Diapositive 1

Transcription

Diapositive 1

06/01/2015


Ordinateurs portables interdits
Prise de note…
◦ …même si je vous donne le support de cours

Julien Bourgeois
Professeur des Universités - Département R&T
IUT Belfort-Montbéliard - France
tél : 03 81 99 47 75
e-mail : [email protected]
N’hésitez pas à m’interrompre pour poser des
questions…
◦ …plutôt que d’en discuter avec votre voisin !

Arrivez à l’heure…

Présence obligatoire Cours/TD/TP…
◦ …pour ne pas déranger les autres
◦ …l’appel sera fait
2








Network Intrusion Detection de Stephen
Northcutt et Judy Novak, New riders
www.cert.org
www.securityfocus.com
Hardening Cisco Routers, Thomas Akin,
O’Reilly
Stratégie Anti-hacker
Designing Network Security, Merike Kaeo,
Cisco Press
MISC
Renaud bidou, « Security training »

Restons modestes :
◦ Sécurité est un sujet énorme
◦ Impossible à aborder en un cours
◦ Complexe car connaissance très pointue dans
différents domaines




4
3

Sécuriser un réseau
◦
◦
◦
◦
◦
◦
◦
Réseau
Administration
Cryptographie
…
5
Sécuriser les locaux
Sécuriser les postes de travail
Sécuriser les serveurs
Sécuriser les applications
Sécuriser l’accès internet
Sécuriser l’accès distant
Sensibilisation des personnels
6
1
06/01/2015


Définir une politique de sécurité
Se donner les moyens de l’appliquer :


◦ Techniques
◦ Humains
◦ Organisationnels







Objectifs de ce cours
Principes de sécurité
Sécurisation de l’accès Internet
La translation d’adresses
Le filtrage
Les serveurs AAA
Les réseaux publiques virtuels (VPN)
Les botnets
Conclusion
7



Politique
Améliorer
De

Superviser

Sécurité





Sécurité = contraintes
Concertation avec les employés
Evaluation des risques
Apporter des réponses à la mesure des
risques
Définir une politique de sécurité
La sécurité est un processus continu
8

Sécuriser

Routeur filtrant
Firewall ou garde-barrière ou pare-feu
Dispositif de détection d’intrusions (IDS)
Dispositif de prévention d’intrusions (IPS)
Serveur AAA
Serveur de log
9






1969 : Naissance d’internet
1970 : Naissance du phreaking (Captain Crunch)
1983 : Première arrestation du FBI pour cybercrime,
les 414s
1983 : Début de renforcement des lois US
1986 : 500 réseaux sont connectés, premier vaste
incident de sécurité identifié par Cliff Stoll
1988 : The Morris Worm -> 10% des ordinateurs
US sont stoppés en même temps, c’est le premier
vers
Tester
10
11
12
2
06/01/2015




1988 :
1989 :
1994 :
1995 :
Création du CERT CC et de FIRST
Diffusion du vers WANK/OILZ
Premier logiciel de sniffing
Arrestation de Kevin Mitnick par le FBI


◦ 5 années de prison dont 4 et ½ en isolement


2000 : Mafiaboy rend inaccessible Yahoo, eBay,
Amazon.com, CNN et d’autres -> 8 mois de
détention
19/07/2001 : Code Red II, infecte 359.000
serveurs dans le monde en moins de 14h


2000 : Mafiaboy rend inaccessible Yahoo, eBay,
Amazon.com, CNN et d’autres -> 8 mois de
détention
19/07/2001 : Code Red II, infecte 359.000
serveurs dans le monde en moins de 14h
1998 : CIH (Chen Ing Hau) se répand en vidant la
mémoire flash des ordinateurs
1998 : Hao Jinglong et Hao Jingwen dérobent
$87.000 à une banque -> condamnés à mort
13
1. Newbies : Peu de connaissances techniques.
2. Lamers : Newbies ayant trouvé quelques outils et
qui les utilisent. Pensent être des hackers.
Ennuyeux
3. Script kiddies : Sont capables d’utiliser des
attaques automatiques. Dangereux quand les
attaques sont à jour.
4. Hackers : Création d’attaques basées sur leur
connaissances. Très dangereux.
14
1. Hacking : Intrusion des réseaux et des systèmes (DoS,
social engineering, virus, vers, malwares, backdoors
etc. )

3. Cracking : Piratage de logiciels (reverse engineering,
warez)
4. Carding : Piratage de cartes à puces (cartes de crédit,
téléphone, TV, etc.)
Communauté électronique
◦ Création de groupes avec les BBS (the inner circle, l0pht
heavy industry, hack4girlz, Theso …)
◦ Magazines (phrack + magazines éphémères…)
◦ Mailing Lists (bugtraq, …)
2. Phreaking / Boxing : Hacking des lignes téléphoniques.

