Julien Bourgeois Professeur des Universités - Département

Julien BourgeoisProfesseur des Universités - Département R&T

IUT Belfort-Montbéliard - Francetél : 03 81 99 47 75

e-mail : [email protected]

Network Intrusion Detection de Stephen Northcutt et Judy Novak, New riders

www.cert.org www.securityfocus.com Hardening Cisco Routers, Thomas Akin,

O’Reilly Stratégie Anti-hacker Designing Network Security, Merike Kaeo,

Cisco Press MISC Renaud bidou, « Security training »

2

http://www.cert.org/

http://www.securityfocus.com/

Restons modestes :◦ Sécurité est un sujet énorme◦ Impossible à aborder en un cours◦ Complexe car connaissance très pointue dans

différents domaines Réseau

Administration

Cryptographie

…

3

Sécuriser un réseau◦ Sécuriser les locaux

◦ Sécuriser les postes de travail

◦ Sécuriser les serveurs

◦ Sécuriser les applications

◦ Sécuriser l’accès internet

◦ Sécuriser l’accès distant

◦ Sensibilisation des personnels

4

Définir une politique de sécurité

Se donner les moyens de l’appliquer :◦ Techniques

◦ Humains

◦ Organisationnels

5

Objectifs de ce cours

Principes de sécurité

Sécurisation de l’accès Internet

La translation d’adresses

Le filtrage

Les serveurs AAA

Les réseaux publiques virtuels (VPN)

Conclusion

6

Sécurité = contraintes

Concertation avec les employés

Evaluation des risques

Apporter des réponses à la mesure des risques

Définir une politique de sécurité

La sécurité est un processus continu

7

8

Politique

De

Sécurité

Sécuriser

Superviser

Tester

Améliorer

Routeur filtrant

Firewall ou garde-barrière ou pare-feu

Dispositif de détection d’intrusions (IDS)

Dispositif de prévention d’intrusions (IPS)

Serveur AAA

Serveur de log

9

1969 : Naissance d’internet

1970 : Naissance du phreaking (Captain Crunch)

1983 : Première arrestation du FBI pour cybercrime, les 414s

1983 : Début de renforcement des lois US

1986 : 500 réseaux sont connectés, premier vaste incident de sécurité identifié par Cliff Stoll

1988 : The Morris Worm -> 10% des ordinateurs US sont stoppés en même temps, c’est le premier vers

10

1988 : Création du CERT CC et de FIRST

1989 : Diffusion du vers WANK/OILZ

1994 : Premier logiciel de sniffing

1995 : Arrestation de Kevin Mitnick par le FBI◦ 5 années de prison dont 4 et ½ en isolement

1998 : CIH (Chen Ing Hau) se répand en vidant la mémoire flash des ordinateurs

1998 : Hao Jinglong et Hao Jingwen dérobent$87.000 à une banque -> condamnés à mort

11

2000 : Mafiaboy rend inaccessible Yahoo, eBay, Amazon.com, CNN et d’autres -> 8 mois de détention

19/07/2001 : Code Red II, infecte 359.000 serveurs dans le monde en moins de 14h

12

2000 : Mafiaboy rend inaccessible Yahoo, eBay, Amazon.com, CNN et d’autres -> 8 mois de détention

19/07/2001 : Code Red II, infecte 359.000 serveurs dans le monde en moins de 14h

13

14

1. Newbies : Peu de connaissances techniques.

2. Lamers : Newbies ayant trouvé quelques outils et qui les utilisent. Pensent être des hackers.Ennuyeux

3. Script kiddies : Sont capables d’utiliser des attaques automatiques. Dangereux quand les attaques sont à jour.

4. Hackers : Création d’attaques basées sur leurconnaissances. Très dangereux.

5. Gurus : Développent de nouvelles techniques d’intrusion. Mortels.

15

1. Hacking : Intrusion des réseaux et des systèmes (DoS, social engineering, virus, vers, malwares, backdoors etc. )

2. Phreaking / Boxing : Hacking des lignes téléphoniques.

3. Cracking : Piratage de logiciels (reverse engineering, warez)

4. Carding : Piratage de cartes à puces (cartes de crédit, téléphone, TV, etc.)

Communauté électronique◦ Création de groupes avec les BBS (the inner circle, l0pht

heavy industry, hack4girlz, Theso …)◦ Magazines (phrack + magazines éphémères…)◦ Mailing Lists (bugtraq, …)

