Security

Scurit des systmes d'informationPhilippe Latu

philippe.latu(at)inetdoc.net

http://www.inetdoc.net

Rsum

Syllabus du cours sur le thme Scurit des systmes d'information dispens en seconde anne de Master (M2) de la lireSystmes de Tlcommunications et Rseaux Informatiques (STRI) l'Universit Toulouse III - Paul Sabatier.

Table des matires1. Copyright et Licence ................................................................................................................................. 1

1.1. Mta-information ........................................................................................................................... 12. Volume horaire, mthode pdagogique et projet ............................................................................................. 13. Scnario d'entreprise type : Candide S.A. ....................................................................................................... 24. Architecture du systme d'information ......................................................................................................... 25. Echancier des sances .............................................................................................................................. 36. valuation ............................................................................................................................................... 47. Documents de rfrence ............................................................................................................................ 5

1.Copyright et Licence

Copyright (c) 2000,2015 Philippe Latu.Permission is granted to copy, distribute and/or modify this document under theterms of the GNU Free Documentation License, Version 1.3 or any later versionpublished by the Free Software Foundation; with no Invariant Sections, noFront-Cover Texts, and no Back-Cover Texts. A copy of the license is includedin the section entitled "GNU Free Documentation License".

Copyright (c) 2000,2015 Philippe Latu.Permission est accorde de copier, distribuer et/ou modifier ce document selonles termes de la Licence de Documentation Libre GNU (GNU Free DocumentationLicense), version 1.3 ou toute version ultrieure publie par la Free SoftwareFoundation ; sans Sections Invariables ; sans Texte de Premire de Couverture,et sans Texte de Quatrime de Couverture. Une copie de la prsente Licence estincluse dans la section intitule Licence de Documentation Libre GNU .

1.1.Mta-information

Cet article est crit avec DocBook1 XML sur un systme Debian GNU/Linux2. Il est disponible en version imprimable au formatPDF : security.pdf3.

2.Volume horaire, mthode pdagogique et projet

Il est possible d'aborder l'enseignement sur la scurit des systmes d'information suivant plusieurs axes pdagogiques.Dans le cas prsent, l'objectif gnral est de faire dcouvrir l'importance des processus de scurit partir d'illustrationspratiques.

Il est bien entendu que ce choix ne prtend nullement tre la bonne mthode pdagogique. Il est cependant compltementridicule d'enfermer les choix pdagogiques dans une opposition articielle entre un enseignement acadmique qui introduitle vocabulaire et les mthodologies sans aucune application et un enseignement cantonn dans la technique qui ne proposeaucune prise de recul.

Ce cours est un module construit sur 10 sances de 3 heures et une sance d'valuation de 3 heures. Les 7 sances sontrparties de la faon suivante :

3 sances de cours avec la promotion complte.

7 sances de travaux pratiques en groupe.

la suite de la premire sance de prsentation, les tudiants sont rpartis en 3 groupes pour travailler sur un projet. Ceprojet consiste tudier et dployer une maquette d'infrastructure d'entreprise suivant un scnario type.

Les objectifs pdagogiques sont multiples :

crer une mulation entre les groupes d'tudiants en opposant les rles de chaque groupe,

1 http://www.docbook.org2 http://www.debian.org3 http://www.inetdoc.net/pdf/security.pdf

Scurit des systmes d'information 1

Scurit des systmes d'information

valuer l'importance des relations humaines, de la coordination et mme de l'ingnierie sociale dans la scurit dessystmes d'information en imposant une taille de groupe importante,

illustrer les problmatiques des mtiers de la scurit des systmes d'information partir du scnario d'entreprise type.

Les groupes sont dnis comme suit :

Groupe dfenseCe groupe est charg de mettre en place l'infrastructure des services du scnario d'entreprise. Il doit rechercher lesmoyens les plus simples possibles pour se dfendre contre les tentatives d'intrusion et de compromission entreprisespar le groupe attaque.

Du point de vue mtier, les membres de ce groupe jouent le rle d'exploitants des services. Comme les services peuventtre externaliss ou non, les membres peuvent tre employs aussi bien chez un prestataire assurant l'externalisationqu'au sein mme de l'entreprise o l'exploitation est directement assure.

Groupe analyseCe groupe est charg de collecter un maximum d'informations et de les analyser pour identier les actions entreprisesaussi bien en dfense qu'en attaque.