Lieux de rencontre
◦ Cons (DefCon, HoHoCon, PumpCon…)
◦ Autres conférences (CCC Camp, HAL, BlackHat, PHNeutral …)

Pas de chefs mais des gourous
◦ Issus du passé : Aleph One, Wietse Venema, Steve
Bellovin, Alec Muffet
◦ Nouvelle génération : Fyodor, Ron Gula, The Hobbit,
Renaud Deraison, Mudge
5. Gurus : Développent de nouvelles techniques
d’intrusion. Mortels.
16
15
17
18
3
06/01/2015


Intelligence reports and information about new threats
◦
◦
◦
◦

http://hackerwatch.org
http://www.cert.org
http://ﬁrst.org
http://tools.cisco.com/security/center/


Internet Motion Sensor (IMS) is a large cluster of systems
conﬁgured to monitor blocks of routable unused IP
addresses.


◦ http://ims.eecs.umich.edu

Other research initiatives and organizations :
◦
◦
◦
◦
◦

CAIDA: http://www.caida.org/analysis/security
The iSink: http://wail.cs.wisc.edu
Common Vulnerability and Exposures: http://cve.mitre.org
Team CYMRU Darknet Project: http://www.cymru.com/darknet
The Honeynet Project: http://honeynet.org

Le filtrage
Les serveurs AAA
19

Vulnérabilités reportées et cataloguées par
le CERT CC :


◦ Intrusions parfois non détectées
◦ Réticence des entreprises et administrations
Incidents rapportés au CERT CC :
21

Attaques non-structurées

Attaques structurées

Attaques externes

Attaques internes
◦ Premiers essais de scripts kiddies
160000
8000
140000
7000
120000
6000
100000
5000
80000
4000
◦ Mise en œuvre de schémas complexes d’attaque
◦ Par le biais d’internet
60000
3000
40000
2000
◦ Avec des complicités internes ou depuis l’interieur
du réseau
20000
1000
Principal moyen de connexion avec l’extérieur
Protection des systèmes informatiques contre
ces personnes
Evaluation difficile du nombre d’intrusions
20

9000

0
0
1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008
22
23
24
4
06/01/2015



Reconnaissance

Vol, destruction ou corruption d'information
◦ Découverte, cartographie du réseau (systèmes,
services et vulnérabilités)

Déni de service
Accès à des ressources

Mascarade d'identité
◦ Attaque afin d’obtenir des données ou de prendre
le contrôle d’un système.

Rebonds

Utilisation frauduleuse de ressources
Déni de service (Denial of Service, DoS)

◦ Objectif : arrêt total ou partiel d’un service
◦ Différentes méthodes
 Exploitation d’une faille structurelle
 Consommation de ressources
◦ Conséquences
 Perte de production
 Dégradation d’image
 Peut être utilisée dans le cadre d’attaques plus complexes
◦ Attaque endommageant le fonctionnement d’un
service proposé.
25
Dénis de service (DoS, Denial of Service)
26
27
Rootkit pour les logiciels
industriels (Nucléaire Iranien)

Prise de contrôle des systèmes

Conséquences importantes

Conséquences limitées
◦ Objectif : gain de la maîtrise du système
◦ Méthodes




Utilisation d’un accès utilisateur mal protégé
Exploitation de failles structurelles
Exploitation d’erreurs de programmation
Augmentation des privilèges
◦ Conséquences
 Dénis de service
 Perte de confidentialité
 Utilisation du système pour un « rebond »
◦
◦
◦
◦
◦
Vol de logiciels (IDSoftware, Valve)
Vol de données (Valéo, Ghostnet, Greenpeace/EDF)
Sites down (Yahoo, eBay, …)
Utilisation de comptes bancaires
Encryptage d’ordinateur
 CryptoLocker, $300/ordi -> 27 M$/an
RSA Security doit remplacer
ses SecurID tokens qui ont
été hackés en mars 2011.
Les listes d’adresses emails
gérées par Epsilon ont été
collectées
◦ Perte de ressource (Serveur pirate)
◦ Reconfiguration de matériel
◦ Utilisation de PC Zombie (Jeanson Ancheta)
Ecoutes sur le réseau
téléphonique mobile Grecque
 400 000 PC, 5 ans prison, 3 ans liberté surveillée, 75 000 $
◦ Commerce de logiciel
 Blackshades -> xVisceral (Michael Hogue) et 23 complices arrêtés

