir relations entre paquets
• UDP
Associe paquet avec d’autre paquets sur mêmes ports et adresses
En général, permet seulement réponses si requêtes originales venant
d’adresses internes
• TCP
Garde information sur état et direction de la session TCP
Regarde en plus les flags TCP pour déterminer si hors-protocole
• Applications qui changent de port (e.g. FTP)
Suit et autorise les ports éphémères utilisés par les applications
Limitations
Pas de connaissance de l’état de la connexion au niveau application
Usurpation de port
11
INF4420
Sécurité Informatique
Coupe-feu applicatif
Principe de base
Le coupe-feu regarde le message et interprète son contenu par rapport à
l’application identifié par le port
Routeur filtrant
Bloque ou accepte en fonction du contenu du message
• Bon port pour type d’application
• Bonne séquence à niveau des protocoles d’application
Serveurs mandataires (proxy)
Agisse au nom du client d’application
Déballe et remballe les paquets IP avec nouvel adresse et port src
Autres fonctionnalités
Authentification et contrôle d’accès
VPN
Anti-virus, anti-spam, filtrage de contenu
Caching
12
INF4420
Sécurité Informatique
Étapes d’une attaque standard sur le réseau
1. Définitions et identification d’objectifs
Quelle est la cible ?
2. Reconnaissance
Où se trouve la cible ?
3. Caractérisation (« Fingerprinting »)
Identification de vulnérabilité
4. Pénétration
Exploitation de vulnérabilité
5. Exploitation
Garder l’accès
Ne pas se faire prendre
Accomplir les objectifs
13
INF4420
Sécurité Informatique
Attaques de déni de services (DoS)
Objectifs
Éliminer ou réduire la qualité de service d’un fournisseur de
services
Types
Par vulnérabilité (« crippling DoS »)
Par saturation (« Flood DoS »)
Par absorption (« Black hole DoS »)
Particularités
Pas de pénétration
Camouflage optionnel
Pas de contre-mesures absolues !!
14
INF4420
Sécurité Informatique
Attaque DoS distribuée (DDoS)
Principe de base
1. Prendre le contrôle de plusieurs machines (« botnet »)
2. Utiliser ces machines pour générer des requêtes (saturation)
Exemples
SYN flooding
SYN/ACK flooding
• Direct
• Indirect (backblast)
Session/Application flooding
• TCP, HTTP, SQL
• « Spoofing » plus possible
Défense
Analyse de coût relatif
Faire augmenter le coût de l’attaque
15
INF4420
Sécurité Informatique
Crimes informatiques économiques
1. Polluriel et hameçonnage
Canulards
Vente directe de produits
Vente pyramidale
Arnaques « nigériennes »
Captures de comptes
2. Fraudes publicitaires
Modèle de revenu « par click »
Génération de « faux » click
3. Augmentation de priorité (« shilling »)
Moteurs de recherche
Systèmes de recommandation
16
INF4420
Sécurité Informatique
Pourriel
Contre-mesures
Détecter courriels identiques
• Comparaison intégrale ou par fonction de hachage
Bloquer une adresse IP si plusieurs courriels identiques/similaires
Reconnaissance de pourriel
• Analyse par règles
Contre-contre-mesures
Utiliser des machines « jetables » (botnet)
Générer des messages différents, mais équivalents
• Ajouts d’éléments aléatoires hors-message hachés différents
• Variations du message
Texte mal écrit, mais lisible
Message en HTML
Texte dans une image
Course d’armement entre pollueurs et constructeur de filtres
17
INF4420
Sécurité Informatique
Hameçonnage bancaire
Techniques de base
En apparence lien pointe sur vrai site
Faux site a apparence identique
Session redirigée vers vrai site (« ni vu, ni connu »)
Techniques avancées
DNS spoofing (serveurs DNS compromis ou empoisonné)
Prendre le contrôle d’un serveur web existant
• Sans que le propriétaire s’en rende compte
• Pour éviter de se faire repérer
• Usager/NIP capturés re-acheminé par canal clandestin
18
Slide 18
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Où sommes-nous ?
Semaine 1 – Intro
Semaines 2, 3 et 4 – Cryptographie
Semaine 6, 7 – Sécurité dans les SE (suite)
Semaine 8 – Période de relâche
Semaine 9 – Sécurité des BD et des applications Web
Semaine 10 – Contrôle périodique
Semaine 11, 12 et 13 – Sécurité des réseaux
Risques spécifiques aux réseaux
Des attaques, des attaques et encore des attaques
Configuration sécuritaires et contre-mesures
Semaine 14 – Gestion de la sécurité.
Intervenants et modes d'intervention
Aspects légaux et déontologiques
2
INF4420
Sécurité Informatique
Semaine 11
Notions de bases sur les réseaux
Risques spécifiques aux réseaux
Analyse de risques par couche
Module III – Sécurité des réseaux
Semaine 13
Détection d'intrus (IDS)
Protocoles sécuritaires de réseaux
• SSH
• Attaques typiques par couche
• SSL et TLS (HTTPS)
• Attaques intra-couche
• IPSEC/IPv6
Semaine 12
Configuration sécuritaire de
réseaux
• Plan d'adressage, routage et NAT
• Pare-feux
• DMZ, VPN et serveurs mandataires
Encore des attaques
• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• Pourriel et hameçonnage
3
INF4420
Sécurité Informatique
Configuration sécuritaire
Principes de bastionnage de réseaux
Bloquer tous le trafic non pertinent
• Paquets qui ne vont pas à la bonne place
adresses IP vs. table de routage
• Applications/services non offerts (superflus)
Ports fermés/ouverts
Segmentation du réseau
• Utiliser des routeurs/passerelles/serveurs mandataires
Cacher les adresses IP internes (par NAT)
Protéger les services/serveurs critiques
« Défense en profondeur »
• Principe de l’oignon
• Chaque niveau à un contexte différent
Permet de mieux ajuster le modèle de sécurité
4
INF4420
Sécurité Informatique
Network Address Translation
Principe de base
Le réseau interne est dans le domaine « privé »
• 10.*.*.* ou 192.168.*.*
• Non-routable (par défaut) vers l’extérieur ou sur l’Internet
Pour les paquets sortant
• (priv_src_IP, priv_src_port) est associé à une nouvelle paire
(public_src_IP, public_src_port)
• Ces associations sont conservés dans une table NAT
Pour les paquets entrant
• On utilise le dest_port pour retrouver la bonne paire
(priv_src_IP, priv_src_port)
Implémenté par
Routeur ou passerelle
Coupe-feu
Serveur mandataire
5
INF4420
Sécurité Informatique
Réseaux privés virtuels (VPN)
Objectifs
Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles
de façons sécuritaires à travers un réseau intermédiaires non sécurisé
Techniques de base
Tunneling
• Chaque sous réseau protégé par une passerelle VPN
• Encapsulation de paquet ( ≠ NAT)
Ancien paquet devient message
Nouvelle entête en fonction des passerelles
Chiffrement
• Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou
modification sur le réseau non-securisé
Contrôle d’accès
• Seuls les paquets provenant des clients ou sous-réseaux autorisés sont
ré-acheminés vers le réseau interne
6
INF4420
Sécurité Informatique
Zone démilitarisée (DMZ)
Objectif
Permettre fournir des services de ou vers l’extérieur du réseau
interne, tout en protégeant celui-ci
Principe de base
Créer une zone intermédiaire où se trouve les services strictement
nécessaires
Adresses des serveurs DMZ sont routables et accessibles
• de l’extérieur : tout le temps
• de l’intérieur : si pertinent
Protégé par un coupe-feu/passerelle
Isolé du réseau interne par un coupe-feu/passerelle
7
INF4420
Sécurité Informatique
Services fournis à l’extérieur
Serveur DNS (pour adresses
DMZ seulement)
Serveur SMTP
Serveur Web
Passerelle VPN
Services typiques dans une DMZ
Services fournis à l’intérieur
Serveur mandataires Web
M-à-j des fichiers du serveur
Web
Connexion avec serveur
SMTP interne
Connexion entre serveur Web
et serveur de BD
8
INF4420
Sécurité Informatique
Selon l’implémentation
Matériel
Types de coupe-feu
Selon les fonctionnalités
Filtrage statique
• Pare-feu filtrant
Filtrage dynamique
• Parfois intégré dans le routeur
Pare-feu d’application
• « Network appliances »
Combine d’autres
• Pare-feu filtrant
• Serveur mandataire (proxy)
fonctionalités
Logiciel
• Serveur pare-feu dédié
• Pare-feu client ou individuel
9
INF4420
Sécurité Informatique
Coupe-feu statique
Principes de fonctionnement
Examine paquet par paquet (« stateless »)
• Adresses IP src et dest
• Port src et dest
• Type de protocole
Utilise des règles pour prendre action « block » ou « accept »
• Règle de routage : « IF src_IP = 123.45.*.* THEN block »
adresses privées
adresses internes/externes
listes noires
• Règle d’application : « IF dest_port = 80 THEN accept »
Par port de destination
• Évaluation séquentielle (!!)
Limitations
Pas de notion de connexion permet certains types d’attaques
10
INF4420
Sécurité Informatique
Coupe-feu dynamique
Principes de bases
Examine paquet par paquet, mais essaie d’établir relations entre paquets
• UDP
Associe paquet avec d’autre paquets sur mêmes ports et adresses
En général, permet seulement réponses si requêtes originales venant
d’adresses internes
• TCP
Garde information sur état et direction de la session TCP
Regarde en plus les flags TCP pour déterminer si hors-protocole
• Applications qui changent de port (e.g. FTP)
Suit et autorise les ports éphémères utilisés par les applications
Limitations
Pas de connaissance de l’état de la connexion au niveau application
Usurpation de port
11
INF4420
Sécurité Informatique
Coupe-feu applicatif
Principe de base
Le coupe-feu regarde le message et interprète son contenu par rapport à
l’application identifié par le port
Routeur filtrant
Bloque ou accepte en fonction du contenu du message
• Bon port pour type d’application
• Bonne séquence à niveau des protocoles d’application
Serveurs mandataires (proxy)
Agisse au nom du client d’application
Déballe et remballe les paquets IP avec nouvel adresse et port src
Autres fonctionnalités
Authentification et contrôle d’accès
VPN
Anti-virus, anti-spam, filtrage de contenu
Caching
12
INF4420
Sécurité Informatique
Étapes d’une attaque standard sur le réseau
1. Définitions et identification d’objectifs
Quelle est la cible ?
2. Reconnaissance
Où se trouve la cible ?
3. Caractérisation (« Fingerprinting »)
Identification de vulnérabilité
4. Pénétration
Exploitation de vulnérabilité
5. Exploitation
Garder l’accès
Ne pas se faire prendre
Accomplir les objectifs
13
INF4420
Sécurité Informatique
Attaques de déni de services (DoS)
Objectifs
Éliminer ou réduire la qualité de service d’un fournisseur de
services
Types
Par vulnérabilité (« crippling DoS »)
Par saturation (« Flood DoS »)
Par absorption (« Black hole DoS »)
Particularités
Pas de pénétration
Camouflage optionnel
Pas de contre-mesures absolues !!
14
INF4420
Sécurité Informatique
Attaque DoS distribuée (DDoS)
Principe de base
1. Prendre le contrôle de plusieurs machines (« botnet »)
2. Utiliser ces machines pour générer des requêtes (saturation)
Exemples
SYN flooding
SYN/ACK flooding
• Direct
• Indirect (backblast)
Session/Application flooding
• TCP, HTTP, SQL
• « Spoofing » plus possible
Défense
Analyse de coût relatif
Faire augmenter le coût de l’attaque
15
INF4420
Sécurité Informatique
Crimes informatiques économiques
1. Polluriel et hameçonnage
Canulards
Vente directe de produits
Vente pyramidale
Arnaques « nigériennes »
Captures de comptes
2. Fraudes publicitaires
Modèle de revenu « par click »
Génération de « faux » click
3. Augmentation de priorité (« shilling »)
Moteurs de recherche
Systèmes de recommandation
16
INF4420
Sécurité Informatique
Pourriel
Contre-mesures
Détecter courriels identiques
• Comparaison intégrale ou par fonction de hachage
Bloquer une adresse IP si plusieurs courriels identiques/similaires
Reconnaissance de pourriel
• Analyse par règles
Contre-contre-mesures
Utiliser des machines « jetables » (botnet)
Générer des messages différents, mais équivalents
• Ajouts d’éléments aléatoires hors-message hachés différents
• Variations du message
Texte mal écrit, mais lisible
Message en HTML
Texte dans une image
Course d’armement entre pollueurs et constructeur de filtres
17
INF4420
Sécurité Informatique
Hameçonnage bancaire
Techniques de base
En apparence lien pointe sur vrai site
Faux site a apparence identique
Session redirigée vers vrai site (« ni vu, ni connu »)
Techniques avancées
DNS spoofing (serveurs DNS compromis ou empoisonné)
Prendre le contrôle d’un serveur web existant
• Sans que le propriétaire s’en rende compte
• Pour éviter de se faire repérer
• Usager/NIP capturés re-acheminé par canal clandestin
18
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Où sommes-nous ?
Semaine 1 – Intro
Semaines 2, 3 et 4 – Cryptographie
Semaine 6, 7 – Sécurité dans les SE (suite)
Semaine 8 – Période de relâche
Semaine 9 – Sécurité des BD et des applications Web
Semaine 10 – Contrôle périodique
Semaine 11, 12 et 13 – Sécurité des réseaux
Risques spécifiques aux réseaux
Des attaques, des attaques et encore des attaques
Configuration sécuritaires et contre-mesures
Semaine 14 – Gestion de la sécurité.
Intervenants et modes d'intervention
Aspects légaux et déontologiques
2
INF4420
Sécurité Informatique
Semaine 11
Notions de bases sur les réseaux
Risques spécifiques aux réseaux
Analyse de risques par couche
Module III – Sécurité des réseaux
Semaine 13
Détection d'intrus (IDS)
Protocoles sécuritaires de réseaux
• SSH
• Attaques typiques par couche
• SSL et TLS (HTTPS)
• Attaques intra-couche
• IPSEC/IPv6
Semaine 12
Configuration sécuritaire de
réseaux
• Plan d'adressage, routage et NAT
• Pare-feux
• DMZ, VPN et serveurs mandataires
Encore des attaques
• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• Pourriel et hameçonnage
3
INF4420
Sécurité Informatique
Configuration sécuritaire
Principes de bastionnage de réseaux
Bloquer tous le trafic non pertinent
• Paquets qui ne vont pas à la bonne place
adresses IP vs. table de routage
• Applications/services non offerts (superflus)
Ports fermés/ouverts
Segmentation du réseau
• Utiliser des routeurs/passerelles/serveurs mandataires
Cacher les adresses IP internes (par NAT)
Protéger les services/serveurs critiques
« Défense en profondeur »
• Principe de l’oignon
• Chaque niveau à un contexte différent
Permet de mieux ajuster le modèle de sécurité
4
INF4420
Sécurité Informatique
Network Address Translation
Principe de base
Le réseau interne est dans le domaine « privé »
• 10.*.*.* ou 192.168.*.*
• Non-routable (par défaut) vers l’extérieur ou sur l’Internet
Pour les paquets sortant
• (priv_src_IP, priv_src_port) est associé à une nouvelle paire
(public_src_IP, public_src_port)
• Ces associations sont conservés dans une table NAT
Pour les paquets entrant
• On utilise le dest_port pour retrouver la bonne paire
(priv_src_IP, priv_src_port)
Implémenté par
Routeur ou passerelle
Coupe-feu
Serveur mandataire
5
INF4420
Sécurité Informatique
Réseaux privés virtuels (VPN)
Objectifs
Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles
de façons sécuritaires à travers un réseau intermédiaires non sécurisé
Techniques de base
Tunneling
• Chaque sous réseau protégé par une passerelle VPN
• Encapsulation de paquet ( ≠ NAT)
Ancien paquet devient message
Nouvelle entête en fonction des passerelles
Chiffrement
• Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou
modification sur le réseau non-securisé
Contrôle d’accès
• Seuls les paquets provenant des clients ou sous-réseaux autorisés sont
ré-acheminés vers le réseau interne
6
INF4420
Sécurité Informatique
Zone démilitarisée (DMZ)
Objectif
Permettre fournir des services de ou vers l’extérieur du réseau
interne, tout en protégeant celui-ci
Principe de base
Créer une zone intermédiaire où se trouve les services strictement
nécessaires
Adresses des serveurs DMZ sont routables et accessibles
• de l’extérieur : tout le temps
• de l’intérieur : si pertinent
Protégé par un coupe-feu/passerelle
Isolé du réseau interne par un coupe-feu/passerelle
7
INF4420
Sécurité Informatique
Services fournis à l’extérieur
Serveur DNS (pour adresses
DMZ seulement)
Serveur SMTP
Serveur Web
Passerelle VPN
Services typiques dans une DMZ
Services fournis à l’intérieur
Serveur mandataires Web
M-à-j des fichiers du serveur
Web
Connexion avec serveur
SMTP interne
Connexion entre serveur Web
et serveur de BD
8
INF4420
Sécurité Informatique
Selon l’implémentation
Matériel
Types de coupe-feu
Selon les fonctionnalités
Filtrage statique
• Pare-feu filtrant
Filtrage dynamique
• Parfois intégré dans le routeur
Pare-feu d’application
• « Network appliances »
Combine d’autres
• Pare-feu filtrant
• Serveur mandataire (proxy)
fonctionalités
Logiciel
• Serveur pare-feu dédié
• Pare-feu client ou individuel
9
INF4420
Sécurité Informatique
Coupe-feu statique
Principes de fonctionnement
Examine paquet par paquet (« stateless »)
• Adresses IP src et dest
• Port src et dest
• Type de protocole
Utilise des règles pour prendre action « block » ou « accept »
• Règle de routage : « IF src_IP = 123.45.*.* THEN block »
adresses privées
adresses internes/externes
listes noires
• Règle d’application : « IF dest_port = 80 THEN accept »
Par port de destination
• Évaluation séquentielle (!!)
Limitations
Pas de notion de connexion permet certains types d’attaques
10
INF4420
Sécurité Informatique
Coupe-feu dynamique
Principes de bases
Examine paquet par paquet, mais essaie d’établir relations entre paquets
• UDP
Associe paquet avec d’autre paquets sur mêmes ports et adresses
En général, permet seulement réponses si requêtes originales venant
d’adresses internes
• TCP
Garde information sur état et direction de la session TCP
Regarde en plus les flags TCP pour déterminer si hors-protocole
• Applications qui changent de port (e.g. FTP)
Suit et autorise les ports éphémères utilisés par les applications
Limitations
Pas de connaissance de l’état de la connexion au niveau application
Usurpation de port
11
INF4420
Sécurité Informatique
Coupe-feu applicatif
Principe de base
Le coupe-feu regarde le message et interprète son contenu par rapport à
l’application identifié par le port
Routeur filtrant
Bloque ou accepte en fonction du contenu du message
• Bon port pour type d’application
• Bonne séquence à niveau des protocoles d’application
Serveurs mandataires (proxy)
Agisse au nom du client d’application
Déballe et remballe les paquets IP avec nouvel adresse et port src
Autres fonctionnalités
Authentification et contrôle d’accès
VPN
Anti-virus, anti-spam, filtrage de contenu
Caching
12
INF4420
Sécurité Informatique
Étapes d’une attaque standard sur le réseau
1. Définitions et identification d’objectifs
Quelle est la cible ?
2. Reconnaissance
Où se trouve la cible ?
3. Caractérisation (« Fingerprinting »)
Identification de vulnérabilité
4. Pénétration
Exploitation de vulnérabilité
5. Exploitation
Garder l’accès
Ne pas se faire prendre
Accomplir les objectifs
13
INF4420
Sécurité Informatique
Attaques de déni de services (DoS)
Objectifs
Éliminer ou réduire la qualité de service d’un fournisseur de
services
Types
Par vulnérabilité (« crippling DoS »)
Par saturation (« Flood DoS »)
Par absorption (« Black hole DoS »)
Particularités
Pas de pénétration
Camouflage optionnel
Pas de contre-mesures absolues !!
14
INF4420
Sécurité Informatique
Attaque DoS distribuée (DDoS)
Principe de base
1. Prendre le contrôle de plusieurs machines (« botnet »)
2. Utiliser ces machines pour générer des requêtes (saturation)
Exemples
SYN flooding
SYN/ACK flooding
• Direct
• Indirect (backblast)
Session/Application flooding
• TCP, HTTP, SQL
• « Spoofing » plus possible
Défense
Analyse de coût relatif
Faire augmenter le coût de l’attaque
15
INF4420
Sécurité Informatique
Crimes informatiques économiques
1. Polluriel et hameçonnage
Canulards
Vente directe de produits
Vente pyramidale
Arnaques « nigériennes »
Captures de comptes
2. Fraudes publicitaires
Modèle de revenu « par click »
Génération de « faux » click
3. Augmentation de priorité (« shilling »)
Moteurs de recherche
Systèmes de recommandation
16
INF4420
Sécurité Informatique
Pourriel
Contre-mesures
Détecter courriels identiques
• Comparaison intégrale ou par fonction de hachage
Bloquer une adresse IP si plusieurs courriels identiques/similaires
Reconnaissance de pourriel
• Analyse par règles
Contre-contre-mesures
Utiliser des machines « jetables » (botnet)
Générer des messages différents, mais équivalents
• Ajouts d’éléments aléatoires hors-message hachés différents
• Variations du message
Texte mal écrit, mais lisible
Message en HTML
Texte dans une image
Course d’armement entre pollueurs et constructeur de filtres
17
INF4420
Sécurité Informatique
Hameçonnage bancaire
Techniques de base
En apparence lien pointe sur vrai site
Faux site a apparence identique
Session redirigée vers vrai site (« ni vu, ni connu »)
Techniques avancées
DNS spoofing (serveurs DNS compromis ou empoisonné)
Prendre le contrôle d’un serveur web existant
• Sans que le propriétaire s’en rende compte
• Pour éviter de se faire repérer
• Usager/NIP capturés re-acheminé par canal clandestin
18
Slide 2
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Où sommes-nous ?
