Tendances de la sécurité informatique à l’IN2P3. Actions ... · –Le nombre de cibles augmente : exemple du passage du TX au PC LINUX comme poste de travail. –La tendance

Sécurité Cargèse 2001 Bernard Boutherin 1

Tendances de la sécuritéinformatique à l’IN2P3.

Actions pour renforcer lasécurité.

Tendances de la sécuritéinformatique à l’IN2P3.

Actions pour renforcer lasécurité.


IntroductionIntroductionÜObjectifs de la présentation :

– Tendances et objectifs de la politique de sécurité àl’IN2P3.

– Les journées sécurité et l’organisation du groupesécurité.

– Les actions pour renforcer la sécurité. Maquettesmises en place dans les sites pilotes.


TendancesSécurité par rapport quoi?TendancesSécurité par rapport quoi?ÜL’intérieur ?

– Utilisateurs à comportement dangereux :– conviviaux,– négligents,– entreprenants,– nuisibles.

– Administrateurs débordés.


TendancesSécurité par rapport quoi?TendancesSécurité par rapport quoi?

ÜL’extérieur ?– Attaques de plus en plus fréquentes.– Automatisation de la détection et de l’exploitation de

la faille.– Le nombre de cibles augmente : exemple du

passage du TX au PC LINUX comme poste detravail.

– La tendance : le vers ou le virus d’Unix.


TendancesLes freins à la sécuritéTendancesLes freins à la sécurité

ÜPression des utilisateurs opposés à priori à la miseen place d’une politique stricte (donc contraignante).

ÜManque de moyens humains.ÜTopologie, équipements réseau inadaptés.


TendancesÉvolution de la sécurité par rapportaux attaques internes

TendancesÉvolution de la sécurité par rapportaux attaques internesÜ Diffusion de la charte.Ü Bonne gestion système.Ü Diffusion d’outils de sécurité : tcpwrapper, ssf,

tripwire, nessus..

Ü Création de zones.Ü Séparation des zones par des firewall/proxy.Ü Surveillance, logs et audit réseau.

Aujourd’hui

Demain ?

Hier


TendancesÉvolution de la sécurité par rapport auxattaques extérieures

TendancesÉvolution de la sécurité par rapport auxattaques extérieures

Ü Bonne gestion système.Ü Diffusion d’outils de sécurité.Ü Filtrage des ports utiles.

Ü Filtrage tout sauf.Ü Point d’entrée obligé : le firewall.Ü Point de sortie obligé : le proxy.Ü Surveillance, logs et audit réseau.

Aujourd’hui

Demain ?

Hier


Objectifs de sécurité :Objectifs de sécurité :Ü authentification,Ü contrôle d ’accès,Ü intégrité des données,Ü imputabilité,Ü confidentialité des données,Ü non-répudiation,Ü disponibilité des données,Ü audit,Ü assurance.


FonctionnementFonctionnementÜ Information des correspondants sécurité :

– Diffusion des avis de sécurité, journées sécurité.Ü Gestion des incidents en relation avec les

correspondants sécurité.– Filtrage lpd

Ü Gestion des sites d’expérience en relation avec le CC.– Mise en sécurité du site Themis.– Filtrage source pour le site Bugey.

Ü Évolution de la politique de sécurité basée sur :– Les journées sécurité.– La participation des laboratoires dans le cadre d’expériences

pilotes.


FonctionnementLes journées sécurité.FonctionnementLes journées sécurité.

ÜRassembler les correspondants sécurité.ÜAcquérir les connaissances théoriques

nécessaires à une bonne sécurité, SIARS?.ÜDéfinir actions de sécurité et mettre en place des

expérimentations pilotes dans les laboratoires.


FonctionnementSites pilotes?FonctionnementSites pilotes?

ÜUtiliser les compétences des laboratoires.ÜMettre en œuvre la solution en grandeur réelle.

« dans la vraie vie du vrai monde » (BernardPerrot auteur contemporain).

ÜBénéficier d’un retour d’expérience de la partdes utilisateurs et des administrateurs.


FonctionnementMoyens pour les sites pilotesFonctionnementMoyens pour les sites pilotes

ÜSupport technique.ÜMoyen matériel : financement des prototypes

demandé à l’IN2P3.


Actions pour la sécuritéActions pour la sécurité

Ü 1 - Filtrage.Ü 2 - Segmentation / Firewall.Ü 3 - Proxy.Ü 4 - Surveillance : journalisation, audit.Ü 5 - Virus : filtrage amont.Ü 6 - Infrastructure à Gestion de Clef.Ü 7 - Gestion centralisée des comptes.Ü 8 - Charte informatique.