Lieux de rencontre◦ Cons (DefCon, HoHoCon, PumpCon…)◦ Autres conférences (CCC Camp, HAL, BlackHat, PH-

Neutral …)

Pas de chefs mais des gourous◦ Issus du passé : Aleph One, Wietse Venema, Steve

Bellovin, Alec Muffet◦ Nouvelle génération : Fyodor, Ron Gula, The Hobbit,

Renaud Deraison, Mudge

16





Le filtrage

Les serveurs AAA


17

Principal moyen de connexion avec l’extérieur Protection des systèmes informatiques contre

ces personnes

Evaluation difficile du nombre d’intrusions◦ Intrusions parfois non détectées

◦ Réticence des entreprises et administrations

18

19

0

1000

2000

3000

4000

5000

6000

7000

8000

9000

1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008

Vulnérabilités reportées et cataloguées par le CERT CC :

20

0

20000

40000

60000

80000

100000

120000

140000

160000

Incidents rapportés au CERT CC :

Attaques non-structurées

◦ Premiers essais de scripts kiddies

Attaques structurées

◦ Mise en œuvre de schémas complexes d’attaque

Attaques externes

◦ Par le biais d’internet

Attaques internes

◦ Avec des complicités internes ou depuis l’interieurdu réseau

21

Reconnaissance◦ Découverte, cartographie du réseau (systèmes,

services et vulnérabilités)

Accès à des ressources◦ Attaque afin d’obtenir des données ou de prendre

le contrôle d’un système.

Déni de service (Denial of Service, DoS)◦ Attaque endommageant le fonctionnement d’un

service proposé.

22

Vol, destruction ou corruption d'information

Déni de service

Mascarade d'identité

Rebonds

Utilisation frauduleuse de ressources

23

Dénis de service (DoS, Denial of Service)◦ Objectif : arrêt total ou partiel d’un service

◦ Différentes méthodes Exploitation d’une faille structurelle

Consommation de ressources

◦ Conséquences Perte de production

Dégradation d’image

Peut être utilisée dans le cadre d’attaques plus complexes

24

Prise de contrôle des systèmes◦ Objectif : gain de la maîtrise du système

◦ Méthodes Utilisation d’un accès utilisateur mal protégé

Exploitation de failles structurelles

Exploitation d’erreurs de programmation

Augmentation des privilèges

◦ Conséquences Dénis de service

Perte de confidentialité

Utilisation du système pour un « rebond »

25

Conséquences importantes◦ Vol de logiciels (IDSoftware, Valve)

◦ Vol de données (Valéo, Ghostnet, Greenpeace/EDF)

◦ Sites down (Yahoo, eBay, …)

◦ Utilisation de comptes bancaires

Conséquences limitées◦ Perte de ressource (Serveur pirate)

◦ Reconfiguration de matériel

◦ Utilisation de PC Zombie (Jeanson Ancheta)

400 000 PC, 5 ans prison, 3 ans liberté surveillée, 75 000 $

Réputation et image de marque◦ Perte de confiance (Microsoft)

26

Terminologie◦ Garde-barrière, firewall ou pare-feu

Sans firewall◦ Chaque machine a accès à toutes les machines

connectées et réciproquement

Avec firewall :◦ Point de passage obligé entre le réseau interne et

Internet

27

Dans la vie réelle◦ Un “firewall” (coupe-feu) est un matériau ignifugé

placé de manière à empêcher la propagation du feud’une partie à l’autre d’un bâtiment.

