inf4420: Éléments de sécurité informatique sécuritaires de réseaux • ssh • ssl et tls...
TRANSCRIPT
José M. Fernandez
D-6428340-4711 poste 5433
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
INF4420Sécurité Informatique
INF4420Sécurité Informatique
2
Où sommes-nous ?Où sommes-nous ?
� Semaine 1 – Intro
� Semaines 2, 3 et 4 – Cryptographie
� Semaine 6, 7 – Sécurité dans les SE (suite)
� Semaine 8 – Période de relâche
� Semaine 9 – Sécurité des BD et des applications Web
� Semaine 10 – Contrôle périodique
� Semaine 11, 12 et 13 – Sécurité des réseaux� Risques spécifiques aux réseaux� Des attaques, des attaques et encore des attaques
� Configuration sécuritaires et contre-mesures
� Semaine 14 – Gestion de la sécurité. � Intervenants et modes d'intervention
� Aspects légaux et déontologiques
INF4420Sécurité Informatique
INF4420Sécurité Informatique
3
Module III – Sécurité des réseauxModule III – Sécurité des réseaux
� Semaine 11� Notions de bases sur les réseaux
� Risques spécifiques aux réseaux
� Analyse de risques par couche• Attaques typiques par couche
• Attaques intra-couche
� Semaine 12� Configuration sécuritaire de
réseaux• Plan d'adressage, routage et pare-feu
• DMZ, VPN et serveurs mandataires
� Encore des attaques• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• SPAM et phishing
� Semaine 13� Détection d'intrus (IDS)
� Protocoles sécuritaires de réseaux• SSH
• SSL et TLS (HTTPS)
• S/MIME
• IPSEC/IPv6
INF4420Sécurité Informatique
INF4420Sécurité Informatique
4
Systèmes de détection d'intrus (IDS)Systèmes de détection d'intrus (IDS)
� But :� Détecter la présence de vecteurs d'attaque en examinant le trafic
réseau
� Méthode de base� Le trafic est capturé à un ou plusieurs endroits sur le réseau� Examen de chacun des paquets capturés
• En-tête IP (ICMP, TCP ou UDP)
• En-tête spécifiques au applications (e.g. HTTP, FTP)
• Message ("payload")
� Un mécanisme de détection est appliqué� Des alarmes sont générées et enregistrer dans un journal
INF4420Sécurité Informatique
INF4420Sécurité Informatique
5
Détection par règleDétection par règle
� Méthodes� Traditionnelle "par règle"
• Examen de chacun des paquets capturés
� En-tête IP (ICMP, TCP ou UDP)
� En-tête
• Application de règles pour détection d'attaques
� Signatures d'attaques réseaux (e.g. "Land attack")
� Signatures de code malicieux (e.g. traîneau de NOP, signature
spécifique à un outil)
� Paradigme général • "X évènements de type Y dans un temps Z"
INF4420Sécurité Informatique
INF4420Sécurité Informatique
6
Type d'implantationsType d'implantations
� Network-based IDS (NIDS) � Une machine ou dispositif
dédié ("appliance")
� Placé où le plus de trafic peut
être capturé• En dehors du pare feu
� Exposition maximale
� Détection de menaces
externes
• À l'intérieur de la DMZ et/ou
du LAN corporatif
� Détection de la menace
interne
� "Dernière ligne de
défense"
� Host-based IDS (HIDS)� Logiciel ajouté sur un serveur
ou un client
� Souvent intégré avec un anti-
virus
� Avantages• Configuration des règles plus
précises, étant donné que le
contexte est connu
� Applications qui roulent
� État du stack TCP/IP
• Débit plus bas, donc demandant
en terme de puissance de calcul
INF4420Sécurité Informatique
INF4420Sécurité Informatique
7
IDS – ProblématiqueIDS – Problématique
� Rapport de "signal" vs. "bruit"� Compromis entre taux de faux positif vs. taux d'évasion� Nature de la menace actuelle
• Haut niveau de bruit ("Spinning Cube")
• Niveau de capacité très inégale et en moyenne bas
� Incapacité d'évaluation de la menace• "Comment trouver l'aiguille dans la botte de foin??"