28
Réputation et image de marque
◦ Perte de confiance (Microsoft)
29
30
5
06/01/2015
https://www.shadowserver.org/wiki/uploads/Stats/ddos-twoyear.png
vendor
DrWeb (Linux)
DrWeb (Windows)
FSecure (Windows)
Microsoft (Windows)
Norman (Windows)
Clam (Linux)
Kaspersky (Windows)
FProt (Windows)
TrendMicro (Windows)
AVG (Linux)
Clam (Windows)
FProt (Linux)
Norman (Linux)
K7GW (Windows)
Sophos (Linux)
Sophos (Windows)
QuickHeal (Linux)
Fortinet (Windows)
detected
118,621,007
110,850,147
111,940,680
117,809,603
114,296,459
109,798,818
110,028,793
111,090,447
77,046,718
104,882,876
99,748,849
106,936,606
87,552,329
30,795,722
93,002,350
94,712,656
21,038,521
97,775,070
total
209,556,342
196,839,185
201,296,538
214,465,406
216,589,371
211,127,208
212,380,558
216,327,741
152,879,708
209,366,310
200,028,340
215,735,421
180,718,014
64,650,663
199,102,843
204,498,686
46,094,611
215,631,844
31
percent
56.6058
56.3151
55.6098
54.9318
52.7710
52.0060
51.8074
51.3528
50.3970
50.0954
49.8674
49.5684
48.4469
47.6340
46.7107
46.3146
45.6420
45.3435
http://www.shadowserver.org/wiki/uploads/AV/stats/sandbox-avm-chart.png
vendor
FSecure (Linux)
QuickHeal (Windows)
TrendMicro (Linux)
Kaspersky (Linux)
Panda (Linux)
34
detected
96,873,433
92,444,233
66,124,852
12,784,598
42,924,298
total
214,851,483
215,477,965
215,130,907
45,371,594
214,307,392
32
vendor
Avast (Windows)
BitDefender (Windows)
Avira (Windows)
AVG (Windows)
Avira (Linux)
Symantec (Windows)
BitDefender (Linux)
Sunbelt (Windows)
Eset (Linux)
Comodo (Windows)
Ikarus (Windows)
Ikarus (Linux)
K7 (Windows)
McAfee (Windows)
Lionic (Windows)
Eset (Windows)
McAfee (Linux)
Authentium (Windows)
GData (Windows)
Authentium (Linux)
AhnLab (Windows)
Avast (Linux)
detected
173,674,416
166,146,446
158,360,528
159,055,946
154,627,040
152,266,732
149,221,437
149,783,154
149,265,121
146,286,339
144,939,087
142,193,539
142,744,171
139,995,537
20,653,934
133,303,365
136,274,928
133,511,049
131,590,940
128,480,371
124,487,573
122,321,374
total
216,828,638
216,492,475
212,924,156
216,789,264
216,902,465
216,256,846
214,467,635
215,896,437
216,210,262
214,835,577
215,391,550
214,678,126
217,382,417
216,108,571
32,677,193
210,903,685
216,994,177
212,846,519
214,083,152
215,136,431
211,954,838
211,190,859
percent
80.0975
76.7447
74.3741
73.3689
71.2887
70.4101
69.5776
69.3773
69.0370
68.0922
67.2910
66.2357
65.6650
64.7802
63.2060
63.2058
62.8012
62.7264
61.4672
59.7204
58.7331
57.9198
percent
45.0886
42.9019
30.7370
28.1775
20.0293
35
36
6
06/01/2015

Terminologie

◦ Garde-barrière, firewall ou pare-feu

Sans firewall

En réseau
37






◦ C’est un appareil ou un groupe d’appareils qui
renforce le contrôle des paquets passants entre
plusieurs réseaux
Avec firewall :
◦ Point de passage obligé entre le réseau interne et
Internet


◦ Un “firewall” (coupe-feu) est un matériau ignifugé
placé de manière à empêcher la propagation du feu
d’une partie à l’autre d’un bâtiment.
◦ Chaque machine a accès à toutes les machines
connectées et réciproquement

Dans la vie réelle
Routeur filtrant
Firewall ou garde-barrière ou pare-feu (peutêtre un routeur)
Dispositif de détection d’intrusions (IDS)
Serveur AAA
Serveur de log
Contrôler ce même trafic
Faciliter l'administration en regroupant les
opérations de surveillance et de contrôle
Contrôle des messages entrants (Spamming,
virus)
38








