SSI - PowerPoint PPT Presentation

About This Presentation
Title:

SSI

Description:

rassembler le maximum d'informations sur le r seau cible : Adressage IP, Noms de domaine, Protocoles de r seau, Services activ s, ... (RPV ou VPN) serveur ... – PowerPoint PPT presentation

Number of Views:100
Avg rating:3.0/5.0
Slides: 86
Provided by: mgri150
Learn more at: https://doc.esaip.org
Category:
Tags: ssi

less

Transcript and Presenter's Notes

Title: SSI


1
SSI
  • IRT03
  • Mickaël Grisel

2
Plan
  • Déroulement dune attaque
  • Rendre impossible lintrusion
  • Le problème dextension des privilèges
  • Lutter contre la compromission
  • Surveiller les systèmes contre les portes
    dérobées et les rootkits

3
Schéma classique dune attaque
Collecte dinformations
Repérage des failles
Balayage
Intrusion
Compromission
Extension des privilèges
Nettoyage des traces
Porte dérobée
4
Recherche dinformations
  • La récupération d'informations sur le système
  • Préalable à toute attaque.
  • rassembler le maximum d'informations sur le
    réseau cible
  • Adressage IP, Noms de domaine, Protocoles de
    réseau, Services activés, Architecture des
    serveurs, etc.
  • Consultation de bases publiques
  • En connaissant l'adresse IP publique d'une des
    machines du réseau ou bien tout simplement le nom
    de domaine, on est potentiellement capable de
    connaître l'adressage du réseau tout entier
  • http//www.iana.net
  • http//www.ripe.net pour l'Europe
  • http//www.arin.net pour les Etats-Unis
  • Consultation de moteurs de recherche
  • informations sur la structure d'une entreprise,
    le nom de ses principaux produits, voire le nom
    de certains personnels.
  • Ingénierie sociale

5
Scanner le réseau
  • Balayage du réseau
  • déterminer quelles sont les adresses IP actives,
    les ports ouverts, et le système d'exploitation
    utilisé.
  • Exemple Nmap, reconnu comme un outil
    indispensable.
  • agit en envoyant des paquets TCP et/ou UDP à un
    ensemble de machines sur un réseau, puis il
    analyse les réponses.
  • Selon l'allure des paquets TCP reçus, il lui est
    possible de déterminer le système d'exploitation
    distant pour chaque machine scannée.
  • Les mappeurs passifs
  • n'envoient pas de paquets ils sont donc
    indétectable par les IDS.
  • Enfin, certains outils permettent de capturer les
    connexions X. Ce système a pour caractéristique
    de pouvoir utiliser l'affichage des stations
    présentes sur le réseau, afin d'étudier ce qui
    est affiché sur les écrans et éventuellement
    d'intercepter les touches saisies par les
    utilisateurs des machines vulnérables.
  • Lecture de bannières

6
Repérer les failles
  • Le repérage des failles
  • Les deux principaux scanneurs de failles Nessus
    et SAINT
  • certains organismes, en particulier les CERT
    (Computer Emergency Response Team), sont chargés
    de capitaliser les vulnérabilités et de fédérer
    les informations concernant les problèmes de
    sécurité.

7
Lintrusion
  • L'intrusion
  • Pour pouvoir s'introduire dans le réseau, le
    pirate a besoin d'accéder à des comptes valides
    sur les machines qu'il a recensées.
  • Pour ce faire, plusieurs méthodes sont utilisées
    par les pirates
  • L'ingénierie sociale.
  • La consultation de l'annuaire ou bien des
    services de messagerie ou de partage de fichiers,
    permettant de trouver des noms d'utilisateurs
    valides
  • Les attaques par force brute.

8
Extension des privilèges
  • Extension de privilèges
  • Une fois loger sur un ou plusieurs comptes peu
    protégés, on va chercher à augmenter ses
    privilèges en obtenant l'accès root.
  • Il lui est ainsi possible d'installer un sniffer.
    Grâce à cette technique, le pirate peut espérer
    récupérer les couples identifiants/mots de passe
    lui permettant d'accéder à des comptes possédant
    des privilèges étendus sur d'autres machines.
  • Dès qu'un accès root a été obtenu sur une
    machine, l'attaquant a la possibilité d'examiner
    le réseau à la recherche d'informations
    supplémentaires.

