You are on page 1of 259

Introduction La menace La lutte et la protection Scuriser le systme Notions fondamentales rseaux Scuriser IP Firewalls

Scurit des Systmes dInformations


Laurent VALLAR

Session 2005/2006

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Historique Notions Contexte fondamentales Mythesrseaux et ralit Scuriser Dgts potentiels IP Firewalls Res

Historique
1970 John Draper, alias "Capn Crunch" dcouvre que le sifet des botes de crales "Capn Crunch" met un son de mme frquence que celui utilis par les tlphones de AT&T. Appels gratuits. Ian Murphy, alias "Captain Zero" est la premire personne inculpe pour crime informatique suite son intrusion dans le systme informatique dAT&T pour permettre dappeler tarif rduit pendant les heures normales. Premier numro du Journal Phrack. Premier virus informatique, "Brain", Pakistan. Infecte les ordinateurs IBM.
Laurent VALLAR Scurit des Systmes dInformations

1981

1985 1986

Introduction La menace La lutte et la protection Scuriser le systme Historique Notions Contexte fondamentales Mythesrseaux et ralit Scuriser Dgts potentiels IP Firewalls Res

Historique
1987 Virus "Jrusalem", capable dinfecter et de dtruire les chiers (le vendredi 13). Premier ver internet, Robert T. Morris, 3 mois de prison, 10.000$ damende. Premire condamnation de Kevin Mitnick pour intrusion dans le rseau DEC. "Dark Avenger", virus se propageant dun ordinateur un autre. A peu prs 30 virus en circulation. Guerre entre des groupes rivaux de hackers. Kevin Poulsen est condamn (dtournement dappels tlphoniques).
Laurent VALLAR Scurit des Systmes dInformations

1988

1989

1990

Introduction La menace La lutte et la protection Scuriser le systme Historique Notions Contexte fondamentales Mythesrseaux et ralit Scuriser Dgts potentiels IP Firewalls Res

Historique
1991 Virus "Michelangelo", capable de dtruire les disques durs le 6 mars. Plus de 1000 virus en circulation. Ltudiant Vladimir Levin vole lectroniquement 10.000.000$. 3 ans de prison. Arrestation de Kevin Mitnick (7 ans de cavale). 5 ans de prison. Explosion du piratage (Back Orice, sites militaires, New York Times). Deux hackers sont condamns mort pour le transfert lectronique de 87.000$ dans leurs comptes.
Laurent VALLAR Scurit des Systmes dInformations

1994

1995

1998

1999

Introduction La menace La lutte et la protection Scuriser le systme Historique Notions Contexte fondamentales Mythesrseaux et ralit Scuriser Dgts potentiels IP Firewalls Res

Historique
2001 CodeRed (250000 systmes infects en moins de 9 heures) et virus internet Attaque contre les (systme de protection anticopie Adobe de) eBooks Noms de domaine faux (www.gatt.org) et parasites. Piratage dentreprise - donnes condentielles Rumeurs nancires

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Historique Notions Contexte fondamentales Mythesrseaux et ralit Scuriser Dgts potentiels IP Firewalls Res

Historique
2002 Vote lectronique - Intrusion sur les rseaux dentreprises spcialiss (Affaire Vivendi) Donnes personnelles - Vols didentit et fraude (vols massifs de chiers et revente) Chantage et extorsion Mass mailing accept Intrusion sur les rseaux sans l Fraude la carte bancaire - Fausse goulotte et camra
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Historique Notions Contexte fondamentales Mythesrseaux et ralit Scuriser Dgts potentiels IP Firewalls Res

Historique
2003 Logiciel libre : tentative de corruption du noyau linux 2.6, vulnrabilit du serveur de gestion CVS, dpt dun cheval de Troie sur serveur FTP, projet GNU Dtournement des moyens de lentreprise Virus - Professionalisation et recherche de gains Phishing : spam dans le but de commettre des escroqueries Espionnage high-tech : (rcupration des donnes des copieurs numriques et mulitfonctions, disque dur seconde-main et non effacage des donnes, compromission des imprimantes et priphriques numriques, support de stockage portable, problme des tlphones permettant de prendre des photos)
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Historique Notions Contexte fondamentales Mythesrseaux et ralit Scuriser Dgts potentiels IP Firewalls Res

Historique
2004 Le vol de donnes : code source et bases de donnes (Microsoft-Windows NT 4. et Windows 2000, 600 Mo de donnes ; Cisco-IOS 12.4, 800 Mo de donnes ; Jolly Technologies-vol de sources de logiciels) Programmes malveillants (faille du code de traitement des images jpeg - excution de code malveillant) Chantage et extorsion (Softbank : 28.000.000$ ou divulgation chiers client ; Google : 100.000$ ou mise disposition dun logiciel faussant les clics pub) Attaques concurrentielles (Attaque Distributed Denial of Service sur Rapid et Expert Satellite) Cyberterrorisme Menace sur la mobilit
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Historique Notions Contexte fondamentales Mythesrseaux et ralit Scuriser Dgts potentiels IP Firewalls Res

Sources

Symantec ! http ://www.symantec.com Club de la Scurit des Systmes dInformation Franais ! http ://www.clusif.asso.fr Computer Security Institute ! http ://www.gocsi.com

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Historique Notions Contexte fondamentales Mythesrseaux et ralit Scuriser Dgts potentiels IP Firewalls Res

Signes alarmants

vnements ayant t ports lattention du publique : " attaques coordonnes de pirates " nouveaux virus dune efcacit redoutable " dtournement de fonds, blanchiment " chantages et extorsions " cyber-surveillance (des salaris) " fraudes aux moyens de paiement " ...

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Historique Notions Contexte fondamentales Mythesrseaux et ralit Scuriser Dgts potentiels IP Firewalls Res

La scurit informatique ?

" Que recouvre la notion de scurit informatique ? " Est-ce important dans mon mtier, mon activit ? " Que dois-je faire ? " Comment puis-je my prendre ? " Qui peux maider ? " Combien cela me cotera-t-il ? " Comment garantir que les moyens mis en uvre soient efcaces et de qualit ? " Quelles sont les erreurs ne pas commettre ?

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Historique Notions Contexte fondamentales Mythesrseaux et ralit Scuriser Dgts potentiels IP Firewalls Res

La scurit informatique (1/2)

Trois objectifs principaux : " disponibilit : aptitude remplir une fonction dans des conditions dnies dhoraires, de dlais et de performances " intgrit : garantir que les donnes ne sont modies que par une action volontaire et lgitime " condentialit : garantir que laccs une information est limit aux seules personnes autorises

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Historique Notions Contexte fondamentales Mythesrseaux et ralit Scuriser Dgts potentiels IP Firewalls Res

La scurit informatique (2/2)


Un objectif complmentaire : " contrle de preuve : les procdures de gestion de linformation doivent tre contrlables ; il faut aussi garantir lexistence de preuves dun vnement sans contestation lgale raisonnable et permettre la vrication du bon droulement des oprations
! ! ! ! audit des composants trace des vnements non rpudiation dune opration imputation dune action un acteur dment identi

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Historique Notions Contexte fondamentales Mythesrseaux et ralit Scuriser Dgts potentiels IP Firewalls Res

Contexte conomique(1/3)

La gestion de linformation devient stratgique : " passage de lre industrielle lre de linformation " linformation est devenue un rel capital pour la socit " vente de produits et services online " fort dveloppement des socits de service " lordinateur est devenu un outil indispensable : complexe, faillible, imparfait mais apportant des conomies et une meilleure productivit

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Historique Notions Contexte fondamentales Mythesrseaux et ralit Scuriser Dgts potentiels IP Firewalls Res

Contexte conomique(2/3)

Lenvironnement conomique change : " mondialisation des changes " fonctionnement des rseaux des organisations lchelle mondiale " acclration du Time to Market " la technologie prend une part de plus en plus importante

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Historique Notions Contexte fondamentales Mythesrseaux et ralit Scuriser Dgts potentiels IP Firewalls Res

Contexte conomique(3/3)
Les relations conomiques changent : " les relations entre partenaires se crent plus rapidement et sont de plus courte dure " la part de la sous-tratance a augment " ncessit dune communication plus rapide et plus complexe entre les partenaires " les structures hirarchiques pyramidales pures disparaissent " employs soumis au stress, dbauchage, contrats de travail prcaires, mobiles " les collaborateurs font des erreurs, sont moins loyaux et moins attachs lentreprise, sont distants
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Historique Notions Contexte fondamentales Mythesrseaux et ralit Scuriser Dgts potentiels IP Firewalls Res

Les risques

" stratgiques (militaires, ...) " technologiques (nuclaire, chimique, ...) " psychologiques (piratage informatique, ...)
! ! ! ! de nature humaine (ngligence, malveillance, ...) ciblage aveugle sans discernement pour les victimes consquence : installation dun rgime de peur risques immatriels et distance

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Historique Notions Contexte fondamentales Mythesrseaux et ralit Scuriser Dgts potentiels IP Firewalls Res

Les risques internes

" erreurs de manipulations " mauvaise gestion des ressources (abus, sous-utilisation) " perte de temps due rechercher linformation " perte de production en cas de panne " attaques venant de lintrieur de lentreprise (employs, consultants, ...) Ns avec lutilisation et la mise en rseau des PC en entreprise !