Semaine 1 – Intro
Semaines 2, 3 et 4 – Cryptographie
Semaine 6, 7 – Sécurité dans les SE (suite)
Semaine 8 – Période de relâche
Semaine 9 – Sécurité des BD et des applications Web
Semaine 10 – Contrôle périodique
Semaine 11, 12 et 13 – Sécurité des réseaux
Risques spécifiques aux réseaux
Des attaques, des attaques et encore des attaques
Configuration sécuritaires et contre-mesures
Semaine 14 – Gestion de la sécurité.
Intervenants et modes d'intervention
Aspects légaux et déontologiques
2
INF4420
Sécurité Informatique
Semaine 11
Notions de bases sur les réseaux
Risques spécifiques aux réseaux
Analyse de risques par couche
Module III – Sécurité des réseaux
Semaine 13
Détection d'intrus (IDS)
Protocoles sécuritaires de réseaux
• SSH
• Attaques typiques par couche
• SSL et TLS (HTTPS)
• Attaques intra-couche
• IPSEC/IPv6
Semaine 12
Configuration sécuritaire de
réseaux
• Plan d'adressage, routage et NAT
• Pare-feux
• DMZ, VPN et serveurs mandataires
Encore des attaques
• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• Pourriel et hameçonnage
3
INF4420
Sécurité Informatique
Configuration sécuritaire
Principes de bastionnage de réseaux
Bloquer tous le trafic non pertinent
• Paquets qui ne vont pas à la bonne place
adresses IP vs. table de routage
• Applications/services non offerts (superflus)
Ports fermés/ouverts
Segmentation du réseau
• Utiliser des routeurs/passerelles/serveurs mandataires
Cacher les adresses IP internes (par NAT)
Protéger les services/serveurs critiques
« Défense en profondeur »
• Principe de l’oignon
• Chaque niveau à un contexte différent
Permet de mieux ajuster le modèle de sécurité
4
INF4420
Sécurité Informatique
Network Address Translation
Principe de base
Le réseau interne est dans le domaine « privé »
• 10.*.*.* ou 192.168.*.*
• Non-routable (par défaut) vers l’extérieur ou sur l’Internet
Pour les paquets sortant
• (priv_src_IP, priv_src_port) est associé à une nouvelle paire
(public_src_IP, public_src_port)
• Ces associations sont conservés dans une table NAT
Pour les paquets entrant
• On utilise le dest_port pour retrouver la bonne paire
(priv_src_IP, priv_src_port)
Implémenté par
Routeur ou passerelle
Coupe-feu
Serveur mandataire
5
INF4420
Sécurité Informatique
Réseaux privés virtuels (VPN)
Objectifs
Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles
de façons sécuritaires à travers un réseau intermédiaires non sécurisé
Techniques de base
Tunneling
• Chaque sous réseau protégé par une passerelle VPN
• Encapsulation de paquet ( ≠ NAT)
Ancien paquet devient message
Nouvelle entête en fonction des passerelles
Chiffrement
• Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou
modification sur le réseau non-securisé
Contrôle d’accès
• Seuls les paquets provenant des clients ou sous-réseaux autorisés sont
ré-acheminés vers le réseau interne
6
INF4420
Sécurité Informatique
Zone démilitarisée (DMZ)
Objectif
Permettre fournir des services de ou vers l’extérieur du réseau
interne, tout en protégeant celui-ci
Principe de base
Créer une zone intermédiaire où se trouve les services strictement
nécessaires
Adresses des serveurs DMZ sont routables et accessibles
• de l’extérieur : tout le temps
• de l’intérieur : si pertinent
Protégé par un coupe-feu/passerelle
Isolé du réseau interne par un coupe-feu/passerelle
7
INF4420
Sécurité Informatique
Services fournis à l’extérieur
Serveur DNS (pour adresses
DMZ seulement)
Serveur SMTP
Serveur Web
Passerelle VPN
Services typiques dans une DMZ
Services fournis à l’intérieur
Serveur mandataires Web
M-à-j des fichiers du serveur
Web
Connexion avec serveur
SMTP interne
Connexion entre serveur Web
et serveur de BD
8
INF4420
Sécurité Informatique
Selon l’implémentation
Matériel
Types de coupe-feu
Selon les fonctionnalités
Filtrage statique
• Pare-feu filtrant
Filtrage dynamique
• Parfois intégré dans le routeur
Pare-feu d’application
• « Network appliances »
Combine d’autres
• Pare-feu filtrant
• Serveur mandataire (proxy)
fonctionalités
Logiciel
• Serveur pare-feu dédié
• Pare-feu client ou individuel
9
INF4420
Sécurité Informatique
Coupe-feu statique
Principes de fonctionnement
Examine paquet par paquet (« stateless »)
• Adresses IP src et dest
• Port src et dest
• Type de protocole
Utilise des règles pour prendre action « block » ou « accept »
• Règle de routage : « IF src_IP = 123.45.*.* THEN block »
adresses privées
adresses internes/externes
listes noires
• Règle d’application : « IF dest_port = 80 THEN accept »
Par port de destination
• Évaluation séquentielle (!!)
Limitations
Pas de notion de connexion permet certains types d’attaques
10
INF4420
Sécurité Informatique
Coupe-feu dynamique
Principes de bases
Examine paquet par paquet, mais essaie d’établir relations entre paquets
• UDP
Associe paquet avec d’autre paquets sur mêmes ports et adresses
En général, permet seulement réponses si requêtes originales venant
d’adresses internes
• TCP
Garde information sur état et direction de la session TCP
Regarde en plus les flags TCP pour déterminer si hors-protocole
• Applications qui changent de port (e.g. FTP)
Suit et autorise les ports éphémères utilisés par les applications
Limitations
Pas de connaissance de l’état de la connexion au niveau application
Usurpation de port
11
INF4420
Sécurité Informatique
Coupe-feu applicatif
Principe de base
Le coupe-feu regarde le message et interprète son contenu par rapport à
l’application identifié par le port
Routeur filtrant
Bloque ou accepte en fonction du contenu du message
• Bon port pour type d’application
• Bonne séquence à niveau des protocoles d’application
Serveurs mandataires (proxy)
Agisse au nom du client d’application
Déballe et remballe les paquets IP avec nouvel adresse et port src
Autres fonctionnalités
Authentification et contrôle d’accès
VPN
Anti-virus, anti-spam, filtrage de contenu
Caching
12
INF4420
Sécurité Informatique
Étapes d’une attaque standard sur le réseau
1. Définitions et identification d’objectifs
Quelle est la cible ?
2. Reconnaissance
Où se trouve la cible ?
3. Caractérisation (« Fingerprinting »)
Identification de vulnérabilité
4. Pénétration
Exploitation de vulnérabilité
5. Exploitation
Garder l’accès
Ne pas se faire prendre
Accomplir les objectifs
13
INF4420
Sécurité Informatique
Attaques de déni de services (DoS)
Objectifs
Éliminer ou réduire la qualité de service d’un fournisseur de
services
Types
Par vulnérabilité (« crippling DoS »)
Par saturation (« Flood DoS »)
Par absorption (« Black hole DoS »)
Particularités
Pas de pénétration
Camouflage optionnel
Pas de contre-mesures absolues !!
14
INF4420
Sécurité Informatique
Attaque DoS distribuée (DDoS)
Principe de base
1. Prendre le contrôle de plusieurs machines (« botnet »)
2. Utiliser ces machines pour générer des requêtes (saturation)
Exemples
SYN flooding
SYN/ACK flooding
• Direct
• Indirect (backblast)
Session/Application flooding
• TCP, HTTP, SQL
• « Spoofing » plus possible
Défense
Analyse de coût relatif
Faire augmenter le coût de l’attaque
15
INF4420
Sécurité Informatique
Crimes informatiques économiques
1. Polluriel et hameçonnage
Canulards
Vente directe de produits
Vente pyramidale
Arnaques « nigériennes »
Captures de comptes
2. Fraudes publicitaires
Modèle de revenu « par click »
Génération de « faux » click
3. Augmentation de priorité (« shilling »)
Moteurs de recherche
Systèmes de recommandation
16
INF4420
Sécurité Informatique
Pourriel
Contre-mesures
Détecter courriels identiques
• Comparaison intégrale ou par fonction de hachage
Bloquer une adresse IP si plusieurs courriels identiques/similaires
Reconnaissance de pourriel
• Analyse par règles
Contre-contre-mesures
Utiliser des machines « jetables » (botnet)
Générer des messages différents, mais équivalents
• Ajouts d’éléments aléatoires hors-message hachés différents
• Variations du message
Texte mal écrit, mais lisible
Message en HTML
Texte dans une image
Course d’armement entre pollueurs et constructeur de filtres
17
INF4420
Sécurité Informatique
Hameçonnage bancaire
Techniques de base
En apparence lien pointe sur vrai site
Faux site a apparence identique
Session redirigée vers vrai site (« ni vu, ni connu »)
Techniques avancées
DNS spoofing (serveurs DNS compromis ou empoisonné)
Prendre le contrôle d’un serveur web existant
• Sans que le propriétaire s’en rende compte
• Pour éviter de se faire repérer
• Usager/NIP capturés re-acheminé par canal clandestin
18
Slide 3
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Où sommes-nous ?
Semaine 1 – Intro
Semaines 2, 3 et 4 – Cryptographie
Semaine 6, 7 – Sécurité dans les SE (suite)
Semaine 8 – Période de relâche
Semaine 9 – Sécurité des BD et des applications Web
Semaine 10 – Contrôle périodique
Semaine 11, 12 et 13 – Sécurité des réseaux
Risques spécifiques aux réseaux
Des attaques, des attaques et encore des attaques
Configuration sécuritaires et contre-mesures
Semaine 14 – Gestion de la sécurité.
Intervenants et modes d'intervention
Aspects légaux et déontologiques
2
INF4420
Sécurité Informatique
Semaine 11
Notions de bases sur les réseaux
Risques spécifiques aux réseaux
Analyse de risques par couche
Module III – Sécurité des réseaux
Semaine 13
Détection d'intrus (IDS)
Protocoles sécuritaires de réseaux
• SSH
• Attaques typiques par couche
• SSL et TLS (HTTPS)
• Attaques intra-couche
• IPSEC/IPv6
Semaine 12
Configuration sécuritaire de
réseaux
• Plan d'adressage, routage et NAT
• Pare-feux
• DMZ, VPN et serveurs mandataires
Encore des attaques
• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• Pourriel et hameçonnage
3
INF4420
Sécurité Informatique
Configuration sécuritaire
Principes de bastionnage de réseaux
Bloquer tous le trafic non pertinent
• Paquets qui ne vont pas à la bonne place
adresses IP vs. table de routage
• Applications/services non offerts (superflus)
Ports fermés/ouverts
Segmentation du réseau
• Utiliser des routeurs/passerelles/serveurs mandataires
Cacher les adresses IP internes (par NAT)
Protéger les services/serveurs critiques
« Défense en profondeur »
• Principe de l’oignon
• Chaque niveau à un contexte différent
Permet de mieux ajuster le modèle de sécurité
4
INF4420
Sécurité Informatique
Network Address Translation
Principe de base
Le réseau interne est dans le domaine « privé »
• 10.*.*.* ou 192.168.*.*
• Non-routable (par défaut) vers l’extérieur ou sur l’Internet
Pour les paquets sortant
• (priv_src_IP, priv_src_port) est associé à une nouvelle paire
(public_src_IP, public_src_port)
• Ces associations sont conservés dans une table NAT
Pour les paquets entrant
• On utilise le dest_port pour retrouver la bonne paire
(priv_src_IP, priv_src_port)
Implémenté par
Routeur ou passerelle
Coupe-feu
Serveur mandataire
5
INF4420
Sécurité Informatique
Réseaux privés virtuels (VPN)
Objectifs
Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles
de façons sécuritaires à travers un réseau intermédiaires non sécurisé
Techniques de base
Tunneling
• Chaque sous réseau protégé par une passerelle VPN
• Encapsulation de paquet ( ≠ NAT)
Ancien paquet devient message
Nouvelle entête en fonction des passerelles
Chiffrement
• Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou
modification sur le réseau non-securisé
Contrôle d’accès
• Seuls les paquets provenant des clients ou sous-réseaux autorisés sont
ré-acheminés vers le réseau interne
6
INF4420
Sécurité Informatique
Zone démilitarisée (DMZ)
Objectif
Permettre fournir des services de ou vers l’extérieur du réseau
interne, tout en protégeant celui-ci
Principe de base
Créer une zone intermédiaire où se trouve les services strictement
nécessaires
Adresses des serveurs DMZ sont routables et accessibles
• de l’extérieur : tout le temps
• de l’intérieur : si pertinent
Protégé par un coupe-feu/passerelle
Isolé du réseau interne par un coupe-feu/passerelle
7
INF4420
Sécurité Informatique
Services fournis à l’extérieur
Serveur DNS (pour adresses
DMZ seulement)
Serveur SMTP
Serveur Web
Passerelle VPN
Services typiques dans une DMZ
Services fournis à l’intérieur
Serveur mandataires Web
M-à-j des fichiers du serveur
Web
Connexion avec serveur
SMTP interne
Connexion entre serveur Web
et serveur de BD
8
INF4420
Sécurité Informatique
Selon l’implémentation
Matériel
Types de coupe-feu
Selon les fonctionnalités
Filtrage statique
• Pare-feu filtrant
Filtrage dynamique
• Parfois intégré dans le routeur
Pare-feu d’application
• « Network appliances »
Combine d’autres
• Pare-feu filtrant
• Serveur mandataire (proxy)
fonctionalités
Logiciel
• Serveur pare-feu dédié
• Pare-feu client ou individuel
9
INF4420
Sécurité Informatique
Coupe-feu statique
Principes de fonctionnement
Examine paquet par paquet (« stateless »)
• Adresses IP src et dest
• Port src et dest
• Type de protocole
Utilise des règles pour prendre action « block » ou « accept »
• Règle de routage : « IF src_IP = 123.45.*.* THEN block »
adresses privées
adresses internes/externes
listes noires
• Règle d’application : « IF dest_port = 80 THEN accept »
Par port de destination
• Évaluation séquentielle (!!)
Limitations
Pas de notion de connexion permet certains types d’attaques
10
INF4420
Sécurité Informatique
Coupe-feu dynamique
Principes de bases
Examine paquet par paquet, mais essaie d’établir relations entre paquets
• UDP
Associe paquet avec d’autre paquets sur mêmes ports et adresses
En général, permet seulement réponses si requêtes originales venant
d’adresses internes
• TCP
Garde information sur état et direction de la session TCP
Regarde en plus les flags TCP pour déterminer si hors-protocole
• Applications qui changent de port (e.g. FTP)
Suit et autorise les ports éphémères utilisés par les applications
Limitations
Pas de connaissance de l’état de la connexion au niveau application
Usurpation de port
11
INF4420
Sécurité Informatique
Coupe-feu applicatif
Principe de base
Le coupe-feu regarde le message et interprète son contenu par rapport à
l’application identifié par le port
Routeur filtrant
Bloque ou accepte en fonction du contenu du message
• Bon port pour type d’application
• Bonne séquence à niveau des protocoles d’application
Serveurs mandataires (proxy)
Agisse au nom du client d’application
Déballe et remballe les paquets IP avec nouvel adresse et port src
Autres fonctionnalités
Authentification et contrôle d’accès
VPN
Anti-virus, anti-spam, filtrage de contenu
Caching
12
INF4420
Sécurité Informatique
Étapes d’une attaque standard sur le réseau
1. Définitions et identification d’objectifs
Quelle est la cible ?
2. Reconnaissance
Où se trouve la cible ?
3. Caractérisation (« Fingerprinting »)
Identification de vulnérabilité
4. Pénétration
Exploitation de vulnérabilité
5. Exploitation
Garder l’accès
Ne pas se faire prendre
Accomplir les objectifs
13
INF4420
Sécurité Informatique
Attaques de déni de services (DoS)
Objectifs
Éliminer ou réduire la qualité de service d’un fournisseur de
services
Types
Par vulnérabilité (« crippling DoS »)
Par saturation (« Flood DoS »)
Par absorption (« Black hole DoS »)
Particularités
Pas de pénétration
Camouflage optionnel
Pas de contre-mesures absolues !!
14
INF4420
Sécurité Informatique
Attaque DoS distribuée (DDoS)
Principe de base
1. Prendre le contrôle de plusieurs machines (« botnet »)
2. Utiliser ces machines pour générer des requêtes (saturation)
Exemples
SYN flooding
SYN/ACK flooding
• Direct
• Indirect (backblast)
Session/Application flooding
• TCP, HTTP, SQL
• « Spoofing » plus possible
Défense
Analyse de coût relatif
Faire augmenter le coût de l’attaque
15
INF4420
Sécurité Informatique
Crimes informatiques économiques
1. Polluriel et hameçonnage
Canulards
Vente directe de produits
Vente pyramidale
Arnaques « nigériennes »
Captures de comptes
2. Fraudes publicitaires
Modèle de revenu « par click »
Génération de « faux » click
3. Augmentation de priorité (« shilling »)
Moteurs de recherche
Systèmes de recommandation
16
INF4420
Sécurité Informatique
Pourriel
Contre-mesures
Détecter courriels identiques
• Comparaison intégrale ou par fonction de hachage
Bloquer une adresse IP si plusieurs courriels identiques/similaires
Reconnaissance de pourriel
• Analyse par règles
Contre-contre-mesures
Utiliser des machines « jetables » (botnet)
Générer des messages différents, mais équivalents
• Ajouts d’éléments aléatoires hors-message hachés différents
• Variations du message
Texte mal écrit, mais lisible
Message en HTML
Texte dans une image
Course d’armement entre pollueurs et constructeur de filtres
17
INF4420
Sécurité Informatique
Hameçonnage bancaire
Techniques de base
En apparence lien pointe sur vrai site
Faux site a apparence identique
Session redirigée vers vrai site (« ni vu, ni connu »)
Techniques avancées
DNS spoofing (serveurs DNS compromis ou empoisonné)
Prendre le contrôle d’un serveur web existant
• Sans que le propriétaire s’en rende compte
• Pour éviter de se faire repérer
• Usager/NIP capturés re-acheminé par canal clandestin
18
Slide 4
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Où sommes-nous ?
Semaine 1 – Intro
Semaines 2, 3 et 4 – Cryptographie
Semaine 6, 7 – Sécurité dans les SE (suite)
Semaine 8 – Période de relâche
Semaine 9 – Sécurité des BD et des applications Web
Semaine 10 – Contrôle périodique
Semaine 11, 12 et 13 – Sécurité des réseaux
Risques spécifiques aux réseaux
Des attaques, des attaques et encore des attaques
Configuration sécuritaires et contre-mesures
Semaine 14 – Gestion de la sécurité.
Intervenants et modes d'intervention
Aspects légaux et déontologiques
2
INF4420
Sécurité Informatique
Semaine 11
Notions de bases sur les réseaux
Risques spécifiques aux réseaux
Analyse de risques par couche
Module III – Sécurité des réseaux
Semaine 13
Détection d'intrus (IDS)
Protocoles sécuritaires de réseaux
• SSH
• Attaques typiques par couche
• SSL et TLS (HTTPS)
• Attaques intra-couche
• IPSEC/IPv6
Semaine 12
Configuration sécuritaire de
réseaux
• Plan d'adressage, routage et NAT
• Pare-feux
• DMZ, VPN et serveurs mandataires
Encore des attaques
• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• Pourriel et hameçonnage
3
INF4420
Sécurité Informatique
Configuration sécuritaire
Principes de bastionnage de réseaux
Bloquer tous le trafic non pertinent
• Paquets qui ne vont pas à la bonne place
adresses IP vs. table de routage
• Applications/services non offerts (superflus)
Ports fermés/ouverts
Segmentation du réseau
• Utiliser des routeurs/passerelles/serveurs mandataires
Cacher les adresses IP internes (par NAT)
Protéger les services/serveurs critiques
« Défense en profondeur »
• Principe de l’oignon
• Chaque niveau à un contexte différent
Permet de mieux ajuster le modèle de sécurité
4
INF4420
Sécurité Informatique
Network Address Translation
Principe de base
Le réseau interne est dans le domaine « privé »
• 10.*.*.* ou 192.168.*.*
• Non-routable (par défaut) vers l’extérieur ou sur l’Internet
Pour les paquets sortant
• (priv_src_IP, priv_src_port) est associé à une nouvelle paire
(public_src_IP, public_src_port)
• Ces associations sont conservés dans une table NAT
Pour les paquets entrant
• On utilise le dest_port pour retrouver la bonne paire
(priv_src_IP, priv_src_port)
Implémenté par
Routeur ou passerelle
Coupe-feu
Serveur mandataire
5
INF4420
Sécurité Informatique
Réseaux privés virtuels (VPN)
Objectifs
Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles
de façons sécuritaires à travers un réseau intermédiaires non sécurisé
Techniques de base
Tunneling
• Chaque sous réseau protégé par une passerelle VPN
• Encapsulation de paquet ( ≠ NAT)
Ancien paquet devient message
Nouvelle entête en fonction des passerelles
Chiffrement
• Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou
modification sur le réseau non-securisé
Contrôle d’accès
• Seuls les paquets provenant des clients ou sous-réseaux autorisés sont
ré-acheminés vers le réseau interne
6
INF4420
Sécurité Informatique
Zone démilitarisée (DMZ)
Objectif
Permettre fournir des services de ou vers l’extérieur du réseau
interne, tout en protégeant celui-ci
Principe de base
Créer une zone intermédiaire où se trouve les services strictement
nécessaires
Adresses des serveurs DMZ sont routables et accessibles
• de l’extérieur : tout le temps
• de l’intérieur : si pertinent
Protégé par un coupe-feu/passerelle
Isolé du réseau interne par un coupe-feu/passerelle
7
INF4420
Sécurité Informatique
Services fournis à l’extérieur
Serveur DNS (pour adresses
DMZ seulement)
Serveur SMTP
Serveur Web
Passerelle VPN
Services typiques dans une DMZ
Services fournis à l’intérieur
Serveur mandataires Web
M-à-j des fichiers du serveur
Web
Connexion avec serveur
SMTP interne
Connexion entre serveur Web
et serveur de BD
8
INF4420
Sécurité Informatique
Selon l’implémentation
Matériel
Types de coupe-feu
Selon les fonctionnalités
Filtrage statique
• Pare-feu filtrant
Filtrage dynamique
• Parfois intégré dans le routeur
Pare-feu d’application
• « Network appliances »
Combine d’autres
• Pare-feu filtrant
• Serveur mandataire (proxy)
fonctionalités
Logiciel
• Serveur pare-feu dédié
• Pare-feu client ou individuel
9
INF4420
Sécurité Informatique
Coupe-feu statique
Principes de fonctionnement
Examine paquet par paquet (« stateless »)
• Adresses IP src et dest
• Port src et dest
• Type de protocole
Utilise des règles pour prendre action « block » ou « accept »
• Règle de routage : « IF src_IP = 123.45.*.* THEN block »
adresses privées
adresses internes/externes
listes noires
• Règle d’application : « IF dest_port = 80 THEN accept »
Par port de destination
• Évaluation séquentielle (!!)
