View
114
Download
5
Category
Preview:
Citation preview
La sécurisation du réseau
Jean-Paul.Le-Guigner@cru.fr
InternetInternet
La vue simpliste, idéaliste
Réseau d’entreprise
Tout le monde est gentil, évite les erreurs,fait attention, travaille sur place
Les matériels et logiciels sont parfaits.
En fait
NON (plaisantins, vengeance, …)
NON (erreur de configuration, …)
NON (on clique trop vite, on télécharge, …)
NON (maison, déplacement, …), visiteurs, échanges avec les partenaires extérieurs (filiales, sous-traitants, fournisseurs, …)
Du chenapan au «criminel »Hackers, pirates, espions,Fraudeurs, Cyber-terroristes, …
Contenus dangereux (Virus, vers, sites mystifiés, bombes, Ch.de Troie,
Il n’y a pas de problème particulier créé par Internet
NON (failles, contrôles faibles par défaut, pas d’intégration de sécurité par défaut)
InternetInternet
Réseau d’entreprise
Que faire?
Indépendant de notre volonté,seules des législations contraignantes pourraient faire évoluer les choses ??????Et peut-être une nouvelle génération de protocoles Internet (des travaux en cours)
(1) Contrôler les accès, les flux, … (deux sens)
(2) Cloisonner les « populations » Différencier les droits, contrôler les accès (services, ressources) et les flux inter-communautés) (3) Renforcer la capacité des équipements et des applications à contrôler, détecter, alerter, corriger, interdire, protéger, …
(4) Surveillance (monitoring), métrologie, traces (logs).
(5) Informer guide de bonnes pratiques(6) Contrôle du « nomadisme »
Trois domaines d’intervention
• Le réglementaire et juridique (national, international)
• Le facteur humain – Chartes,– formation, information l’expertise – les guides et recommandations les bonnes pratiques, obligations, …
• Les technologies
L'INTERNET
Administration ChercheursServeursIntranet
(services purement internes)
Étudiants
« Visiteurs »
Exemple de « cartographie »Réseau d’une université
Zône de contrôleServeurs devant êtreVisibles de l’extérieur
Personnel, étudiantnomade
Les domaines de technologies pouvant servir à sécuriser
PKI, EAM, SSO Clients légersDurcissement
systèmes
Authentification VPNProtection du
poste de travailChiffrement données
Antivirus, AntiSPAM Proxy / CacheAnalyse de
contenu
Détectiond’intrusionPare-feu Sécurisation du Wi-Fi
du nomadisme
Communateurs,routeurs(VLAN, filtres)
Métro
log
ie, sup
ervisio
n, traces, lo
gs
L'INTERNET
Administration ChercheursServeursIntranet
WiFi
Étudiants
« Visiteurs »
Exemple d’une université
DMZ
Relais mail, Web, DNS, Serveur VPN, …Proxy/cache
antivirus centralisé, antiSPAM, analysede contenu, …
Pare-feu (filtrage, NAT, relayage, serveur VPN, …)
Routeurfiltrant
Durcissement de systèmes, filtres, antivirus, analyse deContenus, supervision, Traces, …
Pare-feu personnel antivirus, antispy(mal)ware, …
VLAN
AUTHENTIFICATION
Routeurfiltrant
VPN Chiffrementdes infos
L'INTERNET
ServeursIntranet
DMZ
IDS (Intrusion Detection System) N-IDS
MétrologieSupervisionPerformance,…
Honeypot
Scanner de vulnérabilités
Internet
Séparation des communautésPar VLAN
Pare-feu
Public
Intranet
PC-Nomades
VLAN
• Objectifs– Possibilité sur une même infrastructure physique de distinguer
entre plusieurs ensembles de machines (réseaux logiques ou virtuels)
– limiter les domaines de broadcast– optimiser les performances (partage de charge éventuel)– sécuriser les groupes d ’usagers (contrôle inter-VLAN), les
échanges de paquets entre VLAN passent par un élément de filtrage (routeur, …),
– Spanning-Tree par VLAN (suivant constructeur)
– administration centrale possible de l ’ensemble du réseau
Normalisation : normalisée au travers du protocole 802.q
RouteurInternet Contrôle des
flux inter segment
D1
D2D3
Les VLANs
Communication interne VLAN administration
Communication entre VLAN administration et VLAN pédagogie (avec NetflowSwithing de CISCO possibilité pour les paquets suivants de ne plus remonter au routeur)
commutateurs
VLAN
• Type de VLAN– statique (par port ou par adresse MAC)
• numéro de port, (possibilité filtrage des adresses MAC par port)• adresse MAC (possibilité associer @MAC/@IP)
– dynamique • sous-réseau (IP), • protocole (IP, IPX, IPv6, …)• par authentification de machine(utilisateur)
Tous les constructeurs (Cisco, Juniper, Foundry, Extreme, 3COM, HP, …) le proposent, actuellement on ne gère plus un réseau sans utilisation de VLAN, sauf toutes petites configurations à population homogène.
