S écurité des R éseau x I nformatique s Par Arnaud DEGAVRE & Gihed MEFTAH DESS Réseaux – Université Claude Bernard Lyon 1 Promo 2000

Sécurité des

Réseaux Informatiques

Par Arnaud DEGAVRE & Gihed MEFTAH

DESS Réseaux – Université Claude Bernard Lyon 1

Promo 2000

Arnaud DEGAVRE et Gihed MEFTAH – DESS Réseaux 2000 – Sécurité des réseaux 2

SommaireL'informatique et l'entrepriseLa protection des donnéesActions des piratesStatistiquesUn peu de vocabulaireLes différentes attaques possiblesMéthodes les plus répanduesMesures pratiquesÉvaluer sa sécurité : outils


L'informatique et l'entrepriseA l'aube du 3ème millénaire, toute entreprise, quelque soit sa taille, est informatisée.Son informatique s'étend à tous ses services :

Production,Administration,Gestion,Recherche,Etc.

Système d'information communicantmise en réseau de ces services


L'informatique et l'entrepriseL'informatique est un outil utilisé par :

Le personnel sédentaireRéseau local (si un seul site)Réseau distant (si plusieurs sites)

Le personnel itinérantOuverture du réseau interne vers l'extérieur

Autant de risques pour les données

Mise en place d'une politique de sécurité


La protection des donnéesLa sécurité des données se définit par :

La disponibilitéOffrir à l'utilisateur un système qui lui permette de continuer ses travaux en tout temps.Peut être interrompue à la suite d'un sinistre tel que la panne, la rupture physique du réseau, l'erreur, la malveillance, etc.

L'intégritéGarantir la qualité de l'information dans le temps.Peut être détériorée suite à des erreurs telles que saisie d'information erronée voire illicite, destruction partielle ou totale de l'information, etc.

La confidentialitéSe prémunir contre l'accès illicite à l'information par des personnes non autorisées.Peut être piratée, détournée, etc.


Actions des piratesSimple accès au réseau,Destruction, dommages ou modificationdes données,Contrôle du système, en refusant l'accès aux utilisateurs privilégiés,Génération des messages dont le destinataire est le réseau piraté (spamming),Implémentation de procédures provocant la défaillance, le ré-amorçage, l'immobilisation… du réseau.


Statistiques…Selon Computer Security Institute, sur 520 sites interrogés en 1998 :

64% ont signalés des violations de sécurité,25% ont souffert d'attaque par déni de service,25% ont fait l'objet d'une intrusion à distance,54% ont indiqué qu'Internet constituait le point d'entrée pour les intrus.

Selon un chercheur en sécurité : Dan FarmerLes sites, testés directement par le chercheur, sont ceux des banques, des organismes de crédit, etc.Plus de 65% des sites testés sont vulnérables aux attaques les plus connus,


Statistiques…De nombreuses cibles possédaient des pare-feu.

Selon Ernst & Young Étude portant sur 4 000 directeurs informatiques interrogés sur une grande variété de points concernant la sécurité Internet et le e-commerce sécurisé35% n'employaient pas de systèmes de détection d'intrusion,50% ne surveillaient pas les connexions Internet,60% ne possédaient aucune stratégie écrite pour répondre aux incidents de sécurité.


Un peu de vocabulaire…Écoute passive

Rôle du sniffer : vol de l'information, de mot de passe.

SubstitutionSpoofing : trucage de la source (se faire passer pour un autre).

Cheval de Troie (trojan)Traitement frauduleux sous le couvert d'un programme autorisé.

Déni de serviceRendre impossible l'accès à un service en le neutralisant ou en le submergeant.


Un peu de vocabulaire…Bombe logique

Tout programme qui provoque le plantage d'un système (en général malveillant).

FloodUn ou plusieurs outils qui permettent d'inonder la file d'attente de connexion d'un système exploitant TCP/IP et provoquant ainsi un déni de service.

Capture de frappeUtilitaire qui capture à l'insu de l'utilisateur sa frappe ; utilisé pour obtenir le nom et mot de passe d'un utilisateur.


Les différentes attaques possibles

Attaques sur les systèmesIntégrité du système,Exécution de processus non autorisée,Cheval de Troie,Etc.

Attaques sur les protocoles de communicationIntrusion,Attaques du noyau (IP snoofing, TCP flooding, etc.),Exploiter les failles des protocoles (ICMP, UDP, etc.),Etc.


Les différentes attaques possibles

Attaques sur l'informationPropagation d'un virus dans l'entreprise,Écoute des données échangées sur le réseau,Modification des données pendant leur transport,Etc.

Attaques sur les applicationsApplications à risque (DNS, SNMP, HTTP, NFS, FTP, SMTP, etc.),Attaquer des applications connues (Oracle, Office…),Etc.


Méthodes les plus répandues…

Système D ou "ingénierie sociale"Terme utilisé par les hackers pour une technique d’intrusion sur un système qui repose sur les points faibles des personnes qui sont en relation avec un système informatique.

Piéger les gens en leur faisant révéler leur mot de passe ou toute autre information qui pourrait compromettre la sécurité du système informatique.Deviner le mot de passe d’un utilisateur. Les gens qui peuvent trouver des informations sur un utilisateur, peuvent utiliser ces informations pour deviner le mot de passe de ce dernier (le prénom de ses enfants, leur date de naissance ou bien encore la plaque d’immatriculation de sa voiture sont tout à fait candidats à être des mots de passe).


