Professional Documents
Culture Documents
La citadelle électronique
Sécurité contre l’intrusion informatique
volume 2
4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
4
f La citadelle électronique
f Les firewalls
f Les proxy
f Contrôle d’URL
f Contrôle de contenu
f Anti Virus
f Web application firewall
f IDS
f FIA
4 Solutions à la clef
4 Agenda
f Honeypot
f VPN
f IPSEC
f SSL
f SSH
f Cartes à puce
f Sécurisation des serveurs
f Sécurisation des postes de travail
4 Solutions à la clef
4 Agenda
f Analyse comportementale
f S/Mime
f Technologie PKI
f Systèmes d’authentification
4 Solutions à la clef
4 Modèle de sécurité classique
4 Solutions à la clef
4 Les inconvénients du modèle classique
4 Solutions à la clef
4 Schématiquement…
Ressources internes
4 Solutions à la clef
4 Les enjeux pour le futur
4 Solutions à la clef
4 La citadelle électronique
4 Solutions à la clef
4 Approche en couche
f 1) Architecture
f 2) Protocoles réseaux
f 3) Systèmes d’exploitations
f 4) Applications
4 Solutions à la clef
4 Architecture
4 Solutions à la clef
4 Protocoles réseaux
4 Solutions à la clef
4 Systèmes d’exploitation
f Sécurisation des OS
f Restriction des services
f Mise en place de FIA
f Détection d’intrusions sur les OS
f Analyse comportementale
f Authentification forte
f Sécurisation de l’administration
f Sauvegarde régulière
f Logging & Monitoring
4 Solutions à la clef
4 Applications
Architecture
O.S.
Applications
Protocoles réseaux
4 Solutions à la clef
4 Pour répondre à ce challenge ?
f Une démarche
f La politique de sécurité
f Des services de sécurité
f Authentification
f Confidentialité
f Intégrité
f Non répudiation
f Autorisation
f Disponibilité
4 Solutions à la clef
4 Et des technologies…
f Firewalls
f IDS
f Analyse de contenu
f FIA
f AntiVirus
f VPN
f Systèmes d’authentifications
f PKI…
4 Solutions à la clef
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
4 Les firewalls: définition de base
4 Solutions à la clef
4 Les firewalls
4 Solutions à la clef
4 Exemple d’implémentation
4 Solutions à la clef
4 Firewall « packet filter »
4 Solutions à la clef
4 Exemple de « log » avec Checkpoint
4 Solutions à la clef
4 Translation d’adresses: « NAT »
External Internal
192.168.1.2
192.168.1.1
Legal IP address Illegal IP address
204.32.38.1 192.168.1.2
LAN
192.168.1.4 192.168.1.3
4 Solutions à la clef
4 Exemple de « NAT » avec Checkpoint
4 Solutions à la clef
4 Firewalls: tendance des Appliances
f Complémentaire au firewall
f Caching (gain de performance)
f HTTP, FTP, Streaming Vidéo ou Audio
f Auditing
f Fichier de logs
f Qui, Quand, Où
f Authentification (NTLM, Radius, ldap, etc.)
f Interface pour un contrôle de contenu
f ICAP ou Plug-IN
f Analyse virale
f URL Filtering
f Analyse code mobile
4 Solutions à la clef
4 Exemple d’implémentation avec authentification Microsoft
DMZ
Windows
DC
4 Solutions à la clef
4 Les proxy: configuration des postes clients
f Configuration du navigateur
avec adresse IP (ou le nom) et
le « port » du proxy
f Proxy Pac
f Fichier de configuration
f Solution transparente
f WCCP
f Ne pas oublier la gestion des
exceptions !
4 Solutions à la clef
4 Reverse Proxy
http
or
https http or https
You can configure the firewall router to allow a specific server on a specific
port (in this case, the proxy on its assigned port) to have access through the
firewall without allowing any other machine in or out.