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Historique Notions Contexte fondamentales Mythesrseaux et ralit Scuriser Dgts potentiels IP Firewalls Res

Les risques externes

" rsultant
! interconnexion des rseaux dentreprise ! ouverture lInternet

" pirates aux motivations varies


! le jeu, largent, la comptition ! la lutte entre tats et contre les rseaux et groupes organiss

Ns avec les projets EDI1 et linvention du WWW2 !

1 2

Electronic Data Interchange World Wild Web


Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Historique Notions Contexte fondamentales Mythesrseaux et ralit Scuriser Dgts potentiels IP Firewalls Res

Mythes et ralit (1/3)

" Infaillibilit de lordinateur et des rseaux " Matriel trs able


! testable assez facilement

" Logiciel nest pas able


! ! ! ! ! technologie rcente, encore en volution possibilits innies 1 bug pour 10 lignes de code plus de 10000000 lignes de code dans WindowsTM c 2000 peu de preuve formelle

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Historique Notions Contexte fondamentales Mythesrseaux et ralit Scuriser Dgts potentiels IP Firewalls Res

Mythes et ralit (2/3)

" Les managers


! ne saisissent pas les enjeux stratgiques ! ne considrent pas linformatique comme un systme de production ! domaine complexe avec son jargon ! nallouent pas de budgets ralistes

" Linstallation et la maintenance


! assumes trop souvent par des non professionnels ! sous-estimes bien que trs complexes ! volution rapide du matriel et des logiciels

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Historique Notions Contexte fondamentales Mythesrseaux et ralit Scuriser Dgts potentiels IP Firewalls Res

Mythes et ralit (1/3)


" Lutilisateur
" pas form (apprentissage sur le tas)
! concept de rseau ! concept de gestionnaire de chiers et droits daccs ! fait le strict minimum

" commet des erreurs

" Gestion de linformation


! problme complexe mme pour les spcialistes ! classement des informations (chiers) ! utilisateur est peu responsabilis et sensibilis la condentialit des donnes

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Historique Notions Contexte fondamentales Mythesrseaux et ralit Scuriser Dgts potentiels IP Firewalls Res

" patrimoine immatriel ou savoir " le secret de linformation " contenu plus prcieux que le contenant
! contenant cot quantiable (matriel, logiciel) ! contenu non quantiable (base client) ! altration, destruction, vol

" disponibilit des systmes " accessibilit des informations, intgrit des donnes

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Historique Notions Contexte fondamentales Mythesrseaux et ralit Scuriser Dgts potentiels IP Firewalls Res

Responsabilit de lentreprise (1/2)

" Actionnaires
! quel est limpact conomique des incidents potentiels ou vcus ! intrts prservs, nancement des risques correct, adapt ?

" Dirigeants
! quelle politique dnir et quelles responsabilits attribuer pour la mettre en uvre ?

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Historique Notions Contexte fondamentales Mythesrseaux et ralit Scuriser Dgts potentiels IP Firewalls Res

Responsabilit de lentreprise (2/2)

" Encadrement
! comment mettre en uvre les choix des dirigeants ! comment piloter les plans dactions, contrler, auditer lefcacit ?

" Collaborateurs
! comment appliquer au quotidien rgles et consignes ? ! quel reporting effectuer ?

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les 10 Notions lois immuables fondamentales Les 7 familles rseauxdeScuriser risque Le IP sabotage Firewalls L

Les 10 lois immuables (1/2)


1

Si une personne mal intentionne (PMI) vous convainc dexcuter son programme sur votre ordinateur, ce nest plus votre ordinateur (CNPVO) Si une PMI peut modier votre OS, CNPVO Si une PMI a un accs physique illimit votre ordinateur, CNPVO Si vous permettez une PMI de tlcharger un programme sur votre site Web, CNPVSW Les mots de passe faibles plombent une scurit solide
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les 10 Notions lois immuables fondamentales Les 7 familles rseauxdeScuriser risque Le IP sabotage Firewalls L

Les 10 lois immuables (2/2)


6

Un ordinateur est aussi sr que son administrateur est digne de conance Les donnes encryptes sont aussi sres que ne lest la cl de dcryptage Un anti-virus pas jour est juste un tout petit peu plus sr que pas danti-virus du tout Lanonymat est illusoire, aussi bien dans la vie que sur le Web La technologie nest pas la panace
Laurent VALLAR Scurit des Systmes dInformations

10

Introduction La menace La lutte et la protection Scuriser le systme Les 10 Notions lois immuables fondamentales Les 7 familles rseauxdeScuriser risque Le IP sabotage Firewalls L

Les 7 familles de risques


1

Le sabotage Lintrusion Le vol dinformation Latteinte la vie priv La fraude conomique Contenus illgaux Piratage Hardware et Software
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les 10 Notions lois immuables fondamentales Les 7 familles rseauxdeScuriser risque Le IP sabotage Firewalls L

Les sabotages

" oprations directes, programmes ou non dans le but de nuire au fonctionnement dun systme ou dun rseau " effets collatraux : atteinte limage ou aux intrts conomiques " souvent dommages indirects difcilement quantiables

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les 10 Notions lois immuables fondamentales Les 7 familles rseauxdeScuriser risque Le IP sabotage Firewalls L

Le Virus

" programme capable de sauto-reproduire lintrieur du systme ou de programmes " types :


" " " " systme : attaque de boot secteur applicatif : attaque les chiers excutables macro : attachs aux documents bureautiques script : contrler lenvironnement logiciel (javascript)

" consquences organisationnelles (identication des postes contamins, dsinfection, perte de donne.

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les 10 Notions lois immuables fondamentales Les 7 familles rseauxdeScuriser risque Le IP sabotage Firewalls L

Le Ver

" programme complet capable de se reproduire et se rpandre via des rseaux " sorte de virus rseau qui na pas besoin de programme hte " consquences : perturbations des services de messageries, des accs lInternet, divulgation dinformation au moyen de pices jointes

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les 10 Notions lois immuables fondamentales Les 7 familles rseauxdeScuriser risque Le IP sabotage Firewalls L

Le Spam

" Message lectronique non sollicit " Bombardement de serveur de messagerie et saturation de boites aux lettres " But : porter atteinte la performance ou au fonctionnement du fournisseur de service (par consquent ses clients)

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les 10 Notions lois immuables fondamentales Les 7 familles rseauxdeScuriser risque Le IP sabotage Firewalls L

Le Deny of Service

" Saturation et dni de service " Prendre contrle distance de centaines dordinateurs pour dclencher une heure donne des dizaines de requtes sur un site cibl " Oblige la fermeture du site " Impact conomique rel mais pas facile valuer

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les 10 Notions lois immuables fondamentales Les 7 familles rseauxdeScuriser risque Le IP sabotage Firewalls L

Le Ping-of-the-death

" Exploitation dune faille du protocole dadministration de lInternet (ICMP) " Commande ping permet de savoir si un systme rpond distance " Utilisation abusive permet de faire planter le systme distance

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les 10 Notions lois immuables fondamentales Les 7 familles rseauxdeScuriser risque Le IP sabotage Firewalls L

Le dfacement

" Modication de site Web " Vulnrabilit des serveurs Web " Consquences sur limage de marque

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les 10 Notions lois immuables fondamentales Les 7 familles rseauxdeScuriser risque Le IP sabotage Firewalls L

La bombe logique

" Programmes destructeurs " Prprogramms plutt que tlcommands " Contentieux entre client/fournisseur, employs/employeur " Ev. extorsion ou chantage " Aboutit la destruction des informations

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les 10 Notions lois immuables fondamentales Les 7 familles rseauxdeScuriser risque Le IP sabotage Firewalls L

Lintrusion (1/3)

" Types dattaque le plus simple apprhender " Motivation : dmontrer quil est possible de pntrer " Parfois, en proter pour voler des informations " Menace
! bas niveau ! extrmement stratgique

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les 10 Notions lois immuables fondamentales Les 7 familles rseauxdeScuriser risque Le IP sabotage Firewalls L

Lintrusion (2/3)
" Hacking
! trouver et dmontrer les failles logicielles ! les rendre publiques et les exploiter

" Scanning
! observer si des portes sont ouvertes ou fermes ! vrier si les portes fermes sont blindes

" Cheval de Troie


! volution de virus permettant deffectuer des oprations linsu de son utilisateur ! rcuprer les squences saisies et les envoyer

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les 10 Notions lois immuables fondamentales Les 7 familles rseauxdeScuriser risque Le IP sabotage Firewalls L

Lintrusion (3/3)

" Ingnierie sociale


! recherche dinfos condentielles permettant de sintroduire dans un systme ! pralable lintrusion ! usurpation didentit

" Attaque de dictionnaire


! tester toutes les combinaisons de mot de passe avec ou sans laide dun dictionnaire

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les 10 Notions lois immuables fondamentales Les 7 familles rseauxdeScuriser risque Le IP sabotage Firewalls L

Le vol dinformation (1/3)

" Domaine de lespionnage ou de la guerre conomique " Contrairement au vol de bien matriel, il suft de consulter ou faire une copie de linformation

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les 10 Notions lois immuables fondamentales Les 7 familles rseauxdeScuriser risque Le IP sabotage Firewalls L

Le vol dinformation (2/3)

" Vol dordinateur


! vol du PC dun commercial, responsable marketing ou dun dirigeant ! rexe : valoriser lordinateur et non son contenu

" Copie de donnes lectroniques


! copie des informations sur CD par un employ/fournisseur ! revente des plans marketing, projets, ...