Méthodes les plus répandues…

Spoofing : usurpation d'adresse IPCible : serveur(s) de l'entreprise même protégé(s) par un pare-feuBut : tromper la machine cible pour obtenir un droit d'accèsMéthode :

L'@ IP de l'agresseur sera un client certifié par le serveurConstruction d'une route source jusqu'au serveur

Riposte :Chiffrer les sessions avec sshFiltrer les paquet IP issus de l'Internet mais arborant une adresse source localeLire les avis du CERT 95-01 CERT 96-21


Méthodes les plus répanduesPing de la mort (Ping Of Death)

Cible : serveurs et routeursBut :

Paniquer la machine et la bloquant en déclenchant une série de refus de connexion (deny of service)Affaiblir l'adversaire, l'empêcher d'agir

Méthode :Envoyer un paquet 1 octet plus gros que le datagramme du pingFragmentation du ping et à l'arrivée le serveur se bloque en tentant de recoller les fragments. L'écho répond dans le vide

Variante du flooding. Riposte :

La plupart des systèmes sont protégés contre cette attaque : les outils de ping sont limités à 65500 octets


Méthodes les plus répanduesAttaque frontale

Cible : toute machine connectée à Internet protégée par un identifiant et un mot de passeBut : obtenir les droits sur cette machine pour remonter vers le serveurMéthode :

Tentative par telnet (même sécurisé) ou ftpMoulinette pour trouver mot de passe

RiposteMot de passe dynamiqueCalculette du type Secure IDQuestions bloquantes posées durant la session d'identification


Méthodes les plus répanduesCheval de Troie (Trojan)

Cible : système d'exploitation de la machine déjà attaquéeBut : récupérer les donnéesMéthode :

C'est un programme p de petite taille caché dans un autre programme P.Lorsque P est lancé, p se lance également et ouvre les ports.p verrouille alors tous les programmes de protection et d'identification

Riposte :Les AntivirusLes patchs


Méthodes les plus répanduesMail Bomber

Cible : machine recevant des e-mailsBut : planter la machine car un système planté est vulnérableMéthode : bombarder de mails une machine

Il existe des programmes (UpYours) qui permettent de lancer depuis n'importe quelle machine sur Internet, une multitude (certains génèrent 1000 e-mails/min) de mails vers une personne sans qu'elle sache l'expéditeur.

Riposte :Mettre en place une partition pour le répertoire de mailsMettre un quota disque par personne


Mesures pratiquesMots de passeSauvegardesAntivirusPorts ouvertsDroits sur les serveurs ftpScripts CGISSL pour les données sensiblesRestriction IP


Évaluer sa sécurité : outilsSATAN

Security Analysis Tool for Auditing NetworksPackage logiciel comprenant

Pages HTML pour l'interface et la documentation,Scripts Perl pour la collecte d'informations et l'analyse,Programmes C de tests.

Détection de machines et de réseaux,Détection des services disponibles,Détection de bugs connus,Analyse des résultats

Par machine,Par réseau,Par service,Par application vulnérable (bug).


Évaluer sa sécurité : outilsCOPS

Computer Oracle and Password SystemEnsemble de programmes qui vérifient ou détectent :

Les permissions de certains fichiers, répertoires,Les mots de passe,Le contenu des fichiers passwd et group,Les programmes lancés dans etc/rc et cron,Les fichiers SUID root,L'accès à certains fichiers (.profile,.cshrc…),L'installation correcte de ftp anonyme,Certains trous de sécurité (montage NFS…).

Audit de sécurité sur une machine UNIXPeut être exécuté sans être root


Évaluer sa sécurité : outilsInternet Scanner Safesuite

Suite logicielle d'audit pour tester la sécurité réseau,Test de 140 vulnérabilités,Scan des sites Web, firewalls, routeurs, serveurs NT et Unix, périphériques TCP/IP,Recommandation des corrections appropriées,Configurable et automatisable,

Planification périodique des scans,Priorité de niveaux de vulnérabilité,Etc.


Évaluer sa sécuritéAudit en temps réel :

Système de détection et de réponse aux attaques en temps réel (en surveillant le réseau),

Ex : Agent RealSecure de Firewall-1Caractéristiques :

Reconnaissance des modèles d’attaques, Détection et réponse automatique, Reporting détaillé, Mise à jour fréquente des reconnaissances de modèles

d’attaques, Capture des intrus en temps réel, Surveillance du trafic réseau.


Quelques sites…http://security.web-france.com/http://www.cru.fr/securite/

Comité Réseaux des Universités

http://www.cert.orgComputer Emergency Response Team

http://www.w3.org/Security/http://www.urec.cnrs.fr/securite/

Unité Réseaux du CNRS

http://www.scssi.gouv.fr/document/index.html

Service Central de la Sécurité des Systèmes d'Information


Des questions ?

Fin de la présentation

Merci de votre attention

Documents

S écurité des R éseau x I nformatique s Par Arnaud DEGAVRE & Gihed MEFTAH DESS Réseaux – Université Claude Bernard Lyon 1 Promo 2000