9
La compromission
  • Compromission
  • Grâce aux étapes précédentes, le pirate a pu
    dresser une cartographie complète du réseau, des
    machines s'y trouvant, de leurs failles et
    possède un accès root sur au moins l'une
    d'entre-elles. Il lui est alors possible
    d'étendre encore son action en exploitant les
    relations d'approbation existant entre les
    différentes machines.

10
La fin de lattaque
  • Porte dérobée
  • installer une application afin de créer
    artificiellement une faille de sécurité pour
    revenir plus facilement
  • Nettoyage des traces
  • effacer les traces de son passage en supprimant
    les fichiers qu'il a créés et en nettoyant les
    fichiers de logs des machines dans lesquelles il
    s'est introduit.
  • il existe des rootkits permettant de remplacer
    les outils d'administration du système par des
    versions modifiées afin de masquer la présence du
    pirate sur le système.
  • En effet, si l'administrateur se connecte en même
    temps que le pirate, il est susceptible de
    remarquer les services que le pirate a lancé ou
    tout simplement qu'une autre personne

11
Objectifs à atteindre
  • Objectifs de sécuriser un réseau
  • Rendre impossible lintrusion
  • Extension des privilèges
  • Lutter contre la compromission
  • Surveiller les systèmes contre les portes
    dérobées et les rootkits

12
Plan
  • Déroulement dune attaque
  • Rendre impossible lintrusion
  • Le problème dextension des privilèges
  • Lutter contre la compromission
  • Surveiller les systèmes contre les portes
    dérobées et les rootkits

13
Rendre lintrusion impossible
  • Nécessite une architecture sécurisée
  • le coeur d'une telle architecture est basée sur
    un firewall.
  • but sécuriser au maximum le LAN, détecter les
    tentatives d'intrusion et y parer au mieux
    possible.
  • De plus, il peut permettre de restreindre l'accès
    vers Internet.
  • Le firewall véritable contrôle sur le trafic
    réseau
  • Il analyse, sécurise et gére le trafic,
  • Interdit une utilisation non souhaitée du réseau
    (MSN)
  • Empêche une personne sans autorisation d'accéder
    à ce réseau de données.

14
Architecture
Postes clients
  • La plus simple

Firewall
Internet
Serveur(s)
15
Architecture
Postes clients
  • Avec DMZ

Firewall
Firewall
Serveur(s)
16
Architecture
Postes clients
  • Tri-résidant

Firewall
Serveur(s)
17
Le filtrage simple de paquets (Stateless)
  • Le principe.
  • C'est la méthode la plus simple, elle opère au
    niveau de la couche réseau et transport du modèle
    OSI.
  • La plupart des routeurs permettent d'effectuer du
    filtrage simple de paquet
  • L'adresse IP Source/Destination.
  • Le numéro de port Source/Destination.
  • Et bien sur le protocole de niveau 3 ou 4.
  • Cela nécessite de configurer le Firewall ou le
    routeur par des règles de filtrages, généralement
    appelées des ACL (Access Control Lists).

18
Le filtrage simple de paquets (Stateless)
  • Les limites.
  • Le premier problème vient du fait que
    l'administrateur réseau est rapidement contraint
    à autoriser un trop grand nombre d'accès, pour
    que le Firewall offre une réelle protection.
  • Par exemple, pour autoriser les connexions à
    Internet à partir du réseau privé,
    l'administrateur devra accepter toutes les
    connexions TCP provenant de l'Internet avec un
    port supérieur à 1024.
  • Définir des ACL sur des routeurs supportant un
    débit important n'est pas sans répercussion sur
    le débit lui-même.
  • Enfin, ce type de filtrage ne résiste pas à
    certaines attaques de type IP Spoofing / IP
    Flooding, la mutilation de paquet, ou encore
    certaines attaques de type DoS

19
Le filtrage de paquets avec état (Stateful)
  • Le Principe.
  • amélioration par rapport au filtrage simple,
  • Conservation de la trace des sessions et des
    connexions dans des tables d'états internes au
    Firewall.
  • Le Firewall prend alors ses décisions en fonction
    des états de connexions, et peut réagir dans le
    cas de situations protocolaires anormales.
  • permet aussi de se protéger face à certains types
    d'attaques DoS.