L ’identité du VLAN est traduite par un champs supplémentaire dans la trame Ethernet (le « tag »)
VLAN
• Les commutateurs– configurés afin d ’identifier les machines et leur affecter un numéro de
VLAN
– commutent les trames au sein d ’un même VLAN
– Peuvent avoir une certaine connaissance du niveau 3.
– Pourront servir (*) de proxy pour une certaine connaissance au niveau du routage. Configurer l ’adresse gateway sur les machines ne sera pas nécessaire.
• Les matériels de routage – doivent appartenir à plusieurs VLAN
– Sur un même lien physique ils voient plusieurs interfaces logiques.
• Les serveurs– Pour des raisons de performance appartiendront souvent à plusieurs
VLANs évitant ainsi le passage par les routeurs.
– Doivent donc être bien protégés (bien administrés).
Le filtrage
Filtrage IP
• Contrôler les flux entre « domaines »
• Avant d’écrire des filtres une phase d’étude déterminer/constituer les domaines ’ ’ les flux inter-domaines Tout ceci en prenant en compte la PSSI de l’entreprise
• Produire les filtres et les appliquer• Avec un « scanner » vérifier si l’objectif est atteint
Un conseil expliciter les filtres au travers de schémasCela permet de mieux comprendre la politique mise en oeuvre
• Traitement au niveau 3-4 ISO (IP/TCP)
• Activé dans un matériel de type « routeur »– A noter que les commutateurs intègrent actuellement de telles
fonctionnalités (cartes spéciales, ou en natif)
• Se base sur les information du paquet IP– adresses source et destination
– type de protocole
– ports source et destination
– QoS, (flux données, vidéo, voix, SNMP, …)
– Bits spéciaux : SYN, ACK, RST, …
tous les champs de l’en-tête paquet (ou presque)
Filtrage IP
Données
En-tête TCP
En-tête IP
En-tête Eth
Adresse Mactype de protocole (IP, IPX, ...)---> ne nous concerne pas.
Adresse source, destinationType de protocole supérieur (TCP, UDP,ICMP,EGP, ...)Options IP (source-routing, ...)
Ports source et destination (identification de l'application)
Les bits ACK, RST, SYN
Les informations utiles pour le filtrage
Premier paquet --> pas d'ACKtous les autres l'ont, dans les2 sensSYN sans ACK --> connexion
En TCP (mode connecté) pour casser une session ilsuffit de « droper » le paquet d ’initialisation
Allocation ports TCPClient Serveur
512
1024
6000 x11Services RPC(ypbind, lock)
Services "officiels"(telnetd, ftpd, smtpd, httpd, ...)
Services Unix (rlogind, rhsd, ...)
Services RPC "root"(ypserv, status, mountd, ...)
111 Portmap
560Clients RPC "root"(ypserv, status, mountd, ...)
rcp, rsh, rlogin
les clients en général
Allocation ports UDPClient Serveur
512
1024
Services RPC(ypbind, lock)
Services "officiels"
Services Unix
Services RPC "root"(ypserv, status, mountd, ...)
111 Portmap
560Clients RPC "root"(ypserv, status, mountd, ...)
rcp, rsh, rlogin
les clients en général1525 archie
RPC(ypbind, lock,) talk, ...
Paquets ICMP --> Type et Code (information de filtrage)
Type:
• Destination unreachable• Time exceeded• Parameter Problem• Source Squench• Redirect• Echo ou Echo Reply• TimeStamp ou TimeStampReply• Information Request ou Information Reply
Code: précisions supplémentaires
Il y a plus de type voir les rfcs.
Informations « hors » paquet IP
• Interface d'entrée (pour IN et pour OUT)– Interface physique (eth0, …) ou logique (No de VLAN)
• Paquet :– en transit, – généré en local, – à destination du système local
• Fréquence même type de paquet – (détection de DoS, attaques, …)
• Etc.