1 - Filtrage « tout sauf »sur tout ou partie du réseau1 - Filtrage « tout sauf »sur tout ou partie du réseau

Routeurfiltrant

Réseau labo

telnetd : 23 printer : 515

Port <1024 = mode privilégié

ÜPourquoi filtrer?

telnet isnothere.in2p3.frslpr isnotbad.in2p3.fr

isnothere isnotbad


1 - Filtrage « tout sauf »sur tout ou partie du réseau1 - Filtrage « tout sauf »sur tout ou partie du réseauÜBuffer overflow et exécution de code arbitraire :

– Hypothèse : le serveur ne teste pas la taille d’unargument que le client lui passe.

– Le client lui passe un argument beaucoup trop long,dont la fin va écraser une zone de code.

– Ce code sera exécuté il a été établi par le client!– Si le processus serveur tourne en mode privilégié le

client aura bientôt le contrôle de la machine..


1 - Filtrage « tout sauf »sur tout ou partie du réseau1 - Filtrage « tout sauf »sur tout ou partie du réseau

ÜFiltrage des ports inférieurs à 1024 par défaut, àl ’exception de quelques ports sur quelquesmachines.

ÜSécurise le réseau par rapport aux attaquestelles que LPRng (port 515):– Daemon lpr existant par défaut, exécuté en mode

privilégié, mais non utilisé depuis l’extérieur dans laplupart des cas.


1 - Filtrage « tout sauf »1 - Filtrage « tout sauf »

ÜCompatibilité avec l’interface de modification duDNS.– L ’interface de modification du DNS est utilisé pour

régler les filtres.– Il ne permet pas de limiter les réseaux extérieurs qui

peuvent accéder (filtrage par adresse source).


Ü Interface de modification du DNS

1 –Filtrage « tout sauf »1 –Filtrage « tout sauf »


1 - Filtrage « tout sauf »1 - Filtrage « tout sauf »Ü Nécessite un bilan des applications utilisées depuis et

vers l’extérieur.Ü Permet de ne pas avoir d’application de ce type ouverte

sans que l’administrateur ne soit informé.Ü Une bonne première étape avant la mise en place d’un

firewall.Ü Labo pilotes pour le filtrage par défaut des ports < 1024

Subatech, IPNO, IPNL; en deuxième semaine : LAL etCDF.





2 – Segmentation / « FIREWALL »Isoler tout ou partie du réseau2 – Segmentation / « FIREWALL »Isoler tout ou partie du réseauÜ« firewall » <–> filtrage niveau 3ÜTout ou partie? : Firewall en entrée ou

segmentation du réseau?– Difficile de mettre en place un Firewall en entrée de

site sans étape intermédiaire => segmentation.– Une grande partie des problèmes viennent de

l’intérieur => segmentation.


2 - Segmentation / FIREWALL2 - Segmentation / FIREWALL

Topologie : Routeurfiltrant

FIREWALL

Portables Libre service DMZ

…



Topologie visée : Routeurfiltrant

FIREWALL

Portables Libre service DMZ

…



ÜFiltres dans les routeurs gérés par le CCin2p3.ÜFirewall géré par les administrateurs du

laboratoire :– Permet le filtrage entre les zones.– Permet le filtrage par adresse source.



ÜCréation de zones pour :– Les portables.– Les machines libre service.– Les services administratifs.– DMZ.…



ÜTopologie pour segmenter :– Réseau commuté et VLANs.– Possibilité de rassembler toutes les machines

concernées sur un même segment.


2 - Segmentation / FIREWALL2 - Segmentation / FIREWALLÜVLAN par port :

– 7, 8, 10, 11, 12, 15 et 18 constituent un VLAN.– Attribuer un subnet aux machines correspondantes.– FW assure la communication entre le VLAN et le reste du réseau.

7 8 101112 15 18

FW

Prise salle de conférence



7 8 1112 15 18

FW

Prise salle de conférence

ÜVLAN :– Un VLAN sur plusieurs commutateurs.– Plusieurs VLANs sur un même port (18 sur le schéma).



ÜLes fonctions de FW (base LINUX) pourisoler le parc des portables :– Routage du trafic entre le le VLAN et le reste du réseau.– Filtrage :

– Exemple : utilisation du proxy http pour la salle de conf. :IP Source PORT Source IP Dest. PORT Dest.Salle de conf. >1024 W3CACHE 3128

– Journalisation : les informations d’adresse et port source,adresse et port destination sont loggées.

– Serveur DHCP :– Seules les adresses MAC déclarées sont autorisées.– Les adresses IP attribuées sont fixes pour la traçabilité des logs.



