Génie logiciel et des TI - ÉTS : Cours par sigle · A Quantitative Study of Firewall Configuration Errors. IEEE Computer, 2004. Jean-Marc Robert, ETS Protection contre les menaces

Protection contre les menaces – Prévention

Jean-Marc Robert

Génie logiciel et des TI

Jean-Marc Robert, ETS Protection contre les menaces - Prévention - A10 2

Plan de la présentation

Introduction

Prévention

Routeurs

Pare-feu Systèmes de prévention d’intrusion

Conclusions


Introduction

La sécurité informatique repose sur deux grands principes:

Veille technologique Connaissez bien vos ennemis.

Analyse des besoins Connaissez-vous vous-même.

Connais ton ennemi et connais-toi toi-même; eussiez-vous cent

guerres à soutenir, cent fois vous serez victorieux.

Sun Tzu, 4ième siècle av.


Analyse des besoins

La politique de sécurité est la pierre angulaire de la sécurité d’un

système informatique.

Détermine les actifs à protéger et les objectifs à atteindre.

L’atteinte de ces objectifs repose sur les trois grands piliers de la

sécurité informatique:

Prévention

Détection

Réaction

Defence-in-depth: Utilisation de plusieurs moyens (parfois redondants) afin

de protéger les actifs et de réduire les risques auxquels ils sont exposés.


Prévention

Prévenir l’occurrence d’une attaque.

Effectuer une veille technologique afin de découvrir les menaces

découlant des nouvelles vulnérabilités.

Déployer les correctifs remédiant aux vulnérabilités des logiciels (patch).

Déployer une architecture basée la séparation des réseaux.

N’allouer que le trafic légitime – configuration statique.

Par défaut bloquer tout trafic.

Allouer explicitement seulement le trafic désiré.

Bloquer tout trafic ayant été identifié comme malveillant.

Reconnaissance basée sur des signatures d’attaques.

Reconnaissance basée sur la détection d’anomalie.


Modèle OSI Modèle TCP/IP

Couche de réseau

Couche de liaison

Couche de transport

Couche de session

Couche de présentation

Couche application

Couche physique

IP

Couche de liaison

TCP

Couche application

Couche physique


Filtrer les paquets: Access Control List (ACL)

Routeur

Les routeurs de périphérie peuvent être configurés afin de filtrer les paquets entrant ou sortant du réseau local.

Pare-feu

Dispositif contrôlant les flots d’information entre deux réseaux utilisant des politiques de sécurité différentes.

Internet

R&D

RH

Finance



Trafic entrant

Pas d’adresses illégales ou locales

Permet de prévenir le IP spoofing

Aucun paquet provenant de l’Internet ne devrait utiliser une adresse de 152.168.1.0/24

Source IP Source Port Dest. IP Dest. Port Action

0.0.0.0 Any 152.168.1.0/24 Any Deny

10.0.0.0/8 Any 152.168.1.0/24 Any Deny

127.0.0.0/8 Any 152.168.1.0/24 Any Deny

192.168.0.0/16 Any 152.168.1.0/24 Any Deny

152.168.1.0/24 Any Any Any Deny

Any Any 152.168.1.3 25 Allow

Any Any 152.168.1.2 80 Allow

Any Any 152.168.1.0/24 Any Deny



Trafic entrant

Serveur SMTP et Serveur Web

Seules communications permises

L’ordre des règles est important.

Source IP Source Port Dest. IP Dest. Port Action

0.0.0.0 Any 152.168.1.0/24 Any Deny

10.0.0.0/8 Any 152.168.1.0/24 Any Deny

127.0.0.0/8 Any 152.168.1.0/24 Any Deny

192.168.0.0/16 Any 152.168.1.0/24 Any Deny

152.168.1.0/24 Any Any Any Deny

Any Any 152.168.1.3 25 Allow

Any Any 152.168.1.2 80 Allow

Any Any 152.168.1.0/24 Any Deny



Comment permettre à un site web distant de répondre à un

usager du réseau 152.168.1.0/24 sans ouvrir tous les ports

éphémères?


Pare-feu à états

Permettre à une connexion provenant du réseau local d’ouvrir un

tel port pour un intervenant extérieur.

Ainsi, la source locale (adresse IP et port UDP/TCP) ouvre la porte pour

un destinataire extérieur (adresse IP et port UDP/TCP).

Ce destinataire ne peut alors communiquer qu’avec la source initiale.

Les ports éphémères sont bloqués de façon générale.


Pare-feu à états – table d’états

Dispositif permettant de filtrer les paquets selon les informations

se retrouvant dans l’entête de TCP/IP (ou UDP/IP) ainsi que

l’état de la connexion.

Le pare-feu doit maintenir une table de connexions permettant de

conserver l’état de chacune d’elles.

Par exemple, bloquer le trafic UDP/25 entrant à moins qu’il ne réponde à une requête

provenant du réseau local.

Si aucune information se retrouve dans la table, les ACL sont utilisés.


Pare-feu à états – table d’états

De cette façon, avant de vérifier les ACLs, la table d’états est

vérifiée.