Principes pour le filtrage (1)
• Le filtrage est basé sur les adresses. Il faut qu'elles soient correctes (pas de spoofing). Il faut donc une vérification de cohérence en entrée (depuis l'extérieur comme l'intérieur)
• Un paquet ne satisfait pas les règles --> "drop"• Un message de log si violation des règles
– cela peut faire beaucoup de log, qui va regarder?
• Faut-il renvoyer un ICMP (erreur) ---> NON, cela pourrait aider les "pirates" a comprendre la politique sécurité du site et l’architecture réseau
• Bien faire attention a différencier IN de OUT de FORWARD et les interfaces d’entrée, de sortie, etc.
Principes pour le filtrage (2)
• Faire attention à l’ordre des règles– Chaque paquet est analysé par rapport aux règles,– Dès qu’une règle est satisfaite :
• Elle est appliquée au paquet,• L’analyse s’achève,• Les règles qui suivent ne sont pas pris en compte,
• Si aucune règle ne s’applique c’est la règle par défaut
Faire en sorte que la règle par défaut soit:« Tout interdire, sauf ce qui est explicitement autorisé »
Les caractéristiques par protocole
Telnet C--->S TCP X>1023 23
port-s port-d
S-->C TCP 23 X Smtp C--->S X>1023 25
Nntp C--->S X>1023 119 S--->C 119 X
DNS C--->S Tcp/Udp X>1023 53 S--->S 53 53
DNS (transfert de zone/primaire --> secondaire) idem. Si filtres mal mis --> secondaire isole
NTP C-->S Udp X>1023 123
NTP S--->S Udp 123 123
S--->C TCP 25 X
Les caractéristiques par protocole
port-s port-d
Ftp C-->S TCP Y>1023 21 (session de contrôle)
S-->C 21 Y « » S-->C 20 Z>1023 (sessions données)
C-->S Z 20
Pb
Les caracteristiques par protocoles (suite)
port-s port-d
Http C-->S TCP X>1023 80 Proxy-Http " » X>1023 8080
X11 « TCP X>1023 6000 (ou 6001, …)
Syslog C-->S UDP X>1023 514 port-s port-d
SNMP UDP X>1023 161,162
Les caracteristiques par protocoles (suite)
"r-command" TCP X<=1023 512 (rexec)
513 (rlogin)
514 (rsh,rcp,rdist)
Ne pas laisser passer
RPC (YP, NIS, NFS, ...) TCP/UDP Z alloué par le port mapper
Portmapper TCP/UDP 111
Autoriser au compte goutte 111 depuis l ’extérieur
Il reste le P2P qui représente plus de difficulté.
Types de filtrage
• Statique– Les premiers à apparaître
– L’ensemble des règles est fixe et n’évolue pas suivant les applications utilisées.
• Dynamique– Prennent en compte les environnements H323, RTSP, SIP, FTP,
…
• Dynamique avec contrôle des contenus– Idem ci-dessus + vérification des commandes pour les flux SMTP,
HTTP, SQLNet, FTP, …
Exemple d’environnement de filtrage Netfilter / « iptables»
• Environnement sous Linux
• Netfilter : partie opérationnelle intégrée noyau
• Iptables : partie commande (action admin)
Autres environnements « libres »
IP Filter pour Unix libres et intégré sour FreeBSD et NetBSDPacket Filter sous OpenBSD
Netfilter / « iptables»
• Des règles classées par « chaîne »– Chaînes par défaut = IN, OUT, FORWARD
– Chaînes utilisateur possible
• Un paquet satisfait une règle action et arrêt chaîne– Les politiques par défaut en fin des règles
• Prise en compte « état du trafic » pour situer le paquet– NEW, ESTABLISHED, RELATED, INVALID
Chaîneutilisateur
INTERNET
WL_NET(réseau sans fil)
« INTER_NET » (réseau d’interco)
INTRA_NET(réseau interne)
PUBLIC_NET(réseau public)
IF_INT
IF_EXT
IF_WLIF_PUB
ROUTER_ADDR(adresse IP routeur)
FW_EXT(addresse IP)
S_ML
S_WEB
SERVEUR TOTO
AP1000
Et ensuite?
• Du filtrage dynamique (stateful inspection)
• Un adressage privé interne et du NAT• Protéger le service DNS en architecturant
correctement• Protéger la messagerie (antiSPAM, antiVirus)• Contrôler le contenus des flux HTTP entrants et
l’accès aux sites distants• Portables :
– Des VPNs pour leur connexion distante– Les contrôler avant leur connexion au réseau local– Protéger les données par du chiffrement
• …
Filtrage dynamique (stateful inspection de CheckPoint)
• Certaines application utilisent des ports dynamiques– Il faudrait autoriser tous ces ports en permanence trop dangereux
• Filtrage dynamique (CheckPoint, CBAC cisco, …)– Filtrage basé sur le contexte d’une connexion (application),
– Examen du contenu d’un flux détection de demande d’ouverture sur un(des) port(s) dynamique(s),
– On ajoute pour un instant des règles dans les listes de règles,
– Elles seront supprimées après fermeture de la connexion ou Time-out.