4 Solutions à la clef
4 Reverse Proxy: exemple d’implémentation avec authentification forte
Serveur de
Messagerie
OWA
Navigateur
Internet
HTTPS HTTP
DMZ
TCP 443 TCP 80
Réseau Interne
4 Solutions à la clef
4 Filtrage d’URL
4 Solutions à la clef
4 Contrôle de contenu
4 Solutions à la clef
4 Contrôle des codes mobiles
4 Solutions à la clef
4 Web application firewall: la nouvelle tendance
4 Solutions à la clef
4 Agent sur le frontal Web
4 Solutions à la clef
4 Système de détection d’intrusion: architecture
4 Solutions à la clef
4 Système de détection d’intrusions: architecture
Console de gestion
Configuration
Signatures Update
Software update
Alertes
Concentrateur
D’événements
Alertes
Vers concentrateur
Exportation D’événements
Alerte
Analyse
Evénement
Mise en forme
Informations Donnée
système Brute
Réseaux,
Etc.
Capture
4 Solutions à la clef
4 Système de détection d’intrusions: type de sonde
4 Solutions à la clef
4 Système de détection d’intrusions: algorithmes d’analyse
f Actuellement 2 approches
f Approche scénario (knowledge base scenario)
f Basée sur une base d’attaques connues
f Approche comportementale (Anomaly Detection)
f Définition du comportement « normal » des systèmes informatiques
f Exclusion des événements non-standards
f Actuellement en phase de test
4 Solutions à la clef
4 Système de détection d’intrusions: les contres-mesures
4 Solutions à la clef
4 Système de détection d’intrusions: exemple d’implémentation
= HIDS
= NIDS
IDS externe IDS
Console
DMZ IDS
Sensitives
Internal servers
IDS
serveur
IDS interne
4 Solutions à la clef
4 ISS RealSecure: architecture distribuée
Source:
ISS 2002
4 Solutions à la clef
4 ISS RealSecure: console des alertes
Exemple:
http cmd.exe
IIS Serveur
4 Solutions à la clef
4 ISS RealSecure: console de configuration d’une sonde
4 Solutions à la clef
4 ISS Real Secure: configuration d’une contre mesure
Display
Log DB
Etc.
4 Solutions à la clef
4 Système de détection d’intrusions: domaine public
4 Solutions à la clef
4 Système de détection d’intrusion: les limitations
4 Solutions à la clef
4 Contrôle d’intégrité des systèmes (FIA)
4 Solutions à la clef
4 Contrôle d’intégrité des systèmes (FIA): fonctionnement
4 Solutions à la clef
4 Contrôle d’intégrité des systèmes (FIA): fonctionnement
Fichier A
Fonction
De
Hashage
Base Line
Hash
Fichier A =
?
Fonction FA12Ab…
De
Clé privée Signature
Signature
= Signature
Base Line
Signature A
4 Solutions à la clef
4 Contrôle d’intégrité des systèmes (FIA): mise en œuvre
4 Solutions à la clef
4 Contrôle d’intégrité des systèmes (FIA): Tripwire
4 Solutions à la clef
4 Contrôle d’intégrité des systèmes (FIA): Tripwire Manager
4 Solutions à la clef
4 Contrôle d’intégrité des systèmes (FIA): Tripwire Reporting
4 Solutions à la clef
4 Contrôle d’intégrité des systèmes (FIA): exemple d’implémentation
Cisco
Unix
Solaris, Aix, HP, Linux
4 Solutions à la clef
4 Honeypot: mieux apprendre pour mieux se protéger
4 Solutions à la clef
4 Honeypot: fonctionnement
4 Solutions à la clef
4 Honeypot: références
f Projet Honeynet
f http://project.honeynet.org
f http://www.tracking-hackers.com
f Produits
f ManTrap
f Specter
f Back Officer Friendly
f Honeyd
f Deception Tool Kit