Limitations
Pas de notion de connexion permet certains types d’attaques
10
INF4420
Sécurité Informatique
Coupe-feu dynamique
Principes de bases
Examine paquet par paquet, mais essaie d’établir relations entre paquets
• UDP
Associe paquet avec d’autre paquets sur mêmes ports et adresses
En général, permet seulement réponses si requêtes originales venant
d’adresses internes
• TCP
Garde information sur état et direction de la session TCP
Regarde en plus les flags TCP pour déterminer si hors-protocole
• Applications qui changent de port (e.g. FTP)
Suit et autorise les ports éphémères utilisés par les applications
Limitations
Pas de connaissance de l’état de la connexion au niveau application
Usurpation de port
11
INF4420
Sécurité Informatique
Coupe-feu applicatif
Principe de base
Le coupe-feu regarde le message et interprète son contenu par rapport à
l’application identifié par le port
Routeur filtrant
Bloque ou accepte en fonction du contenu du message
• Bon port pour type d’application
• Bonne séquence à niveau des protocoles d’application
Serveurs mandataires (proxy)
Agisse au nom du client d’application
Déballe et remballe les paquets IP avec nouvel adresse et port src
Autres fonctionnalités
Authentification et contrôle d’accès
VPN
Anti-virus, anti-spam, filtrage de contenu
Caching
12
INF4420
Sécurité Informatique
Étapes d’une attaque standard sur le réseau
1. Définitions et identification d’objectifs
Quelle est la cible ?
2. Reconnaissance
Où se trouve la cible ?
3. Caractérisation (« Fingerprinting »)
Identification de vulnérabilité
4. Pénétration
Exploitation de vulnérabilité
5. Exploitation
Garder l’accès
Ne pas se faire prendre
Accomplir les objectifs
13
INF4420
Sécurité Informatique
Attaques de déni de services (DoS)
Objectifs
Éliminer ou réduire la qualité de service d’un fournisseur de
services
Types
Par vulnérabilité (« crippling DoS »)
Par saturation (« Flood DoS »)
Par absorption (« Black hole DoS »)
Particularités
Pas de pénétration
Camouflage optionnel
Pas de contre-mesures absolues !!
14
INF4420
Sécurité Informatique
Attaque DoS distribuée (DDoS)
Principe de base
1. Prendre le contrôle de plusieurs machines (« botnet »)
2. Utiliser ces machines pour générer des requêtes (saturation)
Exemples
SYN flooding
SYN/ACK flooding
• Direct
• Indirect (backblast)
Session/Application flooding
• TCP, HTTP, SQL
• « Spoofing » plus possible
Défense
Analyse de coût relatif
Faire augmenter le coût de l’attaque
15
INF4420
Sécurité Informatique
Crimes informatiques économiques
1. Polluriel et hameçonnage
Canulards
Vente directe de produits
Vente pyramidale
Arnaques « nigériennes »
Captures de comptes
2. Fraudes publicitaires
Modèle de revenu « par click »
Génération de « faux » click
3. Augmentation de priorité (« shilling »)
Moteurs de recherche
Systèmes de recommandation
16
INF4420
Sécurité Informatique
Pourriel
Contre-mesures
Détecter courriels identiques
• Comparaison intégrale ou par fonction de hachage
Bloquer une adresse IP si plusieurs courriels identiques/similaires
Reconnaissance de pourriel
• Analyse par règles
Contre-contre-mesures
Utiliser des machines « jetables » (botnet)
Générer des messages différents, mais équivalents
• Ajouts d’éléments aléatoires hors-message hachés différents
• Variations du message
Texte mal écrit, mais lisible
Message en HTML
Texte dans une image
Course d’armement entre pollueurs et constructeur de filtres
17
INF4420
Sécurité Informatique
Hameçonnage bancaire
Techniques de base
En apparence lien pointe sur vrai site
Faux site a apparence identique
Session redirigée vers vrai site (« ni vu, ni connu »)
Techniques avancées
DNS spoofing (serveurs DNS compromis ou empoisonné)
Prendre le contrôle d’un serveur web existant
• Sans que le propriétaire s’en rende compte
• Pour éviter de se faire repérer
• Usager/NIP capturés re-acheminé par canal clandestin
18
Slide 5
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Où sommes-nous ?
Semaine 1 – Intro
Semaines 2, 3 et 4 – Cryptographie
Semaine 6, 7 – Sécurité dans les SE (suite)
Semaine 8 – Période de relâche
Semaine 9 – Sécurité des BD et des applications Web
Semaine 10 – Contrôle périodique
Semaine 11, 12 et 13 – Sécurité des réseaux
Risques spécifiques aux réseaux
Des attaques, des attaques et encore des attaques
Configuration sécuritaires et contre-mesures
Semaine 14 – Gestion de la sécurité.
Intervenants et modes d'intervention
Aspects légaux et déontologiques
2
INF4420
Sécurité Informatique
Semaine 11
Notions de bases sur les réseaux
Risques spécifiques aux réseaux
Analyse de risques par couche
Module III – Sécurité des réseaux
Semaine 13
Détection d'intrus (IDS)
Protocoles sécuritaires de réseaux
• SSH
• Attaques typiques par couche
• SSL et TLS (HTTPS)
• Attaques intra-couche
• IPSEC/IPv6
Semaine 12
Configuration sécuritaire de
réseaux
• Plan d'adressage, routage et NAT
• Pare-feux
• DMZ, VPN et serveurs mandataires
Encore des attaques
• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• Pourriel et hameçonnage
3
INF4420
Sécurité Informatique
Configuration sécuritaire
Principes de bastionnage de réseaux
Bloquer tous le trafic non pertinent
• Paquets qui ne vont pas à la bonne place
adresses IP vs. table de routage
• Applications/services non offerts (superflus)
Ports fermés/ouverts
Segmentation du réseau
• Utiliser des routeurs/passerelles/serveurs mandataires
Cacher les adresses IP internes (par NAT)
Protéger les services/serveurs critiques
« Défense en profondeur »
• Principe de l’oignon
• Chaque niveau à un contexte différent
Permet de mieux ajuster le modèle de sécurité
4
INF4420
Sécurité Informatique
Network Address Translation
Principe de base
Le réseau interne est dans le domaine « privé »
• 10.*.*.* ou 192.168.*.*
• Non-routable (par défaut) vers l’extérieur ou sur l’Internet
Pour les paquets sortant
• (priv_src_IP, priv_src_port) est associé à une nouvelle paire
(public_src_IP, public_src_port)
• Ces associations sont conservés dans une table NAT
Pour les paquets entrant
• On utilise le dest_port pour retrouver la bonne paire
(priv_src_IP, priv_src_port)
Implémenté par
Routeur ou passerelle
Coupe-feu
Serveur mandataire
5
INF4420
Sécurité Informatique
Réseaux privés virtuels (VPN)
Objectifs
Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles
de façons sécuritaires à travers un réseau intermédiaires non sécurisé
Techniques de base
Tunneling
• Chaque sous réseau protégé par une passerelle VPN
• Encapsulation de paquet ( ≠ NAT)
Ancien paquet devient message
Nouvelle entête en fonction des passerelles
Chiffrement
• Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou
modification sur le réseau non-securisé
Contrôle d’accès
• Seuls les paquets provenant des clients ou sous-réseaux autorisés sont
ré-acheminés vers le réseau interne
6
INF4420
Sécurité Informatique
Zone démilitarisée (DMZ)
Objectif
Permettre fournir des services de ou vers l’extérieur du réseau
interne, tout en protégeant celui-ci
Principe de base
Créer une zone intermédiaire où se trouve les services strictement
nécessaires
Adresses des serveurs DMZ sont routables et accessibles
• de l’extérieur : tout le temps
• de l’intérieur : si pertinent
Protégé par un coupe-feu/passerelle
Isolé du réseau interne par un coupe-feu/passerelle
7
INF4420
Sécurité Informatique
Services fournis à l’extérieur
Serveur DNS (pour adresses
DMZ seulement)
Serveur SMTP
Serveur Web
Passerelle VPN
Services typiques dans une DMZ
Services fournis à l’intérieur
Serveur mandataires Web
M-à-j des fichiers du serveur
Web
Connexion avec serveur
SMTP interne
Connexion entre serveur Web
et serveur de BD
8
INF4420
Sécurité Informatique
Selon l’implémentation
Matériel
Types de coupe-feu
Selon les fonctionnalités
Filtrage statique
• Pare-feu filtrant
Filtrage dynamique
• Parfois intégré dans le routeur
Pare-feu d’application
• « Network appliances »
Combine d’autres
• Pare-feu filtrant
• Serveur mandataire (proxy)
fonctionalités
Logiciel
• Serveur pare-feu dédié
• Pare-feu client ou individuel
9
INF4420
Sécurité Informatique
Coupe-feu statique
Principes de fonctionnement
Examine paquet par paquet (« stateless »)
• Adresses IP src et dest
• Port src et dest
• Type de protocole
Utilise des règles pour prendre action « block » ou « accept »
• Règle de routage : « IF src_IP = 123.45.*.* THEN block »
adresses privées
adresses internes/externes
listes noires
• Règle d’application : « IF dest_port = 80 THEN accept »
Par port de destination
• Évaluation séquentielle (!!)
Limitations
Pas de notion de connexion permet certains types d’attaques
10
INF4420
Sécurité Informatique
Coupe-feu dynamique
Principes de bases
Examine paquet par paquet, mais essaie d’établir relations entre paquets
• UDP
Associe paquet avec d’autre paquets sur mêmes ports et adresses
En général, permet seulement réponses si requêtes originales venant
d’adresses internes
• TCP
Garde information sur état et direction de la session TCP
Regarde en plus les flags TCP pour déterminer si hors-protocole
• Applications qui changent de port (e.g. FTP)
Suit et autorise les ports éphémères utilisés par les applications
Limitations
Pas de connaissance de l’état de la connexion au niveau application
Usurpation de port
11
INF4420
Sécurité Informatique
Coupe-feu applicatif
Principe de base
Le coupe-feu regarde le message et interprète son contenu par rapport à
l’application identifié par le port
Routeur filtrant
Bloque ou accepte en fonction du contenu du message
• Bon port pour type d’application
• Bonne séquence à niveau des protocoles d’application
Serveurs mandataires (proxy)
Agisse au nom du client d’application
Déballe et remballe les paquets IP avec nouvel adresse et port src
Autres fonctionnalités
Authentification et contrôle d’accès
VPN
Anti-virus, anti-spam, filtrage de contenu
Caching
12
INF4420
Sécurité Informatique
Étapes d’une attaque standard sur le réseau
1. Définitions et identification d’objectifs
Quelle est la cible ?
2. Reconnaissance
Où se trouve la cible ?
3. Caractérisation (« Fingerprinting »)
Identification de vulnérabilité
4. Pénétration
Exploitation de vulnérabilité
5. Exploitation
Garder l’accès
Ne pas se faire prendre
Accomplir les objectifs
13
INF4420
Sécurité Informatique
Attaques de déni de services (DoS)
Objectifs
Éliminer ou réduire la qualité de service d’un fournisseur de
services
Types
Par vulnérabilité (« crippling DoS »)
Par saturation (« Flood DoS »)
Par absorption (« Black hole DoS »)
Particularités
Pas de pénétration
Camouflage optionnel
Pas de contre-mesures absolues !!
14
INF4420
Sécurité Informatique
Attaque DoS distribuée (DDoS)
Principe de base
1. Prendre le contrôle de plusieurs machines (« botnet »)
2. Utiliser ces machines pour générer des requêtes (saturation)
Exemples
SYN flooding
SYN/ACK flooding
• Direct
• Indirect (backblast)
Session/Application flooding
• TCP, HTTP, SQL
• « Spoofing » plus possible
Défense
Analyse de coût relatif
Faire augmenter le coût de l’attaque
15
INF4420
Sécurité Informatique
Crimes informatiques économiques
1. Polluriel et hameçonnage
Canulards
Vente directe de produits
Vente pyramidale
Arnaques « nigériennes »
Captures de comptes
2. Fraudes publicitaires
Modèle de revenu « par click »
Génération de « faux » click
3. Augmentation de priorité (« shilling »)
Moteurs de recherche
Systèmes de recommandation
16
INF4420
Sécurité Informatique
Pourriel
Contre-mesures
Détecter courriels identiques
• Comparaison intégrale ou par fonction de hachage
Bloquer une adresse IP si plusieurs courriels identiques/similaires
Reconnaissance de pourriel
• Analyse par règles
Contre-contre-mesures
Utiliser des machines « jetables » (botnet)
Générer des messages différents, mais équivalents
• Ajouts d’éléments aléatoires hors-message hachés différents
• Variations du message
Texte mal écrit, mais lisible
Message en HTML
Texte dans une image
Course d’armement entre pollueurs et constructeur de filtres
17
INF4420
Sécurité Informatique
Hameçonnage bancaire
Techniques de base
En apparence lien pointe sur vrai site
Faux site a apparence identique
Session redirigée vers vrai site (« ni vu, ni connu »)
Techniques avancées
DNS spoofing (serveurs DNS compromis ou empoisonné)
Prendre le contrôle d’un serveur web existant
• Sans que le propriétaire s’en rende compte
• Pour éviter de se faire repérer
• Usager/NIP capturés re-acheminé par canal clandestin
18
Slide 6
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Où sommes-nous ?
Semaine 1 – Intro
Semaines 2, 3 et 4 – Cryptographie
Semaine 6, 7 – Sécurité dans les SE (suite)
Semaine 8 – Période de relâche
Semaine 9 – Sécurité des BD et des applications Web
Semaine 10 – Contrôle périodique
Semaine 11, 12 et 13 – Sécurité des réseaux
Risques spécifiques aux réseaux
Des attaques, des attaques et encore des attaques
Configuration sécuritaires et contre-mesures
Semaine 14 – Gestion de la sécurité.
Intervenants et modes d'intervention
Aspects légaux et déontologiques
2
INF4420
Sécurité Informatique
Semaine 11
Notions de bases sur les réseaux
Risques spécifiques aux réseaux
Analyse de risques par couche
Module III – Sécurité des réseaux
Semaine 13
Détection d'intrus (IDS)
Protocoles sécuritaires de réseaux
• SSH
• Attaques typiques par couche
• SSL et TLS (HTTPS)
• Attaques intra-couche
• IPSEC/IPv6
Semaine 12
Configuration sécuritaire de
réseaux
• Plan d'adressage, routage et NAT
• Pare-feux
• DMZ, VPN et serveurs mandataires
Encore des attaques
• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• Pourriel et hameçonnage
3
INF4420
Sécurité Informatique
Configuration sécuritaire
Principes de bastionnage de réseaux
Bloquer tous le trafic non pertinent
• Paquets qui ne vont pas à la bonne place
adresses IP vs. table de routage
• Applications/services non offerts (superflus)
Ports fermés/ouverts
Segmentation du réseau
• Utiliser des routeurs/passerelles/serveurs mandataires
Cacher les adresses IP internes (par NAT)
Protéger les services/serveurs critiques
« Défense en profondeur »
• Principe de l’oignon
• Chaque niveau à un contexte différent
Permet de mieux ajuster le modèle de sécurité
4
INF4420
Sécurité Informatique
Network Address Translation
Principe de base
Le réseau interne est dans le domaine « privé »
• 10.*.*.* ou 192.168.*.*
• Non-routable (par défaut) vers l’extérieur ou sur l’Internet
Pour les paquets sortant
• (priv_src_IP, priv_src_port) est associé à une nouvelle paire
(public_src_IP, public_src_port)
• Ces associations sont conservés dans une table NAT
Pour les paquets entrant
• On utilise le dest_port pour retrouver la bonne paire
(priv_src_IP, priv_src_port)
Implémenté par
Routeur ou passerelle
Coupe-feu
Serveur mandataire
5
INF4420
Sécurité Informatique
Réseaux privés virtuels (VPN)
Objectifs
Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles
de façons sécuritaires à travers un réseau intermédiaires non sécurisé
Techniques de base
Tunneling
• Chaque sous réseau protégé par une passerelle VPN
• Encapsulation de paquet ( ≠ NAT)
Ancien paquet devient message
Nouvelle entête en fonction des passerelles
Chiffrement
• Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou
modification sur le réseau non-securisé
Contrôle d’accès
• Seuls les paquets provenant des clients ou sous-réseaux autorisés sont
ré-acheminés vers le réseau interne
6
INF4420
Sécurité Informatique
Zone démilitarisée (DMZ)
Objectif
Permettre fournir des services de ou vers l’extérieur du réseau
interne, tout en protégeant celui-ci
Principe de base
Créer une zone intermédiaire où se trouve les services strictement
nécessaires
Adresses des serveurs DMZ sont routables et accessibles
• de l’extérieur : tout le temps
• de l’intérieur : si pertinent
Protégé par un coupe-feu/passerelle
Isolé du réseau interne par un coupe-feu/passerelle
7
INF4420
Sécurité Informatique
Services fournis à l’extérieur
Serveur DNS (pour adresses
DMZ seulement)
Serveur SMTP
Serveur Web
Passerelle VPN
Services typiques dans une DMZ
Services fournis à l’intérieur
Serveur mandataires Web
M-à-j des fichiers du serveur
Web
Connexion avec serveur
SMTP interne
Connexion entre serveur Web
et serveur de BD
8
INF4420
Sécurité Informatique
Selon l’implémentation
Matériel
Types de coupe-feu
Selon les fonctionnalités
Filtrage statique
• Pare-feu filtrant
Filtrage dynamique
• Parfois intégré dans le routeur
Pare-feu d’application
• « Network appliances »
Combine d’autres
• Pare-feu filtrant
• Serveur mandataire (proxy)
fonctionalités
Logiciel
• Serveur pare-feu dédié
• Pare-feu client ou individuel
9
INF4420
Sécurité Informatique
Coupe-feu statique
Principes de fonctionnement
Examine paquet par paquet (« stateless »)
• Adresses IP src et dest
• Port src et dest
• Type de protocole
Utilise des règles pour prendre action « block » ou « accept »
• Règle de routage : « IF src_IP = 123.45.*.* THEN block »
adresses privées
adresses internes/externes
listes noires
• Règle d’application : « IF dest_port = 80 THEN accept »
Par port de destination
• Évaluation séquentielle (!!)
Limitations
Pas de notion de connexion permet certains types d’attaques
10
INF4420
Sécurité Informatique
Coupe-feu dynamique
Principes de bases
Examine paquet par paquet, mais essaie d’établir relations entre paquets
• UDP
Associe paquet avec d’autre paquets sur mêmes ports et adresses
En général, permet seulement réponses si requêtes originales venant
d’adresses internes
• TCP
Garde information sur état et direction de la session TCP
Regarde en plus les flags TCP pour déterminer si hors-protocole
• Applications qui changent de port (e.g. FTP)
Suit et autorise les ports éphémères utilisés par les applications
Limitations
Pas de connaissance de l’état de la connexion au niveau application
Usurpation de port
11
INF4420
Sécurité Informatique
Coupe-feu applicatif
Principe de base
Le coupe-feu regarde le message et interprète son contenu par rapport à
l’application identifié par le port
Routeur filtrant
Bloque ou accepte en fonction du contenu du message
• Bon port pour type d’application
• Bonne séquence à niveau des protocoles d’application
Serveurs mandataires (proxy)
Agisse au nom du client d’application
Déballe et remballe les paquets IP avec nouvel adresse et port src
Autres fonctionnalités
Authentification et contrôle d’accès
VPN
Anti-virus, anti-spam, filtrage de contenu
Caching
12
INF4420
Sécurité Informatique
Étapes d’une attaque standard sur le réseau
1. Définitions et identification d’objectifs
Quelle est la cible ?
2. Reconnaissance
Où se trouve la cible ?
3. Caractérisation (« Fingerprinting »)
Identification de vulnérabilité
4. Pénétration
Exploitation de vulnérabilité
5. Exploitation
Garder l’accès
Ne pas se faire prendre
Accomplir les objectifs
13
INF4420
Sécurité Informatique
Attaques de déni de services (DoS)
Objectifs
Éliminer ou réduire la qualité de service d’un fournisseur de
services
Types
Par vulnérabilité (« crippling DoS »)
Par saturation (« Flood DoS »)
Par absorption (« Black hole DoS »)
Particularités
Pas de pénétration
Camouflage optionnel
Pas de contre-mesures absolues !!