Si une connexion initiée de l’intérieur du réseau local utilise un port

éphémère, l’autre intervenant peut « entrer » par ce port.

Donc, il serait possible de bloquer les ports éphémères en entrée

(tel que présenté précédemment).

Source IP Source Port Dest. IP Dest. Port État

152.168.1.12 1030 80.210.1.3 80 Établi

152.168.1.13 1031 173.22.1.1 80 Établi


Filtrer les paquets – Difficultés

Après l’étude de 37 architectures réseau (télecom, financier,

energie, media, santé, …):

Table 1. Complexité de la configuration.

Description Minimum Maximum Average

Règles 5 2,671 144.0

Objets 24 5,847 968.0

Postes, sous-réseaux, et groupes

Interfaces 2 13 4.0

A. Wool. A Quantitative Study of Firewall Configuration Errors. IEEE Computer, 2004.


Filtrer les paquets – Difficultés

Erreurs

1 No stealth rule –connexions au pare-feu non filtrées

2-4 Check Point implicit rules – Présence de règles par défaut

5 Insecure firewall management – Connexion au Firewall via telnet

6 Too many management machines – Gestion à partir de # postes

7 External management machines – Gestion à partir de postes externes

8 NetBIOS service –connexions NetBIOS non filtrées! Souvent

attaqués

9 Portmapper/Remote Procedure Call service - port 111 non bloqué

10 Zone-spanning objects – règles portant sur deux zones d’ @ ip

11 “Any” service on inbound – Voir 8 et 9

12 “Any” destination on outbound – connexions sortantes non limitées




Modèle OSI Modèle TCP/IP

Couche de réseau

Couche de liaison

Couche de transport

Couche de session

Couche de présentation

Couche application

Couche physique

IP

Couche de liaison

TCP

Couche application

Couche physique


Comment bloquer les flots d’information en se basant sur le contenu applicatif des paquets?

Comment bloquer les logiciels malveillants spécifiques à un protocole (p.e. ActiveX ou JavaScript pour HTTP, virus pour SMTP)?

Solution:

Utiliser un dispositif interceptant la communication entre deux intervenants.

Ce dispositif devrait pouvoir interpréter les informations applicatives afin de pouvoir prendre une décision le plus juste possible. Par exemple, la reconstruction des paquets IP fragmentés.

Le man-in-the middle autorisé!

Pare-feu proxy


Pare-feu proxy – schématiquement

Internet

R&D

1.TCP/80 – HTTP Get

192.168.1.12 134.154.24.4

Client

192.168.1.12

Proxy

134.154.24.4

seule adresse connue

à l’extérieur

Serveur

23.14.3.41

2.TCP/80 – HTTP Get

134.154.24.4 23.14.3.41

3.Response

23.14.3.41 134.154.24.4

4.Response

134.154.24.4 192.168.1.12

Réseau local – Environnement sécurisé Internet – Environnement hostile


Pare-feu proxy – types

Niveau applicatif (application-level proxy)

Spécifique à un protocole applicatif (p.e. HTTP, NTP, SMTP, …)

Analyse le paquet au niveau applicatif.

Beaucoup plus exigent au niveau des ressources.

Niveau circuit (circuit-level proxy)

Création d’un circuit entre le client et le serveur.

Niveau Session dans le modèle OSI.

Aucune analyse au niveau applicatif.

Peut supporter plusieurs protocoles.


Pare-feu application-level proxy

HTTP

Authentification de l’usager.

Bloque l’accès aux url inappropriés.

Bloque les ActiveX ou JavaScript.

Bloque certaines commandes (p.e. http delete)

…

SMTP

Authentification de l’usager.

Bloque les ActiveX ou JavaScript.

Bloque les courriels avec pièces jointes.

Bloque certaines extensions de MIME.

Analyse les pièces jointes à la recherche de virus.

…

La différence entre un SMTP proxy-server et le serveur SMTP n’est pas très clair puisque le SMTP serveur est déjà un intermédiaire.


Pare-feu proxy – sommaire

Pour

Décision prise selon les données applicatives. Validation du protocole.

Authentification des usagers. À noter que cela aurait pu être mentionné aussi pour les autres types de pare-feu car

la démarcation entre ces diverses fonctionnalités n’est pas très clair.

Création de fichiers d’audit exhaustifs Au niveau applicatif puisque le pare-feu a accès à toute l’information (et non

seulement l’entête).

Contre

Problèmes de performance.

Dépendant de l’application. Nombre limité de proxy applicatifs.

Bris de la communication client/serveur Bris du lien de confiance?

Table de connexions peut être la cible d’une attaque DoS.


Pare-feu – architecture

Les pare-feu peuvent être installés à divers endroits dans

l’infrastructure de réseau.

Rappel: Le pare-feu sert à séparer deux réseaux utilisant des

politiques de sécurité différentes.


Pare-feu – architecture de base (dual-home)

Le pare-feu repose sur un ordinateur sécurisé (bastion host)

ayant deux cartes réseau.