f Livre: Know You Enemy
4 Solutions à la clef
4 VPN
f Différentes topologies
f Client à site (Accès distant)
f Site à site
f Client à serveur
f Serveur à serveur
f Client à client
4 Solutions à la clef
4 Exemple VPN: Accès distants
4 Solutions à la clef
4 Exemple VPN: Site à site
4 Solutions à la clef
4 IPSEC
f IPSEC = IP Security
f IETF (RFCs 2401-2406)
f Fournit du chiffrement et intégrité au paquets IP
f Authentification mutuelle
f Support de PKI
f Certificat pour les « gateway »
f Certificat pour les clients
f Support de la révocation
4 Solutions à la clef
4 IPSEC
4 Solutions à la clef
4 IPSEC: Transport Mode
Internet
Internet
Host A Host B
IPsec
AH in transport mode
Authenticated
Authenticated
IP header ESP header TCP/UDP header Upper layer ESP trailer ESP auth
(SPI, SEQ) payload
Encrypted
Authenticated
IP header ESP header IP header TCP/UDP Upper layer ESP trailer ESP auth
(SPI, SEQ) header payload (Padding)
Encrypted
Authenticated
1) IKE SA
2) IPSec SAs
IPsec IPsec
device device
4 Solutions à la clef
4 Protocole SSL
4 Solutions à la clef
4 Ports SSL (IANA)
4 Solutions à la clef
4 SSL: authentification client avec certificat X509
PKCS#12
Smartcard
Challenge Response
SSL / TLS
Web Server SSL
Token USB
4 Solutions à la clef
4 SSL: sécurisation du serveur (HSM)
Smartcards
HSM
SSL Acceleration
SSL or TLS
Serveur de
Client Notes
Messagerie
Client SSL
Notes
Tunnel
SSL
3DES
TCP 443
TCP 1352
DMZ
SSL Serveur
Réseau Interne
4 Solutions à la clef
4 SSH
4 Solutions à la clef
4 Exemple d’implémentation SSH: authentification forte
VA
SSH
Serveur
2) PKI / OCSP
1) SecurID SSH V3
AES 256
Ace Serveur
SSH
Client
4 Solutions à la clef
4 Solution VPN avec SSH
Secure
Shell
Mail
Server
Server
Secured Tunnel
4 Solutions à la clef
4 Chiffrement de fichiers
f Deux approches
f Chiffrement du disque dur
f Chiffrement de certains fichiers
f Bonne solution pour les « laptop »
f Intégration avec les cartes à puces ou USB
f Gestion des clés de chiffrement
f Key Recovery !
f Chiffrement de base de données
4 Solutions à la clef
4 Carte à puce
4 Solutions à la clef
4 Carte à puce et l’informatique
4 Solutions à la clef
4 Carte à puce et PKI
4 Solutions à la clef
4 Exemple avec Windows 2000: Smartcard Logon
PIN Number
4 Solutions à la clef
4 Sécurisation des serveurs
4 Solutions à la clef
4 Sécurisation des serveurs
f Sécurisation de l’OS
f Restriction des services
f Accounting (Syslog, SNMP, etc.)
f FIA
f Blindage du stack IP (DoS)
f Firewall (ACL, TCP Wrapper, etc.)
f Gestion des droits
f Jail (UNIX)
f Analyse comportementale
f Etc.
4 Solutions à la clef
4 Sécurisation des postes clients
4 Solutions à la clef
4 Sécurisation des postes clients
f L’approche classique
f Anti Virus
f Gestion des droits (par exemple GPO Win2k)
f La tendance
f Firewall personnel
f Analyse comportementale
f Contrôle des codes mobiles
f Contrôle d’intégrité (FIA)
f Authenfication forte
4 Solutions à la clef
4 Firewall Personnel
f Fonctionnalités de base
f Filtrage IP en entrée et sortie
f Lien entre les filtres et les applications
f Apprentissage automatique (POP-UP)
f Fonctionnalités avancées
f Code mobiles (Sandbox)
f Contrôle des cookies
f IDS
f Analyse du comportement
f Etc.