ÜConclusion :– Segmenter le réseau pour :

– Isoler les parties mal maîtrisées du réseau.– Diviser pour limiter l ’impact d ’une attaque.– Filtrer par adresse source.– Acquérir de l ’expérience avec les firewall.

– Labo pilotes pour segmenter :– CENBG : segmentation + NAT,– LPC Caen : firewall pour une expérience nomade.





3 - PROXY3 - PROXY

ÜProblématique :– Émergence de nouvelles applications : téléphonie

sur IP, vidéoconférence, qui sont (Netmeeting,Realplayer, VDOphone etc) basées sur des flux tcpou udp.

– Comment déployer ces applications au travers unfirewall?


3 - PROXY3 - PROXY

ÜComment déployer ces applications au traversun firewall?– Ouvrir les ports nécessaires? autant de trous de

sécurité.– Mettre en place un proxy qui assure l’authentification,

et relaye l’application jusqu’à la machine locale.


3 - PROXY3 - PROXY

ÜTopologie :Routeurfiltrant

FIREWALL

DMZ

PROXY telnet

Serveur tel.exemple.com

Client telnet socksifiételnet tel.exemple.com

Ne voit que le proxy telnet23

1080

1555


3 - PROXY3 - PROXY

ÜSOCKS protocole pour développer desapplications client –serveur qui utilisent lesservices d’un firewall sans dégrader lasécurité.

ÜSOCKS V5 : RFC 1928.ÜSOCKS V5 : supporte l’UDP.


3 - PROXY3 - PROXYÜ Implémentations du protocole Socks

– e-border : http://www.socks.nec.com– version commerciale : e-border– version gratuite : « socksV5 reference implementation. »

– Dante : http://www.inet.no/dante– Licence BSD/CMU (sources).

– Applications socksifiées :– ftp, telnet : sous UNIX, librairies dynamiques socksifiées.– Netscape : support natif de socks.


3 - PROXY3 - PROXY

ÜTIS (Trusted Information System).– Passerelles applicatives pour :

– ftp, telnet, rlogin, X11, NNTP.

– Serveur d’authentification :– Passwd, S/Key, SecurID.


3 - PROXY3 - PROXY

ÜProposition d’expérimentation :– Pré requis : existence d’une zone dans le réseau,

par exemple le parc des machines libre service.– Mettre en œuvre un Proxy http, ou ftp avec socks,

ou TIS (ou autre!).


3 - PROXY3 - PROXY

ÜConclusion :– Firewall : point d ’entrée obligé,– Proxy : point de sortie obligé!





4 - Surveillance : journalisation4 - Surveillance : journalisation

ÜMise en place d’un outil d’acquisition etd’analyse des logs en entrée d’un site.

ÜEn cas d’intrusion : analyse à posteriori.– Actuellement limité par les logs routeurs :

– 4000 entrées/20mn.– Manque : port source, port destination.



1

2

RouteurÜPort monitoring :– Le trafic en entrée du réseau

arrive sur le port 1 ducommutateur, il est dupliquépar le commutateur vers lamachine de surveillance.

Station de surveillance

Commutateur



ÜGénération d’alarmes.– Détection de scans.– Trafic exceptionnel vers ou depuis une machine.

ÜLa CNIL :– Transparence et proportionnalité.


4 - Surveillance : audit.4 - Surveillance : audit.

Ü SNORT (sniffer basé sur libpcap):– http://www.snort.org licence GPL.– Détection de scan orienté réseau (parc).– Détection d’empreintes dans les paquets.

– Napster, exploit, backdoor, ddos, dos, dns, netbios, webcgi, sql…

– Système de règles (écrites à partir de la signature del’ attaque).

Ü Permet de surveiller le trafic pour adapter les règles defiltrage.


4 - Surveillance : audit4 - Surveillance : audit

ÜAudit sécurité avec nessus :– www.nessus.org– Renaud Deraison

ÜStation d ’audit nessus au CC?


4 - Surveillance : journalisationet audit.4 - Surveillance : journalisationet audit.

ÜConclusion :– Journalisation et audit : prévenir les intrusions et

faire évoluer la politique de sécurité au cours dutemps.

– Sites pilotes : Subatech, LPC Clermont, ISN.





5 - Virus : filtrage amont5 - Virus : filtrage amont

ÜObjectifs :– Décrire ce que permet la technique.– Évaluer s’il y a un besoin pour ce type d’outils dans

l’in2p3.– Étudier ce qui peut être fait dans notre contexte en

tenant compte du problème de la confidentialité de lacorrespondance privée (jugement récent del’« affaire » ESPCI).