20
Le filtrage de paquets avec état (Stateful)
  • Exemple sur les connexions Internet, on va
    autoriser l'établissement des connexions à la
    demande,
  • On a pas besoin de garder tous les ports gt à 1024
    ouverts.
  • Pour les protocoles UDP et ICMP, il n'y a pas de
    mode connecté.
  • La solution consiste à autoriser pendant un
    certain délai les réponses légitimes aux paquets
    envoyés.

21
Le filtrage de paquets avec état (Stateful)
  • Les paquets ICMP sont normalement bloqués par le
    Firewall, qui doit en garder les traces.
  • Cependant, il n'est pas nécessaire de bloquer les
    paquets ICMP de type 3 (destination inaccessible)
    et 4 (ralentissement de la source) qui ne sont
    pas utilisables par un attaquant.
  • On peut donc choisir de les laisser passer, suite
    à l'échec d'une connexion TCP ou après l'envoi
    d'un paquet UDP.

22
Le filtrage de paquets avec état (Stateful)
  • Pour le protocole FTP (et les protocoles
    fonctionnant de la même façon), c'est plus
    délicat puisqu'il va faut gérer l'état de deux
    connexions.
  • le protocole FTP, gère un canal de contrôle
    établi par le client, et un canal de données
    établi par le serveur. Le Firewall devra donc
    laisser passer le flux de données établi par le
    serveur.
  • Ce qui implique que le Firewall connaisse le
    protocole FTP, et tous les protocoles
    fonctionnant sur le même principe. Cette
    technique est connue sous le nom de filtrage
    dynamique (Stateful Inspection).

23
Le filtrage de paquets avec état (Stateful)
  • Les limites.
  • il convient de s'assurer que les deux techniques
    sont bien implémentées par les Firewalls.
  • Ensuite une fois que l'accès à un service a été
    autorisé, il n'y a aucun contrôle effectué sur
    les requêtes et réponses des clients et serveurs.
  • Un serveur HTTP pourra donc être attaqué
    impunément.
  • Les protocoles maisons utilisant plusieurs flux
    de données ne passeront pas, puisque le système
    de filtrage dynamique n'aura pas connaissance du
    protocole.

24
Le filtrage applicatif
  • également nommé pare-feu de type proxy.
  • Le principe
  • Le filtrage applicatif est comme son nom
    l'indique réalisé au niveau de la couche
    Application.
  • Pour cela, il faut bien sûr pouvoir extraire les
    données du protocole de niveau 7 pour les
    étudier. Les requêtes sont traitées par des
    processus dédiés, par exemple une requête de type
    HTTP sera filtrée par un processus proxy HTTP. Le
    pare-feu rejettera toutes les requêtes qui ne
    sont pas conformes aux spécifications du
    protocole. Cela implique que le pare-feu proxy
    connaisse toutes les règles protocolaires des
    protocoles qu'il doit filtrer.

25
Le filtrage applicatif
  • Les limites
  • Le premier problème qui se pose est la finesse du
    filtrage réalisé par le proxy.
  • Il est extrêmement difficile de pouvoir réaliser
    un filtrage qui ne laisse rien passer, vu le
    nombre de protocoles de niveau 7.
  • En outre le fait de devoir connaître les règles
    protocolaires de chaque protocole filtré pose des
    problèmes d'adaptabilité à de nouveaux protocoles
    ou des protocoles maisons.
  • Mais il est indéniable que le filtrage applicatif
    apporte plus de sécurité que le filtrage de
    paquet avec état, mais cela se paie en
    performance.

