Sécurité des systèmes
informatiques répartis
Lionel Brunie
Institut National des Sciences Appliquées de Lyon
Lionel.Brunie@insa-lyon.fr
http://liris.cnrs.fr/lionel.brunie/version-francaise/cours-securite.html
Plan
• Problématique et concepts de base
• Types de risques : intelligence économique, « catastrophes », ,
« piratage » sécurité des systèmes informatiques
• Eléments méthodologiques
• Techniques de base : chiffrement, signature, certificats, authentification
• Outils pour la sécurité : pare-feux, analyseurs de trafic, testeurs de
réseaux
• Sécurisation des réseaux : VLAN, Ipsecure, VPN…
• Discussion
• Conclusion
Objectifs du cours
• A l ’issue de ce cours, vous ne « saurez »… presque rien :-(
• Mais vous aurez des idées sur… presque tout :-)
• Objectifs du cours :
– Introduction/sensibilisation à la problématique de la sécurité
– panorama des différentes composantes de cette problématique
– identification et maîtrise des concepts et techniques de base
• La vie après ce cours
– (ré-)étudier les « grands » algorithmes de cryptage et protocoles d’authentification/PKI/…
– en attendant la suite du cours sur les attaques réseaux, étudier quelques documents de
recommandation pour administrateurs
– étudier les technologies de sécurisation réseau : IPsec, VLAN, VPN…
– étudier des méthodes d’analyse de risques
– why not ? Procédures de tolérance aux catastrophes, survivabilité, gestion de la confiance,
mécanismes de réputation, « security patterns », marché des PKI, etc.
Plan
• Problématique et principes de base
• Types de risques : intelligence économique, « catastrophes »,
sécurité des systèmes informatiques
• Eléments méthodologiques
• Techniques de base : chiffrement, signature, certificats,
authentification
• Outils pour la sécurité : pare-feux, analyseurs de trafic,
testeurs de réseaux
• Sécurisation des réseaux : VLAN, Ipsecure, VPN
• Discussion
• Conclusion
Problématique
• L’entreprise évolue dans un milieu « hostile » :
– concurrence économique – espionnage économique
– gestion de ressources humaines (« traîtres » internes – ingénierie sociale)
– vandalisme (« pirates »)
– catastrophes climatiques : inondations, feux, tempêtes, tremblements de
Terre…
– environnement politique : actes de guerre, actes terroristes
– non-fiabilité des systèmes et logiciels informatiques
– …
• Mise en place indispensable d’une politique de prise
en compte des risques et de sécurisation du SI
Conséquences des risques
• Panne/Arrêt
• Diminution de la qualité de service
• Perturbation interne de l’entreprise
• Perte d’image
• Retard de la mise sur le marché d’un produit
• Fuite de technologie
• ...
Prise en compte des risques
• Evaluation des risques et de leur impact
• Evaluation des coûts de prise en charge
• 3 approches
– ne rien faire : protection trop chère pour le risque encouru
– s’assurer (prendre une police d’assurance)
– se protéger (attacher sa ceinture)
Classification des
données/risques
• Données vitales : logiciels clefs, plans de reprise, données
« maîtresses », données d’E/S critiques…
• Données essentielles : logs, historiques…
• Données importantes : documentations, données de test…
• Données utiles… quoique
Quelques principes de base (I)
• Mettre en place une politique globale de gestion des risques
• Séparer les fonctions
• Minimiser les privilèges
• Centraliser les changements
• Cerner les IHM - Contrôler et filtrer les E/S
• Mettre en place des plans de sauvegarde et de reprise
Quelques principes de base (II)
• Cibler les éléments vitaux/essentiels
• Utiliser des techniques de conception et de programmation
standardisées
• Monitorer l’ensemble des éléments de l’entreprise :
systèmes informatiques, réseaux, personnel (traçabilité)
• Informer et former les personnels
Plan
• Problématique et principes de base
• Types de risques : intelligence économique,
« catastrophes », sécurité des systèmes
informatiques
• Eléments méthodologiques
• Techniques de base : chiffrement, signature, certificats,
authentification
• Outils pour la sécurité : pare-feux, analyseurs de trafic,
testeurs de réseaux
• Sécurisation des réseaux : VLAN, Ipsecure, VPN
• Discussion
• Conclusion
Intelligence économique : la
nouvelle frontière de l’espionnage
• C’est la réalité
• Système informatique : protection classique
• Cibler les données stratégiques
• Point central : les ressources humaines
• Et si ca arrive ?