� Protection de la vie privée� Principe de présomption d'anonymat des clients ou utilisateurs
légitimes� Interception du trafic d'autrui
INF4420Sécurité Informatique
INF4420Sécurité Informatique
8
IDS – Problématique (2)IDS – Problématique (2)
� Techniques d'évasions d'IDS� Détection
• Balayage des ports standards utilisés par les applications IDS• Interception du trafic d'alarme
� Technique de fragmentation de paquet� Polymorphisme de code ou de vecteur d'attaque
� Infrastructure sous-jacente � Comment contrôler à distance et distribuer les données d'alarmes
tout en :• Évitant de surcharger le réseau• Assurant la confidentialité• Évitant la détection des IDS• Ne créant pas de "trous" de sécurité ("bypass" des pare-feu)
� Problématique de la sous-traitance des fonctions de monitoring• Comment acheminer les données via Internet
INF4420Sécurité Informatique
INF4420Sécurité Informatique
9
Nouvelles approches et rechercheNouvelles approches et recherche
� "Intrusion Prevention Systems" (IPS)� Associe des actions de protection aux alarmes� Actions typiques
• Bloquer un port• Bloquer une machine ou un sous réseau• Rejeter des paquets
� "Network Appliances"� Peuvent intégrer
• Pare-feu• IDS et IPS• Détecteur de virus
� Utilise du matériel spécialisé (e.g. FPGA) pour pouvoir analyser des hauts débits (Gbit/s)
� Reconstruction "Stateful" des sessions (TCP et application)
INF4420Sécurité Informatique
INF4420Sécurité Informatique
10
Nouvelles approches et recherche (2)Nouvelles approches et recherche (2)
� "User Profiling"� Utilisation de techniques d'IA pour la classification des comportements typiques
d'un utilisateur ou d'une machine• Port/applications utilisés• Adresse contacté• Patron d'utilisation dans le temps
� Si comportement "hors du normal", alors alarme !!� IDS Collaboratif
� But : permettre d'obtenir une meilleure image de la menace en consolidant les données de plusieurs IDS
• Meilleure signification statistique• "C'est pas juste moi, c'est tout le monde…"
� Exemple primitif : Internet Storm Center• Journaux "anonymisés" soumis par organisations volontaires
� IDS par agents mobiles� Réduire l'utilisation de bande passante pour le trafic d'alarme� Nécessaire dans certaines conditions (réseau sans-fil) � Possibilité d'algorithmes de détection plus évolués
• collaboratif centralisé• essaim intelligents• stratégies évolutives
INF4420Sécurité Informatique
INF4420Sécurité Informatique
11
Protocoles sécuritairesProtocoles sécuritaires
� SSH� SSL/TLS (supporte https, SMTP, IMAP, etc.)� IPSEC
IP
couches inférieures
TCP
SSL ou SSH
IP
couches inférieures
IPsec
TCP
applications applications
INF4420Sécurité Informatique
INF4420Sécurité Informatique
12
Secure Shell (SSH)Secure Shell (SSH)
� Permet l'établissement d'une session terminal à distance� Souvent utilisé par d'autres applications comme
mécanisme de "tunneling"� Deux modes d'opérations
1. Authentification du serveur� La clé publique du serveur est connu du client (fichier local) ou est
vérifié et accepté manuellement lors de la première connexion.� Le client s'authentifie au serveur par d'autres moyens (authentification
via SE, p.ex. nom d'usager/mot de passe)
2. Authentification du client� La clé publique du serveur est connu du client (fichier local) ou est
vérifié et accepté manuellement lors de la première connexion.� La clé publique du client est connu d'avance du serveur
(~/.ssh/authorized_keys) et est utilisée pour authentifier le client.