26
Que choisir ?
  • Tout d'abord, il faut nuancer la supériorité du
    filtrage applicatif par rapport à la technologie
    Stateful.
  • les proxys doivent être paramétrés suffisamment
    finement pour limiter le champ d'action des
    attaquants, ce qui nécessite une bonne
    connaissance des protocoles autorisés à traverser
    le firewall.
  • Ensuite un proxy est plus susceptible de
    présenter une faille de sécurité permettant à un
    pirate d'en prendre le contrôle, et de lui donner
    un accès sans restriction à tout le système
    d'information

27
Que choisir ?
  • il faut protéger le proxy par un Firewall de type
    Stateful Inspection.
  • Il vaut mieux éviter d'installer les deux types
    de filtrage sur le même Firewall, car la
    compromission de l'un entraîne la compromission
    de l'autre. Enfin cette technique permet
    également de se protéger contre l'ARP spoofing

28
Les firewall bridge
  • Ces derniers sont relativement répandus.
  • Ils agissent comme de vrais câbles réseau avec la
    fonction de filtrage en plus, d'où leur
    appellation de firewall.
  • Leurs interfaces ne possèdent pas d'adresse Ip,
  • ne font que transférer les paquets d'une
    interface a une autre en leur appliquant les
    règles prédéfinies.
  • Cette absence est particulièrement utile,
  • le firewall est indétectable pour un hacker
    lambda.
  • Il ne répondra jamais à une requête ARP.
  • Ses adresses Mac ne circuleront jamais sur le
    réseau, et il sera totalement invisible sur le
    réseau.
  • rend impossible toute attaque dirigée directement
    contre le lui aucun paquet ne sera traité comme
    étant sa propre destination.
  • Donc, la seule façon de le contourner est de
    passer outre ses règles de drop. Toute attaque
    devra donc faire avec ses règles, et essayer
    de les contourner.

29
Les firewall bridge
  • Ces firewalls se trouvent typiquement sur les
    switchs.
  • Avantages.
  • Impossible de l'éviter
  • Peu coûteux
  • Inconvénients.
  • Possibilité de le contourner
  • il suffit de passer outre ses règles
  • Configuration souvent contraignante
  • Les fonctionnalités présentes sont très basiques
    (filtrage sur adresse IP, port, le plus souvent
    en Stateless).

30
Les firewall matériels
  • Se trouvent souvent sur des routeurs
  • ont une intégration parfaite avec le matériel.
  • configuration est souvent ardue (les plus
    anciens), mais
  • leur avantage est que leur interaction avec les
    autres fonctionnalités du routeur est simplifiée
    de par leur présence sur le même équipement
    réseau.
  • Souvent relativement peu flexibles en terme de
    configuration,
  • peu vulnérables aux attaques, car présent dans le
    routeur.
  • De plus, étant souvent très liés au matériel,
    l'accès à leur code est assez difficile, et le
    constructeur a produit des système de codes
    signés afin d'authentifier le logiciel (système
    RSA ou assimilés). Ce système n'est implanté que
    dans les firewalls haut de gamme, car cela évite
    un remplacement du logiciel par un autre non
    produit par le fabricant, ou toute modification
    de ce dernier, rendant ainsi le firewall très sûr.

31
Les firewall matériels
  • Son administration est souvent plus aisée que les
    firewall bridges, les grandes marques de routeurs
    utilisant cet argument comme argument de vente.
  • Leur niveau de sécurité est de plus très bon,
    sauf découverte de faille éventuelle comme tout
    firewall.
  • Néanmoins, il faut savoir que l'on est totalement
    dépendant du constructeur du matériel pour cette
    mise à jour, ce qui peut être, dans certains cas,
    assez contraignant.
  • Enfin, seules les spécificités prévues par le
    constructeur du matériel sont implémentées.
  • Cette dépendance induit que si une possibilité
    nous intéresse sur un firewall d'une autre
    marque, son utilisation est impossible. Il faut
    donc bien déterminer à l'avance ses besoin et
    choisir le constructeur du routeur avec soin.

32
Les firewall matériels
  • Avantages.
  • Intégré au matériel réseau
  • Administration relativement simple
  • Bon niveau de sécurité
  • Inconvénients.
  • Dépendant du constructeur pour les mises à jour
  • Souvent peu flexibles.