Tolérance aux catastrophes
• Plan de sauvegarde / plan de reprise
• Tout-tout-tout planifier !
• Le responsable informatique n’est qu’un des maillons : la gestion de
catastrophes dépend directement de la DG
• Sauvegarde des données
• Sauvegarde des logiciels
• Procédures de reprise/informatique
– site de secours
– données de secours
– procédure de reprise
– rôle des personnes
– simulations grandeur réelle
« Piratage »
• Contrairement aux idées reçues, les « attaques »
viennent très majoritairement de l’« intérieur »
• Attaques « pures » vs spam
• Déplacement du piratage « pour le fun » vers du
piratage organisé voire mafieux
• Ex : « location de botnets »
Sécurité des systèmes informatiques :
propriétés OSI (I)
• Authentification
– authentification de l’entité homologue
– authentification de l’origine des données
• Contrôle d’accès / droits (autorisations)
• Confidentialité des données
– en mode connecté
– en mode non-connecté
– sur des champs spécifiques
– flux de données (observation)
Sécurité des systèmes informatiques :
propriétés OSI (II)
• Intégrité des données
– mode non-connecté (contrôle des données) / mode connecté
(données + ordre messages)
– avec reprise/sans reprise
– globale/par champ
• Non-répudiation (traçabilité)
– avec preuve de l’origine
– avec preuve de la remise
Plan
• Problématique et principes de base
• Types de risques : intelligence économique,
« catastrophes », sécurité des systèmes informatiques
• Eléments méthodologiques
• Techniques de base : chiffrement, signature, certificats,
authentification
• Outils pour la sécurité : pare-feux, analyseurs de trafic,
testeurs de réseaux
• Sécurisation des réseaux : VLAN, Ipsecure, VPN
• Discussion
• Conclusion
Système de management de la
sécurité de l’information (SMSI)
• Un SMSI est un ensemble d’éléments permettant à un organisme d’établir une
politique et des objectifs en matière de sécurité de l’information, d’appliquer
cette politique, d’atteindre ces objectifs et de le contrôler
• Le SMSI inclut donc au minimum :
– documentations
– méthode d’analyse des risques
– processus de sécurité mis en œuvre
– responsabilités
– ressources
– monitoring des activités liées à la sécurité
– liste documentée des évolutions apportées
• Exemples de norme : ISO 27002 (ex 17799 – bonnes pratiques), 13335
(management sécurité), 15408 (évaluation/certification sécurité)…
• Modèle PDCA : Plan-Do-Check-Act (roue de Deming) : planifier-mettre en
œuvre-surveiller-améliorer
Echelle de risque
Exemple : nucléaire
Source : DCSSI
Echelle de risque dans les SI
Source : DCSSI
Règles de défense (DCSSI)
Méthodologies
• Objectifs principaux :
– Disponibilité
– Intégrité
– Confidentialité
– Preuve
• Politique de sécurité
• Méthodes d’analyse de risques. Exemples :
– EBIOS : Expression des Besoins et Identification des Objectifs
de Sécurité (DCSSI)
– Mehari (CLUSIF)
Elaboration d’une politique de sécurité
d’un SI (PSSI) (DCSSI)
• CONVENTIONS D'ÉCRITURE
• PHASE 0 : PRÉALABLES
• Tâche 1 : organisation projet
• Tâche 2 : constitution du référentiel
• PHASE 1 : ÉLABORATION DES ÉLÉMENTS STRATÉGIQUES
• Tâche 1 : définition du périmètre de la PSSI
• Tâche 2 : détermination des enjeux et orientations stratégiques
• Tâche 3 : prise en compte des aspects légaux et réglementaires
• Tâche 4 : élaboration d'une échelle de besoins
• Tâche 5 : expression des besoins de sécurité
• Tâche 6 : identification des origines des menaces
• PHASE 2 : SÉLECTION DES PRINCIPES ET RÉDACTION DES RÈGLES