14
INF4420
Sécurité Informatique
Attaque DoS distribuée (DDoS)
Principe de base
1. Prendre le contrôle de plusieurs machines (« botnet »)
2. Utiliser ces machines pour générer des requêtes (saturation)
Exemples
SYN flooding
SYN/ACK flooding
• Direct
• Indirect (backblast)
Session/Application flooding
• TCP, HTTP, SQL
• « Spoofing » plus possible
Défense
Analyse de coût relatif
Faire augmenter le coût de l’attaque
15
INF4420
Sécurité Informatique
Crimes informatiques économiques
1. Polluriel et hameçonnage
Canulards
Vente directe de produits
Vente pyramidale
Arnaques « nigériennes »
Captures de comptes
2. Fraudes publicitaires
Modèle de revenu « par click »
Génération de « faux » click
3. Augmentation de priorité (« shilling »)
Moteurs de recherche
Systèmes de recommandation
16
INF4420
Sécurité Informatique
Pourriel
Contre-mesures
Détecter courriels identiques
• Comparaison intégrale ou par fonction de hachage
Bloquer une adresse IP si plusieurs courriels identiques/similaires
Reconnaissance de pourriel
• Analyse par règles
Contre-contre-mesures
Utiliser des machines « jetables » (botnet)
Générer des messages différents, mais équivalents
• Ajouts d’éléments aléatoires hors-message hachés différents
• Variations du message
Texte mal écrit, mais lisible
Message en HTML
Texte dans une image
Course d’armement entre pollueurs et constructeur de filtres
17
INF4420
Sécurité Informatique
Hameçonnage bancaire
Techniques de base
En apparence lien pointe sur vrai site
Faux site a apparence identique
Session redirigée vers vrai site (« ni vu, ni connu »)
Techniques avancées
DNS spoofing (serveurs DNS compromis ou empoisonné)
Prendre le contrôle d’un serveur web existant
• Sans que le propriétaire s’en rende compte
• Pour éviter de se faire repérer
• Usager/NIP capturés re-acheminé par canal clandestin
18
Slide 7
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Où sommes-nous ?
Semaine 1 – Intro
Semaines 2, 3 et 4 – Cryptographie
Semaine 6, 7 – Sécurité dans les SE (suite)
Semaine 8 – Période de relâche
Semaine 9 – Sécurité des BD et des applications Web
Semaine 10 – Contrôle périodique
Semaine 11, 12 et 13 – Sécurité des réseaux
Risques spécifiques aux réseaux
Des attaques, des attaques et encore des attaques
Configuration sécuritaires et contre-mesures
Semaine 14 – Gestion de la sécurité.
Intervenants et modes d'intervention
Aspects légaux et déontologiques
2
INF4420
Sécurité Informatique
Semaine 11
Notions de bases sur les réseaux
Risques spécifiques aux réseaux
Analyse de risques par couche
Module III – Sécurité des réseaux
Semaine 13
Détection d'intrus (IDS)
Protocoles sécuritaires de réseaux
• SSH
• Attaques typiques par couche
• SSL et TLS (HTTPS)
• Attaques intra-couche
• IPSEC/IPv6
Semaine 12
Configuration sécuritaire de
réseaux
• Plan d'adressage, routage et NAT
• Pare-feux
• DMZ, VPN et serveurs mandataires
Encore des attaques
• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• Pourriel et hameçonnage
3
INF4420
Sécurité Informatique
Configuration sécuritaire
Principes de bastionnage de réseaux
Bloquer tous le trafic non pertinent
• Paquets qui ne vont pas à la bonne place
adresses IP vs. table de routage
• Applications/services non offerts (superflus)
Ports fermés/ouverts
Segmentation du réseau
• Utiliser des routeurs/passerelles/serveurs mandataires
Cacher les adresses IP internes (par NAT)
Protéger les services/serveurs critiques
« Défense en profondeur »
• Principe de l’oignon
• Chaque niveau à un contexte différent
Permet de mieux ajuster le modèle de sécurité
4
INF4420
Sécurité Informatique
Network Address Translation
Principe de base
Le réseau interne est dans le domaine « privé »
• 10.*.*.* ou 192.168.*.*
• Non-routable (par défaut) vers l’extérieur ou sur l’Internet
Pour les paquets sortant
• (priv_src_IP, priv_src_port) est associé à une nouvelle paire
(public_src_IP, public_src_port)
• Ces associations sont conservés dans une table NAT
Pour les paquets entrant
• On utilise le dest_port pour retrouver la bonne paire
(priv_src_IP, priv_src_port)
Implémenté par
Routeur ou passerelle
Coupe-feu
Serveur mandataire
5
INF4420
Sécurité Informatique
Réseaux privés virtuels (VPN)
Objectifs
Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles
de façons sécuritaires à travers un réseau intermédiaires non sécurisé
Techniques de base
Tunneling
• Chaque sous réseau protégé par une passerelle VPN
• Encapsulation de paquet ( ≠ NAT)
Ancien paquet devient message
Nouvelle entête en fonction des passerelles
Chiffrement
• Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou
modification sur le réseau non-securisé
Contrôle d’accès
• Seuls les paquets provenant des clients ou sous-réseaux autorisés sont
ré-acheminés vers le réseau interne
6
INF4420
Sécurité Informatique
Zone démilitarisée (DMZ)
Objectif
Permettre fournir des services de ou vers l’extérieur du réseau
interne, tout en protégeant celui-ci
Principe de base
Créer une zone intermédiaire où se trouve les services strictement
nécessaires
Adresses des serveurs DMZ sont routables et accessibles
• de l’extérieur : tout le temps
• de l’intérieur : si pertinent
Protégé par un coupe-feu/passerelle
Isolé du réseau interne par un coupe-feu/passerelle
7
INF4420
Sécurité Informatique
Services fournis à l’extérieur
Serveur DNS (pour adresses
DMZ seulement)
Serveur SMTP
Serveur Web
Passerelle VPN
Services typiques dans une DMZ
Services fournis à l’intérieur
Serveur mandataires Web
M-à-j des fichiers du serveur
Web
Connexion avec serveur
SMTP interne
Connexion entre serveur Web
et serveur de BD
8
INF4420
Sécurité Informatique
Selon l’implémentation
Matériel
Types de coupe-feu
Selon les fonctionnalités
Filtrage statique
• Pare-feu filtrant
Filtrage dynamique
• Parfois intégré dans le routeur
Pare-feu d’application
• « Network appliances »
Combine d’autres
• Pare-feu filtrant
• Serveur mandataire (proxy)
fonctionalités
Logiciel
• Serveur pare-feu dédié
• Pare-feu client ou individuel
9
INF4420
Sécurité Informatique
Coupe-feu statique
Principes de fonctionnement
Examine paquet par paquet (« stateless »)
• Adresses IP src et dest
• Port src et dest
• Type de protocole
Utilise des règles pour prendre action « block » ou « accept »
• Règle de routage : « IF src_IP = 123.45.*.* THEN block »
adresses privées
adresses internes/externes
listes noires
• Règle d’application : « IF dest_port = 80 THEN accept »
Par port de destination
• Évaluation séquentielle (!!)
Limitations
Pas de notion de connexion permet certains types d’attaques
10
INF4420
Sécurité Informatique
Coupe-feu dynamique
Principes de bases
Examine paquet par paquet, mais essaie d’établir relations entre paquets
• UDP
Associe paquet avec d’autre paquets sur mêmes ports et adresses
En général, permet seulement réponses si requêtes originales venant
d’adresses internes
• TCP
Garde information sur état et direction de la session TCP
Regarde en plus les flags TCP pour déterminer si hors-protocole
• Applications qui changent de port (e.g. FTP)
Suit et autorise les ports éphémères utilisés par les applications
Limitations
Pas de connaissance de l’état de la connexion au niveau application
Usurpation de port
11
INF4420
Sécurité Informatique
Coupe-feu applicatif
Principe de base
Le coupe-feu regarde le message et interprète son contenu par rapport à
l’application identifié par le port
Routeur filtrant
Bloque ou accepte en fonction du contenu du message
• Bon port pour type d’application
• Bonne séquence à niveau des protocoles d’application
Serveurs mandataires (proxy)
Agisse au nom du client d’application
Déballe et remballe les paquets IP avec nouvel adresse et port src
Autres fonctionnalités
Authentification et contrôle d’accès
VPN
Anti-virus, anti-spam, filtrage de contenu
Caching
12
INF4420
Sécurité Informatique
Étapes d’une attaque standard sur le réseau
1. Définitions et identification d’objectifs
Quelle est la cible ?
2. Reconnaissance
Où se trouve la cible ?
3. Caractérisation (« Fingerprinting »)
Identification de vulnérabilité
4. Pénétration
Exploitation de vulnérabilité
5. Exploitation
Garder l’accès
Ne pas se faire prendre
Accomplir les objectifs
13
INF4420
Sécurité Informatique
Attaques de déni de services (DoS)
Objectifs
Éliminer ou réduire la qualité de service d’un fournisseur de
services
Types
Par vulnérabilité (« crippling DoS »)
Par saturation (« Flood DoS »)
Par absorption (« Black hole DoS »)
Particularités
Pas de pénétration
Camouflage optionnel
Pas de contre-mesures absolues !!
14
INF4420
Sécurité Informatique
Attaque DoS distribuée (DDoS)
Principe de base
1. Prendre le contrôle de plusieurs machines (« botnet »)
2. Utiliser ces machines pour générer des requêtes (saturation)
Exemples
SYN flooding
SYN/ACK flooding
• Direct
• Indirect (backblast)
Session/Application flooding
• TCP, HTTP, SQL
• « Spoofing » plus possible
Défense
Analyse de coût relatif
Faire augmenter le coût de l’attaque
15
INF4420
Sécurité Informatique
Crimes informatiques économiques
1. Polluriel et hameçonnage
Canulards
Vente directe de produits
Vente pyramidale
Arnaques « nigériennes »
Captures de comptes
2. Fraudes publicitaires
Modèle de revenu « par click »
Génération de « faux » click
3. Augmentation de priorité (« shilling »)
Moteurs de recherche
Systèmes de recommandation
16
INF4420
Sécurité Informatique
Pourriel
Contre-mesures
Détecter courriels identiques
• Comparaison intégrale ou par fonction de hachage
Bloquer une adresse IP si plusieurs courriels identiques/similaires
Reconnaissance de pourriel
• Analyse par règles
Contre-contre-mesures
Utiliser des machines « jetables » (botnet)
Générer des messages différents, mais équivalents
• Ajouts d’éléments aléatoires hors-message hachés différents
• Variations du message
Texte mal écrit, mais lisible
Message en HTML
Texte dans une image
Course d’armement entre pollueurs et constructeur de filtres
17
INF4420
Sécurité Informatique
Hameçonnage bancaire
Techniques de base
En apparence lien pointe sur vrai site
Faux site a apparence identique
Session redirigée vers vrai site (« ni vu, ni connu »)
Techniques avancées
DNS spoofing (serveurs DNS compromis ou empoisonné)
Prendre le contrôle d’un serveur web existant
• Sans que le propriétaire s’en rende compte
• Pour éviter de se faire repérer
• Usager/NIP capturés re-acheminé par canal clandestin
18
Slide 8
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Où sommes-nous ?
Semaine 1 – Intro
Semaines 2, 3 et 4 – Cryptographie
Semaine 6, 7 – Sécurité dans les SE (suite)
Semaine 8 – Période de relâche
Semaine 9 – Sécurité des BD et des applications Web
Semaine 10 – Contrôle périodique
Semaine 11, 12 et 13 – Sécurité des réseaux
Risques spécifiques aux réseaux
Des attaques, des attaques et encore des attaques
Configuration sécuritaires et contre-mesures
Semaine 14 – Gestion de la sécurité.
Intervenants et modes d'intervention
Aspects légaux et déontologiques
2
INF4420
Sécurité Informatique
Semaine 11
Notions de bases sur les réseaux
Risques spécifiques aux réseaux
Analyse de risques par couche
Module III – Sécurité des réseaux
Semaine 13
Détection d'intrus (IDS)
Protocoles sécuritaires de réseaux
• SSH
• Attaques typiques par couche
• SSL et TLS (HTTPS)
• Attaques intra-couche
• IPSEC/IPv6
Semaine 12
Configuration sécuritaire de
réseaux
• Plan d'adressage, routage et NAT
• Pare-feux
• DMZ, VPN et serveurs mandataires
Encore des attaques
• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• Pourriel et hameçonnage
3
INF4420
Sécurité Informatique
Configuration sécuritaire
Principes de bastionnage de réseaux
Bloquer tous le trafic non pertinent
• Paquets qui ne vont pas à la bonne place
adresses IP vs. table de routage
• Applications/services non offerts (superflus)
Ports fermés/ouverts
Segmentation du réseau
• Utiliser des routeurs/passerelles/serveurs mandataires
Cacher les adresses IP internes (par NAT)
Protéger les services/serveurs critiques
« Défense en profondeur »
• Principe de l’oignon
• Chaque niveau à un contexte différent
Permet de mieux ajuster le modèle de sécurité
4
INF4420
Sécurité Informatique
Network Address Translation
Principe de base
Le réseau interne est dans le domaine « privé »
• 10.*.*.* ou 192.168.*.*
• Non-routable (par défaut) vers l’extérieur ou sur l’Internet
Pour les paquets sortant
• (priv_src_IP, priv_src_port) est associé à une nouvelle paire
(public_src_IP, public_src_port)
• Ces associations sont conservés dans une table NAT
Pour les paquets entrant
• On utilise le dest_port pour retrouver la bonne paire
(priv_src_IP, priv_src_port)
Implémenté par
Routeur ou passerelle
Coupe-feu
Serveur mandataire
5
INF4420
Sécurité Informatique
Réseaux privés virtuels (VPN)
Objectifs
Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles
de façons sécuritaires à travers un réseau intermédiaires non sécurisé
Techniques de base
Tunneling
• Chaque sous réseau protégé par une passerelle VPN
• Encapsulation de paquet ( ≠ NAT)
Ancien paquet devient message
Nouvelle entête en fonction des passerelles
Chiffrement
• Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou
modification sur le réseau non-securisé
Contrôle d’accès
• Seuls les paquets provenant des clients ou sous-réseaux autorisés sont
ré-acheminés vers le réseau interne
6
INF4420
Sécurité Informatique
Zone démilitarisée (DMZ)
Objectif
Permettre fournir des services de ou vers l’extérieur du réseau
interne, tout en protégeant celui-ci
Principe de base
Créer une zone intermédiaire où se trouve les services strictement
nécessaires
Adresses des serveurs DMZ sont routables et accessibles
• de l’extérieur : tout le temps
• de l’intérieur : si pertinent
Protégé par un coupe-feu/passerelle
Isolé du réseau interne par un coupe-feu/passerelle
7
INF4420
Sécurité Informatique
Services fournis à l’extérieur
Serveur DNS (pour adresses
DMZ seulement)
Serveur SMTP
Serveur Web
Passerelle VPN
Services typiques dans une DMZ
Services fournis à l’intérieur
Serveur mandataires Web
M-à-j des fichiers du serveur
Web
Connexion avec serveur
SMTP interne
Connexion entre serveur Web
et serveur de BD
8
INF4420
Sécurité Informatique
Selon l’implémentation
Matériel
Types de coupe-feu
Selon les fonctionnalités
Filtrage statique
• Pare-feu filtrant
Filtrage dynamique
• Parfois intégré dans le routeur
Pare-feu d’application
• « Network appliances »
Combine d’autres
• Pare-feu filtrant
• Serveur mandataire (proxy)
fonctionalités
Logiciel
• Serveur pare-feu dédié
• Pare-feu client ou individuel
9
INF4420
Sécurité Informatique
Coupe-feu statique
Principes de fonctionnement
Examine paquet par paquet (« stateless »)
• Adresses IP src et dest
• Port src et dest
• Type de protocole
Utilise des règles pour prendre action « block » ou « accept »
• Règle de routage : « IF src_IP = 123.45.*.* THEN block »
adresses privées
adresses internes/externes
listes noires
• Règle d’application : « IF dest_port = 80 THEN accept »
Par port de destination
• Évaluation séquentielle (!!)
Limitations
Pas de notion de connexion permet certains types d’attaques
10
INF4420
Sécurité Informatique
Coupe-feu dynamique
Principes de bases
Examine paquet par paquet, mais essaie d’établir relations entre paquets
• UDP
Associe paquet avec d’autre paquets sur mêmes ports et adresses
En général, permet seulement réponses si requêtes originales venant
d’adresses internes
• TCP
Garde information sur état et direction de la session TCP
Regarde en plus les flags TCP pour déterminer si hors-protocole
• Applications qui changent de port (e.g. FTP)
Suit et autorise les ports éphémères utilisés par les applications
Limitations
Pas de connaissance de l’état de la connexion au niveau application
Usurpation de port
11
INF4420
Sécurité Informatique
Coupe-feu applicatif
Principe de base
Le coupe-feu regarde le message et interprète son contenu par rapport à
l’application identifié par le port
Routeur filtrant
Bloque ou accepte en fonction du contenu du message
• Bon port pour type d’application
• Bonne séquence à niveau des protocoles d’application
Serveurs mandataires (proxy)
Agisse au nom du client d’application
Déballe et remballe les paquets IP avec nouvel adresse et port src
Autres fonctionnalités
Authentification et contrôle d’accès
VPN
Anti-virus, anti-spam, filtrage de contenu
Caching
12
INF4420
Sécurité Informatique
Étapes d’une attaque standard sur le réseau
1. Définitions et identification d’objectifs
Quelle est la cible ?
2. Reconnaissance
Où se trouve la cible ?
3. Caractérisation (« Fingerprinting »)
Identification de vulnérabilité
4. Pénétration
Exploitation de vulnérabilité
5. Exploitation
Garder l’accès
Ne pas se faire prendre
Accomplir les objectifs
13
INF4420
Sécurité Informatique
Attaques de déni de services (DoS)
Objectifs
Éliminer ou réduire la qualité de service d’un fournisseur de
services
Types
Par vulnérabilité (« crippling DoS »)
Par saturation (« Flood DoS »)
Par absorption (« Black hole DoS »)
Particularités
Pas de pénétration
Camouflage optionnel
Pas de contre-mesures absolues !!
14
INF4420
Sécurité Informatique
Attaque DoS distribuée (DDoS)
Principe de base
1. Prendre le contrôle de plusieurs machines (« botnet »)
2. Utiliser ces machines pour générer des requêtes (saturation)
Exemples
SYN flooding
SYN/ACK flooding
• Direct
• Indirect (backblast)
Session/Application flooding
• TCP, HTTP, SQL
• « Spoofing » plus possible
Défense
Analyse de coût relatif
Faire augmenter le coût de l’attaque
15
INF4420
Sécurité Informatique
Crimes informatiques économiques
1. Polluriel et hameçonnage
Canulards
Vente directe de produits
Vente pyramidale
Arnaques « nigériennes »
Captures de comptes
2. Fraudes publicitaires
Modèle de revenu « par click »
Génération de « faux » click
3. Augmentation de priorité (« shilling »)
Moteurs de recherche
Systèmes de recommandation
16
INF4420
Sécurité Informatique
Pourriel
Contre-mesures
Détecter courriels identiques
• Comparaison intégrale ou par fonction de hachage
Bloquer une adresse IP si plusieurs courriels identiques/similaires
Reconnaissance de pourriel
• Analyse par règles
Contre-contre-mesures
Utiliser des machines « jetables » (botnet)
Générer des messages différents, mais équivalents
• Ajouts d’éléments aléatoires hors-message hachés différents
• Variations du message
Texte mal écrit, mais lisible
Message en HTML
Texte dans une image
Course d’armement entre pollueurs et constructeur de filtres
17
INF4420
Sécurité Informatique
Hameçonnage bancaire
Techniques de base
En apparence lien pointe sur vrai site
Faux site a apparence identique
Session redirigée vers vrai site (« ni vu, ni connu »)
Techniques avancées
DNS spoofing (serveurs DNS compromis ou empoisonné)
Prendre le contrôle d’un serveur web existant
• Sans que le propriétaire s’en rende compte
• Pour éviter de se faire repérer
• Usager/NIP capturés re-acheminé par canal clandestin
18
Slide 9
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Où sommes-nous ?
Semaine 1 – Intro
Semaines 2, 3 et 4 – Cryptographie
Semaine 6, 7 – Sécurité dans les SE (suite)
Semaine 8 – Période de relâche
Semaine 9 – Sécurité des BD et des applications Web
Semaine 10 – Contrôle périodique
Semaine 11, 12 et 13 – Sécurité des réseaux
Risques spécifiques aux réseaux
Des attaques, des attaques et encore des attaques
Configuration sécuritaires et contre-mesures
Semaine 14 – Gestion de la sécurité.