Du point de vue mtier, les membres de ce groupe jouent le rle de consultants scurit chargs de raliser des audits.Au dbut du projet, ils sont tranger la structure de l'entreprise. Par la suite, ils ne disposent que des informations et/ou des accs que leur fournissent les membres du groupe dfense.

Groupe attaqueCe groupe est charg de rechercher toutes les possibilits d'intrusion et de compromission les plus efcaces et les plusfaciles mettre en uvre.

Du point de vue mtier, les membres de ce groupe jouent le rle de consultants scurit chargs d'valuer la solidit dusystme d'information dfendu. Ils sont totalement tranger la structure de l'entreprise. Les 2 autres groupes ne sontpas senss leur communiquer la moindre information. Bien entendu, les membres du groupe attaque ne doivent passe limiter aux moyens techniques pour collecter leurs informations.

Chaque groupe met en place une dmarche de planication et de coordination des activits suivant les axes dnis avecl'enseignant. Chaque groupe est libre de choisir les outils de gestion des activits. Tous les comptes rendus de tests ou lessynthses hebdomadaires doivent tre centraliss et accessibles avant les sances encadres. L'objectif pdagogique est demodliser le fonctionnement d'un travail d'quipe dont les membres ne sont pas forcment sur le mme lieu. Compte tenude la taille de chaque groupe, la qualit de la coordination est primordiale pour l'avancement du projet.

3.Scnario d'entreprise type : Candide S.A.

L'activit des groupes dnis ci-avant gravite autour du systme d'information d'une entreprise totalement ctive mais dontles besoins sont reprsentatifs de ceux que l'on rencontre habituellement.

Supposons donc que les groupes vont travailler pour ou contre une agence baptise Candide S.A.. Cette agence vient d'obtenirun gros contrat de services pour un trs grand groupe industriel aronautique. Ce grand groupe industriel est un acteurmajeur dans un contexte de concurrence mondiale exacerbe. Il fait donc l'objet d'actions d'intelligence conomique tousazimuts. La chane des sous-traitants de ce grand groupe industriel constitue un axe de travail intressant en matired'intelligence conomique pour collecter des informations forte valeur ajoute.

Notre agence Candide S.A., venant d'entrer dans cette chane de sous-traitance avec un contrat important, fait l'objet debeaucoup d'attention. Sa crdibilit, voire mme sa survie conomique, dpend de la qualit de la scurit de son systmed'information. Le rle du groupe d'tudiants dfense est de garantir cette crdibilit.

Compte tenu des enjeux, notre grand groupe industriel aronautique, ne peut se contenter des engagements contractuelspris avec Candide S.A.. Aussi, il demande quelques consultants indpendants (le groupe analyse) d'observer au plus prsles ux du systme d'information du sous-traitant. Il s'agit de s'assurer que l'quipe en charge du systme d'information est mme de remplir les engagements pris.

Un groupe industriel concurrent a appris par voie de presse qu'un contrat de services signicatif avait t conclu entreCandide S.A. et son concurrent. priori, Candide S.A. prsente une opportunit intressante de collecte d'informationssensibles en toute discrtion. Cette opportunit conduit notre groupe concurrent faire appel quelques consultantsspcialiss dans ce genre de travail (le groupe attaque).

4.Architecture du systme d'information

Pour illustrer le scnario, il faut modliser le systme d'information de l'agence de sous-traitance l'aide d'une architecturetype. La principale limitation de ce genre de maquette est l'absence d'une population sufsante d'acteurs sur le systmed'information. En effet, plus la population d'utilisateurs est importante, plus l'ingnierie sociale est pertinente et efcace.



__ . . . . . . .Poste supervision ___/ \_ Pare-feu . _______ .------,~ _/ \__ .__. . |=_=_=_=// | PC |' / \ ___ |X=|______/ | | \_____|Client|| | Internet |_(___)___|X-| . | \__ \------ / \_ __/ |___| |X |__ . |.__.\ ======/ \__ __/ Routeur ------ ' . || |Services Internet / \___/ | . `| =||.__. / | . | -|`| |Serveur Projet ..... / | .-----| =| .------,~ | . | -| | PC |' Utilisateur | . ------ [Primtre ] |Client|| nomade | . . . . .[des services]. . . \------ / | ======/ | . . . . . . . . . . . . . . . . | . _______ | . |=_=_=_=// \___/ | | . / \ . ./... \______ . .------,~ .\... . | PC |' .------,~ . |Client|| | PC |' . \------ / |Client|| . ======/ \------ / . ======/ [Primtre ] . . . . . . . . . . . .[utilisateurs]