• Tâche 1 : choix des principes de sécurité
• Tâche 2 : élaboration des règles de sécurité
• Tâche 3 : élaboration des notes de synthèse
• PHASE 3 : FINALISATION
• Tâche 1 : finalisation et validation de la PSSI
• Tâche 2 : élaboration et validation du plan d’action
Analyse de risques : EBIOS (I)
Origines des
attaques
Vulnérabilités
Impacts
Entités
Eléments
Objectifs de sécurité
Exigences fonctionnelles Exigences d’assurance
EBIOS (II)
• ÉTAPE 1 – ÉTUDE DU CONTEXTE
– ACTIVITÉ 1.1 – ÉTUDE DE L'ORGANISME
– ACTIVITÉ 1.2 – ÉTUDE DU SYSTÈME-CIBLE
– ACTIVITÉ 1.3 – DÉTERMINATION DE LA CIBLE DE L'ÉTUDE DE SÉCURITÉ
• ÉTAPE 2 – EXPRESSION DES BESOINS DE SÉCURITÉ
– ACTIVITÉ 2.1 – RÉALISATION DES FICHES DE BESOINS
– ACTIVITÉ 2.2 – SYNTHÈSE DES BESOINS DE SÉCURITÉ
• ÉTAPE 3 – ÉTUDE DES MENACES
– ACTIVITÉ 3.1 – ÉTUDE DES ORIGINES DES MENACES
– ACTIVITÉ 3.2 – ÉTUDE DES VULNÉRABILITÉS
– ACTIVITÉ 3.3 – FORMALISATION DES MENACES
• ÉTAPE 4 – IDENTIFICATION DES OBJECTIFS DE SÉCURITÉ
– ACTIVITÉ 4.1 – CONFRONTATION DES MENACES AUX BESOINS
– ACTIVITÉ 4.2 – FORMALISATION DES OBJECTIFS DE SÉCURITÉ
– ACTIVITÉ 4.3 – DÉTERMINATION DES NIVEAUX DE SÉCURITÉ
• ÉTAPE 5 – DÉTERMINATION DES EXIGENCES DE SÉCURITÉ
– ACTIVITÉ 5.1 – DÉTERMINATION DES EXIGENCES DE SÉCURITÉ
FONCTIONNELLES
– ACTIVITÉ 5.2 – DÉTERMINATION DES EXIGENCES DE SÉCURITÉ
D'ASSURANCE
Plan
• Problématique et principes de base
• Types de risques : intelligence économique,
« catastrophes », sécurité des systèmes informatiques
• Eléments méthodologiques
• Techniques de base : chiffrement, signature,
certificats, authentification
• Outils pour la sécurité : pare-feux, analyseurs de trafic,
testeurs de réseaux
• Sécurisation des réseaux : VLAN, Ipsecure, VPN
• Discussion
• Conclusion
Techniques de base
• Chiffrement
• Authentification
• Signature numérique
• Contrôle d’accès
Chiffrement (I)
• Cryptographie (écriture cachée) Stéganographie (écriture couverte)
• Stéganographie : tête des esclaves, Lord Bacon (codage binaire de
caractères cachés), tatouage images (filigranes)
• Cryptographie : depuis l’Antiquité (César (alphabet décalé))
• Techniques de base
– décalages
– substitutions mono(poly)alphabétiques
– transpositions (permutations) arbitraires
– chiffrement par blocs de bits
• Cf. cours Marine Minier
• Cf. présentation Stefan Katzenbeisser “Large-Scale Secure Forensic
Watermarking -- Challenges and Solutions” (colloque MDPS’ 2008)
(et son livre “Information hiding : techniques for steganography and digital
watermarking”)
Un peu de culture (I)...
– George SAND :
– Je suis très émue de vous dire que j'ai
bien compris l'autre soir que vous aviez
toujours une envie folle de me faire
danser. Je garde le souvenir de votre
baiser et je voudrais bien que ce soit
là une preuve que je puisse être aimée
par vous. Je suis prête à vous montrer mon
affection toute désintéressée et sans cal-
cul, et si vous voulez me voir aussi
vous dévoiler sans artifice mon âme
toute nue, venez me faire une visite.
Nous causerons en amis, franchement.
Je vous prouverai que je suis la femme
sincère, capable de vous offrir l'affection
la plus profonde comme la plus étroite
en amitié, en un mot la meilleure preuve
que vous puissiez rêver, puisque votre
âme est libre. Pensez que la solitude oú j'ha-
bite est bien longue, bien dure et souvent
difficile. Ainsi en y songeant j'ai l'âme
grosse. Accourrez donc vite et venez me la
faire oublier par l'amour où je veux me
mettre.