Intervenants et modes d'intervention
Aspects légaux et déontologiques
2
INF4420
Sécurité Informatique
Semaine 11
Notions de bases sur les réseaux
Risques spécifiques aux réseaux
Analyse de risques par couche
Module III – Sécurité des réseaux
Semaine 13
Détection d'intrus (IDS)
Protocoles sécuritaires de réseaux
• SSH
• Attaques typiques par couche
• SSL et TLS (HTTPS)
• Attaques intra-couche
• IPSEC/IPv6
Semaine 12
Configuration sécuritaire de
réseaux
• Plan d'adressage, routage et NAT
• Pare-feux
• DMZ, VPN et serveurs mandataires
Encore des attaques
• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• Pourriel et hameçonnage
3
INF4420
Sécurité Informatique
Configuration sécuritaire
Principes de bastionnage de réseaux
Bloquer tous le trafic non pertinent
• Paquets qui ne vont pas à la bonne place
adresses IP vs. table de routage
• Applications/services non offerts (superflus)
Ports fermés/ouverts
Segmentation du réseau
• Utiliser des routeurs/passerelles/serveurs mandataires
Cacher les adresses IP internes (par NAT)
Protéger les services/serveurs critiques
« Défense en profondeur »
• Principe de l’oignon
• Chaque niveau à un contexte différent
Permet de mieux ajuster le modèle de sécurité
4
INF4420
Sécurité Informatique
Network Address Translation
Principe de base
Le réseau interne est dans le domaine « privé »
• 10.*.*.* ou 192.168.*.*
• Non-routable (par défaut) vers l’extérieur ou sur l’Internet
Pour les paquets sortant
• (priv_src_IP, priv_src_port) est associé à une nouvelle paire
(public_src_IP, public_src_port)
• Ces associations sont conservés dans une table NAT
Pour les paquets entrant
• On utilise le dest_port pour retrouver la bonne paire
(priv_src_IP, priv_src_port)
Implémenté par
Routeur ou passerelle
Coupe-feu
Serveur mandataire
5
INF4420
Sécurité Informatique
Réseaux privés virtuels (VPN)
Objectifs
Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles
de façons sécuritaires à travers un réseau intermédiaires non sécurisé
Techniques de base
Tunneling
• Chaque sous réseau protégé par une passerelle VPN
• Encapsulation de paquet ( ≠ NAT)
Ancien paquet devient message
Nouvelle entête en fonction des passerelles
Chiffrement
• Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou
modification sur le réseau non-securisé
Contrôle d’accès
• Seuls les paquets provenant des clients ou sous-réseaux autorisés sont
ré-acheminés vers le réseau interne
6
INF4420
Sécurité Informatique
Zone démilitarisée (DMZ)
Objectif
Permettre fournir des services de ou vers l’extérieur du réseau
interne, tout en protégeant celui-ci
Principe de base
Créer une zone intermédiaire où se trouve les services strictement
nécessaires
Adresses des serveurs DMZ sont routables et accessibles
• de l’extérieur : tout le temps
• de l’intérieur : si pertinent
Protégé par un coupe-feu/passerelle
Isolé du réseau interne par un coupe-feu/passerelle
7
INF4420
Sécurité Informatique
Services fournis à l’extérieur
Serveur DNS (pour adresses
DMZ seulement)
Serveur SMTP
Serveur Web
Passerelle VPN
Services typiques dans une DMZ
Services fournis à l’intérieur
Serveur mandataires Web
M-à-j des fichiers du serveur
Web
Connexion avec serveur
SMTP interne
Connexion entre serveur Web
et serveur de BD
8
INF4420
Sécurité Informatique
Selon l’implémentation
Matériel
Types de coupe-feu
Selon les fonctionnalités
Filtrage statique
• Pare-feu filtrant
Filtrage dynamique
• Parfois intégré dans le routeur
Pare-feu d’application
• « Network appliances »
Combine d’autres
• Pare-feu filtrant
• Serveur mandataire (proxy)
fonctionalités
Logiciel
• Serveur pare-feu dédié
• Pare-feu client ou individuel
9
INF4420
Sécurité Informatique
Coupe-feu statique
Principes de fonctionnement
Examine paquet par paquet (« stateless »)
• Adresses IP src et dest
• Port src et dest
• Type de protocole
Utilise des règles pour prendre action « block » ou « accept »
• Règle de routage : « IF src_IP = 123.45.*.* THEN block »
adresses privées
adresses internes/externes
listes noires
• Règle d’application : « IF dest_port = 80 THEN accept »
Par port de destination
• Évaluation séquentielle (!!)
Limitations
Pas de notion de connexion permet certains types d’attaques
10
INF4420
Sécurité Informatique
Coupe-feu dynamique
Principes de bases
Examine paquet par paquet, mais essaie d’établir relations entre paquets
• UDP
Associe paquet avec d’autre paquets sur mêmes ports et adresses
En général, permet seulement réponses si requêtes originales venant
d’adresses internes
• TCP
Garde information sur état et direction de la session TCP
Regarde en plus les flags TCP pour déterminer si hors-protocole
• Applications qui changent de port (e.g. FTP)
Suit et autorise les ports éphémères utilisés par les applications
Limitations
Pas de connaissance de l’état de la connexion au niveau application
Usurpation de port
11
INF4420
Sécurité Informatique
Coupe-feu applicatif
Principe de base
Le coupe-feu regarde le message et interprète son contenu par rapport à
l’application identifié par le port
Routeur filtrant
Bloque ou accepte en fonction du contenu du message
• Bon port pour type d’application
• Bonne séquence à niveau des protocoles d’application
Serveurs mandataires (proxy)
Agisse au nom du client d’application
Déballe et remballe les paquets IP avec nouvel adresse et port src
Autres fonctionnalités
Authentification et contrôle d’accès
VPN
Anti-virus, anti-spam, filtrage de contenu
Caching
12
INF4420
Sécurité Informatique
Étapes d’une attaque standard sur le réseau
1. Définitions et identification d’objectifs
Quelle est la cible ?
2. Reconnaissance
Où se trouve la cible ?
3. Caractérisation (« Fingerprinting »)
Identification de vulnérabilité
4. Pénétration
Exploitation de vulnérabilité
5. Exploitation
Garder l’accès
Ne pas se faire prendre
Accomplir les objectifs
13
INF4420
Sécurité Informatique
Attaques de déni de services (DoS)
Objectifs
Éliminer ou réduire la qualité de service d’un fournisseur de
services
Types
Par vulnérabilité (« crippling DoS »)
Par saturation (« Flood DoS »)
Par absorption (« Black hole DoS »)
Particularités
Pas de pénétration
Camouflage optionnel
Pas de contre-mesures absolues !!
14
INF4420
Sécurité Informatique
Attaque DoS distribuée (DDoS)
Principe de base
1. Prendre le contrôle de plusieurs machines (« botnet »)
2. Utiliser ces machines pour générer des requêtes (saturation)
Exemples
SYN flooding
SYN/ACK flooding
• Direct
• Indirect (backblast)
Session/Application flooding
• TCP, HTTP, SQL
• « Spoofing » plus possible
Défense
Analyse de coût relatif
Faire augmenter le coût de l’attaque
15
INF4420
Sécurité Informatique
Crimes informatiques économiques
1. Polluriel et hameçonnage
Canulards
Vente directe de produits
Vente pyramidale
Arnaques « nigériennes »
Captures de comptes
2. Fraudes publicitaires
Modèle de revenu « par click »
Génération de « faux » click
3. Augmentation de priorité (« shilling »)
Moteurs de recherche
Systèmes de recommandation
16
INF4420
Sécurité Informatique
Pourriel
Contre-mesures
Détecter courriels identiques
• Comparaison intégrale ou par fonction de hachage
Bloquer une adresse IP si plusieurs courriels identiques/similaires
Reconnaissance de pourriel
• Analyse par règles
Contre-contre-mesures
Utiliser des machines « jetables » (botnet)
Générer des messages différents, mais équivalents
• Ajouts d’éléments aléatoires hors-message hachés différents
• Variations du message
Texte mal écrit, mais lisible
Message en HTML
Texte dans une image
Course d’armement entre pollueurs et constructeur de filtres
17
INF4420
Sécurité Informatique
Hameçonnage bancaire
Techniques de base
En apparence lien pointe sur vrai site
Faux site a apparence identique
Session redirigée vers vrai site (« ni vu, ni connu »)
Techniques avancées
DNS spoofing (serveurs DNS compromis ou empoisonné)
Prendre le contrôle d’un serveur web existant
• Sans que le propriétaire s’en rende compte
• Pour éviter de se faire repérer
• Usager/NIP capturés re-acheminé par canal clandestin
18
Slide 10
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Où sommes-nous ?
Semaine 1 – Intro
Semaines 2, 3 et 4 – Cryptographie
Semaine 6, 7 – Sécurité dans les SE (suite)
Semaine 8 – Période de relâche
Semaine 9 – Sécurité des BD et des applications Web
Semaine 10 – Contrôle périodique
Semaine 11, 12 et 13 – Sécurité des réseaux
Risques spécifiques aux réseaux
Des attaques, des attaques et encore des attaques
Configuration sécuritaires et contre-mesures
Semaine 14 – Gestion de la sécurité.
Intervenants et modes d'intervention
Aspects légaux et déontologiques
2
INF4420
Sécurité Informatique
Semaine 11
Notions de bases sur les réseaux
Risques spécifiques aux réseaux
Analyse de risques par couche
Module III – Sécurité des réseaux
Semaine 13
Détection d'intrus (IDS)
Protocoles sécuritaires de réseaux
• SSH
• Attaques typiques par couche
• SSL et TLS (HTTPS)
• Attaques intra-couche
• IPSEC/IPv6
Semaine 12
Configuration sécuritaire de
réseaux
• Plan d'adressage, routage et NAT
• Pare-feux
• DMZ, VPN et serveurs mandataires
Encore des attaques
• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• Pourriel et hameçonnage
3
INF4420
Sécurité Informatique
Configuration sécuritaire
Principes de bastionnage de réseaux
Bloquer tous le trafic non pertinent
• Paquets qui ne vont pas à la bonne place
adresses IP vs. table de routage
• Applications/services non offerts (superflus)
Ports fermés/ouverts
Segmentation du réseau
• Utiliser des routeurs/passerelles/serveurs mandataires
Cacher les adresses IP internes (par NAT)
Protéger les services/serveurs critiques
« Défense en profondeur »
• Principe de l’oignon
• Chaque niveau à un contexte différent
Permet de mieux ajuster le modèle de sécurité
4
INF4420
Sécurité Informatique
Network Address Translation
Principe de base
Le réseau interne est dans le domaine « privé »
• 10.*.*.* ou 192.168.*.*
• Non-routable (par défaut) vers l’extérieur ou sur l’Internet
Pour les paquets sortant
• (priv_src_IP, priv_src_port) est associé à une nouvelle paire
(public_src_IP, public_src_port)
• Ces associations sont conservés dans une table NAT
Pour les paquets entrant
• On utilise le dest_port pour retrouver la bonne paire
(priv_src_IP, priv_src_port)
Implémenté par
Routeur ou passerelle
Coupe-feu
Serveur mandataire
5
INF4420
Sécurité Informatique
Réseaux privés virtuels (VPN)
Objectifs
Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles
de façons sécuritaires à travers un réseau intermédiaires non sécurisé
Techniques de base
Tunneling
• Chaque sous réseau protégé par une passerelle VPN
• Encapsulation de paquet ( ≠ NAT)
Ancien paquet devient message
Nouvelle entête en fonction des passerelles
Chiffrement
• Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou
modification sur le réseau non-securisé
Contrôle d’accès
• Seuls les paquets provenant des clients ou sous-réseaux autorisés sont
ré-acheminés vers le réseau interne
6
INF4420
Sécurité Informatique
Zone démilitarisée (DMZ)
Objectif
Permettre fournir des services de ou vers l’extérieur du réseau
interne, tout en protégeant celui-ci
Principe de base
Créer une zone intermédiaire où se trouve les services strictement
nécessaires
Adresses des serveurs DMZ sont routables et accessibles
• de l’extérieur : tout le temps
• de l’intérieur : si pertinent
Protégé par un coupe-feu/passerelle
Isolé du réseau interne par un coupe-feu/passerelle
7
INF4420
Sécurité Informatique
Services fournis à l’extérieur
Serveur DNS (pour adresses
DMZ seulement)
Serveur SMTP
Serveur Web
Passerelle VPN
Services typiques dans une DMZ
Services fournis à l’intérieur
Serveur mandataires Web
M-à-j des fichiers du serveur
Web
Connexion avec serveur
SMTP interne
Connexion entre serveur Web
et serveur de BD
8
INF4420
Sécurité Informatique
Selon l’implémentation
Matériel
Types de coupe-feu
Selon les fonctionnalités
Filtrage statique
• Pare-feu filtrant
Filtrage dynamique
• Parfois intégré dans le routeur
Pare-feu d’application
• « Network appliances »
Combine d’autres
• Pare-feu filtrant
• Serveur mandataire (proxy)
fonctionalités
Logiciel
• Serveur pare-feu dédié
• Pare-feu client ou individuel
9
INF4420
Sécurité Informatique
Coupe-feu statique
Principes de fonctionnement
Examine paquet par paquet (« stateless »)
• Adresses IP src et dest
• Port src et dest
• Type de protocole
Utilise des règles pour prendre action « block » ou « accept »
• Règle de routage : « IF src_IP = 123.45.*.* THEN block »
adresses privées
adresses internes/externes
listes noires
• Règle d’application : « IF dest_port = 80 THEN accept »
Par port de destination
• Évaluation séquentielle (!!)
Limitations
Pas de notion de connexion permet certains types d’attaques
10
INF4420
Sécurité Informatique
Coupe-feu dynamique
Principes de bases
Examine paquet par paquet, mais essaie d’établir relations entre paquets
• UDP
Associe paquet avec d’autre paquets sur mêmes ports et adresses
En général, permet seulement réponses si requêtes originales venant
d’adresses internes
• TCP
Garde information sur état et direction de la session TCP
Regarde en plus les flags TCP pour déterminer si hors-protocole
• Applications qui changent de port (e.g. FTP)
Suit et autorise les ports éphémères utilisés par les applications
Limitations
Pas de connaissance de l’état de la connexion au niveau application
Usurpation de port
11
INF4420
Sécurité Informatique
Coupe-feu applicatif
Principe de base
Le coupe-feu regarde le message et interprète son contenu par rapport à
l’application identifié par le port
Routeur filtrant
Bloque ou accepte en fonction du contenu du message
• Bon port pour type d’application
• Bonne séquence à niveau des protocoles d’application
Serveurs mandataires (proxy)
Agisse au nom du client d’application
Déballe et remballe les paquets IP avec nouvel adresse et port src
Autres fonctionnalités
Authentification et contrôle d’accès
VPN
Anti-virus, anti-spam, filtrage de contenu
Caching
12
INF4420
Sécurité Informatique
Étapes d’une attaque standard sur le réseau
1. Définitions et identification d’objectifs
Quelle est la cible ?
2. Reconnaissance
Où se trouve la cible ?
3. Caractérisation (« Fingerprinting »)
Identification de vulnérabilité
4. Pénétration
Exploitation de vulnérabilité
5. Exploitation
Garder l’accès
Ne pas se faire prendre
Accomplir les objectifs
13
INF4420
Sécurité Informatique
Attaques de déni de services (DoS)
Objectifs
Éliminer ou réduire la qualité de service d’un fournisseur de
services
Types
Par vulnérabilité (« crippling DoS »)
Par saturation (« Flood DoS »)
Par absorption (« Black hole DoS »)
Particularités
Pas de pénétration
Camouflage optionnel
Pas de contre-mesures absolues !!
14
INF4420
Sécurité Informatique
Attaque DoS distribuée (DDoS)
Principe de base
1. Prendre le contrôle de plusieurs machines (« botnet »)
2. Utiliser ces machines pour générer des requêtes (saturation)
Exemples
SYN flooding
SYN/ACK flooding
• Direct
• Indirect (backblast)
Session/Application flooding
• TCP, HTTP, SQL
• « Spoofing » plus possible
Défense
Analyse de coût relatif
Faire augmenter le coût de l’attaque
15
INF4420
Sécurité Informatique
Crimes informatiques économiques
1. Polluriel et hameçonnage
Canulards
Vente directe de produits
Vente pyramidale
Arnaques « nigériennes »
Captures de comptes
2. Fraudes publicitaires
Modèle de revenu « par click »
Génération de « faux » click
3. Augmentation de priorité (« shilling »)
Moteurs de recherche
Systèmes de recommandation
16
INF4420
Sécurité Informatique
Pourriel
Contre-mesures
Détecter courriels identiques
• Comparaison intégrale ou par fonction de hachage
Bloquer une adresse IP si plusieurs courriels identiques/similaires
Reconnaissance de pourriel
• Analyse par règles
Contre-contre-mesures
Utiliser des machines « jetables » (botnet)
Générer des messages différents, mais équivalents
• Ajouts d’éléments aléatoires hors-message hachés différents
• Variations du message
Texte mal écrit, mais lisible
Message en HTML
Texte dans une image
Course d’armement entre pollueurs et constructeur de filtres
17
INF4420
Sécurité Informatique
Hameçonnage bancaire
Techniques de base
En apparence lien pointe sur vrai site
Faux site a apparence identique
Session redirigée vers vrai site (« ni vu, ni connu »)
Techniques avancées
DNS spoofing (serveurs DNS compromis ou empoisonné)
Prendre le contrôle d’un serveur web existant
• Sans que le propriétaire s’en rende compte
• Pour éviter de se faire repérer
• Usager/NIP capturés re-acheminé par canal clandestin
18
Slide 11
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Où sommes-nous ?
Semaine 1 – Intro
Semaines 2, 3 et 4 – Cryptographie
Semaine 6, 7 – Sécurité dans les SE (suite)
Semaine 8 – Période de relâche
Semaine 9 – Sécurité des BD et des applications Web
Semaine 10 – Contrôle périodique
Semaine 11, 12 et 13 – Sécurité des réseaux
Risques spécifiques aux réseaux
Des attaques, des attaques et encore des attaques
Configuration sécuritaires et contre-mesures
Semaine 14 – Gestion de la sécurité.
Intervenants et modes d'intervention
Aspects légaux et déontologiques
2
INF4420
Sécurité Informatique
Semaine 11
Notions de bases sur les réseaux
Risques spécifiques aux réseaux
Analyse de risques par couche
Module III – Sécurité des réseaux
Semaine 13
Détection d'intrus (IDS)
Protocoles sécuritaires de réseaux
• SSH
• Attaques typiques par couche
• SSL et TLS (HTTPS)
• Attaques intra-couche
• IPSEC/IPv6
Semaine 12
Configuration sécuritaire de
réseaux
• Plan d'adressage, routage et NAT
• Pare-feux
• DMZ, VPN et serveurs mandataires
Encore des attaques
• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• Pourriel et hameçonnage
3
INF4420
Sécurité Informatique
Configuration sécuritaire
Principes de bastionnage de réseaux
Bloquer tous le trafic non pertinent
• Paquets qui ne vont pas à la bonne place
adresses IP vs. table de routage
• Applications/services non offerts (superflus)
Ports fermés/ouverts
Segmentation du réseau
• Utiliser des routeurs/passerelles/serveurs mandataires
Cacher les adresses IP internes (par NAT)
Protéger les services/serveurs critiques
« Défense en profondeur »
• Principe de l’oignon
• Chaque niveau à un contexte différent
Permet de mieux ajuster le modèle de sécurité
4
INF4420
Sécurité Informatique
Network Address Translation
Principe de base
Le réseau interne est dans le domaine « privé »
• 10.*.*.* ou 192.168.*.*
• Non-routable (par défaut) vers l’extérieur ou sur l’Internet
Pour les paquets sortant
• (priv_src_IP, priv_src_port) est associé à une nouvelle paire
(public_src_IP, public_src_port)
• Ces associations sont conservés dans une table NAT
Pour les paquets entrant
• On utilise le dest_port pour retrouver la bonne paire
(priv_src_IP, priv_src_port)
Implémenté par
Routeur ou passerelle
Coupe-feu
Serveur mandataire
5
INF4420
Sécurité Informatique
Réseaux privés virtuels (VPN)
Objectifs
Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles
de façons sécuritaires à travers un réseau intermédiaires non sécurisé
Techniques de base
Tunneling
• Chaque sous réseau protégé par une passerelle VPN
• Encapsulation de paquet ( ≠ NAT)
Ancien paquet devient message
Nouvelle entête en fonction des passerelles
Chiffrement
• Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou
modification sur le réseau non-securisé
Contrôle d’accès
• Seuls les paquets provenant des clients ou sous-réseaux autorisés sont
ré-acheminés vers le réseau interne
6
INF4420
Sécurité Informatique
Zone démilitarisée (DMZ)
Objectif
Permettre fournir des services de ou vers l’extérieur du réseau
interne, tout en protégeant celui-ci
Principe de base
Créer une zone intermédiaire où se trouve les services strictement
nécessaires
Adresses des serveurs DMZ sont routables et accessibles
• de l’extérieur : tout le temps
• de l’intérieur : si pertinent
Protégé par un coupe-feu/passerelle
Isolé du réseau interne par un coupe-feu/passerelle
7
INF4420
Sécurité Informatique
Services fournis à l’extérieur
Serveur DNS (pour adresses
DMZ seulement)
Serveur SMTP
Serveur Web
Passerelle VPN
Services typiques dans une DMZ
Services fournis à l’intérieur
Serveur mandataires Web
M-à-j des fichiers du serveur
Web
Connexion avec serveur
SMTP interne
Connexion entre serveur Web
et serveur de BD
8
INF4420
Sécurité Informatique
Selon l’implémentation
Matériel
Types de coupe-feu
Selon les fonctionnalités
Filtrage statique
• Pare-feu filtrant
Filtrage dynamique
• Parfois intégré dans le routeur
Pare-feu d’application
• « Network appliances »
Combine d’autres
• Pare-feu filtrant
• Serveur mandataire (proxy)
fonctionalités
Logiciel
• Serveur pare-feu dédié
• Pare-feu client ou individuel
9
INF4420
Sécurité Informatique
Coupe-feu statique
Principes de fonctionnement
Examine paquet par paquet (« stateless »)
• Adresses IP src et dest
• Port src et dest
• Type de protocole
Utilise des règles pour prendre action « block » ou « accept »
• Règle de routage : « IF src_IP = 123.45.*.* THEN block »
adresses privées
adresses internes/externes
listes noires
• Règle d’application : « IF dest_port = 80 THEN accept »
Par port de destination
• Évaluation séquentielle (!!)
Limitations
Pas de notion de connexion permet certains types d’attaques
10
INF4420
Sécurité Informatique
Coupe-feu dynamique
Principes de bases
Examine paquet par paquet, mais essaie d’établir relations entre paquets
• UDP
Associe paquet avec d’autre paquets sur mêmes ports et adresses
En général, permet seulement réponses si requêtes originales venant
d’adresses internes
• TCP
Garde information sur état et direction de la session TCP
Regarde en plus les flags TCP pour déterminer si hors-protocole
• Applications qui changent de port (e.g. FTP)
Suit et autorise les ports éphémères utilisés par les applications
Limitations
Pas de connaissance de l’état de la connexion au niveau application
Usurpation de port
11
INF4420
Sécurité Informatique
Coupe-feu applicatif
Principe de base
Le coupe-feu regarde le message et interprète son contenu par rapport à
l’application identifié par le port
Routeur filtrant
Bloque ou accepte en fonction du contenu du message
• Bon port pour type d’application
• Bonne séquence à niveau des protocoles d’application
Serveurs mandataires (proxy)
Agisse au nom du client d’application
Déballe et remballe les paquets IP avec nouvel adresse et port src
Autres fonctionnalités
Authentification et contrôle d’accès
VPN
Anti-virus, anti-spam, filtrage de contenu
Caching
12
INF4420
Sécurité Informatique
Étapes d’une attaque standard sur le réseau
1. Définitions et identification d’objectifs
Quelle est la cible ?
2. Reconnaissance
Où se trouve la cible ?