Pour rendre cette maquette de systme d'information raliste, il est ncessaire d'introduire quelques biais :

La population des utilisateurs est limiteLa maquette est une rduction minimaliste de systme d'information. Il lui manque une population d'utilisateurssufsante pour gnrer un trac alatoire permanent. Ce sont ces ux rseaux qui servent de bruit de fond pourcamouer les tentatives d'intrusion dans le systme. Toute la difcult, dans l'analyse des ux d'un vritable systmed'information, est de distinguer un trac rseau normal d'un trac intrusif. A ce bruit de fond il faut ajouter toutesles tentatives d'intrusion leurres qui gnrent de fausses alertes : virus, vers, etc.Pour les travaux de groupes, le seul moyen d'analyse comparative envisag consiste confronter les donnes recueilliespar plusieurs outils de dtection d'intrusion sur des postes branchs sur des rseaux publics. Il est donc demand auxtudiants de suivre l'installation prsente dans la rubrique rfrence sur La dtection d'intrusion sur leur propres postesde travail domestiques. De cette faon, aprs quelques semaines d'exploitation, on dispose d'un volume consquent debruit de fond et de leurres que l'on peut tudier en vis vis des informations collectes sur la maquette.

La population des utilisateurs est singulireComme les rles des groupes d'tudiants sont biens dnis au dpart, il reste peu de place pour les surprises. Lecomportement de chacun vis vis du systme d'information est facile prdire. On imagine mal que le rdacteur de lapolitique de scurit sur le courrier lectronique se mette l'enfreindre en quelques minutes. Il est donc trs difciled'introduire un utilisateur vritablement tranger l'architecture du systme d'information et, en plus, de lui laisser letemps de prendre des initiatives originales.

La drive des usagesComme la dure du cours est limite quelques semaines, il est difcile d'imaginer une drive des usages et dela conguration du systme d'information par rapport aux politiques de scurit dnies. C'est pourtant une desprincipales pistes d'exploitation pour les tests d'intrusion.Lors des tests pratiques, il faut disposer d'au moins un serveur et un poste de travail sur lesquels la drive est simuleen n'installant pas tous les correctifs ncessaires et conformes aux dnitions des politiques de scurit. De la mmefaon, on simule les prestations de services bancales des oprateurs en programmant des temps d'absence sur lepare-feu de la maquette.

5.Echancier des sances

Sance 1, Introduction et prsentation du projetIntroduction la scurit des systmes d'information partir d'un jeu de questions ouvertes.

Qu'est-ce que la scurit d'un systme d'information ?

Quelles sont les problmatiques spciques aux mtiers de la scurit ?

Qu'est-ce que l'intelligence conomique ?

Quel avenir pour le march de la scurit informatique ?

Qu'est-ce que la veille scurit ?Exemple des 4 principes de base et leurs modalits d'application.

la connaissance de son propre systme d'information,

le principe du moindre privilge,



la dfense en profondeur,

la prvention c'est l'idal, la dtection c'est une ncessit.Prsentation du projet et des travaux de groupes. Organisation et conditions d'accs la maquette du systmed'information.Pour aboutir une synthse correcte sur la collecte d'informations, il est ncessaire de pouvoir comparer lesinformations issues de la maquette avec celles issues d'un rseau public courant. Le moyen le plus simple d'y parvenir,est d'utiliser des outils de dtection d'intrusion.

Sance 2, Les politiques de scurit, L'architecture scurise des primtres de servicesPrsentation thmatique sur les politiques de scurit : Les politiques de scurit. Cette prsentation doit servirprioritairement au groupe dfense dans le but de dnir les modalits d'utilisation du systme d'information deCandide S.A.. Le groupe analyse doit rechercher des exemples de politiques de scurit relatives aux audits. Enn, legroupe attaque doit faire de mme pour les tests d'intrusion internes et externes.Prsentation thmatique sur la conception de primtres de services scuriss : La conception de l'architecture dusystme d'information.Pour la partie travaux de groupes, cette sance marque la nalisation des plans de bataille. Chacun doit avoir un rleet des missions dnies l'issue de cette sance.