Un peu de culture (II)...
– Réponse d'Alfred de MUSSET :
Quand je mets à vos pieds un éternel hommage
Voulez-vous qu'un instant je change de visage ?
Vous avez capturé les sentiments d'un cœur
Que pour vous adorer forma le Créateur.
Je vous chéris, amour, et ma plume en délire
Couche sur le papier ce que je n'ose dire.
Avec soin, de mes vers lisez les premiers mots
Vous saurez quel remède apporter à mes maux.
– Réponse finale de George SAND :
Cette insigne faveur que votre cœur réclame
Nuit à ma renommée et répugne mon âme.
• Voir aussi Sade...
Encore un peu de culture (Bacon)…
• C'est l'essaim des Djinns qui passe,
Et tourbillonne en sifflant.
Les ifs, que leur vol fracasse,
Craquent comme un pin brûlant.
Leur troupeau lourd et rapide,
Volant dans l'espace vide,
Semble un nuage livide
Qui porte un éclair au flanc.
Victor Hugo
Chiffrement (II)
• Chiffrement à clef secrète. Ex : le Data Encryption
Standard (DES) (IBM, 1975) :
– permutations classiques
– permutations avec expansion
– permutations avec réduction
– substitutions
– additions modulo 2 (OU exclusif)
Chiffrement (III)
• Chiffrement à clef publique/clef privée :
l ’algorithme de Rivest, Shamir et Adleman (RSA)
– problèmes arithmétiques NP-difficiles
– génération de 2 clefs : une clef publique et une clef privée :
• l’expéditeur code le message avec la clef publique du destinataire
• le message codé ne peut être décodé que si l’on dispose de la clef privée
• ou : codage clef privée expéditeur + clef publique destinataire ; puis double
décodage
• déduction de la clef privée à partir de la clef publique irréalisable dans un
temps acceptable
• Application :challenge-réponse
– RSA : fonction puissance et arithmétique finie (factorisation de grands
nombres)
Chiffrement (IV)
Authentification
et
confidentialité
From Chassande-Daroux
Echange de données à l’aide de clefs publiques
1) F demande la Clé Publique de D
2) S envoie la Clé Publique de D à F
Serveur d’authentification
Annuaire 3) F génère un nombre aléatoire, IdF, et
lance un « challenge » à D :
(Clefs Publiques de F & D…) « Décrypte mon message M1(IdF)
crypté avec ta clef publique et renvoie
IdF pour me le prouver ! »
4) D décrypte M1 et demande à S la Clé
S Publique de F
1 5) S envoie la Clé Publique de F à D
4
2 5 6) A son tour D lance un « challenge » à F:
« Décrypte mon message M2(IdF, IdD)
crypté avec ta clef pub. et renvoie IdD ! »
3 M1 7) F décrypte M2 et renvoie M3(IdD) à D
6 M2 pour lui montrer qu’il y est arrivé
7 M3
8) F et D peuvent maintenant dialoguer,
éventuellement en créant une Clé de
8
F D session privée à partir de (IdF, IdD)
From Chassande-Daroux
Echange de données à l’aide d’une clef secrète (I)
Protocole de Needham – Schroeder
1) F demande une Clef de Session pour
(simplifié) pouvoir parler avec D
2) S envoie à F le message M1 crypté par
Serveur d’authentification – la Clef Secrète de F :
Annuaire
M1 = [CSFD ; (CSFD)CPD]CPF
(Clés Secrètes de F & D)
où CPF (resp. CPD) = clef secrète (privée) de F (resp. D)
et CSFD = clef de session
3) F décrypte M1 et lance un «challenge» à D:
« Décrypte le message M2=[(CSFD)CPD] et
1 S renvoie un Id crypté par CSFD »
2 M1 4) D décrypte M2 et lance un «challenge» à F:
« Décrypte mon message M3=[(Id)CSFD] et
3 M2 renvoie Id-1 »
4 M3 5) F décrypte M3 et renvoie M4=[(Id-1)CSFD]
5 M4
6) F et D, sûrs l’un de l’autre, peuvent
6
désormais s’envoyer des messages avec
F From Chassande-Daroux D la Clef de Session CSFD
Echange de données à l’aide d’une clef secrète (II)
Protocole de Needham – Schroeder
Serveur d’authentification –
Annuaire
(Clés Secrètes de F & D) Attention : protocole sensible aux attaques
de type « Rejeu » : si la clef de session est
compromise, un attaquant peut « rejouer »
le challenge sans que D ne puisse s’en
rendre compte.