33
Les firewall logiciels
  • on peut les classer en plusieurs catégories
  • Les firewalls personnels.
  • Souvent commerciaux, ont pour but de sécuriser un
    ordinateur particulier, et non pas un groupe
    d'ordinateurs.
  • ils peuvent être contraignants et quelque fois
    très peu sécurisés.
  • En effet, ils s'orientent plus vers la simplicité
    d'utilisation plutôt que vers l'exhaustivité,
    afin de rester accessible à l'utilisateur final.

34
Les firewall logiciels
  • Avantages
  • Sécurité en bout de chaîne (le poste client)
  • Personnalisable assez facilement
  • Inconvénients.
  • Facilement contournable
  • Difficiles a départager.
  • Les différents firewalls
  • Exemple freeware
  • ZoneAlarm de ZoneLabs
  • Kerio de Kerio
  • Outpost d'Agnitum Ltd
  • Sygate Personal Firewall de Sygate Technologies
    Inc

35
Les firewall logiciels
  • A noter qu'avec la mise à jour de Win Xp Sp2. Le
    firewall inclus dans le système demande à être
    mis en route par défaut !
  • mais il ne contrôle que les données entrantes pas
    les sortantes.
  • Les firewalls plus sérieux
  • Tournant généralement sous linux, car cet OS
    offre une sécurité réseau plus élevée et un
    contrôle plus adéquat, ils ont généralement pour
    but d'avoir le même comportement que les
    firewalls matériels des routeurs, à ceci prêt
    qu'ils sont configurables à la main.
  • Le plus courant est iptables (anciennement
    ipchains), qui utilise directement le noyau
    linux. Toute fonctionnalité des firewalls de
    routeurs est potentiellement réalisable sur une
    telle plateforme

36
Les firewall logiciels
  • Avantages.
  • Personnalisables
  • Niveau de sécurité très bon
  • Inconvénients.
  • Nécessite une administration système
    supplémentaire

37
Les firewall logiciels
  • Une grande faille
  • ils n'utilisent pas la couche bas réseau.
  • Il suffit donc de passer outre le noyau en ce qui
    concerne la récupération de ces paquets, en
    utilisant une librairie spéciale, pour récupérer
    les paquets qui auraient été normalement
    droppés par le firewall.
  • Néanmoins, cette faille induit de s'introduire
    sur l'ordinateur en question pour y faire des
    modifications... chose qui induit déjà une
    intrusion dans le réseau, ou une prise de
    contrôle physique de l'ordinateur, ce qui est
    déjà Synonyme d'inefficacité de la part du
    firewall.

38
Configuration théorique des défenses
  • Configuration d'un firewall élément clef de
    lefficacité.
  • Un firewall mal configuré peut être tout aussi
    efficace... qu'aucun firewall du tout.
  • Il existe deux politiques de configurations de
    base
  • Tout autoriser sauf ce qui est dangereux
  • cette méthode est beaucoup trop laxiste.
  • En effet, cela laisse toute latitude à
    l'imagination des intrus de s'exprimer. Et à
    moins d'avoir tout prévu de façon exhaustive, on
    laissera forcément des portes ouvertes, des
    failles béantes dans notre système.
  • A éviter absolument.

39
Configuration théorique des défenses
  • Tout interdire sauf ce dont on a besoin et ce en
    quoi on a confiance
  • cette politique est beaucoup plus sécuritaire.
  • En effet, les services sont examinés avant d'être
    autorisés à passer le firewall, et sont donc tous
    soumis à un examen plus ou moins approfondi.
  • Ainsi, pas de mauvaise surprise sur un service
    que l'on pensait ne pas avoir installé, plus
    d'oubli
  • tout service autorisé est explicitement déclaré
    dans le firewall.

40
Configuration théorique des défenses
  • Cette politique s'accompagne de la création de
    deux zones
  • une zone interne et l'extérieur.
  • On peut considérer que tout ce qui est dans notre
    réseau local est autorisé, sans prendre de trop
    gros risques le firewall est là pour nous
    protéger des attaques extérieures, pas des
    attaques internes pour lesquelles il ne peut
    rien.
  • Cette facette peut changer suivant la politique
    de l'entreprise (interdire l'accès à certains,
    jeux, etc.).
  • La zone externe est par contre considérée comme
    non sûre , et donc toute requête envoyée sur un
    service non explicitement déclaré comme
    accessible de l'extérieur sera interceptée et
    ignorée.
  • La configuration de la DMZ est ici très
    importante,
  • et sa gestion aussi.