En réseau◦ C’est un appareil ou un groupe d’appareils qui

renforce le contrôle des paquets passante entre plusieurs réseaux

28

Tracer et auditer le trafic entre le réseau interne et le réseau externe

Contrôler ce même trafic

Faciliter l'administration en regroupant les opérations de surveillance et de contrôle

Contrôle des messages entrants (Spamming, virus)

29

Routeur filtrant

Firewall ou garde-barrière ou pare-feu (peut-être un routeur)

Dispositif de détection d’intrusions (IDS)

Serveur AAA

Serveur de log

30

Cisco PIX (501, 506E, 515E, 525 et 535) Checkpoint Firewall-1 Arkoon (A20, A200, A2000) Juniper (NetScreen, SSG) ZyXEL (ZyWALL) OpenBSD/Linux et netfilter

◦ Distrib spécialisée : SmoothWall, Endian, Pfsense, IPCop

… Ce sont des firewalls réseau, à ne pas

confondre avec les firewalls personnels !!!

31

Firewall à 2 interfaces (pas de DMZ)◦ Inside et outside

Sécurisation par niveaux de sécurité◦ Inside 100 et outside 0

Possibilité de VPN

Filtrage stateful

32

Mettre une adresse IP (pas de menu interface)

ip address nomInterface @IP netmask

Attention le PIX :◦ Ne répond pas au ping

◦ Ne laisse rien passer par défaut

33

34

Internet

Interface outside

Niveau de sécurité 0

Interface dmz1


Réseau local

Une connexion est autorisé si elle commence d’un niveau de

sécurité supérieur vers un niveau de sécurité inférieur

DMZ

Interface inside


Affichage de l’état de vos interfaces ◦ show interface

Affichage de tous les paquets ICMP ◦ debug icmp trace

Sniffeur intégré◦ capture nom_capture [access-list acl_name] [interface name]

◦ show capture nom_capture

Pour pinger l'interface interne :◦ management-access inside

◦ show management-access

35

Filtrage des paquets◦ Simple : Limite les échanges en se servant

d’informations statiques

◦ Stateful : Utilise pleinement les informations de connexions

Proxy◦ Intermédiaire de connexion entre le réseau privé et

internet

36

Routeur avec filtrage des paquets niveau 3

Filtrage des adresses suspectes

Filtrage de certains protocoles

Filtrage sur les destinations

37

DMZ

FTP

HTTP

Internet

Routeur avec filtrage niveau 3 et 4

Information de session

Risque de surcharge du routeur

38

DMZ

FTP

HTTP

Internet

Firewall avec filtrage niveau 3 et 4

Information de session

Risque de surcharge du firewall

Solution équivalente à un routeur

39

DMZ

FTP

HTTP

Internet


Firewall avec filtrage applicatif

Pas d’authentification forte

Pas de filtrage sélectif

Pas d’IDS, pas de log

40

DMZ

FTP

HTTP

Internet


Firewall avec filtrage stateful

Authentification

Filtrage sélectif

Détection des intrusions

41

DMZ

FTP

HTTP

Internet

IDS

AAA


Firewall UTM◦ Anti-virus◦ Anti-spam◦ Filtrage URL◦ IDS◦ VPN

Authentification Filtrage sélectif Détection des intrusions

42

DMZ

FTP

HTTP

Internet

IDS

AAA





Le filtrage

Les serveurs AAA


43

Adresses privées -> adresses publiques

Double objectif :◦ Protéger certaines machines

◦ Mais aussi économiser des IP publiques !

Protection car machines inaccessibles depuis l'extérieur directement

Economie car ces machines n'ont pas d'adresses publiques

44

NAT : Network Address Translation

NAT statique◦ Correspondance entre 1@ privée et 1@ publique

(serveurs)

Translation d'adresses dynamique◦ les @ publiques sont attribuées à la demande

(clients)

Par rapport à un pool d’adresses

Par rapport à un pool de ports (PAT)

Présence d’une table de correspondance

45

46

InternetRéseau local : adressage privé

192.168.100.0/24

DMZ : adressage privé

192.168.101.0/24Internet : adressage public

Entreprise dispose de 205.54.12.32/27

Table de translation

IP publiques

205.54.12.33

IP privées

192.168.100.1

Adresse source :

64.233.183.99

Adresse destination :

192.168.101.1

Port source :

52124

Port destination :

80

Adresse source :

64.233.183.99


205.54.12.33

Port source :

52124

Port destination :

80

Commande PIX static [(internal_if_name, external_if_name)]

{global_ip | interface} local_ip

Exemple du cas précédent static (inside, outside) 205.54.12.33 192.168.101.1

Créé une correspondance entre une adresse publique et une adresse privée

Attention, il faut filtrer les accès à cette adresse !