4 Solutions à la clef
4 Analyse comportementale
4 Solutions à la clef
4 System Call Interception : la technologie de base
fopen
System
Call unlink
Table rndir
User Mode
Kernel Mode
OS
Kernel
fopen
System
Call unlink
Table rndir
User Mode
Kernel Mode
OS
Kernel
Notification
Reporting
Management
Increasing Security
Source: Entercept 2002
4 Solutions à la clef
4 S/MIME
f Secure Mime
f Solution de sécurisation de la messagerie
f Standard IETF
f Microsoft, Lotus, Laboratoires RSA, etc.
f Services de sécurité
f L’authentification
f La confidentialité
f L’intégrité
f La non-répudation
4 Solutions à la clef
4 S/MIME
4 Solutions à la clef
4 S/MIME
Autorité Bob
de certification
Certificat
public ou privée
Personnel
Certificat
Alice Personnel
S/Mime
3DES / RSA Signature
4 Solutions à la clef
4 S/MIME: exemple avec Outlook
Signature
du
message
4 Solutions à la clef
4 S/MIME: exemple avec Outlook
4 Solutions à la clef
4 S/MIME: exemple avec Outlook
Message signé
4 Solutions à la clef
4 S/MIME: exemple avec Outlook
4 Solutions à la clef
4 S/MIME: exemple avec Outlook
Message modifié
4 Solutions à la clef
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
Technologie PKI
4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
4 Technolgie PKI: définition
f Secret Key
f Public Key
f Message Digest
f Nombres aléatoire
f Signature numérique
f Certificat numérique
f PKI
f RA, CA, Revocation, ldap
4 Solutions à la clef
4 Secret Key: Alice et Bob
4 Solutions à la clef
4 Secret Key: avantages et inconvénients
f Avantages
f Rapidité
f Simplicité
f Fiabilité
f Inconvénients
f Gestion des clés complexes
f Partage de la clé secrète
f Grand nombres de clés
4 Solutions à la clef
4 Secret Key
f Quelques algorithmes
f DES
f 3DES
f AES
f RC4
f Etc.
f Technologies qui les utilisent…
f IPSEC
f SSL
f SSH
f Etc.
4 Solutions à la clef
4 Public Key: Alice and Bob (Chiffrement)
Bob’s Bob’s
Public Key Private Key
4 Solutions à la clef
4 Public Key: Alice and Bob (Signature)
Ciphertext
Plain Text Ou Plain Text
Signature
Alice’s Alice’s
Private Key Public Key
4 Solutions à la clef
4 Public Key: avantages et inconvénients
f Avantages
f Gestion des clés
f Pas de partage de secret
f Signature numérique
f Inconvénients
f Pas rapide
f Longueur des clés (1024, 2048, etc.)
4 Solutions à la clef
4 Public Key
f Exemple d’algorithmes
f RSA
f DSA
f El Gamal
f RSA est dit réversible
f Chiffrement et signature
f Utilisation
f PKI
f SSL, IPSEC, SSH
f Etc.
4 Solutions à la clef
4 Message digest
Input
Fonction Hash
Output / Résultat
Digest
4 Solutions à la clef
4 Message digest
f Fonction de hashage
f Md3, Md4
f MD5
f Sha1
f Ripemd
f Utilisation
f signature numérique
f Crontôle de « checksum »
f Outils FIA
f MAC
f Etc.
4 Solutions à la clef
4 Nombres aléatoires
f Deux familles
f PRNG
f Vrai nombres aléatoires
f Très important pour la cryptographie
f Génération des clés de session
4 Solutions à la clef
4 Signature numérique: exemple de création avec RSA et md5
Vers BOB
MD5
Alice’s Digest
Private Key RSA
4 Solutions à la clef
4 Signature numérique: vérification
MD5
Digest A’
Alice’s
Public Key
=
Digest A
?