ÜPrincipe :– le flux de messages est dérouté depuis sendmail

vers un antivirus,– les champs MIME du message sont séparés,– les attachements sont décompactés



ÜPrincipe :– Une analyse des virus est effectuée comme avec un

antivirus classique :– base de signatures (plusieurs millions de signatures).– base de comportements : "exécution sous contrôle"

(plusieurs dizaines de milliers de comportements).



ÜPrincipe :– Si un virus est détecté, différentes actions sont

possibles :– suppression du virus et envoi du mail,– destruction du mail et envoi d'un mail au destinataire et à

l'expéditeur, envoi d'un mail à l'administrateur etc..



Ü Implémentations :– AMAVIS a mail virus scanner :

– http://www.amavis.org– Exemple de mise en œuvre : ENS Paris.w http://www.spi.ens.fr/beig/amavis.htmlw Problème des mails diffusés à tout l ’organisme.

– Solution commerciale : Trend Micro– Coût : Avec une solution commerciale comme celle de

Trend Micro le coût est de 25F/utilisateur soit 5000F pourun laboratoire de 200 personnes.



ÜConclusion :– Filtrage amont des Virus ou violation de la

correspondance privée?





6 - Infrastructure à Gestion deClefs6 - Infrastructure à Gestion deClefs

ÜHistorique :– DATAGRID, globus.

– Certificats pour authentifier les machines et lesutilisateurs de la grille.

– Création d ’une Autorité de Certification Test pourl ’IN2P3.


6 - Infrastructure à Gestion deClefs6 - Infrastructure à Gestion deClefs

ÜAutres applications des certificats :– Authentification pour l’accès à des zones restreintes

d’un serveur Web.– Signature de messages : chiffrement de l ’empreinte

MD5 du message avec la clef privée de l ’expéditeur.– Chiffrement de messages : même l’administrateur du

système ne peut pas le lire.





7 - Gestion centralisée descomptes utilisateurs.7 - Gestion centralisée descomptes utilisateurs.

ÜL'objectif est de permettre une meilleure gestiondes comptes utilisateurs, avec la fermeturerapide des comptes des utilisateurs qui quittentun labo.

ÜEt pourquoi pas un identifiant unique pourl ’IN2P3?



ÜLe CC a un produit, basé sur oracle, qui pourraitêtre adapté à un laboratoire.

ÜL'IPNO a également proposé de travailler surune solution commune axée sur la gestion dupersonnel.

ÜA l'ISN un groupe de DESS a développé uneapplication MySQL pour gérer les utilisateurs etles machines.


7 – Gestion centralisée descomptes utilisateurs.7 – Gestion centralisée descomptes utilisateurs.

Ü Schéma relationnel de la base ISN utilisateurs et machines :

MachineNumSérie

NomModele

TypeDateAchat

DureeGarantieNumFnr

NumPieceBatiment

Localisation

FournisseurNumFnr

NomAdresse

CPVille

TelephoneFaxMail

TelephoneSAVFaxSAVMailSAV

CompteNumPers

LoginPassword

NumSerieMUidGid

NumDisqShell

HomeDirCommentaire

DisqueNumDisqChemin

NumSérieM

MachResNumSérie

NumMachineNumReseauNumPrise

DNSEthernetAdEth

RéseauNumReseau

MasquePrise

NumPriseNumPieceBatimentDebitRes

SwitchNumPort

Type

PriseBrasSwitch

NumPort



ÜDéclaration à la CNIL?



ÜConclusion :– Généraliser un outil commun pour gérer les

comptes utilisateurs?





8 – Charte informatique8 – Charte informatique

Ü Mise à jour de la charte– rapport de la CNIL sur la cyber surveillance des salariés

http://www.cnil.fr/thematic/docs/entrep/cybersurveillance.pdf– Informatique et traçage,– Limites du contrôle :w Transparence,w Proportionnalité,w Discussion collective.

– Jurisprudence.


8 – Charte informatique8 – Charte informatique

ÜTransparence.– Liste des traces (logs).– Durée pendant laquelle les sauvegardes sont

conservées.

ÜProportionnalité.ÜDiscussion collective.

– Amendement de la charte par les représentants dupersonnel.


Conclusion :Conclusion :

ÜLa politique de sécurité doit évoluer pourprécéder, sinon suivre, l’évolution destechniques de piratage.

Ü Il faut ajuster les droits avec les besoins : unemachine qui n’est pas serveur d’impression n’apas besoin d’être accessible sur le port lpr.

ÜExpérimenter de nouveaux outils et mettre encommun les connaissances.

Documents

Tendances de la sécurité informatique à l’IN2P3. Actions ... · –Le nombre de cibles augmente : exemple du passage du TX au PC LINUX comme poste de travail. –La tendance