40

Tracer et auditer le trafic entre le réseau
interne et le réseau externe
Cisco PIX (501, 506E, 515E, 525 et 535)
Checkpoint Firewall-1
Arkoon (A20, A200, A2000)
Juniper (NetScreen, SSG)
ZyXEL (ZyWALL)
OpenBSD/Linux et netfilter
39

Firewall à 2 interfaces (pas de DMZ)

Sécurisation par niveaux de sécurité
◦ Inside et outside
◦ Inside 100 et outside 0


◦ Distrib spécialisée : SmoothWall, Endian, Pfsense,
IPCop
Possibilité de VPN
Filtrage stateful
…
Ce sont des firewalls réseau, à ne pas
confondre avec les firewalls personnels !!!
41
42
7
06/01/2015



Mettre une adresse IP (pas de menu interface)
ip address nomInterface @IP netmask
Attention le PIX :

DMZ
Affichage de l’état de vos interfaces
◦ show interface
Interface dmz1
Niveau de sécurité 50

Affichage de tous les paquets ICMP
◦ debug icmp trace
◦ Ne répond pas au ping
◦ Ne laisse rien passer par défaut
Internet
Réseau local

Sniffeur intégré
◦ capture nom_capture [access-list acl_name]
[interface name]
◦ show capture nom_capture
Interface outside
Interface inside

◦ management-access inside
◦ show management-access
Une connexion est autorisé si elle commence d’un niveau de
sécurité supérieur vers un niveau de sécurité inférieur
43


44
Filtrage des paquets
◦ Simple : Limite les échanges en se servant
d’informations statiques
◦ Stateful : Utilise pleinement les informations de
connexions

Internet

DMZ
Proxy

◦ Intermédiaire de connexion entre le réseau privé et
internet
FTP
HTTP
46
Pour pinger l'interface interne :

Routeur avec filtrage
des paquets niveau 3
Filtrage des adresses
suspectes
Filtrage de certains
protocoles
Filtrage sur les
destinations
45

Internet

DMZ

niveau 3 et 4
Information de session
Risque de surcharge du
routeur
FTP
HTTP
47
48
8
06/01/2015

Internet

DMZ
FTP


HTTP
Firewall avec filtrage
niveau 3 et 4
Information de session
Risque de surcharge du
firewall
Solution équivalente à
un routeur

Internet


DMZ
FTP


niveau 3 et 4
applicatif
Pas d’authentification
forte
Pas de filtrage sélectif
Pas d’IDS, pas de log

Internet


DMZ
FTP

Internet

◦
◦
◦
◦
◦
DMZ
FTP
IDS
HTTP



AAA
niveau 3 et 4
Firewall UTM
HTTP


Anti-virus
Anti-spam
Filtrage URL
IDS
VPN



Authentification
Filtrage sélectif
Détection des intrusions
52
AAA
50



IDS
HTTP
49

niveau 3 et 4
stateful
Authentification
Filtrage sélectif
Détection des intrusions
Le filtrage
Les serveurs AAA


51
Adresses privées -> adresses publiques
Double objectif :
◦ Protéger certaines machines
◦ Mais aussi économiser des IP publiques !


53
Protection car machines inaccessibles depuis
l'extérieur directement
Economie car ces machines n'ont pas
d'adresses publiques
54
9
06/01/2015


Réseau local : adressage privé
192.168.100.0/24
Internet
Translation d'adresses dynamique
◦ les @ publiques sont attribuées à la demande
(clients)
Adresse source :
64.233.183.99
Adresse destination :
205.54.12.33
Port source :
52124
Port destination :
80
 Par rapport à un pool d’adresses
 Par rapport à un pool de ports (PAT)

Présence d’une table de correspondance
Table de translation
IP publiques
IP privées
205.54.12.33 192.168.101.1
192.168.100.0/24
Internet
IP publiques
Internet : adressage public
Entreprise dispose de 205.54.12.32/27
Le NAT utilise .34 -> .40
Adresse source :
205.54.12.34
64.233.183.99
Port source :
35020
Port destination :
80
IP privées
58
Exemple du cas précédent

static (dmz, outside) 205.54.12.33 192.168.101.1
Créé une correspondance entre une adresse
publique et une adresse privée
Attention, il faut filtrer les accès à cette
adresse !
56
192.168.100.0/24
57
192.168.100.0/24
Internet
192.168.100.1