" Impression partage et tlcopie


! donne informatique ni souvent sur le papier !

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les 10 Notions lois immuables fondamentales Les 7 familles rseauxdeScuriser risque Le IP sabotage Firewalls L

Le vol dinformation (3/3)

" Interception en ligne (snifng)


! sonde danalyse de trac du rseau (LAN+WAN) ! quasi indtectable

" Ingnierie sociale


! se faire passer pour un suprieur an dobtenir une information (par e-mail, par tlphone)

" Rayonnements
! captage des perturbations lectromagntiques gnres par tout systme pour restituer de linformation

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les 10 Notions lois immuables fondamentales Les 7 familles rseauxdeScuriser risque Le IP sabotage Firewalls L

" dclaration de traitement des donnes nominatives " dtournement de nalit " dfaut de scurit " cookies " collecte en ligne

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les 10 Notions lois immuables fondamentales Les 7 familles rseauxdeScuriser risque Le IP sabotage Firewalls L

" Atteinte aux intrts directs


! revenus, chiffre daffaire, marges ! varie selon le secteur dactivit

" Technique
! dtournement de fonds ! fraude aux moyens de paiement ! escroquerie (fausse socit, produits, services)

" Manipulations boursires


! propagation de fausses informations ! oprations sans garanties et non couvertes

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les 10 Notions lois immuables fondamentales Les 7 familles rseauxdeScuriser risque Le IP sabotage Firewalls L

Contenus illgaux (1/2)

" Diffamation et injures


! par e-mail, forum, site web ! employ mcontent, client insatisfait, sous-traitant en rupture de contrat, ...

" Rumeur et dsinformation


! guerre conomique ! nuire la concurrence ! escroquerie (fausse socit, produits, services)

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les 10 Notions lois immuables fondamentales Les 7 familles rseauxdeScuriser risque Le IP sabotage Firewalls L

Contenus illgaux (2/2)

" Appel la haine raciale, religieuse


! victimes et auteurs sont les collaborateurs

" Pornographie enfantine


! entreprise responsable de toutes les donnes traites sur son ordinateur ! tmoin, complice du crime

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les 10 Notions lois immuables fondamentales Les 7 familles rseauxdeScuriser risque Le IP sabotage Firewalls L

" Objectif : utiliser les outils sans les payer " Piratage de logiciels
! atteinte au droit de la proprit intellectuelle ! victime : diteur de logiciel

" Piratage de contenu numrique


! copie illicite ! victimes : industrie du cinma et de la musique

" Piratage de cartes puce

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Comment Notions lutterfondamentales et se protger ? rseaux Les incontournables Scuriser IP Firewalls Les techn

Comment lutter et se protger ? (1/2)

" Technologie et outils


" Infrastructures " Services " Contenus et cryptographie

" Mesures administratives et organisationnelles


" Politique de scurit de linformation " Documentation " Politique dutilisation acceptable

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Comment Notions lutterfondamentales et se protger ? rseaux Les incontournables Scuriser IP Firewalls Les techn

Comment lutter et se protger ? (2/2)

" Quels sont les technologies et les outils disponibles ? " Sur quels services et quelles prestations sappuyer ? " Avec quels hommes et quelles comptences les mettre en uvre ?

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Comment Notions lutterfondamentales et se protger ? rseaux Les incontournables Scuriser IP Firewalls Les techn

" Professionnalisme et comptence dans la gestion du parc et du rseau informatique " Se donner et exiger des moyens nanciers adapts aux exigences " Documentation et partage du kwow-how " Formation, sensibilisation et responsabilisation des utilisateurs " Prvention des pannes et des attaques " Tolrance aux pannes (redondance, composants, critres de rserve) " Procdures en cas de panne pour assurer la production
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Comment Notions lutterfondamentales et se protger ? rseaux Les incontournables Scuriser IP Firewalls Les techn

" Infrastructure
! ! ! ! ! ! ! ! Antivirus Firewall Scanners de vulnrabilits VPN Autorisation Authentication Analyse des traces Dtection dintrusion

" Services

" Contenus
! Chiffrement donnes ! Chiffrement messages ! Cryptographie

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Comment Notions lutterfondamentales et se protger ? rseaux Les incontournables Scuriser IP Firewalls Les techn

" Les consultants " Les prestataires spcialiss " Les intgrateurs " Les socits de services informatiques (SSII) " Les revendeurs

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Comment Notions lutterfondamentales et se protger ? rseaux Les incontournables Scuriser IP Firewalls Les techn

" Utilisation contre


! sabotage, intrusion, vol dinformation

" Techniques
! ! ! ! ! ! coupe-feu (rewall) dtection dintrusion antivirus scanner de vulnrabilit VPN analyses des traces

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Comment Notions lutterfondamentales et se protger ? rseaux Les incontournables Scuriser IP Firewalls Les techn

" Cloisonnement du rseau


! Intranet & Extranet

" Rempli deux fonctions


! ltrage dadresses IP ! relais de services IP (tri du courrier)

" Deux formes


! matriels (boite noire, routeur) ! logiciels (serveur ddi, sur poste client)

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Comment Notions lutterfondamentales et se protger ? rseaux Les incontournables Scuriser IP Firewalls Les techn

" installer sur


! ! ! ! postes de travail serveurs messagerie passerelle Internet

" Socits spcialises offrent des services


! ! ! ! alerte plantaire analyse de chiers infects support sur incident grave administration externalise et centralise des antivirus

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Comment Notions lutterfondamentales et se protger ? rseaux Les incontournables Scuriser IP Firewalls Les techn

" Dtection dintrusion


! logiciel qui dtecte lattaque ! gnre une alerte

" Scanners de vulnrabilits


! logiciels de contrle des failles des applications mises en uvre ! correction de ces failles par application des correctifs fournis par les diteurs

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Comment Notions lutterfondamentales et se protger ? rseaux Les incontournables Scuriser IP Firewalls Les techn

Rseaux privs virtuels (VPN 1/2)

" Risque de condentialit des donnes transmises via Internet " Utilisation de linfrastructure publique comme extension du rseau local " Conguration de canaux crypts (tunnels) entre
! ! ! ! postes de travail serveurs routeurs coupe-feu

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Comment Notions lutterfondamentales et se protger ? rseaux Les incontournables Scuriser IP Firewalls Les techn

Rseaux privs virtuels (VPN 2/2)

" Deux formes : logiciel & matriel " Mcanisme


! ngociation de cls de chiffrement entre deux composants ! chiffrement symtrique des ux par lexpditeur ! dchiffrement des ux par le destinataire

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Comment Notions lutterfondamentales et se protger ? rseaux Les incontournables Scuriser IP Firewalls Les techn

Analyse des traces (1/2)

" Toute attaque laisse des traces " Acquisition de preuves sans altration des donnes originales " Authentication des preuves " Analyse des donnes (post-mortem)

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Comment Notions lutterfondamentales et se protger ? rseaux Les incontournables Scuriser IP Firewalls Les techn

Analyse des traces (2/2)

" Outils
! ! ! ! analyse des journaux recouvrement des donnes sur HD analyse des HD et autres CD-ROM recouvrement de mot de passe, dcryptage

" Localisation des traces


! ! ! ! ! postes de travail et serveurs routeurs et coupe-feu messagerie passerelle daccs lInternet plates-formes dapplication

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Comment Notions lutterfondamentales et se protger ? rseaux Les incontournables Scuriser IP Firewalls Les techn

Techniques adaptes aux services (applications)

" Authentication " Cartes puces (authentication forte) " Autorisation " Filtrage de sites et pages web

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Comment Notions lutterfondamentales et se protger ? rseaux Les incontournables Scuriser IP Firewalls Les techn

Authentication (1/2)
" Apporter la preuve dune identit
! information connue du seul utilisateur telle que le mot de passe, code secret, lieu de naissance ( !) ... ! dispositif matriel propre et sous le seul contrle de lutilisateur, tel que carte puce, calculette, clef USB ( !), ... ! caractristique biomtrique telle que lempreinte digitale, de la rtine, ...

" Limites
! un mot de passe se prte ou se vole ! dix mots de passe sont ingrables ! dix mthodes de gestion de mots de passe sont inacceptables

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Comment Notions lutterfondamentales et se protger ? rseaux Les incontournables Scuriser IP Firewalls Les techn

Authentication (2/2)

" Solutions innovantes...