1 S
Solution : estampille ou Id unique (« nonce »)
2 M1
3 M2
4 M3
5 M4
6
F From Chassande-Daroux D
Signature numérique et certificats
• Les certificats sont délivrés par des autorités de certification
• Champs de base d’un certificat :
– clef publique du propriétaire
– nom propriétaire
– TTL (date limite de validité)
– nom de l’autorité
– n° de série du certificat
– signature de l’autorité de certification (et algo de signature utilisé)
• Document haché (empreinte (SHA, Whirlpool…)) puis encrypté avec la
clef privée du propriétaire-signataire => signature
• Authentification : comparaison des empreintes
• Certificat d’un acteur réseau : nom, clef publique pour l’échange de clefs,
clef publique pour la signature, n°, infos autres, TTL, signature de
l’autorité
• Standard UIT : X509
• Infrastructures de clefs publiques (PKI) ; PGP/GPG
PKI – (Mauvais !)Exemple
Rqs : préférable
AC pas sur Internet !
Source : sécuritéinfo
IGC - PKI
• Entité Finale (EE : End Entity)
• Autorité/opérateur de Certification (AC ou CA) - Service de validation
– Délivre et signe des certificats
– Joue le rôle de tiers de confiance
– Opérateur de certification : travaille par délégation de l’AC
– Service de validation : vérification des certificats, via, par ex., la publication de listes
de révocation (CRL : Cert. Revoc. List))
• Autorité d'Enregistrement (AE ou RA)
– Réception et traitement des demandes de création, renouvellement, révocation de
certificats
• Autorité de Dépôt (Repository) /Annuaire de publication
– Affichage des certificats et des listes de révocation
• Autorité de Séquestre
– Archivage des couples de clefs privée/publique (cf. perte clef privée => données
cryptées perdues)
– Sécurité nationale : obligations légales
• Certification croisée/hiérarchique
Authentification : Kerberos
• DES based
• Init : connexion (mdp ou non), récupération clef de session Kg et ticket
(avec TTL) (encrypté avec mdp) ; envoi d’une copie de la clef de session au
Ticket granting server (TGS) (cryptage clef partagée par Kerberos et TGS)
• Accès service : requête au TGS (ticket, nom du service, paramètres
service) cryptée clef de session Kg ; si OK, retour par le TGS d ’un ticket de
service encrypté avec une clef partagée Kp par le TGS avec le serveur +
clef de session spécifique Ks ; le tout est crypté par la clef de session
globale Kg ; enfin, envoi par l’utilisateur au service du ticket de service
(contenant Ks) encrypté par Kp + authentificateur (estampille...) crypté avec
Ks
• Envoi des données : cryptage avec Ks.
• Rq : il existe beaucoup de variantes !!!