Nombre minimal de services – avec les ports fermés.

Services mis à jour régulièrement.

Nombre limité de comptes usager – avec des mots de passe robustes.

Internet

R&D


Zone démilitarisée

Zone tampon d'un réseau d'entreprise, située entre le réseau

local et Internet, derrière le coupe-feu, qui correspond à un

réseau intermédiaire regroupant des serveurs publics (HTTP,

SMTP, FTP, DSN, etc.), et dont le but est d'éviter toute

connexion directe avec le réseau interne et de prévenir celui-

ci de toute attaque extérieure depuis le Web.


Pare-feu DMZ

Restreindre les flots

Internet / DMZ

DMZ / Local

Internet / Local

InternetLocal SMTP

DNS

HTTP


Pare-feu DMZ

Restreindre les flots

Internet / Local

Internet / DMZ

DMZ / Local

Le pare-feu a simplement trois cartes réseau.

Toutefois, un seul ordinateur doit être compromis pour que tout s’écroule.

InternetLocal

SMTP DNSHTTP


Pare-feu DMZ – politique de sécurité

Les flots d’information de l’Internet vers le DMZ et du DMZ

vers le réseau local ne doivent pas compromettre l’intégrité

des informations se retrouvant dans le DMZ ou le réseau local.

Les flots d’information du réseau local vers le DMZ et du

DMZ vers l’Internet ne doivent pas compromettre

l’intégrité et la confidentialité des informations se retrouvant

dans le réseau local ou le DMZ.


Pare-feu DMZ – politique de sécurité

Quatre grands principes:

Moindre privilège

Un sujet ne doit avoir que les privilèges minimales afin de compléter ses tâches.

Séparation des privilèges

Un sujet ne doit pas être autorisé seulement en se basant sur une condition unique.

Protégé par défaut

À moins d’être explicitement autorisé, un sujet ne doit pas avoir accès à un objet.

Économie de moyen

Les mécanismes de sécurité doivent être le plus simple possible afin d’éviter des

failles (logicielles ou matérielles) pouvant être exploitées.


Pare-feu DMZ – pare-feu externe

Cacher les adresses utilisées par les serveurs dans le DMZ.

Le pare-feu externe expose seulement son adresse IP.

Bloquer tout trafic illégitime.

Provenant directement de l’Internet pour accéder au réseau local.

Provenant du réseau local pour accéder directement à l’Internet.

Offrir des proxy applicatifs (p.e. SMTP, DNS, HTTP, FTP)

Filtres de premier niveau: jeux de caractères, longueur de lignes, … (vérification syntaxique)

Filtres applicatifs: virus, vers, … (toutefois, ces vérifications peuvent être redondantes)

Économie de moyen + Séparation des privilèges



Pare-feu DMZ – pare-feu interne

Cacher les adresses utilisées par le réseau local.

Network Address Translation (NAT).

Bloquer tout trafic illégitime.

Seulement le trafic X de ou vers un serveur du DMZ est permis.

Exception: Trafic administratif

Serveur d’administration local serveur DMZ (SSH)

Économie de moyen + Séparation des privilèges



Pare-feu DMZ – les serveurs proxy

Analyser les trafic applicatifs.

Mettre en œuvre des filtres complexes.

Par exemple, décompresser un fichier joint à un courriel afin de

rechercher des vers ou virus.

Principaux dispositifs afin de mettre en œuvre la politique

de sécurité.

Complémentent les proxy applicatifs du pare-feu.

Dans certains cas, il peut y avoir redondance.


Pare-feu – conclusions

Les pare-feu offrent maintenant beaucoup de fonctionnalités

en plus de filtrer les paquets.

Network Address Translation (NAT)

Utilisation d’adresses privées pour l’intérieur du réseau local.

10.0.0.0/8 172.16.0.0/16 192.168.0.0/16

Ces adresses doivent correspondre à une adresse publique.

Une adresse publique + ports Nombreuses adresses privées + ports (limités)

Dynamic Host Configuration Protocol (DHCP)

Serveur allouant les adresses IP dans le réseau local

Virtual Private Networks (VPN)

Permettant aux usagers distants d’établir une communication sécurisée avec le réseau

local.


Conclusions

Nombreux dispositifs existent afin d’offrir une solution

technologique sécurisée.

Afin de déterminer la solution la plus adéquate, il faut

absolument

Connaître ses besoins.

Politique de sécurité détaillant les objectifs pour les divers actifs.

Connaître ses ennemis

Veille technologique vulnérabilité, menaces, …


Terminologie et définitions

Les définitions en italique ainsi que les termes français

proviennent de grand dictionnaire terminologique de

l’Office de la langue française du Québec.

(http://www.oqlf.gouv.qc.ca/ressources/gdt.html)

http://www.oqlf.gouv.qc.ca/ressources/gdt.html

Documents

Génie logiciel et des TI - ÉTS : Cours par sigle · A Quantitative Study of Firewall Configuration Errors. IEEE Computer, 2004. Jean-Marc Robert, ETS Protection contre les menaces