• Les protocoles concernés :– FTP (passive), H323, ToIP, RCMD, …
Le NAT (Network Address Translation)
• Traduction d’adresses; privées <--> publiques machines internes non accessibles directement Rend la vie plus difficile aux pirates
• Un atout pour la sécurité certes, mais en complément de sérieux filtrages et autres contrôles.
Groupe de Travail NAT CNRS 36
Aperçu de NAT
Internet
Interne10.4.4.5
10.1.1.1
Extérieur
Adresses IP locales
10.1.1.110.4.4.5
Vision globaledes adresses
192.2.2.2192.3.3.6
Table NAT
SA192.2.2.2SA
10.1.1.1
Différentes catégories de NAT: • Statique (une adresse privée pour une publique)
peu d’intérêt, atouts pour la sécurité à démontrer.• Dynamique
• une adresse privée pour une publique mais partage des adresses publiques par plusieurs adresses privées suivant les flux
• Surcharge adresses internes•Une adresse publique pour plusieurs privées•On traduit un couple adressePrivée-Source/portSource1 en adressePubliqueSource/portSource2 pour un certain temps.
• « Overlapping »• distribution de charge TCP
Autres objectifs que la sécurité
Protection du DNS
• Questions:– Qui a le droit d’utiliser le DNS?– Pour quel type de résolution?
• Réponses conduisent à :– Une architecture cible séparant les différents
services DNS– Une politique limitant les accès et donc les risques.
INTERNET
DMZ InternetDMZ production
DNS interne
DHCP
Serveur SMTP
DNS Externe
DNS cache DMZ
DNS cacheProxy HTTP
INTERNET
DMZ InternetDMZ production
DNS interne
DHCP
Serveur SMTP
DNS Externe
DNS cache DMZ
DNS cacheProxy HTTP
INTERNET
DMZ InternetDMZ production
DNS interne DNS Externe
DNS cache DMZ
Annuaired’authentification
Proxy HTTP1
2
3 4
5
Authentification des accès HTTP Contrôle des contenus
(antiSpyware, Antivirus, …)
Lutte antiSpam
• Ce n’est plus une option
• C’est un élément de la politique de sécurité
• Mettre en œuvre et prévenir les utilisateurs
INTERNET
DMZ InternetDMZ
Routeur sortant
MXMSA
Annuaired’authentification
Serveur De boîte aux lettres
Exemple d’architecture de messagerie
IMAPS
Mail entrant
Mail sortant
authentification
FiltrageantiSPAMantiVirus
Et ensuite ? Surveiller, …
• Détecter les intrusions et alerter:– Outils de type IDS
• Mieux les contrecarrer si l’on en détecte– Outils de type IPS
• Mettre en place de la métrologie– Détecter les anomalies de trafic, des flux étranges, des variations
anormales, …
• Utiliser des outils de supervision tels NAGIOS– Détecter des anomalies de fonctionnement des applications,– Identifier des utilisations anormales de ressources, – …
IDS / IPS • Détection les attaques classiques :
– Basée sur des signatures d’attaques connues.
• Et surtout analyser les contenus HTTP :– Protection contre l’exploitation des failles navigateurs– Détection de spyware, malware, contenus avec virus
• On peut également d’office bloquer certains type/format de contenus
– Et repérer dans l’autre sens les commandes douteuses• Machine infectée ou « chenapan » interne
• L’IDS se contente de poster une alerte• L’IPS va de plus dropper les paquets et couper la session.• L’un et l’autre peuvent être intégrés dans un produit pare-feu
ou être des modules séparés.
Métrologie• Utilité :
– Connaître le profil d’utilisation du réseau • Cartographie des flux. A quoi sert le réseau? Comprendre!
• Aider à prévoir la stratégie d’évolution des infrastructures
– Détecter d’éventuels incidents • Flux « non habituels », pics de trafic bizarres, …
• Types d’environnement– « sniffer » sur le réseau : NTOP, …
– En accès direct (ou via SNMP) sur les logs routeurs : Mrtg, NetMet, …
D’après Renater 90% des incidents pourraient être détectés par la métrologie
Recommended