Sance 3, L'importance de la journalisation, Le ltrage et ses fonctionnalits aux diffrents niveaux de la modlisation OSIPrsentation thmatique sur la journalisation systme et rseau, ses modalits d'exploitation et ses limites. L'objectifpdagogique est de montrer que sans exploitation correcte de la journalisation, aucune mesure du niveau de scuritn'est envisageable.Prsentation thmatique sur le ltrage et les possibilits des couches liaison, rseau, transport et application. L'objectifpdagogique est de montrer que si certains exploits sont trs complexes mettre en uvre, d'autres sont utilisables trs|trop facilement.Pour la partie travaux de groupes, le choix des outils de chaque groupe doit tre arrt et la maquette du systmepartiellement en place.

Sance 4Dbut d'exploitation d'une version minimale du systme d'information de l'agence Candide S.A.. Les rles de chaquemembre de chaque groupe sont dnis ainsi qu'un planning prvisionnel. Chaque groupe dsigne une cellule decommunication avec les autres groupes. La premire tche importante de ces cellules de communication est de dnirles dates de confrontation planies.

Autres SancesLe contenu des autres sances est fonction des diffrents paliers de progression prvus par chaque groupe.Gnralement, il est possible de raliser trois confrontations au cours des sances en groupe. Suite chacune de cesconfrontations, des prconisations sont mises par le groupe analyse. Ces prconisations, ainsi que les observationsfaites par les deux autres groupes doivent guider les volutions et les corrections apporter.On peut assimiler cette dmarche trois tours de roue dcrivant le cycle : Plan, Do, Check, Act.

6.valuation

Chaque groupe doit remettre un rapport crit et faire une prsentation orale lors de la dernire sance.Le rapport crit doit avoir la forme d'un compte rendu d'audit dtaillant les missions cones chacun des membres dugroupe, les rsultats obtenus et faire une synthse critique sur l'ensemble de la ralisation. Il comprend donc obligatoirementles lments suivants :

Une introduction avec :Une prsentation des objectifs que le groupe s'est x relativement aux contraintes xes par le prsent document.Une prsentation du plan retenu et des buts atteindre pour la synthse nale.

Une partie distribution des (tches|rles) avec :Une distribution des tches en fonctions des objectifs dnis dans l'introduction. Dans cette distribution doiventapparatre : les affectations des membres du groupe, le volume horaire consacr, le positionnement des tches dans leplanning ainsi que des prcisions sur les tches qui ont donn lieu une exploitation (ou non).

Un tableau de synthse des chanciers avec :Une mise en vidence des diffrences entre l'chancier prvisionnel et l'chancier effectivement suivi. Pour chaque(diffrence|dcalage) on trouvera un (renvoi|lien) vers l'explication correspondante dans les parties suivantes.

Une partie (Politique de scurit|Audit) avec :Une prsentation des principales observations ralises et des prconisations correspondantes. Le Groupe dfenseprsente dans cette partie les politiques de scurit relatives au dploiement des quipements et des services dela maquette du systme d'information. Le Groupe analyse prsente dans cette partie le rapport d'audit sur lesobservations des changes entre les rseaux de la maquette. Enn, le Groupe attaque prsente le rapport d'audit surles tests de pntration et d'intrusion du systme d'information. Chaque groupe doit faire apparatre ses prconisationspour un fonctionnement plus sr et plus scuris du systme d'information tudi.



Une partie tches et ralisations avec :Une prsentation dtaille des tches ralises par les diffrents membres du groupe. Pour chacune des tches raliseson prcisera :

Quels sont les objectifs particuliers cette tche ?

Qui particip ?

Comment cette tche se positionne dans l'chancier ?

Quels sont les (outils|moyens) utiliss ?

Quels sont les rsultats obtenus ?Dans le cas o un travail n'a pas donn lieu une exploitation sur la maquette, on prcisera pourquoi et surtout quellessont les prconisations pour qu'une exploitation puisse avoir lieu.

Une partie bilan avec :Une synthse sur l'ensemble du projet prsentant les points positifs et ngatifs ainsi que des prconisations pourl'amliorer. Toutes les propositions sont les bienvenues !

La prsentation orale doit permettre aux membres des autres groupes de comprendre le cheminement suivi pour lesdiffrentes actions entreprises. Elle doit aussi faire la synthse sur les difcults rencontres et les pistes d'amliorationspossibles pour le projet. Les modalits d'organisation sont les suivantes :

Une prsentation par groupe de 1 heure 20 minutes maximumIl ne s'agit pas de reprendre le rapport crit mais d'extraire les faits marquants du droulement du projet. Il ne faut retenirque les points techniques reprsentatifs de la dmarche suivie. Il faut aussi insister sur les aspects mtier et prendreposition en argumentant sur les choix et les prconisations faites par le groupe.