RSA
4 Solutions à la clef
4 RSA Key Wrapping
Source: PGP
4 Solutions à la clef
4 RSA Key Wrapping
Source: PGP
4 Solutions à la clef
4 Man in the Midle !
Bob
Alice
Charly
Interception des clés publique
4 Solutions à la clef
4 Notion de confiance
Autorité de certification
No more
Charly
Bob
Alice Charly
4 Solutions à la clef
4 Notion de certificat numérique
4 Solutions à la clef
4 Le certificat est analogue à un passeport
4 Solutions à la clef
4 Certificat X509
4 Solutions à la clef
4 Format Certificat X509
4 Solutions à la clef
4 Format Certificat X509
4 Solutions à la clef
4 Vérification du certificat
4 Solutions à la clef
4 Architecture PKI: les composants de bases
f Certificats X509
f Autorité de certification (CA)
f Autorité d’enregistrement (RA)
f Autorité de validation (VA)
f Annuaires
f Archivage
4 Solutions à la clef
4 Autorité de certification (CA)
4 Solutions à la clef
4 Autorité de souscription (RA)
f Bureau d’enregistrement
f Reçoit les requêtes de certification
f Obéit à la structure granulaire
de l’entreprise
f Identification du requérant
4 Solutions à la clef
4 Autorité de validation (VA)
f Service on-line
f Contrôle de validité des certificats
f Réponse: valide/invalide/inconnue
f Plus efficace que les CRLs
f Minimise le trafique
f Etat en temps réel
4 Solutions à la clef
4 Annuaires
4 Solutions à la clef
4 Archivage
4 Solutions à la clef
4 Exemple: obtention d’un certificat
4 Solutions à la clef
4 Exemple: obtention d’un certificat
User mailed
retrieval PIN
CA
Admin Approves
request
User retrieves http://www
http://www
certificate
http://www
http://www
Certificate installed
LDAP
4 Solutions à la clef
4 Les applications PKI
f Sécurisation de la messagerie
f VPN, Accès distants
f Portail Web, e-commerce
f Transactions électroniques
f Publications électroniques
f Single Sign On
f Etc.
4 Solutions à la clef
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
Systèmes d’authentification
4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
4 Systèmes d’authentification: introduction
4 Solutions à la clef
4 Systèmes d’authentification: la base des services de sécurité
4 Solutions à la clef
4 Systèmes d’authentification: identification et authentification ?
f Identification
f Qui êtes vous ?
f Authentification
f Prouvez le !
4 Solutions à la clef
4 Les 6 éléments d’un système d’authentification
f Entité ou personne
f Caractéristique unique
f Propriétaire du système
f Mécanisme d’authentification
f Mécanisme de contrôle d’accès
f Mécanisme d’archivage
4 Solutions à la clef
4 Exemple avec Ali Baba …
f Entité
f La personne qui connait le mot de passe
f Caractéristique Unique
f Le mot de passe: « Sésame, ouvre toi ! »
f Le propriétaire de la caverne
f Ali Baba et Les 40 voleurs
4 Solutions à la clef
4 Exemple avec Ali Baba…
f Mécanisme d’authentification
f Elément magique qui répond au mot de passe
f Mécanisme de contrôle d’accès
f Mécanisme pour rouler la pierre ou les pierres
f Mécanisme d’archivage
f Journal des événements
4 Solutions à la clef
4 Login par mot de passe
Mécanisme
d’authentification
Login Mécanisme
Caractéristique unique Process D’archivage
Mot de passe
Mécanisme
de contrôle
D’accès
Computer
Ressources
Propriétaire
La personne
4 Solutions à la clef
4 Les facteurs d’authentification
4 Solutions à la clef
4 Authentification forte
4 Solutions à la clef
4 Que sécuriser ?
f Equipements réseaux
f Routeurs, Switchs, etc.
f Systèmes d’accès aux réseaux
f Remote access
f Firewall
f Serveurs du système d’information
f Unix, NT, Main Frame, AS400, etc.
f Postes de travail
f Windows (NT, 2000, XP, etc.)
f Applications
f Web, ERP, Back office, etc.
4 Solutions à la clef
4 Quelle technologie d’authentification ?
f Password standard
f Tokens
f Challenge Response
f Authentification indirecte
f Radius, Tacacs+
f Kerberos
f Biométrie
f PKI (Smartcard, Tokens USB)
f Etc.