Internet
64.233.183.99
Commande PIX
static [(internal_if_name, external_if_name)]
{global_ip | interface} local_ip

Adresse source :
64.233.183.99
192.168.101.1
Port source :
52124
Port destination :
80
55


◦ Correspondance entre 1@ privée et 1@ publique
(serveurs)

DMZ : adressage privé
192.168.101.0/24
NAT : Network Address Translation
NAT statique
IP publiques
IP privées
205.54.12.34 192.168.100.1
Adresse source :
192.168.100.1
64.233.183.99
Port source :
35020
Port destination :
80
Adresse source :
64.233.183.99
205.54.12.34
Port source :
52124
Port destination :
35020
59
IP publiques
IP privées
205.54.12.34 192.168.100.1
Adresse source :
64.233.183.99
192.168.100.1
Port source :
52124
Port destination :
35020
60
10
06/01/2015

Autoriser l’accès au NAT


nat [(if_name)] nat_id local_ip

Exemple précédent :
Autoriser l’accès au NAT

nat (inside) 5 0 0

Définir les adresses à utiliser pour sortir

Interdire l’accès au NAT

nat [(if_name)] 0 [access-list acl_id ]

Définir les adresses à utiliser pour sortir


global [(if_name)] nat_id global_ip-global_ip
[netmask global_mask]
Entreprise dispose d’une adresse :
205.54.12.41
Internet
global (outside) 5 205.54.12.34-205.54.12.40
netmask 255.255.255.224
192.168.100.1
64.233.183.99
IP publiques
61
205.54.12.41
192.168.100.0/24
Internet
192.168.100.0/24
Internet
IP publiques
IP privées
205.54.12.41 192.168.100.1
:2500
:35020
Adresse source :
192.168.100.1
64.233.183.99
Port source :
35020
Port destination :
80
Adresse source :
64.233.183.99
205.54.12.41
Port source :
52124
Port destination :
2500
64
IP privées
62
63

Autoriser l’accès au NAT (si pas déjà fait)

nat (inside) 5 0 0

Définir l’adresse à utiliser pour le PAT


Adresse source :
205.54.12.41
64.233.183.99
Port source :
2500
Port destination :
80
192.168.100.0/24
IP publiques
IP privées
205.54.12.41 192.168.100.1
:2500
:35020
Adresse source :
64.233.183.99
192.168.100.1
Port source :
52124
Port destination :
35020
65
global (outside) 5 205.54.12.41 netmask
255.255.255.224

Ou utiliser l’adresse de l’interface

global (outside) 5 interface
66
11
06/01/2015
205.54.12.33
192.168.100.0/24
192.168.100.0/24

Internet
192.168.100.1
Adresse source :
64.233.183.99
205.54.12.33
Port source :
52124
Port destination :
4662
IP publiques
IP privées
205.54.12.33 192.168.100.1
:4662
:4662
IP publiques
IP privées
205.54.12.33 192.168.100.1
:4662
:4662
Adresse source :
64.233.183.99
192.168.100.1
Port source :
52124
Port destination :
4662
67


Autoriser l’accès au serveur web
68

show static
69

◦ Affiche les translations statiques
static (inside, outside) tcp interface www
10.1.1.15 www
Restreint la visibilité vis à vis de l'extérieur
◦ Sauf pour le statique (NAT ou PAT)
◦ Sauf pour le dynamique

show xlate
◦ Affiche la table de correspondance


show xlate detail


show xlate debug
◦ Affiche la table de correspondance en détail
70
Permet d’utiliser un serveur sans faire une
translation complète
Sécurise mieux votre machine
◦ Car un seul port est accessible
◦ Pas besoin d’ACL supplémentaires
Internet
64.233.183.99


71
Sans effet pour une attaque interne
Permet en même temps d'économiser des
adresses IP
72
12
06/01/2015
Réseau local en
adressage privé
192.168.100.0/24
Réseau local en
adressage privé
192.168.100.0/24




Internet
adressage
public



Le filtrage
Les serveurs AAA
Les réseaux privés virtuels (VPN)
73




Cet immeuble a 65535 portes
Et chaque porte représente un port de
l’ordinateur
Si vous aviez la surveillance de cet immeuble,
est-ce que vous laisseriez n’importe qui
entrer par n’importe quelle porte ?
Si vous aviez la surveillance de la ville ?
Si
74


Chaque port à un numéro
Liste des ports réservés et enregistrés :

75


◦ http://www.iana.org/assignments/port-numbers
◦ 0-1024 -> réservés
◦ 1024-65535 -> enregistrés