! authentication unique (single sign on) ! calculette dauthentication par calcul de mot de passe dynamique (cyber-banking) ! carte puce ! biomtrie

" ...mais posant des problmes techniques ou de dploiement

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Comment Notions lutterfondamentales et se protger ? rseaux Les incontournables Scuriser IP Firewalls Les techn

" Authentication ngale pas autorisation " Cloisonne logiquement les espaces de travail ou donnes " En fonction de prols " Lie lorganisation du travail (groupes)

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Comment Notions lutterfondamentales et se protger ? rseaux Les incontournables Scuriser IP Firewalls Les techn

" Technologie de scurit complexe " CPU peut effectuer des calculs cryptos " Economiquement viable si multi-usage
! authentication ! stockage de donnes secrtes ou condentielles

" Distribution, remplacement, perte, casse sont coteux

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Comment Notions lutterfondamentales et se protger ? rseaux Les incontournables Scuriser IP Firewalls Les techn

" Usage dInternet saccompagne dabus (idem tlphone)


! nature des sites visits ! temps consacr une activit non professionnelle

" Contrle des sites visits


! classement des sites en diffrentes catgories ! conguration logiciel daccs en fonction de ces catgories

" Intrt auprs des grands groupes, administrations, universits


! usage dviant et abusif (piratage, pornographie) ! responsabilit de lentreprise vis--vis des donnes traites

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Comment Notions lutterfondamentales et se protger ? rseaux Les incontournables Scuriser IP Firewalls Les techn

" Maintient du secret des informations condentielles " Le chiffrement est la solution de base " Nouveaux problmes :
! contrle utilisation Internet ! contrle des informations diffuses lextrieur de lentreprise (messagerie) ! protection des contenus numriques couverts par les droits dauteur

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Comment Notions lutterfondamentales et se protger ? rseaux Les incontournables Scuriser IP Firewalls Les techn

" Assurer condentialit des donnes " Constitution dun coffre-fort lectronique sous le contrle de celui qui a la cl
! exemple : encryptage automatique sous W2K, cryptoloop sous Linux...

" Informatique nomade


! chiffrement donnes locales ! contrle accs distant renforc ! VPN

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Comment Notions lutterfondamentales et se protger ? rseaux Les incontournables Scuriser IP Firewalls Les techn

" Echange dinformations - messagerie


! document joint un e-mail ! message complet

" Trois types de solutions


! fonction intgres aux logiciels de messagerie ! logiciel commercial ! logiciel libre

" Exemples
! S-Mime et PGP pour les e-mail ! SSL pour les transactions lectroniques

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Comment Notions lutterfondamentales et se protger ? rseaux Les incontournables Scuriser IP Firewalls Les techn

" Cyber-surveillance (divulgation dinformations condentielles) " Logiciels danalyse de contenu bas sur des mots-cls " Soulve des questions :
! ! ! ! quelle liste de mots-cls ? quels noms de domaine de quels concurrents ? qui effectue le contrle ? comment ? comment garantir le respect de la vie priv des collaborateurs ?

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Comment Notions lutterfondamentales et se protger ? rseaux Les incontournables Scuriser IP Firewalls Les techn

" Concerne tout type de contenu numrique


! musique, cinma, logiciel, contenu Web, ...

" Exigence de nature conomique " Proprit intellectuelle " Deux types de rponse :
! juridique & rpression ! technologique (ligrane/stganographie, cryptographie)

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

Scuriser le systme

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

#1 Mots de passe faibles

" Le choix dun mot de passe est critique pour la scurit dun systme.
! Eviter les comptes (systmes) sans mot de passe. ! Eviter les mots de passe faibles.

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

#2 Services rseau disponibles

" Tout service ouvert est un points dentre potentiel pour un cracker
! Installer juste le minimum ncessaire ! Dsactiver les services installs par dfaut

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

#3 Versions software pas mises jour

" Vulnrabilits trouves tous les mois. " Sabonner la liste correspondant la distribution. " Ressources
! www.lwn.net/ ! linuxtoday.com/

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

#4 Programmes mal congurs


" Programmes mal scuris
! mot de passe en clair : POP, IMAP (sans SSL), telnet, FTP ! problmes dans le pass : NFS, portmap

" Utiliser les alternatives scurises


! spop, simap, SSH, scp, sftp

" Problmes lis au CGI


! jamais lancer le serveur WWW en utilisateur privilgi ! ...

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

#5 Ressources insufsantes et priorits mal gres


" La rcupration des donnes aprs une attaque cote gnralement dix fois plus que la mise en place de la scurit avant lintrusion. " Montrer les problmes et proposer des solutions aux managers. " Une tude pour larme amricaine en 2002 recommande lutilisation des logiciels libres parce quils sont moins chers et moins vulnrable. " Linux est utilis dans larme et les services secrets de plusieurs pays. U.S. National Security Agency (NSA) propose une version scuriss Linux conforme C2 (www.nsa.gov/selinux)
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

#6 Comptes pas utiliss ou pas ncessaires


" Un compte est un point dentre dans le systme " Quand un utilisateur nutilise plus le systme son compte doit tre effac " Si des donnes doivent tre gardes
! le compte doit tre dsactiv : " ! !" ou "*" dans /etc/passwd ! vrier labsence de programmes set-UID ou set-GID ! vrier labsence de chiers accessibles chmod 0 /home/someone find / -user someone -ls ! vrier les chiers correspondants dans le spool

" Si des services (e.g. FTP, NFS, uucp, mail, gopher, news) ont t dsactives alors les comptes correspondants doivent effacs ou dsactivs.
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

#7 Retarder les taches

Je voulais dsactiver telnet pour ne pas utiliser les mots de passe en clair mais avant jai du installer Shorewall ...

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

Mots de passe faibles ou inexistants


" Le choix dun mot de passe est critique pour la scurit dun systme. " Eviter les comptes systmes sans mot de passe
! vrier les chiers /etc/passwd et /etc/shadow ! le deuxime champs doit tre " ! !" ou "*", indiquant un compte dsactiv ou un "x" indiquant un compte shadowed

" Eviter les mots de passe faibles


! bien choisir le mot de passe pour le root et les utilisateurs ! attaque avec un dictionnaire de mots et de noms propres (mots crits lenvers, majuscules et minuscules, ajout de chiffres la n du mot)
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

Choix mot de passe


" Mauvais mots de passe
! Votre nom ou prnom ! Nom ou prnom de votre copain/copine/parents/chien/chat/tortue ! Nom de personnages (Bond, Gandalf, Wizard) ! Nom ou prnom en gnral ! Date de naissance, immatriculation, scurit sociale, lieu ! Nom commun (franais ou tranger) / noms propres ! Motifs clavier (azerty)

" Combinaison proscrites


! Inversion des lettres ! Remplacement 1 pour i, 0 pour O, @ pour a, etc. ! Capitalisation une lettre sur deux, etc.

" Tout mot de passe rendu public doit tre chang.


Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

Choix mot de passe


" Bons mots de passes
! ! ! ! ! Premire lettre de chaque mot dune phrase. Utilisation de signes de ponctuation. Utilisation de majuscules et chiffres. Facile retenir pour vous, difcile trouver pour quelquun. Facile taper au clavier.

" Exemples
! Ma tortue sappelle Achille -> MtsaA ! Et mon chien cest Toto -> EmceToTo

" Social engineering Allo ? Bonjour, je suis lingnieur systme et je suis en train de faire la maintenance des comptes, pourriez-vous me donner votre mot de passe pour que votre compte reste valide pour demain ?
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

Choix mot de passe

" Choisir le mot de passe pour lutilisateur (avec mkpassw par exemple, les utilisateurs naiment pas) " Utiliser un password cracker pour le tester ! John the Ripper http ://www.openwall.com/john/ " Tester les mots de passe quand les utilisateurs veulent les changer avec passwd en utilisant les Pluggable Authentication Modules

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

Pluggable Authentication Modules for Linux

" Un ensemble de librairies partages permettant ladministrateur de dcider la manire dont les utilisateurs sont authentis (par defaut dans la plupart des distributions Linux).
! www.kernel.org/pub/linux/libs/pam/

" Fichiers de conguration


! /etc/pam.conf - Le chier de conguration PAM ! /etc/pam.d/ - Conguration alternative avec plusieurs chiers ! /lib/security/pam_*.so - Les modules

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

Vrication du mots de passe


" Fichier /etc/pam.d/passwd standard
auth account password session required required required required pam_unix.so pam_unix.so pam_unix.so pam_unix.so

" Utiliser la librairie cracklib en lappelant depuis passwd.


! La librairie ne dispose pas du code pour trouver les mots de passe.

" Ajouter dans /etc/pam.d/passwd

password requisite /usr/lib/security/pam_cracklib.so retry= password required /usr/lib/security/pam_pwdb.so use_authtok

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

Vieillissement du mot de passe


" Inconvnients du changement priodique du mot de passe
! les mots de passe choisis sont de moins en moins rsistants ! un bon mot de passe peut rsister trs longtemps

" Inconvnients de lutilisation du mme mot de passe


! un mot de passe dcouvert aujourdhui peut tre utilis plus tard (dhabitude au mauvais moment) ! les utilisateurs ont tendance utiliser le mme mot de passe partout

" Tout mot de passe connu par une personne quittant lorganisme doit tre chang
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

Noms de compte

" Il est plus difcile de dcouvrir la paire compte-mot de passe que seulement le mot de passe ! le message derreur pour mauvais mot de passe ou mauvais nom de compte (login, telnetd, ftpd) " Nom de compte
! ! ! ! pas le nom dune personne pas ventes, drh, etc. nom plus initiale nom de compte diffrent de ladresse e-mail (utiliser /etc/aliases)

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

Droits implicites
" Tout chier avec des permissions pour un cracker peut affaiblir la scurit dun systme. " Utiliser ls et chmod pour trouver et changer les droits des chiers
! trs lourds

" Ajouter une commande umask dans dans le script de dmarrage de chaque utilisateur
! .profile,.bashrc,.cshrc,.login,.tcshrc ! umask 027 ! umask 022

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

Droits implicites globaux

" Ajouter une commande umask dans dans les scripts de dmarrage
! /etc/profile,/etc/bashrc ! /etc/csh.login,/etc/zshenv,/etc/zshrc

" Vrier que ces droits ne sont pas modis par les utilisateurs dans les scripts de dmarrage de leurs comptes
! grep umask /home/*/.{profile,bashrc} ! grep umask /home/*/.{cshrc,login,tcshrc}

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

Rpertoires temporaires

" Les rpertoires temporaires (/tmp,/var/tmp,/usr/tmp) ont le droit dcriture pour tout le monde
! les chiers dans ces rpertoires peuvent tre effacs par des mchants (sauf si ouverts par lapplication (e.g. mail) les utilisant) ; ! les chiers ne peuvent pas tre lus et modis si les droits 600 sont utiliss.

