Embed Size (px)
Citation preview
Travail de Longue PréparationTravail de Longue Préparation
La Sécurité des Réseaux Informatiques
Copyright © 2002 GRIm@ (thegrima at altern dot org)
Introduction
Cadre de ce document
Cible de ce document
Statut de ce document
Préambule➢ L'élèctronique et l'informatique envahissent chaque composante de la société humaine.➢ Chacun de ces pôles d'information vont se retrouver interconnectés .➢ La technologie donne de grands espoirs, mais amène aussi son lot de questions. Les machines sont-elles fiables ? Est-il possible qu'elles ne remplissent pas leur rôle ? Ou qu'on ne les détourne de ce rôle ?
Cadre➢ Focalisation sur la sécurité des réseaux utilisant les protocoles IP, TCP et Ethernet.➢ Ils sont des standards de facto.
Cibles➢ Le document se veut technique mais accessible pour une personne ayant des connaissances de base en informatique.➢ Administrateur réseau (ou toute autre personne) désirant acquérir des notions de base concernant la sécurité des réseaux.
Statut➢ Le document maître, sous quelque forme que ce soit, et cette présentation sont distribués sous la GNU Free Documentation licence (GNU FDL) v1.1. Vous pourez trouver un exemplaire de cette licence en annexe n°I du document principal.➢ Ce document et la présentation ont entiérement été composés à l'aide d'outils Libres et Open Source. Ce document a été composé a l'aide de OpenOffice sous un système GNU/Linux, dans le but de promouvoir l'utilisation à grande échelle des outils libres.
Introduction aux réseaux
Modèle OSI
Ethernet
ARP
IP
TCP
UDP
ICMP
Architecture Client/Serveur
Modèle OSI
Modèle théorique défini l'ISO.
Communication scindée en 7 couches. Chaque couche ne pouvant interagir qu'avec les couches contigües.
Chaque couche définit un protocole.
Les données sont encapsulées dans les couches inéfieures.
Lors d'une communication, chaque couche semble ne parler qu'avec la couche identique de l'autre machine.
Ethernet
Adresse unique et universelle, représentée sur 48 bits (exemple de notation: 08:00:20:0C:F3:4C).
Permet de transporter des données entre des machines connectées physiquement.
Assure l'intégrité des données transportées grâce à un checksum.
ARP
Le but de l'ARP est de trouver l'adresse ethernet d'une machine distante dont on ne connait que l'adresse de la couche réseau (ex: l'adresse IP).
Fonctionne sur un systéme de requête/réponse en deux temps.
Comme pour Ethernet, ARP ne fonctionne que sur un réseau local.
IP
IP est la base d'Internet, il permet à différents ordinateurs de communiquer sur de grandes distances.
Il assure sans connexion un service non fiable de délivrance de paquets IP.
Deux paquets IP issus de la même machine et ayant la même destination peuvent ne pas suivre obligatoirement le même chemin.
Adresse IP unique, représentée par un entier de 32 bits (exemple de notation: 192.168.0.1).
Peut-être routé vers la destination et fragmenté si cela s'avére nécessaire.
TCPTCP permet de créer un dialogue entre deux machines qui s'envoient des données par le protocole IP.
Mode Connecté : une communication s'établit préalablement par un échange de message mettant en place la connexion qui sera abandonnée à la fin de l'échange (les datagrammes seront liés les un aux autres).
Sécurité : TCP assure que tous les datagrammes sont transmis et recus dans l'ordre par le récepteur grâce au processus d'acquittement.
Full-Duplex : communication dans les deux sens des informations de contrôle et des données
Identification des communications entre applications grâce à la notion de port (exemple: port 80 pour le HTTP).
UDPLe protocole UDP n'ajoute pas de service particulier par rapport à IP, il permet seulement le multiplexage/démultiplexage des communications entre applications grâce à la notion de port.
Non fiable, mode non-connecté, pas de réordonnancement
ICMPICMP permet d'envoyer des messages d'erreur à d'autres ordinateurs.
Le but d'ICMP n'est pas de fiabiliser le protocole IP, mais de fournir le compte-rendu d'une erreur détectée lors d'une transmission.
Notion de Client/ServeurUn système client/serveur fonctionne selon ce schéma:
Le client émet une requête vers le serveur grâce à son adresse et le port, qui désigne un service particulier du serveur
Le serveur reçoit la demande et répond à l'aide de l'adresse de la machine cliente et son port.
Principes Fondamentauxde sécurité
Services à assurer
Notions à protéger
Types d'agressions
Types d'agresseurs
Trois notions fondamentales
Services à assurer
Disponibilité : garantie de la continuité du service.
Intégrité : garantie que l'information n'est pas altérée.
Confidentialité : garantie que de l'information n'est pas divulguée à des tiers non autorisés (frauduleusement ou non)
Notions à protéger
Vos données : les informations (fichiers , traitements) qui sont sur les ordinateurs, pour qu'elles ne soient pas :
rendues indisponibles.
détruites ou altérées.
Accédées si elles sont confidentielles.
Vos ressources : le temps CPU, l'espace disque, le réseau (la bande passante, le volume).
Votre réputation (institutionnelle, professionnelle ou personnelle), votre responsabilité.
Types d'agressions
L'intrusion, d'où qu'elle vienne (par le réseau, via un terminal local, via un programme).
Le déni de service (Denial of Service ou DoS) : atteinte à la disponibilité (conséquence très connue des virus).
Le vol d'informations. Il n'est pas nécessaire de pénétrer un système pour obtenir de l'information (écoute du réseau par exemple).