Ordre de passageL'ordre de passage pour les prsentations est : Dfense, Analyse et Attaque.

Un dbat entre les trois groupesChaque groupe doit pouvoir rpondre aux questions des deux autres sur les choix effectus et leurs justications. Chaquegroupe doit aussi proposer des pistes d'amliorations pour les sessions venir.

Les documents doivent tre rendus au format PDF aussi bien pour le rapport crit que pour les vues de la soutenance orale.Aprs accord des tudiants, ils sont publis dans la rubrique Prsentations4 du site inetdoc.

7.Documents de rfrence

Introduction la scurit des systmes d'informationLe document Network Security and the SMB5 constitue une bonne introduction pratique l'analyse de risque et lavalidation de l'application de bonnes pratiques de scurit.

Les politiques de scuritLa page Web The SANS Security Policy Project6 rassemble l'essentiel des rfrences sur les politiques de scurit avecde nombreux exemples. C'est le document Policy Primer7qui sert de base la prsentation.

La conception de l'architecture du systme d'informationLe document Firewall Deployment for Multitier Applications8 synthtise trs bien les problmatiques de dcoupage desprimtres lors de la conception d'une architecture de systme d'information.

Les possibilits de chaque couche de la modlisation OSIAu niveau liaison de donnes, on dispose de trois documents de rfrence Cisco :

Hacking Layer 2: Fun with Ethernet Switches9. Ce document de 2002 date un peu. Il reste cependant trs utile pourune prsentation des diffrentes actions possibles au niveau liaisons de donnes (couche 2 de la modlisation OSI).L'ensemble des possibilits prsentes reste d'actualit.

SAFE Layer 2 Security In-depth Version 210. Ce second document est une version ofcielle rvise du premier. Il estplus intressant pour l'application des stratgies de scurit sur les quipements.

NSA Cisco IOS Switch Security Conguration Guide11. Ce troisime document dtaille la conguration de lascurisation des commutateurs Cisco. Les principes sont applicables d'autres marques d'quipements de niveau2 et plus.

4 http://www.inetdoc.net/presentations/5 http://www.sans.org/rr/whitepapers/bestprac/1542.php6 http://www.sans.org/resources/policies/7 http://www.sans.org/resources/policies/Policy_Primer.pdf8 http://www.zeltser.com/fwdeployment/9 http://www.blackhat.com/presentations/bh-usa-02/bh-us-02-convery-switches.pdf10 http://www.cisco.com/warp/public/cc/so/cuso/epso/sqfr/sfblu_wp.pdf11 http://www.nsa.gov/snac/downloads_switches.cfm?MenuID=scg10.3.1



Au niveau rseau, on dispose d'un excellent guide publi par la NSA sur la scurisation des routeurs.

Router Security Conguration Guide12.FIXME: complter pour les autres couches

La centralisation des journaux systmes et rseauxIl n'existe aucune solution idale cl en main pour la gestion des informations de scurit (Security InformationManagement ou SIM). Le document Analyse des journaux de pare-feux avec ACID13 est un exemple caractristique decentralisation des journaux faon.

La dtection d'intrusionAu dbut du cours, il est vivement conseill tous les tudiants d'installer un systme de dtection d'intrusion sur leurspostes domestiques l'aide de document du type : Master/Stand Alone - Windows Intrusion Detection System (WinIDS)14.L'objectif de cette installation est d'valuer le niveau de pression exerc sur un poste domestique relativement unposte usage professionnel.

Les accs distantsLes rseaux privs virtuels SSL (VPN-SSL) constituent le moyen le plus efcace de scuriser les accs distants au systmed'information. Le document OpenVPN and the SSL VPN Revolution15 prsente un argumentaire complet sur la question.

12 http://www.nsa.gov/snac/downloads_cisco.cfm?MenuID=scg10.3.113 http://www.giac.org/practical/GSEC/Anthony_Shearer_GSEC.pdf14 http://www.winsnort.com/modules.php?op=modload&name=Sections&le=index&req=viewarticle&artxml:id=5&page=115 http://www.sans.org/rr/papers/index.php?xml:id=1459


Scurit des systmes d'informationTable des matires1.Copyright et Licence1.1.Mta-information

2.Volume horaire, mthode pdagogique et projet3.Scnario d'entreprise type : Candide S.A.4.Architecture du systme d'information5.Echancier des sances6.valuation7.Documents de rfrence