3. Caractérisation (« Fingerprinting »)
Identification de vulnérabilité
4. Pénétration
Exploitation de vulnérabilité
5. Exploitation
Garder l’accès
Ne pas se faire prendre
Accomplir les objectifs
13
INF4420
Sécurité Informatique
Attaques de déni de services (DoS)
Objectifs
Éliminer ou réduire la qualité de service d’un fournisseur de
services
Types
Par vulnérabilité (« crippling DoS »)
Par saturation (« Flood DoS »)
Par absorption (« Black hole DoS »)
Particularités
Pas de pénétration
Camouflage optionnel
Pas de contre-mesures absolues !!
14
INF4420
Sécurité Informatique
Attaque DoS distribuée (DDoS)
Principe de base
1. Prendre le contrôle de plusieurs machines (« botnet »)
2. Utiliser ces machines pour générer des requêtes (saturation)
Exemples
SYN flooding
SYN/ACK flooding
• Direct
• Indirect (backblast)
Session/Application flooding
• TCP, HTTP, SQL
• « Spoofing » plus possible
Défense
Analyse de coût relatif
Faire augmenter le coût de l’attaque
15
INF4420
Sécurité Informatique
Crimes informatiques économiques
1. Polluriel et hameçonnage
Canulards
Vente directe de produits
Vente pyramidale
Arnaques « nigériennes »
Captures de comptes
2. Fraudes publicitaires
Modèle de revenu « par click »
Génération de « faux » click
3. Augmentation de priorité (« shilling »)
Moteurs de recherche
Systèmes de recommandation
16
INF4420
Sécurité Informatique
Pourriel
Contre-mesures
Détecter courriels identiques
• Comparaison intégrale ou par fonction de hachage
Bloquer une adresse IP si plusieurs courriels identiques/similaires
Reconnaissance de pourriel
• Analyse par règles
Contre-contre-mesures
Utiliser des machines « jetables » (botnet)
Générer des messages différents, mais équivalents
• Ajouts d’éléments aléatoires hors-message hachés différents
• Variations du message
Texte mal écrit, mais lisible
Message en HTML
Texte dans une image
Course d’armement entre pollueurs et constructeur de filtres
17
INF4420
Sécurité Informatique
Hameçonnage bancaire
Techniques de base
En apparence lien pointe sur vrai site
Faux site a apparence identique
Session redirigée vers vrai site (« ni vu, ni connu »)
Techniques avancées
DNS spoofing (serveurs DNS compromis ou empoisonné)
Prendre le contrôle d’un serveur web existant
• Sans que le propriétaire s’en rende compte
• Pour éviter de se faire repérer
• Usager/NIP capturés re-acheminé par canal clandestin
18
Slide 12
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Où sommes-nous ?
Semaine 1 – Intro
Semaines 2, 3 et 4 – Cryptographie
Semaine 6, 7 – Sécurité dans les SE (suite)
Semaine 8 – Période de relâche
Semaine 9 – Sécurité des BD et des applications Web
Semaine 10 – Contrôle périodique
Semaine 11, 12 et 13 – Sécurité des réseaux
Risques spécifiques aux réseaux
Des attaques, des attaques et encore des attaques
Configuration sécuritaires et contre-mesures
Semaine 14 – Gestion de la sécurité.
Intervenants et modes d'intervention
Aspects légaux et déontologiques
2
INF4420
Sécurité Informatique
Semaine 11
Notions de bases sur les réseaux
Risques spécifiques aux réseaux
Analyse de risques par couche
Module III – Sécurité des réseaux
Semaine 13
Détection d'intrus (IDS)
Protocoles sécuritaires de réseaux
• SSH
• Attaques typiques par couche
• SSL et TLS (HTTPS)
• Attaques intra-couche
• IPSEC/IPv6
Semaine 12
Configuration sécuritaire de
réseaux
• Plan d'adressage, routage et NAT
• Pare-feux
• DMZ, VPN et serveurs mandataires
Encore des attaques
• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• Pourriel et hameçonnage
3
INF4420
Sécurité Informatique
Configuration sécuritaire
Principes de bastionnage de réseaux
Bloquer tous le trafic non pertinent
• Paquets qui ne vont pas à la bonne place
adresses IP vs. table de routage
• Applications/services non offerts (superflus)
Ports fermés/ouverts
Segmentation du réseau
• Utiliser des routeurs/passerelles/serveurs mandataires
Cacher les adresses IP internes (par NAT)
Protéger les services/serveurs critiques
« Défense en profondeur »
• Principe de l’oignon
• Chaque niveau à un contexte différent
Permet de mieux ajuster le modèle de sécurité
4
INF4420
Sécurité Informatique
Network Address Translation
Principe de base
Le réseau interne est dans le domaine « privé »
• 10.*.*.* ou 192.168.*.*
• Non-routable (par défaut) vers l’extérieur ou sur l’Internet
Pour les paquets sortant
• (priv_src_IP, priv_src_port) est associé à une nouvelle paire
(public_src_IP, public_src_port)
• Ces associations sont conservés dans une table NAT
Pour les paquets entrant
• On utilise le dest_port pour retrouver la bonne paire
(priv_src_IP, priv_src_port)
Implémenté par
Routeur ou passerelle
Coupe-feu
Serveur mandataire
5
INF4420
Sécurité Informatique
Réseaux privés virtuels (VPN)
Objectifs
Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles
de façons sécuritaires à travers un réseau intermédiaires non sécurisé
Techniques de base
Tunneling
• Chaque sous réseau protégé par une passerelle VPN
• Encapsulation de paquet ( ≠ NAT)
Ancien paquet devient message
Nouvelle entête en fonction des passerelles
Chiffrement
• Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou
modification sur le réseau non-securisé
Contrôle d’accès
• Seuls les paquets provenant des clients ou sous-réseaux autorisés sont
ré-acheminés vers le réseau interne
6
INF4420
Sécurité Informatique
Zone démilitarisée (DMZ)
Objectif
Permettre fournir des services de ou vers l’extérieur du réseau
interne, tout en protégeant celui-ci
Principe de base
Créer une zone intermédiaire où se trouve les services strictement
nécessaires
Adresses des serveurs DMZ sont routables et accessibles
• de l’extérieur : tout le temps
• de l’intérieur : si pertinent
Protégé par un coupe-feu/passerelle
Isolé du réseau interne par un coupe-feu/passerelle
7
INF4420
Sécurité Informatique
Services fournis à l’extérieur
Serveur DNS (pour adresses
DMZ seulement)
Serveur SMTP
Serveur Web
Passerelle VPN
Services typiques dans une DMZ
Services fournis à l’intérieur
Serveur mandataires Web
M-à-j des fichiers du serveur
Web
Connexion avec serveur
SMTP interne
Connexion entre serveur Web
et serveur de BD
8
INF4420
Sécurité Informatique
Selon l’implémentation
Matériel
Types de coupe-feu
Selon les fonctionnalités
Filtrage statique
• Pare-feu filtrant
Filtrage dynamique
• Parfois intégré dans le routeur
Pare-feu d’application
• « Network appliances »
Combine d’autres
• Pare-feu filtrant
• Serveur mandataire (proxy)
fonctionalités
Logiciel
• Serveur pare-feu dédié
• Pare-feu client ou individuel
9
INF4420
Sécurité Informatique
Coupe-feu statique
Principes de fonctionnement
Examine paquet par paquet (« stateless »)
• Adresses IP src et dest
• Port src et dest
• Type de protocole
Utilise des règles pour prendre action « block » ou « accept »
• Règle de routage : « IF src_IP = 123.45.*.* THEN block »
adresses privées
adresses internes/externes
listes noires
• Règle d’application : « IF dest_port = 80 THEN accept »
Par port de destination
• Évaluation séquentielle (!!)
Limitations
Pas de notion de connexion permet certains types d’attaques
10
INF4420
Sécurité Informatique
Coupe-feu dynamique
Principes de bases
Examine paquet par paquet, mais essaie d’établir relations entre paquets
• UDP
Associe paquet avec d’autre paquets sur mêmes ports et adresses
En général, permet seulement réponses si requêtes originales venant
d’adresses internes
• TCP
Garde information sur état et direction de la session TCP
Regarde en plus les flags TCP pour déterminer si hors-protocole
• Applications qui changent de port (e.g. FTP)
Suit et autorise les ports éphémères utilisés par les applications
Limitations
Pas de connaissance de l’état de la connexion au niveau application
Usurpation de port
11
INF4420
Sécurité Informatique
Coupe-feu applicatif
Principe de base
Le coupe-feu regarde le message et interprète son contenu par rapport à
l’application identifié par le port
Routeur filtrant
Bloque ou accepte en fonction du contenu du message
• Bon port pour type d’application
• Bonne séquence à niveau des protocoles d’application
Serveurs mandataires (proxy)
Agisse au nom du client d’application
Déballe et remballe les paquets IP avec nouvel adresse et port src
Autres fonctionnalités
Authentification et contrôle d’accès
VPN
Anti-virus, anti-spam, filtrage de contenu
Caching
12
INF4420
Sécurité Informatique
Étapes d’une attaque standard sur le réseau
1. Définitions et identification d’objectifs
Quelle est la cible ?
2. Reconnaissance
Où se trouve la cible ?
3. Caractérisation (« Fingerprinting »)
Identification de vulnérabilité
4. Pénétration
Exploitation de vulnérabilité
5. Exploitation
Garder l’accès
Ne pas se faire prendre
Accomplir les objectifs
13
INF4420
Sécurité Informatique
Attaques de déni de services (DoS)
Objectifs
Éliminer ou réduire la qualité de service d’un fournisseur de
services
Types
Par vulnérabilité (« crippling DoS »)
Par saturation (« Flood DoS »)
Par absorption (« Black hole DoS »)
Particularités
Pas de pénétration
Camouflage optionnel
Pas de contre-mesures absolues !!
14
INF4420
Sécurité Informatique
Attaque DoS distribuée (DDoS)
Principe de base
1. Prendre le contrôle de plusieurs machines (« botnet »)
2. Utiliser ces machines pour générer des requêtes (saturation)
Exemples
SYN flooding
SYN/ACK flooding
• Direct
• Indirect (backblast)
Session/Application flooding
• TCP, HTTP, SQL
• « Spoofing » plus possible
Défense
Analyse de coût relatif
Faire augmenter le coût de l’attaque
15
INF4420
Sécurité Informatique
Crimes informatiques économiques
1. Polluriel et hameçonnage
Canulards
Vente directe de produits
Vente pyramidale
Arnaques « nigériennes »
Captures de comptes
2. Fraudes publicitaires
Modèle de revenu « par click »
Génération de « faux » click
3. Augmentation de priorité (« shilling »)
Moteurs de recherche
Systèmes de recommandation
16
INF4420
Sécurité Informatique
Pourriel
Contre-mesures
Détecter courriels identiques
• Comparaison intégrale ou par fonction de hachage
Bloquer une adresse IP si plusieurs courriels identiques/similaires
Reconnaissance de pourriel
• Analyse par règles
Contre-contre-mesures
Utiliser des machines « jetables » (botnet)
Générer des messages différents, mais équivalents
• Ajouts d’éléments aléatoires hors-message hachés différents
• Variations du message
Texte mal écrit, mais lisible
Message en HTML
Texte dans une image
Course d’armement entre pollueurs et constructeur de filtres
17
INF4420
Sécurité Informatique
Hameçonnage bancaire
Techniques de base
En apparence lien pointe sur vrai site
Faux site a apparence identique
Session redirigée vers vrai site (« ni vu, ni connu »)
Techniques avancées
DNS spoofing (serveurs DNS compromis ou empoisonné)
Prendre le contrôle d’un serveur web existant
• Sans que le propriétaire s’en rende compte
• Pour éviter de se faire repérer
• Usager/NIP capturés re-acheminé par canal clandestin
18
Slide 13
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Où sommes-nous ?
Semaine 1 – Intro
Semaines 2, 3 et 4 – Cryptographie
Semaine 6, 7 – Sécurité dans les SE (suite)
Semaine 8 – Période de relâche
Semaine 9 – Sécurité des BD et des applications Web
Semaine 10 – Contrôle périodique
Semaine 11, 12 et 13 – Sécurité des réseaux
Risques spécifiques aux réseaux
Des attaques, des attaques et encore des attaques
Configuration sécuritaires et contre-mesures
Semaine 14 – Gestion de la sécurité.
Intervenants et modes d'intervention
Aspects légaux et déontologiques
2
INF4420
Sécurité Informatique
Semaine 11
Notions de bases sur les réseaux
Risques spécifiques aux réseaux
Analyse de risques par couche
Module III – Sécurité des réseaux
Semaine 13
Détection d'intrus (IDS)
Protocoles sécuritaires de réseaux
• SSH
• Attaques typiques par couche
• SSL et TLS (HTTPS)
• Attaques intra-couche
• IPSEC/IPv6
Semaine 12
Configuration sécuritaire de
réseaux
• Plan d'adressage, routage et NAT
• Pare-feux
• DMZ, VPN et serveurs mandataires
Encore des attaques
• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• Pourriel et hameçonnage
3
INF4420
Sécurité Informatique
Configuration sécuritaire
Principes de bastionnage de réseaux
Bloquer tous le trafic non pertinent
• Paquets qui ne vont pas à la bonne place
adresses IP vs. table de routage
• Applications/services non offerts (superflus)
Ports fermés/ouverts
Segmentation du réseau
• Utiliser des routeurs/passerelles/serveurs mandataires
Cacher les adresses IP internes (par NAT)
Protéger les services/serveurs critiques
« Défense en profondeur »
• Principe de l’oignon
• Chaque niveau à un contexte différent
Permet de mieux ajuster le modèle de sécurité
4
INF4420
Sécurité Informatique
Network Address Translation
Principe de base
Le réseau interne est dans le domaine « privé »
• 10.*.*.* ou 192.168.*.*
• Non-routable (par défaut) vers l’extérieur ou sur l’Internet
Pour les paquets sortant
• (priv_src_IP, priv_src_port) est associé à une nouvelle paire
(public_src_IP, public_src_port)
• Ces associations sont conservés dans une table NAT
Pour les paquets entrant
• On utilise le dest_port pour retrouver la bonne paire
(priv_src_IP, priv_src_port)
Implémenté par
Routeur ou passerelle
Coupe-feu
Serveur mandataire
5
INF4420
Sécurité Informatique
Réseaux privés virtuels (VPN)
Objectifs
Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles
de façons sécuritaires à travers un réseau intermédiaires non sécurisé
Techniques de base
Tunneling
• Chaque sous réseau protégé par une passerelle VPN
• Encapsulation de paquet ( ≠ NAT)
Ancien paquet devient message
Nouvelle entête en fonction des passerelles
Chiffrement
• Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou
modification sur le réseau non-securisé
Contrôle d’accès
• Seuls les paquets provenant des clients ou sous-réseaux autorisés sont
ré-acheminés vers le réseau interne
6
INF4420
Sécurité Informatique
Zone démilitarisée (DMZ)
Objectif
Permettre fournir des services de ou vers l’extérieur du réseau
interne, tout en protégeant celui-ci
Principe de base
Créer une zone intermédiaire où se trouve les services strictement
nécessaires
Adresses des serveurs DMZ sont routables et accessibles
• de l’extérieur : tout le temps
• de l’intérieur : si pertinent
Protégé par un coupe-feu/passerelle
Isolé du réseau interne par un coupe-feu/passerelle
7
INF4420
Sécurité Informatique
Services fournis à l’extérieur
Serveur DNS (pour adresses
DMZ seulement)
Serveur SMTP
Serveur Web
Passerelle VPN
Services typiques dans une DMZ
Services fournis à l’intérieur
Serveur mandataires Web
M-à-j des fichiers du serveur
Web
Connexion avec serveur
SMTP interne
Connexion entre serveur Web
et serveur de BD
8
INF4420
Sécurité Informatique
Selon l’implémentation
Matériel
Types de coupe-feu
Selon les fonctionnalités
Filtrage statique
• Pare-feu filtrant
Filtrage dynamique
• Parfois intégré dans le routeur
Pare-feu d’application
• « Network appliances »
Combine d’autres
• Pare-feu filtrant
• Serveur mandataire (proxy)
fonctionalités
Logiciel
• Serveur pare-feu dédié
• Pare-feu client ou individuel
9
INF4420
Sécurité Informatique
Coupe-feu statique
Principes de fonctionnement
Examine paquet par paquet (« stateless »)
• Adresses IP src et dest
• Port src et dest
• Type de protocole
Utilise des règles pour prendre action « block » ou « accept »
• Règle de routage : « IF src_IP = 123.45.*.* THEN block »
adresses privées
adresses internes/externes
listes noires
• Règle d’application : « IF dest_port = 80 THEN accept »
Par port de destination
• Évaluation séquentielle (!!)
Limitations
Pas de notion de connexion permet certains types d’attaques
10
INF4420
Sécurité Informatique
Coupe-feu dynamique
Principes de bases
Examine paquet par paquet, mais essaie d’établir relations entre paquets
• UDP
Associe paquet avec d’autre paquets sur mêmes ports et adresses
En général, permet seulement réponses si requêtes originales venant
d’adresses internes
• TCP
Garde information sur état et direction de la session TCP
Regarde en plus les flags TCP pour déterminer si hors-protocole
• Applications qui changent de port (e.g. FTP)
Suit et autorise les ports éphémères utilisés par les applications
Limitations
Pas de connaissance de l’état de la connexion au niveau application
Usurpation de port
11
INF4420
Sécurité Informatique
Coupe-feu applicatif
Principe de base
Le coupe-feu regarde le message et interprète son contenu par rapport à
l’application identifié par le port
Routeur filtrant
Bloque ou accepte en fonction du contenu du message
• Bon port pour type d’application
• Bonne séquence à niveau des protocoles d’application
Serveurs mandataires (proxy)
Agisse au nom du client d’application
Déballe et remballe les paquets IP avec nouvel adresse et port src
Autres fonctionnalités
Authentification et contrôle d’accès
VPN
Anti-virus, anti-spam, filtrage de contenu
Caching
12
INF4420
Sécurité Informatique
Étapes d’une attaque standard sur le réseau
1. Définitions et identification d’objectifs
Quelle est la cible ?
2. Reconnaissance
Où se trouve la cible ?
3. Caractérisation (« Fingerprinting »)
Identification de vulnérabilité
4. Pénétration
Exploitation de vulnérabilité
5. Exploitation
Garder l’accès
Ne pas se faire prendre
Accomplir les objectifs
13
INF4420
Sécurité Informatique
Attaques de déni de services (DoS)
Objectifs
Éliminer ou réduire la qualité de service d’un fournisseur de
services
Types
Par vulnérabilité (« crippling DoS »)
Par saturation (« Flood DoS »)
Par absorption (« Black hole DoS »)
Particularités
Pas de pénétration
Camouflage optionnel
Pas de contre-mesures absolues !!
14
INF4420
Sécurité Informatique
Attaque DoS distribuée (DDoS)
Principe de base
1. Prendre le contrôle de plusieurs machines (« botnet »)
2. Utiliser ces machines pour générer des requêtes (saturation)
Exemples
SYN flooding
SYN/ACK flooding
• Direct
• Indirect (backblast)
Session/Application flooding
• TCP, HTTP, SQL
• « Spoofing » plus possible
Défense
Analyse de coût relatif
Faire augmenter le coût de l’attaque
15
INF4420
Sécurité Informatique
Crimes informatiques économiques
1. Polluriel et hameçonnage
Canulards
Vente directe de produits
Vente pyramidale
Arnaques « nigériennes »
Captures de comptes
2. Fraudes publicitaires
Modèle de revenu « par click »
Génération de « faux » click
3. Augmentation de priorité (« shilling »)
Moteurs de recherche
Systèmes de recommandation
16
INF4420
Sécurité Informatique
Pourriel
Contre-mesures
Détecter courriels identiques
• Comparaison intégrale ou par fonction de hachage
Bloquer une adresse IP si plusieurs courriels identiques/similaires
Reconnaissance de pourriel
• Analyse par règles
Contre-contre-mesures
Utiliser des machines « jetables » (botnet)
Générer des messages différents, mais équivalents
• Ajouts d’éléments aléatoires hors-message hachés différents
• Variations du message
Texte mal écrit, mais lisible
Message en HTML
Texte dans une image
Course d’armement entre pollueurs et constructeur de filtres
17
INF4420
Sécurité Informatique
Hameçonnage bancaire
Techniques de base
En apparence lien pointe sur vrai site
Faux site a apparence identique
Session redirigée vers vrai site (« ni vu, ni connu »)
Techniques avancées
DNS spoofing (serveurs DNS compromis ou empoisonné)
Prendre le contrôle d’un serveur web existant
• Sans que le propriétaire s’en rende compte
• Pour éviter de se faire repérer
• Usager/NIP capturés re-acheminé par canal clandestin
18
Slide 14
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Où sommes-nous ?
Semaine 1 – Intro
Semaines 2, 3 et 4 – Cryptographie
Semaine 6, 7 – Sécurité dans les SE (suite)
Semaine 8 – Période de relâche
Semaine 9 – Sécurité des BD et des applications Web
Semaine 10 – Contrôle périodique
Semaine 11, 12 et 13 – Sécurité des réseaux
Risques spécifiques aux réseaux
Des attaques, des attaques et encore des attaques
Configuration sécuritaires et contre-mesures
Semaine 14 – Gestion de la sécurité.