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

Rappel droits chiers et rpertoires


Rpertoires SETUID SETGID nouveaux chiers appartiennent au groupe du rpertoires3 , nouveaux rpertoires ont le setgid4 excuter comme si ctait dans le groupe du propritaires g+s -rwxr-sr-x -rwxr-Sr-x STICKY BIT seulement les propritaires peuvent effacer les chiers5

Excutables

excuter comme si ctait le propritaires6 u+s -rwsr-xr-x -rwSr-xr-x

chmod ls (avec x) ls (sans x)


3 4

o+t drwxr-xr-t drwxr-xr-T

mme si le propritaire appartient un autre groupe pour assurer la rcursivit 5 mme si o+w 6 on a galement besoin de x pour excuter
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

Le Sticky Bit
" Utiliser le Sticky bit pour les rpertoires temporaires
! chmod 1777 /tmp ; ls -ld /tmp ! drwxrwxrwt 13 root root 4096 Apr 15 08 :05 tmp ! les chiers dans le rpertoire peuvent tre effacs ou renomms que par les propritaires mme si les droits du rpertoire le permettent. ! les utilisateurs peuvent crer des chiers mais ne peuvent pas modier les chiers dautres utilisateurs.

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

Droits trop permissifs


" Trouver les chiers avec problmes potentiels
! Pour bash find / ! -fstype proc -perm -2 ! -type l -ls 2>&1 | Mail -s world writable your_address ! Pour csh find / ! -fstype proc -perm -2 ! -type l -ls |& Mail -s world writable Your_address

" Modier les droits pour chaque chier trouv


! chmod o-w

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

Droits trop permissifs

" La commande find


! Option ! -fstype proc : pas dans le systmes de chiers de type proc ; ! Option -perm -2 : permission dcriture pour tout le monde ; ! Option ! -type l : pas pour les chiers de type link ! Option -ls : excuter la commande pour chaque chier trouv

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

Recherche plus dtaille


" Trouver les chiers avec problmes potentiels find / ! -fstype proc -perm -002 \( -type f -o -type d -o -type p -o -type b \) \ \( ! -type d -o ! -perm -1000 \) \ -ls -ok chmod o-w {} \; " Options
! On regarde pas les rpertoire avec sticky bit ! On regarde pas le devices de type caractre ! Validation avant changement des droits

" Ce type de commande doit tre appele rgulirement (e.g. cron)


Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

Chercher les programmes set-UID et set-GID


" Les 2 commandes peuvent tre groupes
! Pour bash find Mail find Mail / ! -fstype proc -perm -4000 -ls 2>&1 | -s set-UID your_address / ! -fstype proc -perm -2000 -ls 2>&1 | -s set-GID your_address

! Pour csh find / ! -fstype proc -perm -4000 -ls \ |& Mail -s set-UID your_address find / ! -fstype proc -perm -2000 -ls \ |& Mail -s set-GID your_address

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

Recherches diverses
" Fichiers avec propritaire ou groupe inconnu find / ! -fstype proc ( -nouser -o \ -nogroup ) -ls " Fichiers cachs find / ! -fstype proc ( -name .??* -o \ -name .[^.] ) -ls " Fichiers dun utilisateur (effac) find / ! -fstype proc -user byebye -ls " Fichiers nappartenant au propritaire du rpertoire racine cd /Users foreach i ( * ) find $i ! -user $i -ls Laurent VALLAR Scurit des Systmes dInformations end

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

Signer les chiers set-UID et set-GID


" Trouver les chiers set-UID et set-GID et mmoriser leur checksum (find / ! -fstype proc -perm +6000 -ls \ ; find / ! -fstype proc -perm +6000 \ -print | xargs -n 50 md5sum) \ | sort | tee sgidCHK
! Commande xargs -n <nba> <cmd> : excuter <cmd> sur au maximum <nba> arguments ! Commande sort : trier ! Commande tee <fichier> : envoyer lentre standard vers la sortie standard avec une copie dans <fichier>

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

Fichiers set-UID et set-GID modis

" Trouver les chiers set-UID et set-GID dont le checksum a t modi ( find ; find -print | sort | Mail

/ ! -fstype proc -perm +6000 -ls \ / ! -fstype proc -perm +6000 \ | xargs -n 50 md5sum ) \ | diff sgidCHK - \ -s SUID ou SGID modif alerte@iut.co

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

Analyser les chiers suspects

" Analyser le type des chiers avec la commande file (find / ! -fstype proc -perm +6000 -ls \ ; find / ! -fstype proc -perm +6000 \ -print | xargs -n 50 file \ ; find / ! -fstype proc -perm +6000 \ -print | xargs -n 50 md5sum) \ | sort | tee sgidCHK

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

Analyser le contenu des chiers


" Les chiers accessibles par tout le monde les plus attaqus aliases exports ftpaccess ftpusers group hosts hosts.allow hosts.deny hosts.equiv hosts.lpd inittab lilo.conf
Laurent VALLAR

logrotate.conf mailcap profile resolv.conf securetty sendmail.cf sendmail.mc shells smb.conf syslog.conf *.conf

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

Analyser le contenu des chiers


" Garder une copie de ces chiers et comparer rgulirement le contenu des chiers sensibles avec cette copie cd cia foreach i ( * ) cmp -s $i /etc/$i if ( $status != 0 ) then echo "$i modifie" >>! .tmp$$ diff $i /etc/$i >>& .tmp$$ endif end if ( -f .tmp$$ ) then Mail -s Differences dans /etc $* < .tmp$$ /bin/rm .tmp$$ exit 1 endif
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

Diffrences importantes
" comptes dans /etc/passwd avec UID=0
! variations sur root : toor, r00t, etc.

" entres + dans /etc/passwd " .hosts et .hosts.equiv


! si rsh active (ou si ssh utilise ces chiers)

" entres dans /etc/hosts, /etc/hosts.allow et /etc/hosts.deny " entres dans /etc/aliases

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

Installer les services rseau

" Tout service ouvert est un points dentre potentiel pour un cracker
! Installer juste le minimum ncessaire ! Dsactiver des services rseau non utiliss

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

Examiner les services disponibles

" Tester les services disponibles # netstat -atuvp


! Option -all : afcher tout les ports (mme pas connects ! Option -ut : UDP et TCP ! Option -verbose ! Option -programme qui utilise le port

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

Examiner les scripts dinitialisation

" Sur un systme System V # /etc/rc.d/rc[0-6].d " Dterminer ltat par dfaut # grep initdefault /etc/inittab ! id :5 :initdefault : " Dterminer les services lancs par dfaut # ls -F /etc/rc.d/rc5.d/S*

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

Examiner les scripts dinitialisation


" Vrier inetd.conf et xinetd.conf ! inetd.conf
#finger #ftp #login #nntp #ntalk stream stream stream stream dgram tcp tcp tcp tcp udp nowait nowait nowait nowait wait nobody root root usenet root /usr/libexec/tcpd /usr/libexec/tcpd /usr/libexec/tcpd /usr/libexec/tcpd /usr/libexec/tcpd fingerd -s ftpd -l rlogind nntpd ntalkd

! xinetd.conf
service ssh { disable = yes socket_type wait user server server_args nice } = = = = = = stream no root /usr/sbin/sshd -i 10

" Lister les processus (daemons) actifs " ps -aux (et trouver qui coute netstat -nlp)
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

Comment choisir les services activer/dsactiver

" Ne pas installer les services dont on comprend pas bien la fonctionnalit " Les services bass sur UDP ne sont pas sur, en gnral " Eviter les services qui envoient le mot de passe en clair (e.g. Telnet, FTP, pop3, imap, http) " Prendre des prcautions avec les services vulnrable par le pass (e.g. nfsd, rshd, rlogind, rexecd, ftpd, sendmail, named)

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

Dsactiver des services rseau

" Services par dfaut ! NFS, finger, services login r* (rsh, rexec, rlogin), FTP, telnet, sendmail, DNS, linuxconf

" Services non ncessaires pour excuter le client ! FTP, telnet, DNS (named) ! NFS(rpc.nfsd, mountd, portmap, rpc.lockd, rpc.statd, rpc.rquotad), DNS, sendmail

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

Dsactiver des services rseau


" Exemple : arrter portmap /etc/rc.d/init.d/nfs stop /etc/rc.d/init.d/nfslock stop /etc/rc.d/init.d/portmap stop for i in nfs nfslock portmap ; do chkconfig -del $i ;done " Exemple : arrter portmap sur un systme System V cd /etc/rc.d/rc3.d mv S11portmap K11portmap for i in nfs-kernel-server nfs-common portmap ; do update-rc.d -f $i remove ;done (Debian)
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

finger
" Permet lafchage de diffrentes informations par rapport un ou plusieurs utilisateurs sur une machine
! les terminaux o lutilisateur est connect et depuis quand il na pas appuy sur une touche ! sil y du mail non lu ! nom, prnom, numro tel, etc (dans /etc/passwd) ! shell utilis ! rpertoire la connexion ! le contenu des chiers .plan et .project

" finger root@cia.com finger @cia.com

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

finger
" Permet un intrus de savoir
! si un utilisateur existe (malgr les precaution de telnet) ! si le root est prsent ! ...