INF4420Sécurité Informatique
INF4420Sécurité Informatique
13
SSH - SSL/TLSSSH - SSL/TLS
ALICES = secretK = f(S, Ra, Rb)
BOB
Hello, voici les algos que je connais, Ra
certificat, algo que je choisi, Rb
EBob(S, hash (K))
hash (K)
Données protégées par K
INF4420Sécurité Informatique
INF4420Sécurité Informatique
14
IPSecIPSec
� La nécessité de plus de sécurité a été reconnue par le IAB (Internet Architecture Board)
� Défini pour inclusion à la prochaine version de l'Internet: IPv6
� Compatible avec la version courante: IPv4� Déjà offerte par plusieurs fournisseurs de produits� Applications:
� utilisation du réseau public comme un intranet sécurisé� communications sécuritaires de l'extérieur vers l'intérieur d'un
intranet sécurisé
� connectivité sécurisée entre deux intranets� sécurité supplémentaire aux applications ayant leur propre
sécurité
INF4420Sécurité Informatique
INF4420Sécurité Informatique
15
Dispositifs réseauavec IPSec
Données IP sécuriséesEn tête IPSec
EntêteIP
Données IPEntêteIP Données IPEntête
IP
Donné
es IP
sécu
risée
s
En tête
IP
Sec
Entête
IP
Don
nées
IP s
écur
isée
s
En
tête
IP
Sec
Ent
ête
IP
INF4420Sécurité Informatique
INF4420Sécurité Informatique
16
Services et protocolesServices et protocoles
� Services:� contrôle d'accès� intégrité des paquets
� authentification de l'origine (adresse IP)� rejet de paquets "rejoués"� confidentialité par chiffrement� une certaine confidentialité du flux de trafic
� Protocoles:� authentification: entête de type AH
� encryptage seul: entête de type ESP� ESP plus AH
INF4420Sécurité Informatique
INF4420Sécurité Informatique
17
Concept de "Security Association"Concept de "Security Association"
� Relation unidirectionnelle entre un émetteur et un récepteur� Identifiée par:
� SPI:"Security Parameter Index"� adresse de destination IP
� identificateur de protocole de sécurité: AH ou ESP
� Paramétrisé par:� compteur de messages: pour numéroter et éviter la réutilisation� indicateur d'action en cas de débordement de ce compteur� largeur de la fenètre de séquencement� informations spécifiques au protocole choisi� durée de vie de cette association: en octets transmis ou en temps
� mode IPSec: transport, tunnel, ou "wildcard"� taille maximale de paquet et autres variables
INF4420Sécurité Informatique
INF4420Sécurité Informatique
18
Concept de fenètre de séquencementConcept de fenètre de séquencement
� Mécanisme anti-réutilisation� si un nouveau paquet tombe dans la fenètre et qu'il est authentifié, il
est marqué� si un nouveau paquet reçu est authentifié et se situe à droite de la
fenètre, la fenètre est avancée� si le paquet reçu est à gauche de la fenètre, ou qu'il n'est pas
authentifié, il est rejeté
. . . . . . . . . . . .
Fenètre de taille fixe WNuméro de séquence N-W
N
N+1
INF4420Sécurité Informatique
INF4420Sécurité Informatique
19
ModesModes
� Mode "transport"� protection surtout pour les protocoles de plus haut niveau� simple ajout d'un entête approprié
� Mode "tunnel"� protection d'un paquet au complet� après l'ajout de l'entête approprié, un nouvel entête IP est ajouté
Données à transmettreTCPEntête IP originalAHNouvel entête IP
Données à transmettreTCPEntête IP original AH
INF4420Sécurité Informatique
INF4420Sécurité Informatique
20
Bénéfices de IPSecBénéfices de IPSec
� Sécurité forte à tout trafic qui traverse le périmètre protégé
� Ajoute à la sécurité d'un coupe feu� Transparent aux applications� Transparent aux usagers� Sécurise les usagers individuels si requis� Ajoute à la sécurité des routeurs en assurant que…
� l'annonce d'un nouveau routeur vient d'une source autorisée� même chose pour un routeur dans un autre domaine
� un message redirigé vient bien du routeur auquel il a étéoriginalement envoyé
� une mise à jour d'un routeur n'a pas été falsifiée
INF4420Sécurité Informatique
INF4420Sécurité Informatique
21
IPSec : Aspects cryptographiquesIPSec : Aspects cryptographiques
� Internet Security Association and Key Management Protocol (ISAKMP) & IKE� Utilise des algorithmes de clés publiques pour établir des clés de
sessions
� Ces clés de sessions protège les paquets dans une SA� Modèle de gestion de clé
• Probablement hiérarchique …