41
Configuration théorique des défenses
  • Cette politique s'accompagne de plusieurs points
    à noter
  • Plus de services sont ouverts, plus vulnérable
    est le système.
  • C'est logique, car plus le nombre de logiciels
    accessibles de l'extérieur est grand, plus le
    risque qu'un intrus exploite ces dits logiciels
    pour s'introduire dans le système est important.
  • C'est ainsi que, par exemple, si on utilise un
    serveur Web qui interface déjà le serveur de base
    de donnée, il est inutile d'autoriser le trafic
    entrant vers le serveur de base de données... vu
    que le serveur Web joue le rôle d'interface.
  • Suivant la politique de l'entreprise, l'accès ou
    non à certains services peut être bloqué dans les
    deux sens.
  • Cela peut servir, par exemple, à empêcher le jeu
    en ligne, ou autres activités que l'entreprise ne
    désire pas voir se dérouler sur ses propres
    infrastructures.

42
Configuration théorique des défenses
  • Certains protocoles sont assez difficiles à
    autoriser, notamment le FTP. Le comportement du
    protocole FTP est assez atypique et mérite que
    l'on s'y attarde.
  • Le fonctionnement du FTP prévoit que ce soit le
    serveur qui initie la connexion sur le client
    pour lui transmettre le fichier.
  • Par exemple
  • Le client demande le fichier index.txt
  • Le serveur envoie un message au client accepte
    la connexion sur le port 2563
  • Le client attend une connexion sur ce port et
    renvoie un ACK au serveur
  • Le serveur initie la connexion et lance le
    transfert de données.

43
Configuration théorique des défenses
  • Ce comportement implique que le serveur, dans la
    zone externe , initie une connexion sur un
    port choisi par lui-même sur le client. Or, nous
    lavons interdit. Il y a donc deux solutions
  • Interdire le FTP.
  • Forcer le client à utiliser la commande PASV, qui
    indique que le serveur doit adopter un
    comportement passif, et accepter la connexion du
    client sur un port spécifié par ce dernier. C'est
    donc le client qui initiera la connexion, et
    donc, la connexion sera autorisée par le
    firewall. Avec la commande PASV, l'échange se
    passe donc ainsi
  • Le client envoie la commande PASV
  • Le serveur répond avec l'adresse et le port sur
    lequel le client peut se connecter
  • Le client demande le fichier index.txt (RETR
    index.txt)
  • Le serveur envoie un reçu et attend la connexion
    du client
  • Le client se connecte et reçoit le fichier
  • La configuration efficace d'un firewall n'est pas
    chose évidente,
  • et implique une grande rigueur, la moindre
    erreur ouvrant
  • une brèche exploitable par les hackers.

44
Ipcop
  • Firewall Open Source
  • Initialement basé sur SmoothWall
  • Avantages
  • Distribution spécifique gain en sécurité
  • Légère en théorie prévue pour être installée
    sur des machines recyclées
  • En pratique minimum de 256 Mo de Ram si add-on et
    600 MHz
  • Add-ons nombreux, ils permettent de
    personnaliser la configuration facilement
  • Administration par interface web

45
Ipcop
  • Inconvénients
  • Configuration par défaut ne permet pas de gérer
    les flux sortants
  • Configuration délicate si plus dun serveur par
    service dans la DMZ
  • Firewall Tri-résidant

46
Ipcop
  • Présentation
  • Firewall utilisé dans les réseaux de PME
  • Par défaut permet
  • Filtrage réseau par IPTable
  • serveur DHCP
  • client NTP et serveur NTP
  • sonde de détection d'intrusions sur TOUS les
    réseaux
  • Réseau Privé Virtuel (RPV ou VPN)
  • serveur mandataire Web et DNS
  • NAT/PAT
  • Lissage de traffic
  • Mise à jour automatique
  • administration de la machine par une interface
    web sécurisée avec
  • l'affichage des performances (graphiques)
  • la visualisation des journaux d'évènement