De nombreux ports sont ouverts sur les
machines clientes


◦ netstat –abf (windows)
◦ netstat –ap (linux)


76
77
==
alors…
HTTP ?
HTTPS ?
FTP ?
SSH ?
Telnet ?
Pop ?
Pops ?
Imap ?
Imaps ?
78
13
06/01/2015



Ne concerne que les machines qui sont
accessibles depuis l’extérieur
Plusieurs niveaux de filtrage :
◦
◦
◦
◦


Filtrage
Filtrage
Filtrage
Filtrage


simple des paquets (niveau 3)
avec information de session (niveau 4)
applicatif (niveau 5-7)
par utilisateur
d’un niveau de sécurité supérieur vers un niveau de
sécurité inférieur »

Donc toute connexion entrante est filtrée !
Les filtres sont donc principalement utilisés
pour autoriser certaines connexions
Niveaux complémentaires
Complexité croissante -> compilation des filtres
80
81
Définition du filtre :




Application du filtre :

access-group id in interface interface_name

Rappel :
◦ « Une connexion est autorisée si elle commence

access-list id [line line-num] {deny | permit} protocol
source_addr source_mask [operator port [port] | interface if_name ]
destination_addr destination_mask [operator port [port]]
[log [[disable | default] | [level]]] [interval secs]]


◦ Filtrage au plus tôt
◦ 1 filtre par sens et par interface
79

Un filtre s’applique sur une interface
Un filtre a un sens (in ou out)
Règles :

Debugging du filtre (aussi avec hitcnt) :
Informations niveau 4 non suffisantes
Connexions TCP changeant de port
Suivi des numéros de séquence
Commandes permises (Ex. SMTP, HTTP)
Dernier paquet transmis ?
Nombre de connexions semi-ouvertes permises,
etc.



Firewall est responsable du filtrage niv. 5-7
Filtrage appelé stateful, applicatif ou de contenu
d’application
On peut aussi trouver le terme de « deep packet
inspection » signifiant une analyse plus
approfondie des paquets
[no] debug access-list all | standard | turbo
82
83
84
14
06/01/2015



Authentification de l’utilisateur
Filtres personnalisés
Besoins :



◦ Serveur AAA
◦ Firewall
◦ Echange AAA-Firewall lors de l’authentification




85

Plusieurs méthodes possibles :
86

◦ Normes :

 TACACS+
 RADIUS

Développé pour les militaires (MILNET)
Repris et amélioré par CISCO
Basé sur TCP port 49
87


L ’authentification est générique (PPP PAP,
CHAP, EAP, token, Kerberos, etc.)
Trois phases :
◦ Client envoie un paquet START au serveur (type
d ’authentification + données)
◦ Serveur envoie un REPLY, authentification terminée
ou pas
◦ Client envoie un CONTINUE avec les données
nécessaires
◦ Outils existants (hors normes) :
 Kerberos
 Fortezza
 DCE
88
Le filtrage
Les serveurs AAA
89
90
15
06/01/2015


L’autorisation détermine les droits de
l’utilisateur authentifié ou non
Deux phases :


◦ Client envoie un REQUEST
◦ Serveur envoie une RESPONSE
L’accounting ou comptabilité enregistre
toutes les actions
Trois type d ’enregistrement :



◦ start : le service commence
◦ stop : le service s ’arrête
◦ update : le service est toujours en utilisation
91


Basé sur UDP
Ports

92

◦ 1812 -> Radius
◦ 1813 -> Radius accounting


Utilisateur envoie username/password au
serveur
Réponse du serveur :
◦
◦
◦
◦
93



ACCEPT
REJECT
CHALLENGE -> plus d’information
CHANGE PASSWORD




94
Développé par Livingston Enterprises Inc.
RFC 2058, 2059 Bases 1996
RFC 2138, 2139 modifications 1997
RFC 2865, 2866 modifications 2000
RFC 2548, 2618, 2619, 2620, 2621, 2809,
2867, 2868, 2869, 2882, 3162, 3575, 3576,
3579, 3580 ajouts (-> 09/2003)
95
Le filtrage
Les serveurs AAA
98
16
06/01/2015

Virtual Private Network
Réseau privé

Reseau privé virtuel


Propriétés d’un VPN

◦ Authentification des acteurs
◦ Intégrité des données
◦ Confidentialité des données
◦ Un seul utilisateur du medium
◦ Plusieurs utilisateurs du médium mais mon canal de
communication est inaccessible aux autres