Protocole Kerberos simplifié
« Kerberos » : Serveur de clefs
Ktgs : clef partagée Kerberos/TGS
Kg : clef de session entre client et TGS
1- connexion (mdp)
client Kerberos TGS
2- [Kg]mdp 2- [Kg]Ktgs
5- [ticket]Kp
+ [auth]Ks
3- [req]Kg
4 - [[ticket]Kp + Ks]Kg
Serveur
ticket : contient Ks
Ks : clef de session client/serveur
6- récupération Ks Kp : clef partagée TGS/serveur
vérif auth
Protocole Kerberos (un peu moins) simplifié
« Kerberos » : Serveur de clefs ticket1 : contient Kg
Kc : clef partagée Kerberos/client ticket2 : contient Ks
Ktgs : clef partagée Kerberos/TGS Ks : clef de session client/serveur
Kg : clef de session entre client et TGS Kp : clef partagée TGS/serveur
1- connexion (mdp) + req
client Kerberos TGS
2- [Kg+ [ticket1]Ktgs]Kc
5- [ticket2]Kp
+ [auth]Ks
3- [ticket1]Ktgs
4 - [[ticket2]Kp + Ks]Kg
Serveur
6- récupération Ks
vérif auth
Plan
• Problématique et principes de base
• Types de risques : intelligence économique, « catastrophes »,
sécurité des systèmes informatiques
• Eléments méthodologiques
• Techniques de base : chiffrement, signature, certificats,
authentification
• Outils pour la sécurité : pare-feux,
analyseurs de trafic, testeurs de
réseaux
• Sécurisation des réseaux : VLAN, Ipsecure, VPN
• Discussion
• Conclusion
Firewalls : usage
• Data encryption
• Access control : usage restriction on some protocols/ports/services
• Authentication : only authorized users and hosts (machines)
• Monitoring for further auditing
• Packet filtering
• Compliance with the specified protocols
• Virus detection
• Isolation of the internal network from the Internet
• Connection proxies (masking of the internal network)
• Application proxies (masking of the « real » software)
Firewalls : basics
• All packets exchanged between the internal and the external
domains go through the FW that acts as a gatekeeper
– external hosts « see » the FW only
– internal and external hosts do not communicate directly
– the FW can take very sophisticated decisions based on the protocol
implemented by the messages
– the FW is the single access point => authentication + monitoring site
Firewalls : architecture (I)
servers
Exterior router Interior router Internal network
Outside world Firewall
DMZ
DeMilitarized Zone
Firewalls : architecture (I-bis)
servers
Exterior screening Interior Internal network
Outside world router screening router
DMZ
Screening router : includes a FW
Firewalls : architecture (II) :
merging exterior and interior
FW
servers
DMZ
Exterior/Interior Internal network
Outside world Firewall
Firewalls : architecture (III) :
merging exterior FW and
servers
External Firewall
+ Internal Firewall
Outside world Internal network
servers
DMZ
Bof…
Firewalls : architecture (IV) :
managing multiple
subnetworks
servers
Firewall
Internal
subnetwork A
Exterior Interior
Outside world
Firewall Firewall
Firewall
Backbone
Internal
DMZ subnetwork B
Firewalls : architecture (IV-bis) :
managing multiple subnetworks
servers
DMZ
Firewall
Internal
subnetwork A
Exterior/Interior
Outside world
Firewall
Firewall
Backbone
Internal
subnetwork B
Firewalls : architecture (V) :
managing multiple exterior FW
E.g. supplier
network Exterior
Firewall A
Exterior
Firewall B
Interior Firewall
Internal network
Internet servers
DMZ
Firewalls : architecture (VI) :
managing multiple DMZ
E.g. supplier
network DMZ A
Exterior Interior
Firewall A Firewall A
Servers A
DMZ B
Internal
network
Exterior Interior
Firewall B Firewall B
Servers B
Internet
Firewalls : architecture (VI-bis) :
managing multiple DMZ
E.g. supplier Servers A
network
DMZ A
Exterior/Interior
Firewall A
Servers B
DMZ B Internal
network
Exterior/Interior
Firewall B
Internet
Firewalls : architecture (VII) :
internal FW
servers
Internal network
Exterior Interior
Outside world Firewall Firewall Sensitive
area
Firewall
DMZ
Sensitive
area
Firewalls : architecture (VII-bis) :
internal FW
servers
DMZ Internal network
Exterior/Interior
Outside world Firewall Sensitive
area
Firewall
Sensitive
area
Firewalls : some
recommendations
• Bastion hosts
– better to put the bastions in a DMZ than in an internal network
– disable non-required services
– do not allow user accounts
– fix all OS bugs
– safeguard the logs
– run a security audit
– do secure backups
• Avoid to put in the same area entities which
have very different security requirements
Using proxies (I)
• Proxies can be used to « hide » the real servers
• Interior => Exterior traffic
– Give the internal user the illusion that she/he accesses to the exterior
server
– But intercept the traffic to/from the server, analyze the packets (check
the compliance with the protocol, search for keywords, etc.), log the
requests
• Exterior => Interior traffic
– Give the external user the illusion that she/he accesses to the interior
server
– But intercept the traffic to the server, analyze the packets (check the
compliance with the protocol, search for keywords, etc.), log the
requests
Using proxies (II)
• Advantage
– knowledge of the service/protocol => efficiency and « intelligent »
filtering
– Ex : session tracking, stateful connection
• Disadvantages
– one proxy per service !