47

48

Internet

Internet : adressage public


Le NAT utilise .34 -> .40

Réseau local : adressage privé

192.168.100.0/24


IP publiques IP privées

64.233.183.99192.168.100.1

49

Internet





192.168.100.0/24

Adresse source :

192.168.100.1


64.233.183.99

Port source :

35020

Port destination :

80

Adresse source :

205.54.12.34


64.233.183.99

Port source :

35020

Port destination :

80


IP publiques

205.54.12.34

IP privées

192.168.100.1

50

Internet





192.168.100.0/24

Adresse source :

64.233.183.99


192.168.100.1

Port source :

52124

Port destination :

35020

Adresse source :

64.233.183.99


205.54.12.34

Port source :

52124

Port destination :

35020


IP publiques

205.54.12.34

IP privées

192.168.100.1

Autoriser l’accès au NAT nat [(if_name)] nat_id local_ip

Interdire l’accès au NAT nat [(if_name)] 0 [access-list acl_id ]

Définir les adresses à utiliser pour sortir global [(if_name)] nat_id global_ip-global_ip

[netmask global_mask]

51

Exemple précédent :

Autoriser l’accès au NAT nat (inside) 5 0 0

Définir les adresses à utiliser pour sortir global (outside) 5 205.54.12.34-205.54.12.40

netmask 255.255.255.224

52

53

Internet


Entreprise dispose d’une adresse :

205.54.12.41


192.168.100.0/24


IP publiques IP privées

64.233.183.99192.168.100.1

54

Internet


192.168.100.0/24

Adresse source :

192.168.100.1


64.233.183.99

Port source :

35020

Port destination :

80

Adresse source :

205.54.12.41


64.233.183.99

Port source :

2500

Port destination :

80


IP publiques

205.54.12.41

:2500

IP privées

192.168.100.1

:35020



205.54.12.41

55

Internet




192.168.100.0/24

Adresse source :

64.233.183.99


192.168.100.1

Port source :

52124

Port destination :

35020

Adresse source :

64.233.183.99


205.54.12.41

Port source :

52124

Port destination :

2500


IP publiques

205.54.12.41

:2500

IP privées

192.168.100.1

:35020

Exemple précédent :

Autoriser l’accès au NAT (si pas déjà fait) nat (inside) 5 0 0

Définir l’adresse à utiliser pour le PAT global (outside) 5 205.54.12.41 netmask

255.255.255.224

Ou utiliser l’adresse de l’interface global (outside) 5 interface

56

57

Internet



205.54.12.33


192.168.100.0/24


64.233.183.99192.168.100.1

IP publiques

205.54.12.33

:4662

IP privées

192.168.100.1

:4662

58

Internet




192.168.100.0/24

Adresse source :

64.233.183.99


192.168.100.1

Port source :

52124

Port destination :

4662

Adresse source :

64.233.183.99


205.54.12.33

Port source :

52124

Port destination :

4662


IP publiques

205.54.12.33

:4662

IP privées

192.168.100.1

:4662

Permet d’utiliser un serveur sans faire une translation complète

Sécurise mieux votre machine◦ Car un seul port est accessible

◦ Pas besoin d’ACL supplémentaires

59

show static◦ Affiche les translations statiques

show xlate◦ Affiche la table de correspondance

show xlate detail◦ Affiche la table de correspondance en détail

show xlate debug

60

Restreint la visibilité vis à vis de l'extérieur◦ Sauf pour le statique (NAT ou PAT)

◦ Sauf pour le dynamique

Sans effet pour une attaque interne

Permet en même temps d'économiser des adresses IP

61

62

Internetadressage

public

Réseau local en

adressage privé

192.168.100.0/24

Réseau local en

adressage privé

192.168.100.0/24





Le filtrage

Les serveurs AAA


63

64

==Si

alors…

Cet immeuble a 65535 portes

Et chaque porte représente un port de l’ordinateur

Si vous aviez la surveillance de cet immeuble, est-ce que vous laisseriez n’importe qui entrer par n’importe quelle porte ?