Avantages attendus

◦ Réduction des coûts
◦ Augmentation mobilité
◦ Externalisation des activités




99


Le plus utilisé : VPN sur IP
Le protocole IPSec est le plus utilisé pour
créer des VPNs, car :
Point-to-Point Tunneling Protocol (PPTP)
Layer 2 Forwarding (L2F) Protocol
Layer 2 Tunneling Protocol (L2TP)
Generic Routing Encapsulation (GRE) Protocol
Multiprotocol Label Switching (MPLS) VPN
Internet Protocol Security (IPsec)
Secure Socket Layer (SSL)
100

◦ Standard actuel
◦ Futur (IPv6)
VPN peuvent intervenir à plusieurs niveaux

Chiffrement (cryptage)

Data Encryption Standard (DES), 56-bit.
◦ Symétrique (clé privée partagée)
◦ Asymétrique (clé privée + clé publique partagée)

Triple DES (3DES), 3 fois DES

Advanced Encryption Standard (AES)

CAST
◦ Plus assez sûr !
Authentification
◦ Pas équivalent du tout à DES 168 bits
◦ Connexions
◦ Données

101
◦ Dernier protocole normalisé
Contrôle d’intégrité
◦ Moins sûr que 3DES mais plus rapide
102
103
104
17
06/01/2015




RSA (Rivest, Shamir, and Adleman)
Digital Signature Algorithm (DSA),
authentification seulement
Diffie-Hellman (DH), utilisé par Internet Key
Exchange (IKE) dans Ipsec
KEA (Key Exchange Algorithm)
Source : IPSec VPN DesignBy Vijay Bollapragada, Mohamed Khalid, Scott Wainner
Source : IPSec VPN DesignBy Vijay Bollapragada, Mohamed Khalid, Scott Wainner

105
Hashing Message Authentication Codes
(HMAC)
106


◦ MD5
◦ SHA-1

Security Association
A chaque relation unidirectionnelle est
associée une SA
Fixe les opérations qu’IPSec doit appliquer
aux datagrammes


Manuelle
Automatique
◦ IKE (Internet Key Exchange)
◦ ISAKMP (Internet Security Association and Key
Management Protocol)
Deux différents types de SA :
◦ ISAKMP SA (ISAKMP Phase 1)
◦ IPSEC SA (ISAKMP Phase 2)
108
Problème de gestion des clefs privées
utilisées pour le chiffrement
◦ Génération, distribution, stockage

◦ Informations sur AH, ESP, anti-répétition, etc.

107
109
110
18
06/01/2015

Sert à établir une clé commune temporaire


g représente le groupe
Groupe 1, 768 bits


◦ Compatible avec tous les équipements
◦ Plus rapide que le groupe 2
◦ Moins sûr que le groupe 2


Attention, cette méthode est vulnérable au MiM



Groupe 2 1024 bits
◦ Ne fonctionne pas sur certains équipements
◦ Plus lent que le groupe 1, attention certains
équipements compatibles ne supporteront pas la
charge (Cisco 2500, par exemple) !
◦ Plus sécurisé que le groupe 1

SKEME –> ISAKMP -> IKE
ISAKMP définit :
Comment les IPSEC communiquent
Le format des messages échangés
Les étapes nécessaires pour établir une
connexion
ISAKMP NE définit PAS :
◦ Comment l’échange de clés est réalisé

C’est IKE qui définit comment l’échange de
clés est réalisé
Source : Wikipédia
111
112
113
Source : End-to-end network security, Omar Santos


SKEME –> ISAKMP -> IKE
ISAKMP possède 2 phases :

◦ ISAKMP n’a qu’un seul mode, Quick Mode
◦ La phase 1 a créé un canal sécurisé
◦ La phase 2 négocie les paramètres des SAs
◦ Phase 1 : Mise en place de la communication
bidirectionnelle (Les SAs) avec génération d’une clé
secrète
◦ Phase 2 : Négociation des SAs

Phase 2 :
Nombre aléatoire (Nonce)
Phase 1 :
◦ ISAKMP possède deux modes différents
Authentification par
chiffrement asymétrique et
hash
 Mode principal (main mode), 6 étapes
 Protège l’identité des participants
 Mode agressif (agressive mode), 3 étapes
 Divulgue l’identité des participants, le groupe doit être le
même
114
115
116
19
06/01/2015
Source : End-to-end network security, Omar Santos


Basé sur le RFC2401 :
Protocoles de sécurité





En-tête IPV4
En-tête IP
ISAKMP, IKE, SKEME
Chiffrement et intégrité des données
Anti-répétition des sessions
En-tête IP
Trois méthodes possibles :