– may require modifications of the client
– do not exist for all services
Static Network Address
Translation (NAT) (I)
xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy
From Arkoon Inc. tutorial
Static Network Address
Translation (NAT) (II)
• The FW maintains an address translation table
• The FW transforms, the address yyy.yyy.yyy.yyy in
xxx.xxx.xxx.xxx in the field « destination address » at the
network ingoing door
• The FW transforms, the address xxx.xxx.xxx.xxx in
yyy.yyy.yyy.yyy in the field « source address » at the
network outgoing door
• This operation is transparent for both the exterior and the
interior hosts
Applications
• Web server, mail….(traffic to Internet)
• Application server (hidden behind a FW)
• Host known/authenticated outside with a
specific address
• …
PAT : Port Address Translation (I)
From Arkoon Inc. tutorial
PAT : Port Address Translation (II)
• Connections are open from an exterior host
• Translation table
• Use of lesser public addresses
• Flexible management of server ports
PAT : Port Address Translation (III)
FW, @IP 'P'
U->P:80
U->IP1:80
IP1:80->U P:80->U
Web server
Web server U->P:81
@IP1, port 80
U->IP2:80 user, @IP'U'
P:81->U
IP2:80->U
Web server
@IP2, port 80 Translation Table @IP « P »
port 80 → @IP1 : port 80
port 81 → @IP2 : port 80
From Arkoon Inc. tutorial
Masking (I)
From Arkoon Inc. tutorial
Masking (II)
• Connections are open by internal hosts
• Dynamic connection table (IP address + source
port number)
• One single address is known outside (the FW
address)
• Spare IP addresses
FW, @IP 'M'
Arkoon, @IP 'M'
1:1025->W M:10000->W
W->M:10000
W->1:1025
M:10001->W
user
2:1025->W
@IP1 W->M:10001
Web server
W->2:1025 @IP'W'
M:10000->W2
2:1026->W2
W2->2:1026 W2->M:10000
user
@IP2
Translation table @IP « M » Web server
@IP 'W2'
1:1025(10000)->W
2:1025(10001)->W
2:1026(10000)->W2 From Arkoon Inc. tutorial
Hacking… and security tools (I)
• Network auditing (probing)
– Checks if the network presents security weaknesses (accessible ports,
badly configured services, etc.)
• Network/Host Intrusion Detection Systems (NIDS/HIDS)
– NIDS can be put before the FW, on the DMZ, on the internal network
– NIDS are based on intrusion signatures and statistics (abnormal
behavior)
– HIDS on sensitive hosts e.g. bastions, application servers
Hacking… and security tools (II)
• Sniffers : traffic snooping
• Packet filtering tools
• Proxy service tools
• Firewall toolkits
• Reference sites : CERT (CMU), COAST (Perdue Univ.),
UREC (French, CNRS), CRU (French, MEN)…
Plan
• Problématique et concepts de base
• Types de risques : intelligence économique, « catastrophes »,
sécurité des systèmes informatiques
• Techniques de base : chiffrement, signature, certificats,
authentification
• Outils pour la sécurité : pare-feux, analyseurs de trafic,
testeurs de réseaux
• Eléments méthodologiques
• Sécurisation des réseaux : VLAN, Ipsecure, VPN
• Discussion
• Conclusion
Réseaux virtuels (VLAN)
• Limiter les domaines de diffusion - Gestion de la bande passante
• Garantir la sécurité ; isolation
• Permettre la mobilité des utilisateurs
• Idée : créer des réseaux logiques
• VLAN = niveau 2 OSI (couche liaison)
– ensemble d’adresses MAC (niveau 2) : MAC address based VLAN
– ensemble de ports physiques (commutateurs (« switches »))/segments
(« trunks » : liaisons entre commutateurs/routeurs) : port-based VLAN
– possibilité de filtrage de protocoles : protocol based VLAN
– sous-réseau fondé sur des règles (ex : login)
• IP subnet = sous-réseau protocolaire (IP) (niveau 3)
• Souvent identification VLAN – IP subnet
• « Tagging » : modification de l’en-tête des paquets (norme 802.1Q)
IPsec(ure)
• Internet Security protocol, intégré à IPv6
• Objectifs : sécuriser les trames IP :
– Confidentialité des données et protection partielle contre l'analyse du trafic
– Intégrité des données
– Authentification des données et contrôle d'accès continu