Si vous aviez la surveillance de la ville ?

65

Chaque port à un numéro

Liste des ports réservés et enregistrés :◦ http://www.iana.org/assignments/port-numbers

◦ 0-1024 -> réservés

◦ 1024-65535 -> enregistrés

De nombreux ports sont ouverts sur les machines clientes◦ netstat –abf (windows)

◦ netstat –ap (linux)

66

http://www.iana.org/assignments/port-numbers



HTTP ?

HTTPS ?

FTP ?

SSH ?

Telnet ?

Pop ?

Pops ?

Imap ?

Imaps ?

67

Ne concerne que les machines qui sontaccessibles depuis l’extérieur

Plusieurs niveaux de filtrage :◦ Filtrage simple des paquets (niveau 3)◦ Filtrage avec information de session (niveau 4)◦ Filtrage applicatif (niveau 5)◦ Filtrage par utilisateur

Niveaux complémentaires Complexité croissante -> compilation des filtres

68

Un filtre s’applique sur une interface

Un filtre a un sens (in ou out)

Règles :◦ Filtrage au plus tôt

◦ 1 filtre par sens et par interface

69

Rappel : ◦ « Une connexion est autorisée si elle commence

d’un niveau de sécurité supérieur vers un niveau de sécurité inférieur »

Donc toute connexion entrante est filtrée !

Les filtres ne concernent donc que les serveurs

70

Définition du filtre :access-list id [line line-num] {deny | permit} protocol

source_addr source_mask [operator port [port] | interface if_name ]

destination_addr destination_mask [operator port [port]]

[log [[disable | default] | [level]]] [interval secs]]

Application du filtre :access-group access-list in interface interface_name

71

Informations niveau 4 non suffisantes

Connexions TCP changeant de port

Suivi des numéros de séquence

Commandes permises (Ex. SMTP, HTTP)

Dernier paquet transmis ?

Nombre de connexions semi-ouvertes permises, etc.

72

Firewall est responsable du filtrage niv. 5

Filtrage appelé stateful, applicatif ou de contenu d’application

73

Authentification de l’utilisateur

Filtres personnalisés

Besoins :◦ Serveur AAA

◦ Firewall

◦ Echange AAA-Firewall lors de l’authentification

74





Le filtrage

Les serveurs AAA


75

Plusieurs méthodes possibles :◦ TACACS+

◦ RADIUS

◦ Kerberos

◦ Fortezza

◦ DCE

76

Développé pour les militaires (MILNET)

Repris et amélioré par CISCO

Basé sur TCP port 49

77

L ’authentification est générique (PPP PAP, CHAP, EAP, token, Kerberos, etc.)

Trois phases :◦ Client envoie un paquet START au serveur (type

d ’authentification + données)

◦ Serveur envoie un REPLY, authentification terminée ou pas

◦ Client envoie un CONTINUE avec les données nécessaires

78

L’autorisation détermine les droits de l’utilisateur authentifié ou non

Deux phases :◦ Client envoie un REQUEST

◦ Serveur envoie une RESPONSE

79

L’accounting ou comptabilité enregistre toutes les actions

Trois type d ’enregistrement :◦ start : le service commence

◦ stop : le service s ’arrête

◦ update : le service est toujours en utilisation

80

Développé par Livingston Enterprises Inc.