" Controll par inetd.conf


! finger stream tcp nowait nobody /usr/bin/tcpd ! commenter la ligne avec # ! activer la modication avec killall -HUP inetd

" Alternativement, des TCP Wrappers peuvent tre utiliss


Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

SNMP
" Simple Network Management Protocol (Security Not My Problem)
! administrer les systmes distances ! mots de passe circulent en clair ! utilise UDP port 161 (le from peut tre facilement spoofer) ! implment par un daemon - snmpd.

" Dsactiver
! ! ou ! ! ! chkconfig -del snmpd update-rc.d -f snmpd remove (Debian) ls -l /etc/rc.d/rc*.d/S*snmpd* /etc/rc.d/init.d/snmpd stop renommer les scripts
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

NFS, mountd, portmap

" NFS classique utilise UDP


! Les paquets UDF peuvent tre facilement spoofer ! Utiliser seulement si isol avec un rewall, VPN, etc.

" Utiliser TCP Wrappers


! UDP spoong toujours possible

" Utiliser loption de montage TCP - NFSv3


! plus lent

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

Arrter NFS
" Arrter le daemon NFS
killall portmap killall rpc.mountd killall nfsd killall rpc.rquotad killall rpc.rstatd killall rpc.rusersd killall rpc.lockd killall rpc.statd rm -f /var/lock/subsys/nfs

" sur un System V (Red Hat, Mandrake, etc.)


/etc/rc.d/init.d/nfs stop /etc/rc.d/init.d/nfslock stop /etc/rc.d/init.d/portmap stop chkconfig --del nfs chkconfig --del nfslock chkconfig --del portmap
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les sept Notions problmes fondamentales critiques rseaux Mots de passe Scuriser Droits IP chiers Firewalls Tr

rsh, rcp, rlogin, rexec

" Remote shell pas sures


! mots de passe circulent en clair ! commandes excuter sans mot de passe

" Effacer les lignes correspondantes dans inetd.conf


! shell ! login ! exec

" Utiliser les versions ssh

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

Les rseaux Ethernet

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

Introduction : le modle OSI

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

Introduction : le modle TCP/DOD

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

Introduction : lencapsulation TCP

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

Introduction : buts
" Buts
! ! ! ! ! rseau multipoints sans priorits avec collisions dbit : 10 Mb/s et plus ( lpoque) faible cot

" Non-buts
! ! ! ! ! contrle derreur full duplex scurit priorit dterminisme

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

Principes

" Principe de fonctionnement


! N stations sur le mme support ! une station coute avant dmettre ! si deux stations mettent simultanment, il y a collision ! une seule trame un instant donn ! toutes les stations reoivent la trame mise

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

Principes (suite)
" Les quipements
! raccords un bus ! chaque station a une adresse unique (MAC) ! chaque station est lcoute des trames qui circulent sur le bus ! une station attends que le bus soit libre pour mettre ! si deux stations mettent simultanment, il y a collision et les trames sont inexploitables (ajout bruit cause dlais) ! aprs collision, les stations rmettent selon un algorithme bien dni

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

Principes (suite)

" Le rseau
! galitaire ! probabiliste ! performances variables ! non scuris

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

La couche physique (niveau 1 OSI)

" Rle
! dtecter lmission dune autre station sur le mdium (Carrier Sense), alors que la station est en coute. ! transmettre et recevoir des bits sur le mdium ! dtecter lmission dune autre station pendant que la station met (Collision Detect)

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

La couche liaison (niveau 2 OSI)


" trame 802.3 " trame Ethernet ! ... avec la sous couche MAC7
! met en oeuvre le protocole CSMA/CD8 ! dtection des erreurs de transmission ! gestion du canal de liaison (en coutant Carrier Sense et Collision Detection mis pas la couche physique

7 8

MAC : Media Access Control, identiant physique Driv dun systme de transmission radio (Aloha).
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

La couche liaison (sous-couche LLC)


! normalise IEEE 802.2 ! commune aux normes IEEE 802.3, 802.4 (token bus), 802.5 (token ring) ! interface LLC9 /MAC = service sans connexion ! requte dmission de donnes (LLC vers MAC) ! primitive dindication de donnes (MAC vers LLC) ! primitive de conrmation dmission de donnes (MAC vers LLC)
LLC : Logical Link Control, sous-couche complmentaire abilisant le protocole MAC.
Laurent VALLAR Scurit des Systmes dInformations 9

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

Linterconnexion - rpteurs (repeaters)


! dispositif actif non congurable ! permet daugmenter la distance entre deux stations Ethernet ! reoit, amplie et retransmet les signaux, remet en forme les signaux lectriques, complte les fragments ! indpendant du protocole et ne procde aucun ltrage (ne diminue pas la charge du rseau) ! dtecte les collisions et les propage (jam)

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

Linterconnexion - concentrateurs (hub)


! fonction de rpteur, multi-rpteur ! permet de mixer ventuellement diffrents mdias (paires torsades, AUI, Thin Ethernet, etc.) ! souvent compos dun chssis pouvant contenir N cartes (interfaces : 4, 8, 16, 24, 32 ports) ! possibilit dun agent snmp ! peuvent tre empilables (un seul domaine de collision) ! peuvent tre cascadables (plusieurs domaines de collision) ! mmes problmes que les rpteurs...
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

Linterconnexion - ponts (bridges)


! dispositif actif ltrant ! permet daugmenter la distance maximum entre deux stations ! permet de diminuer la charge du rseau ! maintient une table dynamique des adresses MAC accessibles sur chaque port ! ne redirige les trames que sur les ports de destination connus o sinon agit comme rpteur sur tous les ports

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

Linterconnexion - commutateurs (switch)

! ne fonctionne plus sil existe des boucles (retransmissions innies si destinataire inconnu), solution : le Spanning Tree10 ! possibilit de limiter les domaines de broadcast avec le support des VLAN11 , rseau local virtuel ou domaine de broadcast. (mais ncessit dun routeur), on parle alors de commutateurs.

10 11

Arbre recouvrant un graphe viter les boucles. VLAN : Virtual LAN


Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

Linterconnexion - routeurs
! quipement complexe, comprenant les couches de protocoles de niveau physique, liaison et rseau ! souvent ddi, parfois ordinateur ! supporte toute topologie (y compris boucles, toiles, doubles-toiles et liens redondants) ! comprend des tables de routage manuelles ou dynamiques par lintermdiaire de protocoles spcialiss (RIP12 , OSPF13 , etc.) ! trs bon ltre : ne laisse pas passer les collisions, les messages de diffusion.
12 13

RIP : Routing Information Protocol, protocole de type Vecteur Distance OSPF : Open Shortest Path First, protocole dtat des liens
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

Conclusion
! Ethernet est le mdia rseau le plus rpendu au monde ! se construit comme un mcano avec des pices normalises et disponibles auprs de nombreux fabriquants ! certains problmes sont connus, la plupart ntaient pas considrs comme tels au dpart (cf. rseau local) :
scurit condentialit protection contre les utilisateurs pas de trame prioritaire

! un autre problme est la vitesse du rseau qui trouve ses limites avec les performances accrues des stations, volution actuelle du fast Ethernet vers le gigabit Ethernet...
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

Le protocole TCP/IP

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

Introduction
! TCP/IP : but = interconnexion de rseaux (mme diverses) sur une base plantaire ! Technologie issue des annes 1970, des projets DARPA... aujourdhui devenue globale ! Plusieurs protocoles (suite TCP/IP) qui offrent les services de base
transport de datagrammes : service lmentaire de la commutation de paquets transport de messages scuriss : service orient connexion permettant dacheminer des donnes en garantissant leur intgrit adaptation de la technologie la plupart dinterfaces

! Ces services sont indpendant du support de transmission : adaptables toute sorte de mdia depuis les rseaux locaux jusquaux rseaux longue distance
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

Introduction (suite)
! Interconnexion universelle : les machines ont une adresse unique sur lInternet - routage de noeuds en noeuds de manire cooprative sur la base de ladresse de destination ! Interconnexion dgal gal (peer to peer) : il ny a pas de machines prioritaires (en opposition une structure hirarchique) ! Dans le cadre du transport scuris, les acquittements sont effectus entre les systmes naux (source et destinataire) plutt que continuellement entre chaque noeud relayant les messages ! Applications standards bties sur la technologie de base : courrier lectronique, transfert de chier, mulation de terminal, etc.
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

Introduction (suite)

! Technologie publique largement diffuse au travers de RFCs. ! Indpendance des constructeurs et disponible sur tous types de matriel (micro, stations, quipements rseaux...) ! Largement valid depuis de nombreuses annes dans un monde htrogne

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

Concept de linterconnexion
! Point de dpart : rseaux interconnects de nature diverse
" Ces diffrences ne doivent pas apparatre lutilisateur de linterconnexion

! Abstraction chaque niveau de fonctionnalit (couches de protocoles) qui encapsule les fonctionnalits de niveau infrieur ! Affranchit lutilisateur des dtails relatifs aux couches infrieures et nalement au rseau lui-mme (couche physique) ! Mise en oeuvre de linterconnexion au niveau des protocoles grant la couche rseau des systmes actifs les donnes sont routes par les noeuds intermdiaires sans que ces noeuds aient la moindre connaissance des applications responsables de ces donnes
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

Avantages de linterconnexion au niveau de la couche rseau

! systme exible : introduction de nouvelles interfaces physiques en adaptant la couche rseau alors que les applications restent inchanges ! fragmentation de paquets possible ! les protocoles peuvent tre modis sans que les applications soient affectes (mais lourde inertie : FTP, IPv6...)