Intervenants et modes d'intervention
Aspects légaux et déontologiques
2
INF4420
Sécurité Informatique
Semaine 11
Notions de bases sur les réseaux
Risques spécifiques aux réseaux
Analyse de risques par couche
Module III – Sécurité des réseaux
Semaine 13
Détection d'intrus (IDS)
Protocoles sécuritaires de réseaux
• SSH
• Attaques typiques par couche
• SSL et TLS (HTTPS)
• Attaques intra-couche
• IPSEC/IPv6
Semaine 12
Configuration sécuritaire de
réseaux
• Plan d'adressage, routage et NAT
• Pare-feux
• DMZ, VPN et serveurs mandataires
Encore des attaques
• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• Pourriel et hameçonnage
3
INF4420
Sécurité Informatique
Configuration sécuritaire
Principes de bastionnage de réseaux
Bloquer tous le trafic non pertinent
• Paquets qui ne vont pas à la bonne place
adresses IP vs. table de routage
• Applications/services non offerts (superflus)
Ports fermés/ouverts
Segmentation du réseau
• Utiliser des routeurs/passerelles/serveurs mandataires
Cacher les adresses IP internes (par NAT)
Protéger les services/serveurs critiques
« Défense en profondeur »
• Principe de l’oignon
• Chaque niveau à un contexte différent
Permet de mieux ajuster le modèle de sécurité
4
INF4420
Sécurité Informatique
Network Address Translation
Principe de base
Le réseau interne est dans le domaine « privé »
• 10.*.*.* ou 192.168.*.*
• Non-routable (par défaut) vers l’extérieur ou sur l’Internet
Pour les paquets sortant
• (priv_src_IP, priv_src_port) est associé à une nouvelle paire
(public_src_IP, public_src_port)
• Ces associations sont conservés dans une table NAT
Pour les paquets entrant
• On utilise le dest_port pour retrouver la bonne paire
(priv_src_IP, priv_src_port)
Implémenté par
Routeur ou passerelle
Coupe-feu
Serveur mandataire
5
INF4420
Sécurité Informatique
Réseaux privés virtuels (VPN)
Objectifs
Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles
de façons sécuritaires à travers un réseau intermédiaires non sécurisé
Techniques de base
Tunneling
• Chaque sous réseau protégé par une passerelle VPN
• Encapsulation de paquet ( ≠ NAT)
Ancien paquet devient message
Nouvelle entête en fonction des passerelles
Chiffrement
• Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou
modification sur le réseau non-securisé
Contrôle d’accès
• Seuls les paquets provenant des clients ou sous-réseaux autorisés sont
ré-acheminés vers le réseau interne
6
INF4420
Sécurité Informatique
Zone démilitarisée (DMZ)
Objectif
Permettre fournir des services de ou vers l’extérieur du réseau
interne, tout en protégeant celui-ci
Principe de base
Créer une zone intermédiaire où se trouve les services strictement
nécessaires
Adresses des serveurs DMZ sont routables et accessibles
• de l’extérieur : tout le temps
• de l’intérieur : si pertinent
Protégé par un coupe-feu/passerelle
Isolé du réseau interne par un coupe-feu/passerelle
7
INF4420
Sécurité Informatique
Services fournis à l’extérieur
Serveur DNS (pour adresses
DMZ seulement)
Serveur SMTP
Serveur Web
Passerelle VPN
Services typiques dans une DMZ
Services fournis à l’intérieur
Serveur mandataires Web
M-à-j des fichiers du serveur
Web
Connexion avec serveur
SMTP interne
Connexion entre serveur Web
et serveur de BD
8
INF4420
Sécurité Informatique
Selon l’implémentation
Matériel
Types de coupe-feu
Selon les fonctionnalités
Filtrage statique
• Pare-feu filtrant
Filtrage dynamique
• Parfois intégré dans le routeur
Pare-feu d’application
• « Network appliances »
Combine d’autres
• Pare-feu filtrant
• Serveur mandataire (proxy)
fonctionalités
Logiciel
• Serveur pare-feu dédié
• Pare-feu client ou individuel
9
INF4420
Sécurité Informatique
Coupe-feu statique
Principes de fonctionnement
Examine paquet par paquet (« stateless »)
• Adresses IP src et dest
• Port src et dest
• Type de protocole
Utilise des règles pour prendre action « block » ou « accept »
• Règle de routage : « IF src_IP = 123.45.*.* THEN block »
adresses privées
adresses internes/externes
listes noires
• Règle d’application : « IF dest_port = 80 THEN accept »
Par port de destination
• Évaluation séquentielle (!!)
Limitations
Pas de notion de connexion permet certains types d’attaques
10
INF4420
Sécurité Informatique
Coupe-feu dynamique
Principes de bases
Examine paquet par paquet, mais essaie d’établir relations entre paquets
• UDP
Associe paquet avec d’autre paquets sur mêmes ports et adresses
En général, permet seulement réponses si requêtes originales venant
d’adresses internes
• TCP
Garde information sur état et direction de la session TCP
Regarde en plus les flags TCP pour déterminer si hors-protocole
• Applications qui changent de port (e.g. FTP)
Suit et autorise les ports éphémères utilisés par les applications
Limitations
Pas de connaissance de l’état de la connexion au niveau application
Usurpation de port
11
INF4420
Sécurité Informatique
Coupe-feu applicatif
Principe de base
Le coupe-feu regarde le message et interprète son contenu par rapport à
l’application identifié par le port
Routeur filtrant
Bloque ou accepte en fonction du contenu du message
• Bon port pour type d’application
• Bonne séquence à niveau des protocoles d’application
Serveurs mandataires (proxy)
Agisse au nom du client d’application
Déballe et remballe les paquets IP avec nouvel adresse et port src
Autres fonctionnalités
Authentification et contrôle d’accès
VPN
Anti-virus, anti-spam, filtrage de contenu
Caching
12
INF4420
Sécurité Informatique
Étapes d’une attaque standard sur le réseau
1. Définitions et identification d’objectifs
Quelle est la cible ?
2. Reconnaissance
Où se trouve la cible ?
3. Caractérisation (« Fingerprinting »)
Identification de vulnérabilité
4. Pénétration
Exploitation de vulnérabilité
5. Exploitation
Garder l’accès
Ne pas se faire prendre
Accomplir les objectifs
13
INF4420
Sécurité Informatique
Attaques de déni de services (DoS)
Objectifs
Éliminer ou réduire la qualité de service d’un fournisseur de
services
Types
Par vulnérabilité (« crippling DoS »)
Par saturation (« Flood DoS »)
Par absorption (« Black hole DoS »)
Particularités
Pas de pénétration
Camouflage optionnel
Pas de contre-mesures absolues !!
14
INF4420
Sécurité Informatique
Attaque DoS distribuée (DDoS)
Principe de base
1. Prendre le contrôle de plusieurs machines (« botnet »)
2. Utiliser ces machines pour générer des requêtes (saturation)
Exemples
SYN flooding
SYN/ACK flooding
• Direct
• Indirect (backblast)
Session/Application flooding
• TCP, HTTP, SQL
• « Spoofing » plus possible
Défense
Analyse de coût relatif
Faire augmenter le coût de l’attaque
15
INF4420
Sécurité Informatique
Crimes informatiques économiques
1. Polluriel et hameçonnage
Canulards
Vente directe de produits
Vente pyramidale
Arnaques « nigériennes »
Captures de comptes
2. Fraudes publicitaires
Modèle de revenu « par click »
Génération de « faux » click
3. Augmentation de priorité (« shilling »)
Moteurs de recherche
Systèmes de recommandation
16
INF4420
Sécurité Informatique
Pourriel
Contre-mesures
Détecter courriels identiques
• Comparaison intégrale ou par fonction de hachage
Bloquer une adresse IP si plusieurs courriels identiques/similaires
Reconnaissance de pourriel
• Analyse par règles
Contre-contre-mesures
Utiliser des machines « jetables » (botnet)
Générer des messages différents, mais équivalents
• Ajouts d’éléments aléatoires hors-message hachés différents
• Variations du message
Texte mal écrit, mais lisible
Message en HTML
Texte dans une image
Course d’armement entre pollueurs et constructeur de filtres
17
INF4420
Sécurité Informatique
Hameçonnage bancaire
Techniques de base
En apparence lien pointe sur vrai site
Faux site a apparence identique
Session redirigée vers vrai site (« ni vu, ni connu »)
Techniques avancées
DNS spoofing (serveurs DNS compromis ou empoisonné)
Prendre le contrôle d’un serveur web existant
• Sans que le propriétaire s’en rende compte
• Pour éviter de se faire repérer
• Usager/NIP capturés re-acheminé par canal clandestin
18
Slide 15
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Où sommes-nous ?
Semaine 1 – Intro
Semaines 2, 3 et 4 – Cryptographie
Semaine 6, 7 – Sécurité dans les SE (suite)
Semaine 8 – Période de relâche
Semaine 9 – Sécurité des BD et des applications Web
Semaine 10 – Contrôle périodique
Semaine 11, 12 et 13 – Sécurité des réseaux
Risques spécifiques aux réseaux
Des attaques, des attaques et encore des attaques
Configuration sécuritaires et contre-mesures
Semaine 14 – Gestion de la sécurité.
Intervenants et modes d'intervention
Aspects légaux et déontologiques
2
INF4420
Sécurité Informatique
Semaine 11
Notions de bases sur les réseaux
Risques spécifiques aux réseaux
Analyse de risques par couche
Module III – Sécurité des réseaux
Semaine 13
Détection d'intrus (IDS)
Protocoles sécuritaires de réseaux
• SSH
• Attaques typiques par couche
• SSL et TLS (HTTPS)
• Attaques intra-couche
• IPSEC/IPv6
Semaine 12
Configuration sécuritaire de
réseaux
• Plan d'adressage, routage et NAT
• Pare-feux
• DMZ, VPN et serveurs mandataires
Encore des attaques
• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• Pourriel et hameçonnage
3
INF4420
Sécurité Informatique
Configuration sécuritaire
Principes de bastionnage de réseaux
Bloquer tous le trafic non pertinent
• Paquets qui ne vont pas à la bonne place
adresses IP vs. table de routage
• Applications/services non offerts (superflus)
Ports fermés/ouverts
Segmentation du réseau
• Utiliser des routeurs/passerelles/serveurs mandataires
Cacher les adresses IP internes (par NAT)
Protéger les services/serveurs critiques
« Défense en profondeur »
• Principe de l’oignon
• Chaque niveau à un contexte différent
Permet de mieux ajuster le modèle de sécurité
4
INF4420
Sécurité Informatique
Network Address Translation
Principe de base
Le réseau interne est dans le domaine « privé »
• 10.*.*.* ou 192.168.*.*
• Non-routable (par défaut) vers l’extérieur ou sur l’Internet
Pour les paquets sortant
• (priv_src_IP, priv_src_port) est associé à une nouvelle paire
(public_src_IP, public_src_port)
• Ces associations sont conservés dans une table NAT
Pour les paquets entrant
• On utilise le dest_port pour retrouver la bonne paire
(priv_src_IP, priv_src_port)
Implémenté par
Routeur ou passerelle
Coupe-feu
Serveur mandataire
5
INF4420
Sécurité Informatique
Réseaux privés virtuels (VPN)
Objectifs
Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles
de façons sécuritaires à travers un réseau intermédiaires non sécurisé
Techniques de base
Tunneling
• Chaque sous réseau protégé par une passerelle VPN
• Encapsulation de paquet ( ≠ NAT)
Ancien paquet devient message
Nouvelle entête en fonction des passerelles
Chiffrement
• Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou
modification sur le réseau non-securisé
Contrôle d’accès
• Seuls les paquets provenant des clients ou sous-réseaux autorisés sont
ré-acheminés vers le réseau interne
6
INF4420
Sécurité Informatique
Zone démilitarisée (DMZ)
Objectif
Permettre fournir des services de ou vers l’extérieur du réseau
interne, tout en protégeant celui-ci
Principe de base
Créer une zone intermédiaire où se trouve les services strictement
nécessaires
Adresses des serveurs DMZ sont routables et accessibles
• de l’extérieur : tout le temps
• de l’intérieur : si pertinent
Protégé par un coupe-feu/passerelle
Isolé du réseau interne par un coupe-feu/passerelle
7
INF4420
Sécurité Informatique
Services fournis à l’extérieur
Serveur DNS (pour adresses
DMZ seulement)
Serveur SMTP
Serveur Web
Passerelle VPN
Services typiques dans une DMZ
Services fournis à l’intérieur
Serveur mandataires Web
M-à-j des fichiers du serveur
Web
Connexion avec serveur
SMTP interne
Connexion entre serveur Web
et serveur de BD
8
INF4420
Sécurité Informatique
Selon l’implémentation
Matériel
Types de coupe-feu
Selon les fonctionnalités
Filtrage statique
• Pare-feu filtrant
Filtrage dynamique
• Parfois intégré dans le routeur
Pare-feu d’application
• « Network appliances »
Combine d’autres
• Pare-feu filtrant
• Serveur mandataire (proxy)
fonctionalités
Logiciel
• Serveur pare-feu dédié
• Pare-feu client ou individuel
9
INF4420
Sécurité Informatique
Coupe-feu statique
Principes de fonctionnement
Examine paquet par paquet (« stateless »)
• Adresses IP src et dest
• Port src et dest
• Type de protocole
Utilise des règles pour prendre action « block » ou « accept »
• Règle de routage : « IF src_IP = 123.45.*.* THEN block »
adresses privées
adresses internes/externes
listes noires
• Règle d’application : « IF dest_port = 80 THEN accept »
Par port de destination
• Évaluation séquentielle (!!)
Limitations
Pas de notion de connexion permet certains types d’attaques
10
INF4420
Sécurité Informatique
Coupe-feu dynamique
Principes de bases
Examine paquet par paquet, mais essaie d’établir relations entre paquets
• UDP
Associe paquet avec d’autre paquets sur mêmes ports et adresses
En général, permet seulement réponses si requêtes originales venant
d’adresses internes
• TCP
Garde information sur état et direction de la session TCP
Regarde en plus les flags TCP pour déterminer si hors-protocole
• Applications qui changent de port (e.g. FTP)
Suit et autorise les ports éphémères utilisés par les applications
Limitations
Pas de connaissance de l’état de la connexion au niveau application
Usurpation de port
11
INF4420
Sécurité Informatique
Coupe-feu applicatif
Principe de base
Le coupe-feu regarde le message et interprète son contenu par rapport à
l’application identifié par le port
Routeur filtrant
Bloque ou accepte en fonction du contenu du message
• Bon port pour type d’application
• Bonne séquence à niveau des protocoles d’application
Serveurs mandataires (proxy)
Agisse au nom du client d’application
Déballe et remballe les paquets IP avec nouvel adresse et port src
Autres fonctionnalités
Authentification et contrôle d’accès
VPN
Anti-virus, anti-spam, filtrage de contenu
Caching
12
INF4420
Sécurité Informatique
Étapes d’une attaque standard sur le réseau
1. Définitions et identification d’objectifs
Quelle est la cible ?
2. Reconnaissance
Où se trouve la cible ?
3. Caractérisation (« Fingerprinting »)
Identification de vulnérabilité
4. Pénétration
Exploitation de vulnérabilité
5. Exploitation
Garder l’accès
Ne pas se faire prendre
Accomplir les objectifs
13
INF4420
Sécurité Informatique
Attaques de déni de services (DoS)
Objectifs
Éliminer ou réduire la qualité de service d’un fournisseur de
services
Types
Par vulnérabilité (« crippling DoS »)
Par saturation (« Flood DoS »)
Par absorption (« Black hole DoS »)
Particularités
Pas de pénétration
Camouflage optionnel
Pas de contre-mesures absolues !!
14
INF4420
Sécurité Informatique
Attaque DoS distribuée (DDoS)
Principe de base
1. Prendre le contrôle de plusieurs machines (« botnet »)
2. Utiliser ces machines pour générer des requêtes (saturation)
Exemples
SYN flooding
SYN/ACK flooding
• Direct
• Indirect (backblast)
Session/Application flooding
• TCP, HTTP, SQL
• « Spoofing » plus possible
Défense
Analyse de coût relatif
Faire augmenter le coût de l’attaque
15
INF4420
Sécurité Informatique
Crimes informatiques économiques
1. Polluriel et hameçonnage
Canulards
Vente directe de produits
Vente pyramidale
Arnaques « nigériennes »
Captures de comptes
2. Fraudes publicitaires
Modèle de revenu « par click »
Génération de « faux » click
3. Augmentation de priorité (« shilling »)
Moteurs de recherche
Systèmes de recommandation
16
INF4420
Sécurité Informatique
Pourriel
Contre-mesures
Détecter courriels identiques
• Comparaison intégrale ou par fonction de hachage
Bloquer une adresse IP si plusieurs courriels identiques/similaires
Reconnaissance de pourriel
• Analyse par règles
Contre-contre-mesures
Utiliser des machines « jetables » (botnet)
Générer des messages différents, mais équivalents
• Ajouts d’éléments aléatoires hors-message hachés différents
• Variations du message
Texte mal écrit, mais lisible
Message en HTML
Texte dans une image
Course d’armement entre pollueurs et constructeur de filtres
17
INF4420
Sécurité Informatique
Hameçonnage bancaire
Techniques de base
En apparence lien pointe sur vrai site
Faux site a apparence identique
Session redirigée vers vrai site (« ni vu, ni connu »)
Techniques avancées
DNS spoofing (serveurs DNS compromis ou empoisonné)
Prendre le contrôle d’un serveur web existant
• Sans que le propriétaire s’en rende compte
• Pour éviter de se faire repérer
• Usager/NIP capturés re-acheminé par canal clandestin
18
Slide 16
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Où sommes-nous ?
Semaine 1 – Intro
Semaines 2, 3 et 4 – Cryptographie
Semaine 6, 7 – Sécurité dans les SE (suite)
Semaine 8 – Période de relâche
Semaine 9 – Sécurité des BD et des applications Web
Semaine 10 – Contrôle périodique
Semaine 11, 12 et 13 – Sécurité des réseaux
Risques spécifiques aux réseaux
Des attaques, des attaques et encore des attaques
Configuration sécuritaires et contre-mesures
Semaine 14 – Gestion de la sécurité.
Intervenants et modes d'intervention
Aspects légaux et déontologiques
2
INF4420
Sécurité Informatique
Semaine 11
Notions de bases sur les réseaux
Risques spécifiques aux réseaux
Analyse de risques par couche
Module III – Sécurité des réseaux
Semaine 13
Détection d'intrus (IDS)
Protocoles sécuritaires de réseaux
• SSH
• Attaques typiques par couche
• SSL et TLS (HTTPS)
• Attaques intra-couche
• IPSEC/IPv6
Semaine 12
Configuration sécuritaire de
réseaux
• Plan d'adressage, routage et NAT
• Pare-feux
• DMZ, VPN et serveurs mandataires
Encore des attaques
• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• Pourriel et hameçonnage
3
INF4420
Sécurité Informatique
Configuration sécuritaire
Principes de bastionnage de réseaux
Bloquer tous le trafic non pertinent
• Paquets qui ne vont pas à la bonne place
adresses IP vs. table de routage
• Applications/services non offerts (superflus)
Ports fermés/ouverts
Segmentation du réseau
• Utiliser des routeurs/passerelles/serveurs mandataires
Cacher les adresses IP internes (par NAT)
Protéger les services/serveurs critiques
« Défense en profondeur »
• Principe de l’oignon
• Chaque niveau à un contexte différent
Permet de mieux ajuster le modèle de sécurité
4
INF4420
Sécurité Informatique
Network Address Translation
Principe de base
Le réseau interne est dans le domaine « privé »
• 10.*.*.* ou 192.168.*.*
• Non-routable (par défaut) vers l’extérieur ou sur l’Internet
Pour les paquets sortant
• (priv_src_IP, priv_src_port) est associé à une nouvelle paire
(public_src_IP, public_src_port)
• Ces associations sont conservés dans une table NAT
Pour les paquets entrant
• On utilise le dest_port pour retrouver la bonne paire
(priv_src_IP, priv_src_port)
Implémenté par
Routeur ou passerelle
Coupe-feu
Serveur mandataire
5
INF4420
Sécurité Informatique
Réseaux privés virtuels (VPN)
Objectifs
Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles
de façons sécuritaires à travers un réseau intermédiaires non sécurisé
Techniques de base
Tunneling
• Chaque sous réseau protégé par une passerelle VPN
• Encapsulation de paquet ( ≠ NAT)
Ancien paquet devient message
Nouvelle entête en fonction des passerelles
Chiffrement
• Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou
modification sur le réseau non-securisé
Contrôle d’accès
• Seuls les paquets provenant des clients ou sous-réseaux autorisés sont
ré-acheminés vers le réseau interne
6
INF4420
Sécurité Informatique
Zone démilitarisée (DMZ)
Objectif
Permettre fournir des services de ou vers l’extérieur du réseau
interne, tout en protégeant celui-ci
Principe de base
Créer une zone intermédiaire où se trouve les services strictement
nécessaires
Adresses des serveurs DMZ sont routables et accessibles
• de l’extérieur : tout le temps
• de l’intérieur : si pertinent
Protégé par un coupe-feu/passerelle
Isolé du réseau interne par un coupe-feu/passerelle
7
INF4420
Sécurité Informatique
Services fournis à l’extérieur
Serveur DNS (pour adresses
DMZ seulement)
Serveur SMTP
Serveur Web
Passerelle VPN
Services typiques dans une DMZ
Services fournis à l’intérieur
Serveur mandataires Web
M-à-j des fichiers du serveur
Web
Connexion avec serveur
SMTP interne
Connexion entre serveur Web
et serveur de BD
8
INF4420
Sécurité Informatique
Selon l’implémentation
Matériel
Types de coupe-feu
Selon les fonctionnalités
Filtrage statique
• Pare-feu filtrant
Filtrage dynamique
• Parfois intégré dans le routeur
Pare-feu d’application
• « Network appliances »
Combine d’autres
• Pare-feu filtrant
• Serveur mandataire (proxy)
fonctionalités
Logiciel
• Serveur pare-feu dédié
• Pare-feu client ou individuel
9
INF4420
Sécurité Informatique
Coupe-feu statique
Principes de fonctionnement
Examine paquet par paquet (« stateless »)
• Adresses IP src et dest
• Port src et dest
• Type de protocole
Utilise des règles pour prendre action « block » ou « accept »
• Règle de routage : « IF src_IP = 123.45.*.* THEN block »
adresses privées
adresses internes/externes
listes noires
• Règle d’application : « IF dest_port = 80 THEN accept »
Par port de destination
• Évaluation séquentielle (!!)