RFC 2058, 2059 Bases 1996

RFC 2138, 2139 modifications 1997

RFC 2865, 2866 modifications 2000

RFC 2548, 2618, 2619, 2620, 2621, 2809, 2867, 2868, 2869, 2882, 3162, 3575, 3576, 3579, 3580 ajouts (-> 09/2003)

81

Basé sur UDP

Ports ◦ 1812 -> Radius

◦ 1813 -> Radius accounting

82

Utilisateur envoie username/password au serveur

Réponse du serveur :◦ ACCEPT

◦ REJECT

◦ CHALLENGE -> plus d’information

◦ CHANGE PASSWORD

83





Le filtrage

Les serveurs AAA


86

Virtual Private Network

Réseau privé ◦ Un seul utilisateur du medium

Reseau privé virtuel◦ Plusieurs utilisateurs du médium mais mon canal de

communication est inaccessible aux autres

87

Avantages attendus◦ Réduction des coûts

◦ Augmentation mobilité

◦ Externalisation des activités

88

VPN peuvent intervenir à plusieurs niveaux

Le plus utilisé : VPN sur IP

Le protocole IPSec est le plus utilisé pour créer des VPNs, car :◦ Standard actuel

◦ Futur (IPv6)

89

Chiffrement (cryptage)◦ Symétrique (clé privée partagée)

◦ Asymétrique (clé privée + clé publique partagée)

Authentification◦ Connexions

◦ Données

Contrôle d’intégrité

90

Data Encryption Standard (DES), 56-bit.◦ Plus assez sûr !

Triple DES (3DES), 3 fois DES◦ Pas équivalent du tout à DES 168 bits

Advanced Encryption Standard (AES)◦ Dernier protocole normalisé

CAST◦ Moins sûr que 3DES mais plus rapide

91

92Source : IPSec VPN DesignBy Vijay Bollapragada, Mohamed Khalid, Scott Wainner

RSA (Rivest, Shamir, and Adleman)

Digital Signature Algorithm (DSA), authentification seulement

Diffie-Hellman (DH), utilisé par Internet Key Exchange (IKE) dans Ipsec

KEA (Key Exchange Algorithm)

93

94

Source : IPSec VPN DesignBy Vijay Bollapragada, Mohamed Khalid, Scott Wainner

Hashing Message Authentication Codes (HMAC)◦ MD5

◦ SHA-1

95

96

Basé sur le RFC2401 :

Protocoles de sécurité

Authentication header (AH)

Encapsulation security payload (ESP)

Gestion des clés

ISAKMP, IKE, SKEME

Algorithme de cryptage et d’authentification

97

AH est une en-tête

Authentification de l’émetteur

Contrôle d’intégrité du paquet

En-tête IP En-tête L4 Données

En-tête IPV4

En-tête IP AH Données

En-tête IPV4 + IPSec AH

En-tête L4

98

ESP est une en-tête

Chiffrement et intégrité des données

Anti-répétition des sessions

En-tête IP En-tête L4 Données

En-tête IPV4

En-tête IP ESP Données

En-tête IPV4 + IPSec ESP

En-tête L4 Trailer ESP

Chiffrement

Trois méthodes possibles :◦ ESP avec authentification

◦ ESP sans authentification, puis AH

◦ AH en premier puis ESP avec authentification

99

Security Association

A chaque relation unidirectionnelle est associée une SA

Fixe les opérations qu’IPSec doit appliquer aux datagrammes◦ Informations sur AH, ESP, anti-répétition, etc.

10

0

Problème de gestion des clefs privées◦ Génération, distribution, stockage

Manuelle

Automatique◦ IKE (Internet Key Exchange)

◦ ISAKMP (Internet Security Association and Key Management Protocol)

10

1

show crypto ipsec sa show crypto isakmp sa show crypto map show isakmp show isakmp policy

clear crypto IPSec sa—This command resets the IPSec SAs after failed attempts to negotiate a VPN tunnel. clear crypto isakmp sa—This command resets the ISAKMP SAs after failed attempts to negotiate a VPN tunnel.

debug crypto IPSec—This command shows if a client is negotiating the IPSec portion of the VPN connection. debug crypto isakmp—This command shows if the peers are negotiating the ISAKMP portion

10

2

Il n’y a pas de sécurité totale !◦ Définir les réactions quand un problème arrivera

◦ Limiter la propagation des risques

Trouver un compromis pour chaque situation : pas besoin d’IDS pour votre boulangère

Coûts conséquents pour mettre en place etentretenir la sécurité

10

4

Documents

Julien Bourgeois Professeur des Universités - Département