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

Concept de linterconnexion : rsum

! Le concept dinterconnexion ou dInternet repose sur la mise en oeuvre dune couche rseau
masquant les dtails de la communication physique du rseau dtachant les applications des problmes de routage

! Linterconnexion : faire transiter des informations depuis un rseau vers un autre rseau par des noeuds spcialiss appels passerelles (gateway) ou routeurs (router).

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

Ladressage Internet
! But : fournir un service de communication universel permettant toute machine de communiquer avec toute autre machine de linterconnexion ! Une machine doit tre accessible aussi bien par des humains que par dautre machines ! Une machine doit pouvoir tre identie par :
un nom (mnmotechnique pour les utilisateurs), le fqdn14 une adresse qui doit tre un identicateur universel de la machine une route prcisant comment la machine peut tre atteinte

14

fully qualied domain name


Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

Ladressage Internet
! Adressage binaire compact assurant un routage efcace ! Adressage plat par opposition un adressage hirarchis permettant la mise en oeuvre de linterconnexion dgal gal ! Utilisation de noms pour identier des machines, ralis un niveau suprieur aux protocoles de base ! Les classes dadressage :
Une adresse = 4 x 8 bits = 32 bits, dite adresse IP constitue dune paire (netid, hostid) o netid identie un rseau et hostid identie une machine sur ce rseau Cette paire est structure de manire dnir cinq classes dadresse
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

Ladressage Internet
! hostid != que des 0 et hostid != que des 1 ! Adresses de rseau : la partie hostid ne contient que des 0 ! Adresses de diffusion : la partie hostid ne contient que des 1 (broadcasts) ! Adresses de diffusion limite : netid ne contient que des 1, ladresse constitue concerne uniquement le rseau physique associ ! Gateway (ou passerelle de sortie dun rseau) habituellement affect ladresse de diffusion du rseau moins 1 (les .254, cf. RFCs)
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

Ladressage IP : les classes


classes A B C D E 1er octet 1-128 128-191 192-223 224-239 240-254 ID rseau w w.x w.x.y ID hte x.y.z y.z z Nb. rs. 2 2/126 214 2/16384 221 2/2097152 7

Nb. htes 224 2/16777214 216 2/65534 28 2/254 -

" " " "

La classe D est destine au multicast. La classe E est rserve. La boucle locale : 127.0.0.0 127.255.255.255 Les classes dadressage prives (rseaux locaux non routs sur Internet) :
! Classe A : 10.0.0.1 10.255.255.255 ! Classe B : 172.16.0.1 172.31.255.255 ! Classe C : 192.168.0.1 192.168.255.255

" Tout le monde : 0.0.0.0 (cf. RARP)


Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

IP : Internet Protocol
! Ralise les fonctionnalits de la couche rseau selon le modle OSI. ! Se situe au coeur de larchitecture TCP/IP qui met en oeuvre un mode de transport able (TCP) sur un service rseau en mode non connect. ! Le service offert par le protocole IP est dit non able :
! remise des paquets non garantie, ! sans connexion (paquets traits indpendamment les uns des autres), ! pour le mieux (best effort, les paquets ne sont pas limins sans raison).

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

IP : Internet Protocol (suite)

! Le protocole IP dnit :
! lunit de donne transfre dans les interconnexions (datagramme) ! la fonction de routage (au moins le gateway vers 0.0.0.0 pour tre sur Internet) ! les rgles qui mettent en oeuvre la remise de paquets en mode non connect (fragmentation, temps de vie, protocoles : tcp/udp/icmp, etc.)

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

Le Protocole ICMP
! Le protocole ICMP (Internet Control Message Protocol) ralise le rseau smaphore sur IP (ping, horodatage, controle de congestion et derreurs...). ! ICMP rapporte les messages derreur lmetteur initial (destination dconnecte, dure de vie expire, congestion de passerelles intermdiaires, etc.). ! Si une passerelle dtecte un problme sur un datagramme IP, elle le dtruit et met un message ICMP lmetteur initial. ! Les messages ICMP sont vhiculs lintrieur de datagrammes IP et sont routs comme nimporte quel datagramme IP. ! Une erreur engendre par un message ICMP ne peut donner naissance un autre message ICMP (vite leffet cumulatif).
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

UDP : User Datagram Protocol


" protocole de transport sans connexion de service applicatif :
! mission de messages applicatifs : sans tablissement de connexion au pralable, ! larrive des messages ainsi que lordonnancement ne sont pas garantis.

" Identication du service : les ports


! permet de distinguer les services adresss une IP (multiplexage) ! association abstraite numro de port = service ! message caractris par un port source et un port destination ! accs aux ports gnralement synchrones, oprations tamponnes (les dattentes)
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

TCP : Transmission Control Protocol

" Transport able de la technologie TCP/IP :


! abilit = illusion assure par le service ! transferts tamponns : dcoupage en segments ! connexions bidirectionnelles et simultanes

" service en mode connect " garantie de non perte de message ainsi que de lordonnancement

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

TCP : La connexion
" Une connexion de type circuit virtuel est tablie avant que les donnes ne soient change : appel+ngociation+transferts. " Une connexion = une paire dextrmits de connexion " Une extrmit de connexion = couple (adresse IP, port) " Une extrmit de connexion peut tre partage par plusieurs autres extrmits de connexions (multi-instanciation : plusieurs clients sur un services donns par exemple) " Mise en oeuvre dune connexion en deux tapes :
" une application (extrmit) effectue une ouverture passive en indiquant quelle accepte une connexion entrante, " une autre application (extrmit) effectue une ouverture active pour demander ltablissement de la connexion.
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

TCP : Segmentation et Contrle de Flux


! Les donnes transmises TCP constituent un ot doctets de longueur variable. ! TCP divise ce ot de donnes en segments en utilisant un mcanisme de fentrage.
" Un segment est mis dans un datagramme IP.

! Acquittement des messages : TCP garanti larrive des message, cest dire quen cas de perte, les deux extrmits sont prvenues retransmission (algorithme de Karn). ! Le fentrage corrige aussi la pnalisation de performances due aux acquittements : les acquittements sont cumulatifs (un numro plus grand acquitte les prcdents). ! Lordonnancement est assur par un numro de squence.
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

TCP : la congestion
! Cest la saturation de noeud(s) dans le rseau provoquant des dlais dacheminement de datagrammes jusqu leur pertes ventuelles. ! Les extrmits ignorent tout de la congestion sauf les dlais. Habituellement, les protocoles retransmettent les segments ce qui agrave encore le phnomne (timeouts). ! Dans la technologie TCP/IP, les passerelles (niveau IP) utilise la rduction du dbit de la source mais TCP participe galement la gestion de la congestion en diminuant le dbit lorsque les dlais sallongent : cest la fentre virtuelle de congestion.

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

TCP : Connexion/dconnexion

! Connexion en trois temps (three way handshake) : Syn (seq=x) - Syn (seq=y,ack=x+1) - Ack(y+1)

! Dconnexion en quatre temps (dit trois temps modi) Fin (seq=x) - Ack(x+1)+Fin | Fin (seq=y,ack=x+1) Ack(y+1)

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

DNS - Domain Name System

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

Introduction
! La technologie de base (TCP/IP) ne permet laccs aux machines que via leur adresses IP, impossible pour les humains... ! Le systme DNS permet didentier une machine par un (des) nom(s) reprsentatif(s) de la machine et du (des) rseau(x) sur le(s)quel(s) elle se trouve : cest le fqdn. ! Le systme est mis en oeuvre par la gestion dune base de donnes hirarchique distribues au niveau mondial (tld ou domaines racines & dlgation par sous-zones) ! Les noms sont grs par un organisme mondial : linterNIC et les organismes dlgus : RIPE, NIC France, etc.
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Les rseaux Notions Ethernet fondamentales TCP/IPrseaux DNS Scuriser IP Firewalls

Introduction

! Bas sur le modle client/serveur et matre esclave (serveurs primaire et secondaires) ! Service de rsolution des adresses IP et des noms (rsolution inverse). ! UDP port 53... LA faiblesse dInternet.

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme IPSec Notions Architecture fondamentales dIPSec rseaux AH ESP Scuriser SA Gestion IP Firewalls clefs

Scuriser IP

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme IPSec Notions Architecture fondamentales dIPSec rseaux AH ESP Scuriser SA Gestion IP Firewalls clefs

Introduction

" IPSec nest pas un protocole proprement parler " IPSec fournit :
! un ensemble dalgorithmes pour la scurisation dIP ! un environnement gnral permettant des entits de communiquer de manire scurise

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme IPSec Notions Architecture fondamentales dIPSec rseaux AH ESP Scuriser SA Gestion IP Firewalls clefs

Utilisation dIPSec

" Exemple dapplications :


! Scuriser deux sites distants relis au travers dInternet (VPN host to host) ! Accs scuris partir dInternet (VPN road-warrior) ! tablissement de zones intranet et extranet sres entre partenaires (VPN partages) ! Renforcement de la scurit dans le domaine du commerce lectronique (rseaux boursiers, etc.)