4 Solutions à la clef
4 Les « Tokens »
4 Solutions à la clef
4 Passive Tokens
4 Solutions à la clef
4 Mode de fonctionnement
Base Secret
= Base Secret
Token + (PIN)
4 Solutions à la clef
4 Active Tokens
4 Solutions à la clef
4 Mode de fonctionnement
Token + (PIN)
Base Secret
= Base Secret
4 Solutions à la clef
4 Counter Based Tokens
+1
Facteur
commun Counter
Hash
Secret
unique
partagé Base Secret OTP
4 Solutions à la clef
4 Clock Based Tokens
Hash
Secret
unique OTP
partagé Base Secret
4 Solutions à la clef
4 Protection des tokens
4 Solutions à la clef
4 PIN Code interne
Clock or
Counter
Hash
PIN unlock
Base Secret
4 Solutions à la clef
4 PIN Code externe
Clock or
Counter
Hash
+ PIN
Base Secret
* OTP
4 Solutions à la clef
4 RSA SecurID
f De facto standard
f Grandes banques, industries, gouvernements
f Système basé sur le temps
f Très portable
f Grand nombre d’agents (env. 300)
f Facilité d’utilisation
4 Solutions à la clef
4 RSA SecurID
Token ACE/Server
482392
482392
Algorithm
Algorithm
Time Seed
Time Seed
Same Seed
Same Time
4 Solutions à la clef
4
DMZ
RSA RSA
Web Server ACE/Server ACE/Server
(Replica) (Primary)
Internet
Firewall
RSA Firewall Intranet
ACE/Agent
RSA
RSA
ACE/Agents
ACE/Agents
NT/
Unix
Novell
VPN RAS
4 Solutions à la clef
4 Mode de fonctionnement
Base Secret
= Base Secret
nonce
(adf341gf)
dupont
nonce = adf341gf
response = ff747dgd4
4 Solutions à la clef
4 Norme X9.9
4 Solutions à la clef
4 Norme X9.9
Hash
Random (DES encrypt)
Challenge
Nonce
OTP
Response
Base Secret
4 Solutions à la clef
4 Kerberos
4 Solutions à la clef
4 Kerberos
4 Solutions à la clef
4 Kerberos: concept de base
4 Solutions à la clef
4
TGT
Ka TGT
Unix Server
Kb
Ticket
Master Key
Database Unix Server
Request
With Ticket
Unix Server
Response
Unix Server
« Kerberized »
Software Kb
4 Solutions à la clef
4 Kerberos et Win 2000
4 Solutions à la clef
4 Extension du protocole Kerberos
4 Solutions à la clef
4 Biométrie
f Système « ancien »
f 1930 - carte d’identité avec photo
f Reconnaissance de la voix
f Etc.
f Deux familles
f Mesure des traits physiques uniques
f Mesure d’un comportement unique
4 Solutions à la clef
4 Mesure des traits physiques
f Empruntes digitales
f Géométrie de la main
f Les yeux
f Iris
f Rétine
f Reconnaissance du visage
f Nouvelles voies
f ADN, odeurs, oreille et « thermogram »
4 Solutions à la clef
4 Mesure d’un comportement
f Reconnaissance vocale
f Signature manuscrite
f Dynamique de frappe
f Clavier
4 Solutions à la clef
4 Promesses et réalité
4 Solutions à la clef
4
Personnel Biometric
trait Pattern
?
Biometric
Matching
1=127
2=126
3=456
Feature dupont: 1=127,2=
Extraction 4=987
Biometric
deraud: 1=878,2=
Reader marcus: 1=656,2=
Biometric
Signature
4 Solutions à la clef
4 Mécanisme de contrôle
f False Acceptance
f FAR (False Acceptance Rate) in %
f Lecteur sale, mauvaise position, etc
f False Rejection
f FRR (False Rejection Rate) in %
f Usurpation, falsification
4 Solutions à la clef
4 Equal Error Rate (EER)
4 Solutions à la clef
4 Authentification forte
f Deux facteurs
f Une carte à puce
f Un PIN code
4 Solutions à la clef
4 Questions ?
4 Solutions à la clef
4