Types d'agresseurs
Les plaisantins, le piratage ludique
Les vandales
Les compétiteurs
La stupidité, les accidents
Les services de renseignements
Les agressions à but lucratif
Trois notions fondamentales
Un Pirate informatique est plus compétent que vous et à plus de temps à y consacrer que vous.
Dans une proportion importante, les agressions volontaires ont une cause interne.
Raisonnez comme les agresseurs !
Atteinte à la sécurité du réseau
Méthode d'un piratagePrise d'informations
Prise de contrôle
Infiltration
Déni de Service
Virus
Méthode générale d'un piratage
La prise d'informations
Informations identitaires principalement utilisées dans une attaque de type Social Engeenering (SE ou «manipulation sociale»).
Informations techniques
Le scan TCP (nmap)
Prise d'empreinte de la pile IP
La prise de contrôle
Agression externe
Social Engeenering
Buffer overflow
Failles CGI
Agression interne
Interception de paquet
Détournement de session
L'infiltration
Trojan / Backdoor
Netbus
BackOrifice
Modification du système
Déni de Service
Attaque de type paralysante. Elle va compromettre la disponibilité de votre réseau.
Envoi d'énormes flots de données. Le serveur va tenter de traiter ce flux, ce qui va provoquer une forte consommation de ses ressources.
Smurf:
DdoS: Utilisation de réseaux distribués pour attaquer une cible.
Virus
Un virus se définit par : tout programme d'ordinateur capable d'infecter un autre programme d'ordinateur en le modifiant de façon à ce qu'il puisse à son tour se reproduire.
Il existe une vaste gamme de virus, classés selon leur mode de propagation (vers, parasite, macro-virus, polymorphe).
Le risque principal des virus vient de l'utilisation massive et monopolitique d'outils bien connus mais mal sécurisés.
Sécurisation d'un réseaux
Politique de sécurité
Architecture de sécurité (DMZ)
Mesure de sécurité préventiveMots de passe
Cryptage
Sauvegardes
Administration
Intervention d'une société
Politique de Sécurité
Il s'agit d'un ensemble de règles qui définissent ce qui est autorisé, selon les besoins, et ce qui est interdit (en principe tout le reste).
Définir avec les utilisateurs du réseau la politique de sécurité.
Ces règles doivent s'appliquer à tous, y compris à l'administrateur du réseau...
La sensibilisation et le respect des règles par tous éviteront toutes les attaques de type Social Engeenering.
Une bonne politique est toujours un compromis entre sûreté et facilité d'utilisation du réseau.
Architecture de Sécurité, la DMZ
Adopter une architecture basée autour d'une zone tampon nommée Zone Démilitarisée ou DMZ permet de renforcer la sécurité.
Importance de la configuration des firewalls.
Mesure de sécurité préventive
Les Mots de Passes
Il est facile à retenir par l'utilisateur: Le mot de passe lui rappelle quelque chose dont il se souvient sans peine.
Il est difficile à deviner : il est suffisamment long; ne figure SURTOUT pas dans le dictionnaire.
Il vaut donc mieux ne pas imposer un changement de password trop fréquent.
Utilisation de John The Ripper pour vérifier la solidité des passwords.
Le Cryptage
Le cryptage est une méthode infaillible pour protéger vos données.
Un message crypté garanti que les informations ne peuvent ni être interceptées ni modifiées.
Le cryptage peut être appliqué à énormément de choses, par exemple pour l'administration distante d'un système
Impossible d'utiliser les techniques que nous avons passées en revue (snif, MiM).
Les Sauvegardes
Une mesure de sécurité de base est de faire des sauvegardes ponctuelles de vos données.
Une sauvegarde régulière sur un support non volatil et réputé sûr (CD-Rom) permettra de restaurer facilement les données en cas de sinistre
Administration du réseau
Analyse régulière des logs
Mise à jour des anti-virus
Rester informé des dernières évolutions en matière de sécurité informatique
Vérification que les logiciels utilisés par les systèmes administrés sont à jour et ne possèdent pas de failles connues.
Intervention d'une société
Audit de sécurité
Analyse technique (points d'entrée sur le réseau, équipements de sécurité, protocoles mis en oeuvre, etc.).
Analyse organisationnelle (politique de sécurité).
Test d'intrusion
Failles détectées et attaques pouvant être menées.
Donne une liste de conseils pour améliorer la sécurité (infrastructure existante et nouvelle).
Après une intrusion
Permet une analyse correcte de ce qui a été compromis et de ce qui a permis aux pirates de pénétrer votre système.
Conclusion
La sécurité nécesite la sensibilisation et la participation active à la politique de sécurité de l'ensemble des utilisateurs.
L'utilisateur est remis au centre des préoccupations.
La sécurité nécessite une personne qualifiée et formée à cette tâche.
Une politique claire et explicite permet de renforcer la sécurité au profit de tous.
La sécurité informatique doit s'envisager au regard de ces quatre points : ouverture, formation, sensibilisation et participation.
Bibliographie
Livres
Micro Application, TCP/IP, collection PC Poche, 2001
BLAESS (Christophe), Programmation système en C sous Linux, édition Eyrolles, 2002
PARKER (Tim), LINUX Ressources d'Experts, édition Campus Press, 1999
GRENIER (Christophe), Netfilter: firewalling sous linux, dans GNU/Linux & Hurd Magazines numéro 39, mai 2002, page 59
Liens
Entreprise belge de sécurité informatique :http://www.uniway.be
Site personnel : http://grima.cjb.net
L'ensemble des liens peut être trouvé dans le document principal distribué notamment sur le site précédent.