– Protection contre le rejeu
• Principes : ajout de champs d’authentification dans l’en-tête IP, cryptage
des données, hachage d’intégrité
• 2 modes :
– Transport : sécurité de bout en bout (jusqu’aux hôtes)
– Tunnel : sécurité entre les 2 domaines
• Avantage : sécurisation niveau réseau (couche OSI 3)
• Inconvénients : coût, interfaces complexes avec les autres protocoles
• IPsec peur être utilisé pour créer des VPN
Virtual Private Network (VPN) (I)
• Interconnection of disseminated LANs
• LANs are interconnected by « tunnels »
• Data encryption, integrity, authentication
• IPsec, PPTP (Point to point Tunneling Protocol),
SSL/TLS…
• Packets are encrypted when they leave a LAN and
decrypted when they enter a LAN
Virtual Private Network (VPN) (II)
• Mobility
– Users connected by modem/ISP can be granted an access to the VPN
(VPN client on their host + dynamic assignment of a VPN domain IP
address)
• Advantages
– transparency
– security
– cost
– availability of Internet
• Disadvantage
– all LANs must be secured (global security)
Plan
• Problématique et concepts de base
• Types de risques : intelligence économique, « catastrophes »,
sécurité des systèmes informatiques
• Eléments méthodologiques
• Techniques de base : chiffrement, signature, certificats,
authentification
• Outils pour la sécurité : pare-feux, analyseurs de trafic,
testeurs de réseaux
• Sécurisation des réseaux : VLAN, Ipsecure, VPN
• Discussion
• Conclusion
Politique de sécurité : finalités
(recommandations du SCSSI)
• Sensibiliser aux risques pesant sur les systèmes d'information et
aux moyens disponibles pour s'en prémunir
• Créer une structure chargée d'élaborer, de mettre en œuvre des
règles, consignes et procédures cohérentes pour assurer la sécurité
des systèmes informatiques
• Promouvoir la coopération entre les différents services et unités de
l'établissement pour l'élaboration et la mise en œuvre des règles,
consignes et procédures définies
• Susciter la confiance dans le système d'information de
l'établissement
• Faciliter la mise au point et l'usage du système d'information pour
tous les utilisateurs autorisés de l'établissement
Rien ne sert… (CRU)
• de se payer un super coffre-fort pour protéger quelques pacotilles
et de laisser l'accès libre à une cave emplies de grands crus
classés !
on se trompe d'objectif
on se sait pas ce qu'il faut réellement protéger
• de construire des remparts à la Vauban pour se protéger de
l'aviation !
cela montre que l'on ne sait pas d'où peuvent venir les attaques
• d'utiliser un marteau pilon pour écraser une mouche !
disproportion des moyens avec ce qu'il faut protéger
la sécurité doit avoir un coût raisonnable
Rien ne sert… (suite)
• d'acheter une super porte blindée et d'oublier de fermer la fenêtre !
la sécurité est une chaîne : si un maillon est faible tout casse
une cohérence doit être assurée
et surtout la sécurité doit être vue globalement
• d'employer un (et un seul) « gourou prêchant des formules secrètes
» et de contraindre les enfants à assister aux offices
la sécurité doit être simple et comprise (un minimum) par tous
la convivialité ne doit pas trop en souffrir
suffisamment de liberté (ouverture) doit être accordée.
Some practical
recommendations
Plan
• Problématique et concepts de base
• Types de risques : intelligence économique, « catastrophes »,
sécurité des systèmes informatiques
• Eléments méthodologiques
• Techniques de base : chiffrement, signature, certificats,
authentification
• Outils pour la sécurité : pare-feux, analyseurs de trafic,
testeurs de réseaux
• Sécurisation des réseaux : VLAN, IPsecure, VPN
• Discussion
• Conclusion
Conclusion
• Sécurité = bon sens + sensibilisation + un peu de
technique
• Il existe des outils puissants mais aussi beaucoup de
trous de sécurité
• IP secure, VLAN, VPN, IDS, pare-feux, etc.
• Le facteur humain est central
• Nécessité d’une prise en compte globale au niveau de
l’entreprise