47
Ipcop
  • Identification des réseaux
  • Rouge Internet
  • Orange DMZ
  • Vert LAN
  • Bleu wifi (ou second LAN)

48
Ipcop
  • Traffic par défaut
  • Rouge gt IPCOP fermé
  • Rouge gt Vert fermé
  • Rouge gt Orange fermé
  • Orange gt IPCOP fermé
  • Orange gt Vert fermé
  • Orange gt Rouge ouvert
  • Vert gt IPCOP ouvert
  • Vert gt Orange ouvert
  • Vert gt Rouge ouvert

49
Ipcop
  • Add-ons
  • Permettent de réaliser facilement différentes
    tâches en sintégrant dans linterface graphique
  • Principaux
  • Gestion du proxy, filtrage dURL, Gestion des
    flux sortants, filtrage du flux entrant (avec
    antivirus), Qualité de service, Protection du
    firewall contre les attaques, Création de
    nouveaux graphiques

50
Ipcop
  • SquidGuard
  • Schéma fonctionnel

51
Ipcop
  • SquidGuard
  • Configuration

52
Ipcop
  • SquidGuard
  • Configuration

53
Ipcop
54
Ipcop
55
Ipcop
  • Guardian
  • Protection du firewall en assurant une meilleure
    gestion des règles SNORT.
  • Bloque le scan des ports
  • Blocage dadresses IP automatiquement ou
    manuellement

56
Ipcop
  • BlockOutTraffic (BOT)
  • Bloque tout le trafic laisser ouvert par Ipcop
  • Interface Graphique pour créer les règles de
    contrôle du trafic
  • Principales caractéristiques
  • Intégration transparente au GUI dIPCop
  • Contrôle du trafic envoyé et traversant le
    pare-feu
  • Restriction du trafic au niveau MAC, IP et des
    cartes d'interface
  • Regroupement d'adresses
  • Création de services personnalisés
  • Regroupement de services
  • Règles basées sur les heures d'utilisation
  • Contrôle du niveau de complexité des journaux du
    pare-feu

57
Ipcop
58
Ipcop
  • Copfilter
  • paserelle antivirus et antispam
  • filtre les flux HTTP, FTP, SMTP, POP3
  • antivirus
  • Clams par défaut mais peut utiliser F-prot ou AVG
  • anti-spam
  • Spamassassin
  • Filtre Bayesien, SURBL, DNSBL, Razor, DCC, and
    SARE Spam Rulesets
  • Élimine les pubs et pop-up en html

59
Ipcop
60
Ipcop
61
Ipcop
62
Ipcop
63
Ipcop
64
Ipcop
65
Plan
  • Déroulement dune attaque
  • Rendre impossible lintrusion
  • Le problème dextension des privilèges
  • Lutter contre la compromission
  • Surveiller les systèmes contre les portes
    dérobées et les rootkits

66
Extension des privilèges
  • Politique de gestion des comptes et des mots de
    passe
  • Nombre de caractères
  • Durée de validité dun mot de passe
  • Gestion des employés temporaires

67
Plan
  • Déroulement dune attaque
  • Rendre impossible lintrusion
  • Le problème dextension des privilèges
  • Lutter contre la compromission
  • Surveiller les systèmes contre les portes
    dérobées et les rootkits

68
Lutter contre la compromission
  • Rendre impossible linterception de nouveau
    compte
  • Utilisation de protocoles sécurisés sur le LAN
  • Exemple SSL pour le mail
  • Détecter une intrusion et agir
  • IDS et IPS

69
IDS-IPS
  • Quest ce quun IDS ?
  • IDS Intrusion Detection System
  • mécanisme destiné à repérer des activités
    anormales ou suspectes sur la cible analysée
  • un réseau ou un hôte.
  • Il permet ainsi d'avoir une action de prévention
    sur les risques d'intrusion.

70
IDS-IPS
  • Deux principes de détection d'intrusion
  • Systèmes neuronaux
  • se basent sur la détection d'anomalies, après une
    période d'apprentissage d'un flux normal
  • Systèmes à base de signatures
  • s'appuient sur des empruntes d'attaques afin de
    détecter l'intrusion (pattern matching, approche
    par scénarii).