Limitations
Pas de notion de connexion permet certains types d’attaques
10
INF4420
Sécurité Informatique
Coupe-feu dynamique
Principes de bases
Examine paquet par paquet, mais essaie d’établir relations entre paquets
• UDP
Associe paquet avec d’autre paquets sur mêmes ports et adresses
En général, permet seulement réponses si requêtes originales venant
d’adresses internes
• TCP
Garde information sur état et direction de la session TCP
Regarde en plus les flags TCP pour déterminer si hors-protocole
• Applications qui changent de port (e.g. FTP)
Suit et autorise les ports éphémères utilisés par les applications
Limitations
Pas de connaissance de l’état de la connexion au niveau application
Usurpation de port
11
INF4420
Sécurité Informatique
Coupe-feu applicatif
Principe de base
Le coupe-feu regarde le message et interprète son contenu par rapport à
l’application identifié par le port
Routeur filtrant
Bloque ou accepte en fonction du contenu du message
• Bon port pour type d’application
• Bonne séquence à niveau des protocoles d’application
Serveurs mandataires (proxy)
Agisse au nom du client d’application
Déballe et remballe les paquets IP avec nouvel adresse et port src
Autres fonctionnalités
Authentification et contrôle d’accès
VPN
Anti-virus, anti-spam, filtrage de contenu
Caching
12
INF4420
Sécurité Informatique
Étapes d’une attaque standard sur le réseau
1. Définitions et identification d’objectifs
Quelle est la cible ?
2. Reconnaissance
Où se trouve la cible ?
3. Caractérisation (« Fingerprinting »)
Identification de vulnérabilité
4. Pénétration
Exploitation de vulnérabilité
5. Exploitation
Garder l’accès
Ne pas se faire prendre
Accomplir les objectifs
13
INF4420
Sécurité Informatique
Attaques de déni de services (DoS)
Objectifs
Éliminer ou réduire la qualité de service d’un fournisseur de
services
Types
Par vulnérabilité (« crippling DoS »)
Par saturation (« Flood DoS »)
Par absorption (« Black hole DoS »)
Particularités
Pas de pénétration
Camouflage optionnel
Pas de contre-mesures absolues !!
14
INF4420
Sécurité Informatique
Attaque DoS distribuée (DDoS)
Principe de base
1. Prendre le contrôle de plusieurs machines (« botnet »)
2. Utiliser ces machines pour générer des requêtes (saturation)
Exemples
SYN flooding
SYN/ACK flooding
• Direct
• Indirect (backblast)
Session/Application flooding
• TCP, HTTP, SQL
• « Spoofing » plus possible
Défense
Analyse de coût relatif
Faire augmenter le coût de l’attaque
15
INF4420
Sécurité Informatique
Crimes informatiques économiques
1. Polluriel et hameçonnage
Canulards
Vente directe de produits
Vente pyramidale
Arnaques « nigériennes »
Captures de comptes
2. Fraudes publicitaires
Modèle de revenu « par click »
Génération de « faux » click
3. Augmentation de priorité (« shilling »)
Moteurs de recherche
Systèmes de recommandation
16
INF4420
Sécurité Informatique
Pourriel
Contre-mesures
Détecter courriels identiques
• Comparaison intégrale ou par fonction de hachage
Bloquer une adresse IP si plusieurs courriels identiques/similaires
Reconnaissance de pourriel
• Analyse par règles
Contre-contre-mesures
Utiliser des machines « jetables » (botnet)
Générer des messages différents, mais équivalents
• Ajouts d’éléments aléatoires hors-message hachés différents
• Variations du message
Texte mal écrit, mais lisible
Message en HTML
Texte dans une image
Course d’armement entre pollueurs et constructeur de filtres
17
INF4420
Sécurité Informatique
Hameçonnage bancaire
Techniques de base
En apparence lien pointe sur vrai site
Faux site a apparence identique
Session redirigée vers vrai site (« ni vu, ni connu »)
Techniques avancées
DNS spoofing (serveurs DNS compromis ou empoisonné)
Prendre le contrôle d’un serveur web existant
• Sans que le propriétaire s’en rende compte
• Pour éviter de se faire repérer
• Usager/NIP capturés re-acheminé par canal clandestin
18
Slide 17
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Où sommes-nous ?
Semaine 1 – Intro
Semaines 2, 3 et 4 – Cryptographie
Semaine 6, 7 – Sécurité dans les SE (suite)
Semaine 8 – Période de relâche
Semaine 9 – Sécurité des BD et des applications Web
Semaine 10 – Contrôle périodique
Semaine 11, 12 et 13 – Sécurité des réseaux
Risques spécifiques aux réseaux
Des attaques, des attaques et encore des attaques
Configuration sécuritaires et contre-mesures
Semaine 14 – Gestion de la sécurité.
Intervenants et modes d'intervention
Aspects légaux et déontologiques
2
INF4420
Sécurité Informatique
Semaine 11
Notions de bases sur les réseaux
Risques spécifiques aux réseaux
Analyse de risques par couche
Module III – Sécurité des réseaux
Semaine 13
Détection d'intrus (IDS)
Protocoles sécuritaires de réseaux
• SSH
• Attaques typiques par couche
• SSL et TLS (HTTPS)
• Attaques intra-couche
• IPSEC/IPv6
Semaine 12
Configuration sécuritaire de
réseaux
• Plan d'adressage, routage et NAT
• Pare-feux
• DMZ, VPN et serveurs mandataires
Encore des attaques
• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• Pourriel et hameçonnage
3
INF4420
Sécurité Informatique
Configuration sécuritaire
Principes de bastionnage de réseaux
Bloquer tous le trafic non pertinent
• Paquets qui ne vont pas à la bonne place
adresses IP vs. table de routage
• Applications/services non offerts (superflus)
Ports fermés/ouverts
Segmentation du réseau
• Utiliser des routeurs/passerelles/serveurs mandataires
Cacher les adresses IP internes (par NAT)
Protéger les services/serveurs critiques
« Défense en profondeur »
• Principe de l’oignon
• Chaque niveau à un contexte différent
Permet de mieux ajuster le modèle de sécurité
4
INF4420
Sécurité Informatique
Network Address Translation
Principe de base
Le réseau interne est dans le domaine « privé »
• 10.*.*.* ou 192.168.*.*
• Non-routable (par défaut) vers l’extérieur ou sur l’Internet
Pour les paquets sortant
• (priv_src_IP, priv_src_port) est associé à une nouvelle paire
(public_src_IP, public_src_port)
• Ces associations sont conservés dans une table NAT
Pour les paquets entrant
• On utilise le dest_port pour retrouver la bonne paire
(priv_src_IP, priv_src_port)
Implémenté par
Routeur ou passerelle
Coupe-feu
Serveur mandataire
5
INF4420
Sécurité Informatique
Réseaux privés virtuels (VPN)
Objectifs
Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles
de façons sécuritaires à travers un réseau intermédiaires non sécurisé
Techniques de base
Tunneling
• Chaque sous réseau protégé par une passerelle VPN
• Encapsulation de paquet ( ≠ NAT)
Ancien paquet devient message
Nouvelle entête en fonction des passerelles
Chiffrement
• Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou
modification sur le réseau non-securisé
Contrôle d’accès
• Seuls les paquets provenant des clients ou sous-réseaux autorisés sont
ré-acheminés vers le réseau interne
6
INF4420
Sécurité Informatique
Zone démilitarisée (DMZ)
Objectif
Permettre fournir des services de ou vers l’extérieur du réseau
interne, tout en protégeant celui-ci
Principe de base
Créer une zone intermédiaire où se trouve les services strictement
nécessaires
Adresses des serveurs DMZ sont routables et accessibles
• de l’extérieur : tout le temps
• de l’intérieur : si pertinent
Protégé par un coupe-feu/passerelle
Isolé du réseau interne par un coupe-feu/passerelle
7
INF4420
Sécurité Informatique
Services fournis à l’extérieur
Serveur DNS (pour adresses
DMZ seulement)
Serveur SMTP
Serveur Web
Passerelle VPN
Services typiques dans une DMZ
Services fournis à l’intérieur
Serveur mandataires Web
M-à-j des fichiers du serveur
Web
Connexion avec serveur
SMTP interne
Connexion entre serveur Web
et serveur de BD
8
INF4420
Sécurité Informatique
Selon l’implémentation
Matériel
Types de coupe-feu
Selon les fonctionnalités
Filtrage statique
• Pare-feu filtrant
Filtrage dynamique
• Parfois intégré dans le routeur
Pare-feu d’application
• « Network appliances »
Combine d’autres
• Pare-feu filtrant
• Serveur mandataire (proxy)
fonctionalités
Logiciel
• Serveur pare-feu dédié
• Pare-feu client ou individuel
9
INF4420
Sécurité Informatique
Coupe-feu statique
Principes de fonctionnement
Examine paquet par paquet (« stateless »)
• Adresses IP src et dest
• Port src et dest
• Type de protocole
Utilise des règles pour prendre action « block » ou « accept »
• Règle de routage : « IF src_IP = 123.45.*.* THEN block »
adresses privées
adresses internes/externes
listes noires
• Règle d’application : « IF dest_port = 80 THEN accept »
Par port de destination
• Évaluation séquentielle (!!)
Limitations
Pas de notion de connexion permet certains types d’attaques
10
INF4420
Sécurité Informatique
Coupe-feu dynamique
Principes de bases
Examine paquet par paquet, mais essaie d’établir relations entre paquets
• UDP
Associe paquet avec d’autre paquets sur mêmes ports et adresses
En général, permet seulement réponses si requêtes originales venant
d’adresses internes
• TCP
Garde information sur état et direction de la session TCP
Regarde en plus les flags TCP pour déterminer si hors-protocole
• Applications qui changent de port (e.g. FTP)
Suit et autorise les ports éphémères utilisés par les applications
Limitations
Pas de connaissance de l’état de la connexion au niveau application
Usurpation de port
11
INF4420
Sécurité Informatique
Coupe-feu applicatif
Principe de base
Le coupe-feu regarde le message et interprète son contenu par rapport à
l’application identifié par le port
Routeur filtrant
Bloque ou accepte en fonction du contenu du message
• Bon port pour type d’application
• Bonne séquence à niveau des protocoles d’application
Serveurs mandataires (proxy)
Agisse au nom du client d’application
Déballe et remballe les paquets IP avec nouvel adresse et port src
Autres fonctionnalités
Authentification et contrôle d’accès
VPN
Anti-virus, anti-spam, filtrage de contenu
Caching
12
INF4420
Sécurité Informatique
Étapes d’une attaque standard sur le réseau
1. Définitions et identification d’objectifs
Quelle est la cible ?
2. Reconnaissance
Où se trouve la cible ?
3. Caractérisation (« Fingerprinting »)
Identification de vulnérabilité
4. Pénétration
Exploitation de vulnérabilité
5. Exploitation
Garder l’accès
Ne pas se faire prendre
Accomplir les objectifs
13
INF4420
Sécurité Informatique
Attaques de déni de services (DoS)
Objectifs
Éliminer ou réduire la qualité de service d’un fournisseur de
services
Types
Par vulnérabilité (« crippling DoS »)
Par saturation (« Flood DoS »)
Par absorption (« Black hole DoS »)
Particularités
Pas de pénétration
Camouflage optionnel
Pas de contre-mesures absolues !!
14
INF4420
Sécurité Informatique
Attaque DoS distribuée (DDoS)
Principe de base
1. Prendre le contrôle de plusieurs machines (« botnet »)
2. Utiliser ces machines pour générer des requêtes (saturation)
Exemples
SYN flooding
SYN/ACK flooding
• Direct
• Indirect (backblast)
Session/Application flooding
• TCP, HTTP, SQL
• « Spoofing » plus possible
Défense
Analyse de coût relatif
Faire augmenter le coût de l’attaque
15
INF4420
Sécurité Informatique
Crimes informatiques économiques
1. Polluriel et hameçonnage
Canulards
Vente directe de produits
Vente pyramidale
Arnaques « nigériennes »
Captures de comptes
2. Fraudes publicitaires
Modèle de revenu « par click »
Génération de « faux » click
3. Augmentation de priorité (« shilling »)
Moteurs de recherche
Systèmes de recommandation
16
INF4420
Sécurité Informatique
Pourriel
Contre-mesures
Détecter courriels identiques
• Comparaison intégrale ou par fonction de hachage
Bloquer une adresse IP si plusieurs courriels identiques/similaires
Reconnaissance de pourriel
• Analyse par règles
Contre-contre-mesures
Utiliser des machines « jetables » (botnet)
Générer des messages différents, mais équivalents
• Ajouts d’éléments aléatoires hors-message hachés différents
• Variations du message
Texte mal écrit, mais lisible
Message en HTML
Texte dans une image
Course d’armement entre pollueurs et constructeur de filtres
17
INF4420
Sécurité Informatique
Hameçonnage bancaire
Techniques de base
En apparence lien pointe sur vrai site
Faux site a apparence identique
Session redirigée vers vrai site (« ni vu, ni connu »)
Techniques avancées
DNS spoofing (serveurs DNS compromis ou empoisonné)
Prendre le contrôle d’un serveur web existant
• Sans que le propriétaire s’en rende compte
• Pour éviter de se faire repérer
• Usager/NIP capturés re-acheminé par canal clandestin
18
Slide 18
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Où sommes-nous ?
Semaine 1 – Intro
Semaines 2, 3 et 4 – Cryptographie
Semaine 6, 7 – Sécurité dans les SE (suite)
Semaine 8 – Période de relâche
Semaine 9 – Sécurité des BD et des applications Web
Semaine 10 – Contrôle périodique
Semaine 11, 12 et 13 – Sécurité des réseaux
Risques spécifiques aux réseaux
Des attaques, des attaques et encore des attaques
Configuration sécuritaires et contre-mesures
Semaine 14 – Gestion de la sécurité.
Intervenants et modes d'intervention
Aspects légaux et déontologiques
2
INF4420
Sécurité Informatique
Semaine 11
Notions de bases sur les réseaux
Risques spécifiques aux réseaux
Analyse de risques par couche
Module III – Sécurité des réseaux
Semaine 13
Détection d'intrus (IDS)
Protocoles sécuritaires de réseaux
• SSH
• Attaques typiques par couche
• SSL et TLS (HTTPS)
• Attaques intra-couche
• IPSEC/IPv6
Semaine 12
Configuration sécuritaire de
réseaux
• Plan d'adressage, routage et NAT
• Pare-feux
• DMZ, VPN et serveurs mandataires
Encore des attaques
• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• Pourriel et hameçonnage
3
INF4420
Sécurité Informatique
Configuration sécuritaire
Principes de bastionnage de réseaux
Bloquer tous le trafic non pertinent
• Paquets qui ne vont pas à la bonne place
adresses IP vs. table de routage
• Applications/services non offerts (superflus)
Ports fermés/ouverts
Segmentation du réseau
• Utiliser des routeurs/passerelles/serveurs mandataires
Cacher les adresses IP internes (par NAT)
Protéger les services/serveurs critiques
« Défense en profondeur »
• Principe de l’oignon
• Chaque niveau à un contexte différent
Permet de mieux ajuster le modèle de sécurité
4
INF4420
Sécurité Informatique
Network Address Translation
Principe de base
Le réseau interne est dans le domaine « privé »
• 10.*.*.* ou 192.168.*.*
• Non-routable (par défaut) vers l’extérieur ou sur l’Internet
Pour les paquets sortant
• (priv_src_IP, priv_src_port) est associé à une nouvelle paire
(public_src_IP, public_src_port)
• Ces associations sont conservés dans une table NAT
Pour les paquets entrant
• On utilise le dest_port pour retrouver la bonne paire
(priv_src_IP, priv_src_port)
Implémenté par
Routeur ou passerelle
Coupe-feu
Serveur mandataire
5
INF4420
Sécurité Informatique
Réseaux privés virtuels (VPN)
Objectifs
Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles
de façons sécuritaires à travers un réseau intermédiaires non sécurisé
Techniques de base
Tunneling
• Chaque sous réseau protégé par une passerelle VPN
• Encapsulation de paquet ( ≠ NAT)
Ancien paquet devient message
Nouvelle entête en fonction des passerelles
Chiffrement
• Message (= ancien paquet) peut-être chiffré pour éviter l’interception ou
modification sur le réseau non-securisé
Contrôle d’accès
• Seuls les paquets provenant des clients ou sous-réseaux autorisés sont
ré-acheminés vers le réseau interne
6
INF4420
Sécurité Informatique
Zone démilitarisée (DMZ)
Objectif
Permettre fournir des services de ou vers l’extérieur du réseau
interne, tout en protégeant celui-ci
Principe de base
Créer une zone intermédiaire où se trouve les services strictement
nécessaires
Adresses des serveurs DMZ sont routables et accessibles
• de l’extérieur : tout le temps
• de l’intérieur : si pertinent
Protégé par un coupe-feu/passerelle
Isolé du réseau interne par un coupe-feu/passerelle
7
INF4420
Sécurité Informatique
Services fournis à l’extérieur
Serveur DNS (pour adresses
DMZ seulement)
Serveur SMTP
Serveur Web
Passerelle VPN
Services typiques dans une DMZ
Services fournis à l’intérieur
Serveur mandataires Web
M-à-j des fichiers du serveur
Web
Connexion avec serveur
SMTP interne
Connexion entre serveur Web
et serveur de BD
8
INF4420
Sécurité Informatique
Selon l’implémentation
Matériel
Types de coupe-feu
Selon les fonctionnalités
Filtrage statique
• Pare-feu filtrant
Filtrage dynamique
• Parfois intégré dans le routeur
Pare-feu d’application
• « Network appliances »
Combine d’autres
• Pare-feu filtrant
• Serveur mandataire (proxy)
fonctionalités
Logiciel
• Serveur pare-feu dédié
• Pare-feu client ou individuel
9
INF4420
Sécurité Informatique
Coupe-feu statique
Principes de fonctionnement
Examine paquet par paquet (« stateless »)
• Adresses IP src et dest
• Port src et dest
• Type de protocole
Utilise des règles pour prendre action « block » ou « accept »
• Règle de routage : « IF src_IP = 123.45.*.* THEN block »
adresses privées
adresses internes/externes
listes noires
• Règle d’application : « IF dest_port = 80 THEN accept »
Par port de destination
• Évaluation séquentielle (!!)
Limitations
Pas de notion de connexion permet certains types d’attaques
10
INF4420
Sécurité Informatique
Coupe-feu dynamique
Principes de bases
Examine paquet par paquet, mais essaie d’établir relations entre paquets
• UDP
Associe paquet avec d’autre paquets sur mêmes ports et adresses
En général, permet seulement réponses si requêtes originales venant
d’adresses internes
• TCP
Garde information sur état et direction de la session TCP
Regarde en plus les flags TCP pour déterminer si hors-protocole
• Applications qui changent de port (e.g. FTP)
Suit et autorise les ports éphémères utilisés par les applications
Limitations
Pas de connaissance de l’état de la connexion au niveau application
Usurpation de port
11
INF4420
Sécurité Informatique
Coupe-feu applicatif
Principe de base
Le coupe-feu regarde le message et interprète son contenu par rapport à
l’application identifié par le port
Routeur filtrant
Bloque ou accepte en fonction du contenu du message
• Bon port pour type d’application
• Bonne séquence à niveau des protocoles d’application
Serveurs mandataires (proxy)
Agisse au nom du client d’application
Déballe et remballe les paquets IP avec nouvel adresse et port src
Autres fonctionnalités
Authentification et contrôle d’accès
VPN
Anti-virus, anti-spam, filtrage de contenu
Caching
12
INF4420
Sécurité Informatique
Étapes d’une attaque standard sur le réseau
1. Définitions et identification d’objectifs
Quelle est la cible ?
2. Reconnaissance
Où se trouve la cible ?
3. Caractérisation (« Fingerprinting »)
Identification de vulnérabilité
4. Pénétration
Exploitation de vulnérabilité
5. Exploitation
Garder l’accès
Ne pas se faire prendre
Accomplir les objectifs
13
INF4420
Sécurité Informatique
Attaques de déni de services (DoS)
Objectifs
Éliminer ou réduire la qualité de service d’un fournisseur de
services
Types
Par vulnérabilité (« crippling DoS »)
Par saturation (« Flood DoS »)
Par absorption (« Black hole DoS »)
Particularités
Pas de pénétration
Camouflage optionnel
Pas de contre-mesures absolues !!
14
INF4420
Sécurité Informatique
Attaque DoS distribuée (DDoS)
Principe de base
1. Prendre le contrôle de plusieurs machines (« botnet »)
2. Utiliser ces machines pour générer des requêtes (saturation)
Exemples
SYN flooding
SYN/ACK flooding
• Direct
• Indirect (backblast)
Session/Application flooding
• TCP, HTTP, SQL
• « Spoofing » plus possible
Défense
Analyse de coût relatif
Faire augmenter le coût de l’attaque
15
INF4420
Sécurité Informatique
Crimes informatiques économiques
1. Polluriel et hameçonnage
Canulards
Vente directe de produits
Vente pyramidale
Arnaques « nigériennes »
Captures de comptes
2. Fraudes publicitaires
Modèle de revenu « par click »
Génération de « faux » click
3. Augmentation de priorité (« shilling »)
Moteurs de recherche
Systèmes de recommandation
16
INF4420
Sécurité Informatique
Pourriel
Contre-mesures
Détecter courriels identiques
• Comparaison intégrale ou par fonction de hachage
Bloquer une adresse IP si plusieurs courriels identiques/similaires
Reconnaissance de pourriel
• Analyse par règles
Contre-contre-mesures
Utiliser des machines « jetables » (botnet)
Générer des messages différents, mais équivalents
• Ajouts d’éléments aléatoires hors-message hachés différents
• Variations du message
Texte mal écrit, mais lisible
Message en HTML
Texte dans une image
Course d’armement entre pollueurs et constructeur de filtres
17
INF4420
Sécurité Informatique
Hameçonnage bancaire
Techniques de base
En apparence lien pointe sur vrai site
Faux site a apparence identique
Session redirigée vers vrai site (« ni vu, ni connu »)
Techniques avancées
DNS spoofing (serveurs DNS compromis ou empoisonné)
Prendre le contrôle d’un serveur web existant
• Sans que le propriétaire s’en rende compte
• Pour éviter de se faire repérer
• Usager/NIP capturés re-acheminé par canal clandestin
18