En-tête L4

Données
En-tête IPV4 + IPSec ESP
En-tête IP
ESP

En-tête L4
Données
Données
AH
En-tête L4

Trailer ESP
Données
119

En-tête IPV4
En-tête IP
En-tête L4
En-tête IPV4 + IPSec AH
Algorithme de cryptage et d’authentification
◦ ESP avec authentification
◦ ESP sans authentification, puis AH
◦ AH en premier puis ESP avec authentification
ESP est une en-tête
Authentification de l’émetteur
Contrôle d’intégrité du paquet
118



Authentication header (AH)
Encapsulation security payload (ESP)
117
AH est une en-tête

Gestion des clés



show crypto ipsec sa
show crypto isakmp sa
show crypto map
show isakmp
show isakmp policy
clear crypto IPSec sa
clear crypto isakmp sa
debug crypto IPSec
debug crypto isakmp
Chiffrement
120
121
122
20
06/01/2015



Intrusion Detection System
Intrusion Prevention System
Objectifs


◦ Base de données de toutes les vulnérabilités
◦ Les plus connues/utilisées






◦ IDS : Détecter les intrusions complexes
◦ IPS : Détecter les intrusions simples et les arrêter

Détection par signature
IDS
◦ Avec détection par signature
◦ Avec détection comportementale

IDS sniffe et analyse tout le traffic et essaie
de détecter des schémas d’attaques
123

Problème des IDS

124

◦ Faux positifs
◦ Faux négatifs

CVE (Common Vulnerabilities and Exposures)
OSVDB (The Open Source Vulnerability Database)
Security Focus
US-CERT Vulnerability Notes
Packet Storm
Snort (GPL)
125

Botnet

Drone ou Zombie

Bot

C&C

Herder (berger)
◦ Acheter des règles de corrélation
Nombreuses méthodes d’évasions
◦
◦
◦
◦
◦
Détection comportementale
L’IDS est entraîné sur le réseau
Puis détecte tout changement de
comportement suspect d’un utilisateur ou
d’un service
Fragmentation de paquets
Modification chaines de caractères
CodeGen
DoS sur l’IDS
Etc.
◦ Ensemble d’ordinateurs connectés à internet qui
interagissent pour accomplir une tâche commune.
Ces ordinateurs sont compromis et utilisés sans
l’accord de leur propriétaire
◦ Machine compromise
◦ Logiciel s’exécutant sur le zombie
◦ Centre de commande du botnet
126
127
◦ Personne contrôlant le botnet
128
21
06/01/2015

Utilisation de botnet
◦
◦
◦
◦
◦
◦
Click Fraud
DDoS
Keylogging
Warez
Spam
Camouflage d’identité
https://www.shadowserver.org/wiki/pmwiki.php/Stats/BotnetCharts
129

130

Un peu de maths

Comment ça marche ?
◦ Le C&C est souvent un serveur IRC ou HTTP
◦ Les bots se connectent et reçoivent des ordres par
le biais de commandes IRC ou HTTP
◦ IRC, temps-réel
◦ HTTP, asynchrone
Pourquoi ?
◦ Auto-réplication
◦ Plus un botnet est gros, plus il est influent
132
131

◦ 1500 botnets minimum
◦ De 20 000 drones minimum
◦ = 30 000 000 de drones MINIMUM
http://www.shadowserver.org/wiki/uploads/Stats/ccip-combineda.jpg
http://www.shadowserver.org/wiki/pmwiki.php/Stats/BotCounts
133
134
22
06/01/2015



TDLBotnetA
RogueAVBotnet
ZeusBotnetB

◦ Définir les réactions quand un problème arrivera
◦ Limiter la propagation des risques
◦ https://goz.shadowserver.org/gozcheck/



Monkif
Koobface.A
Conficker.C

◦ http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/




Il n’y a pas de sécurité totale !

Hamweq
AdwareTrojanBotnet
Sality
SpyEyeBotnetA (OneStreetTroop)
135
Trouver un compromis pour chaque
situation : pas besoin d’IDS pour votre
boulangère
Coûts conséquents pour mettre en place et
entretenir la sécurité
136
23

Diapositive 1

Transcription

Documents pareils

developpeur en aplication web

access-list id

Assistance logicielle - ANDRASOFT

cv_julien_gi

CD-ROM User`s Manual, 6 Languages

decouvrez windows 7

recrute - Neuilly

plan de cours - Iris Training

Accélérer le démarrage de Windows 7

Hébergement Web