71
IDS-IPS
  • Systèmes neuronaux
  • Approche comportementale
  • Analyser si un utilisateur a eu un comportement
    anormal par rapport à son habitude.
  • Par exemple, la secrétaire qui se connecte la
    nuit à certaines heures, en plus de la journée.
  • Il se base pour cela sur un modèle statistique
    des variables seront définies (ici la plage
    horaire des connections de la secrétaire par
    jour), et représenteront le profil type
    (comportement normal) d'un utilisateur.

72
IDS-IPS
  • Avantages et ses inconvénients
  • L'approche comportementale
  • permet de détecter des attaques inconnues.
  • Elle ne nécessite pas non plus de construction de
    base d'attaques, et donc d'un suivi de cette
    base,
  • mais peut-etre victime de faux positifs
  • l'IDS détecte des attaques qui n'en sont pas.
  • Pour l'approche par scénarios, c'est l'inverse.
  • L'IDS se base sur des attaques connues pour
    effectuer son analyse, mais il est difficile de
    maintenir cette base de signatures.

73
IDS-IPS
  • Cibles analysées
  • Les N-IDS (Network Based Intrusion Detection
    System), qui surveillent l'état de la sécurité au
    niveau du réseau.
  • approche par scénario

74
IDS-IPS
  • Les H-IDS (HostBased Intrusion Detection System),
    qui surveillent l'état de la sécurité au niveau
    des hôtes.
  • Approche comportementale

75
IDS-IPS
  • Un autre type d'H-IDS cherche les intrusions dans
    le noyau (kernel) du système, et les
    modifications qui y sont apportées. Certains
    appellent cette technique analyse protocolaire
    . Très rapide, elle ne nécessite pas de
    recherche dans une base de signature. Exemples de
    contrôles pour Windows ...

76
IDS-IPS
  • Stack-Based IDS
  • Dernière génération dIDS
  • Basé sur la pile TCP/IP
  • Analyse le paquet dans toute les couches du
    modèle OSI
  • Analyse le trafic entrant et sortant
  • Permet de détecter lattaque avant lapplication

77
IDS-IPS
  • Points fort dun N-IDS
  • Coût dutilisation
  • Analyse de paquets temps réel
  • Permet lidentification de lattaquant
  • Complète le firewall
  • Indépendant de lOS

78
IDS-IPS
  • Points fort dun H-IDS
  • Permet de savoir si lattaque à réussi ou pas
  • Surveiller les activités dun OS (log, fichiers
    consultés, modifications de droits admin )
  • Surveiller des points particuliers (dll, base de
    registres)
  • Proche du temps réel (temps réel si Stack- based
    IDS)
  • Pas de matériel supplémentaire

79
IDS-IPS
  • H-IDS et N-IDS se complémentent

80
IDS-IPS
81
IDS-IPS
  • Snort N-IDS
  • Snort est un système de détection d'intrusion
    open source sous licence GPL.
  • À l'origine écrit par Martin Roesch, il
    appartient actuellement à Sourcefire
  • Le plus utilisé au monde
  • Possibilité de souscrire gratuitement pour
    maintenir les listes à jour 5 jours après leur
    parution

82
IDS-IPS
  • H-IDS
  • AIDE
  • DarkSpy
  • FCheck
  • IceSword
  • Integrit
  • Nabou
  • OSSEC
  • Osiris
  • Samhain
  • Tripwire

83
IDS-IPS
  • IPS
  • Ensemble de technologies de sécurité
  • But Anticiper et stopper les attaques
  • Principe de fonctionnement Symétrie avec IDS
  • Host IPS Network IPS,
  • Analyse des contextes de connexion,
  • Automatisation d'analyse des logs,
  • Coupure des connexions suspectes,

84
Plan
  • Déroulement dune attaque
  • Rendre impossible lintrusion
  • Le problème dextension des privilèges
  • Lutter contre la compromission
  • Surveiller les systèmes contre les portes
    dérobées et les rootkits

85
Lutter contre les rootkits
  • Lutter contre les rootkits
  • Exemple F-Secure a publié un petit logiciel
    gratuit BlackLight
Write a Comment
User Comments (0)
About PowerShow.com