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme IPSec Notions Architecture fondamentales dIPSec rseaux AH ESP Scuriser SA Gestion IP Firewalls clefs

Aperu dIPSec (suite)

" Avantages dIPSec :


! Transparent pour les applications (au-dessous de la couche transport TCP ou UDP) ! Offre un niveau de scurit nement congurable

" IPSec peut assurer :


! quun paquet dun routeur ou dun voisin provient dune source autorise ! quun message de redirection provient du routeur initial ! qune mise jour de routage nest pas fabrique ...cest lauthentication.

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme IPSec Notions Architecture fondamentales dIPSec rseaux AH ESP Scuriser SA Gestion IP Firewalls clefs

Formalisation

" IPSec est dcrit dans :


! RFC 2401 : Un aperu de larchitecture ! RFC 2402 : Description dune extension pour lauthentiction de paquet IPv4 et IPv6 ! RFC 2406 : Description dune extension pour le cryptage de paquet IPv4 et IPv6 ! RFC 2408 : Spcication des possibilits de gestion des cls

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme IPSec Notions Architecture fondamentales dIPSec rseaux AH ESP Scuriser SA Gestion IP Firewalls clefs

Services IPSec
" Contrle daccs " Intgrit sans connexion " Authentication de lorigine des donnes " Rejet des paquets rejous " Condentialit (cryptage) " Condentialit pour ux de trac limit

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme IPSec Notions Architecture fondamentales dIPSec rseaux AH ESP Scuriser SA Gestion IP Firewalls clefs

Avant application AH

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme IPSec Notions Architecture fondamentales dIPSec rseaux AH ESP Scuriser SA Gestion IP Firewalls clefs

Mode transport AH

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme IPSec Notions Architecture fondamentales dIPSec rseaux AH ESP Scuriser SA Gestion IP Firewalls clefs

Mode tunnel AH

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme IPSec Notions Architecture fondamentales dIPSec rseaux AH ESP Scuriser SA Gestion IP Firewalls clefs

Authentication Header (AH)

! Assure intgrit et authentication (code MAC) de paquet IP ! Empche lattaque par rejeu

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme IPSec Notions Architecture fondamentales dIPSec rseaux AH ESP Scuriser SA Gestion IP Firewalls clefs

Algos dauthentication et de cryptage

" Authentication :
! HMAC-MD5-96, HMAC-SHA-1-96

" Cryptage :
! 3-DES, RC5, IDEA, CAST, Blowsh...

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme IPSec Notions Architecture fondamentales dIPSec rseaux AH ESP Scuriser SA Gestion IP Firewalls clefs

Encapsulating Security Payload (ESP)

Assure condentialit des donnes par cryptage

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme IPSec Notions Architecture fondamentales dIPSec rseaux AH ESP Scuriser SA Gestion IP Firewalls clefs

ESP ecryption et authentication (mode transport)

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme IPSec Notions Architecture fondamentales dIPSec rseaux AH ESP Scuriser SA Gestion IP Firewalls clefs

ESP ecryption et authentication (mode tunnel)

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme IPSec Notions Architecture fondamentales dIPSec rseaux AH ESP Scuriser SA Gestion IP Firewalls clefs

Security Associations (SA)

" Une relation uni-directionnelle entre un metteur et un rcepteur " Identie par trois paramtres :
! Security Parameter Index (SPI) ! Adresse IP de destination ! Identication de protocole de scurit

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme IPSec Notions Architecture fondamentales dIPSec rseaux AH ESP Scuriser SA Gestion IP Firewalls clefs

Fonctionnalits Transport et Tunnel

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme IPSec Notions Architecture fondamentales dIPSec rseaux AH ESP Scuriser SA Gestion IP Firewalls clefs

" Deux types :


! Manuel ! Automatis
Oakley Key Determination Protocol Internet Security Association an Key Management Protocol (ISAKMP)

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme IPSec Notions Architecture fondamentales dIPSec rseaux AH ESP Scuriser SA Gestion IP Firewalls clefs

Oakley

" Trois mthodes dauthentication :


! Signature numrique ! Cryptage base de cl publique ! Cryptage symtrique

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme IPSec Notions Architecture fondamentales dIPSec rseaux AH ESP Scuriser SA Gestion IP Firewalls clefs

ISAKMP

...

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principe Notions gnral fondamentales Netlter/Iptables rseaux Scuriser IP Firewalls

Firewalls (pare-feu)

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principe Notions gnral fondamentales Netlter/Iptables rseaux Scuriser IP Firewalls

Introduction
" Moyen technique efcace :
! pour protger le rseau local (ou un rseau de systmes) dattaques de type rseau ! pour permettre un accs internet plus scuris

" Un rewall est insr entre deux rseaux (principalement Internet et le rseau local) " Objectifs :
! tablir des liens contrls, ! protger le rseau interne des attaques depuis Internet, ! offrir un seul point dinterface entre LAN et WAN.

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principe Notions gnral fondamentales Netlter/Iptables rseaux Scuriser IP Firewalls

Caractristiques
" Conceptuellement
! Tout le trac doit passer physiquement au travers du rewall. ! Seul le trac autoris (dni par la politique de scurit locale) peut passer. ! Le Firewall lui-mme est immunis contre les inltrations (utilisation dun OS simple et sr).

" Trois techniques gnrales :


1 2 3

Contrle des services (ports source & destination) Contrle de la direction (adresses source & destination) Contrle des caractristiques de communication (ags des protocoles, ltres applicatifs, etc.)

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principe Notions gnral fondamentales Netlter/Iptables rseaux Scuriser IP Firewalls

Types

" Routeurs ltrant les paquets (packet-ltering router) " Passerelles au niveau applicatif " Passerelles au niveau circuit " Hte Bastion

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principe Notions gnral fondamentales Netlter/Iptables rseaux Scuriser IP Firewalls

Packet-ltering router (concept)

" Applique un ensemble de rgles chaque paquet IP, selon le rsultat ignore, fait suivre ou dtruit (renvoie) et ventuellement modie le paquet. " Filtre dans toutes les directions. " Deux types de ltres :
! stateless ! statefull (capacit suivre des sessions, par exemple FTP)

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principe Notions gnral fondamentales Netlter/Iptables rseaux Scuriser IP Firewalls

Packet-ltering router

" Avantages :
! Simplicit ! Transparence pour les utilisateurs ! Haut dbit (bas niveau)

" Dsavantages :
! Difcult pour tablir les rgles ! Manque dauthentication

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principe Notions gnral fondamentales Netlter/Iptables rseaux Scuriser IP Firewalls

Packet-ltering router (suite)

" Attaques possibles et ripostes appropries :


! spoong dadresses IP : rejeter tous les paquets munis dune IP interne en provenance du rseau externe ! attaque de type source routing : liminer tous les paquets utilisant cette option ! attaque par fragments minuscules : rejeter tous les paquets TCP dont le fragment offset=1

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principe Notions gnral fondamentales Netlter/Iptables rseaux Scuriser IP Firewalls

Passerelle au niveau application (Proxy Server)

" Agit comme un relai du trac au niveau applicatif " Avantages :


! Plus haut niveau de scurit que les ltres paquets ! Besoins limits quelques applications bien identies (HTTP, FTP, DNS...) ! Facilite la journalisation et laudit du trac

" Dsavantages :
! Calculs consquents pour chaque connexion

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principe Notions gnral fondamentales Netlter/Iptables rseaux Scuriser IP Firewalls

Passerelle au niveau circuit


" Systme autonome ou fonction spcialise ralise par une passerelle au niveau applicatif " tablit deux connexions TCP " Passerelle relaie les segments TCP dune connexion une autre sans inspecter les contenus " Fonction de scurit consiste dterminer quelles connexions seront autorises " Typiquement utilis dans une situation ou ladministrateur systme fait conance aux utilisateurs internes " Exemple : SOCKS
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principe Notions gnral fondamentales Netlter/Iptables rseaux Scuriser IP Firewalls

Hte Bastion
" Systme identi par ladministrateur comme la pierre angulaire de la scurit du rseau " Hte Bastion est utilis comme une plate-forme pour une passerelle au niveau applicatif ou circuit " Souvent plac en DMZ15 " Ralise les fonctions de :
! ! ! ! !
15

cache (proxy-cache) enregistrement (logging) ltre anonymiseur (contre emplois, attention) scurit (plus niveau utilisateur & applicatif)

DMZ : DeMilitarized Zone, zone tampon dun rseau.


Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principe Notions gnral fondamentales Netlter/Iptables rseaux Scuriser IP Firewalls

Exemple de conguration 1/3


" Firewall constitu de deux systmes :
! un packet-ltering router ! un hte Bastion

" Rseau plat, un seul LAN, tout le monde dedans " Conguration du packet-ltering routeur :
! seul les paquets du et vers lhte Bastion sont autoriss passer travers le routeur

" Hte Bastion ralise lauthentication et les fonctions de proxy

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principe Notions gnral fondamentales Netlter/Iptables rseaux Scuriser IP Firewalls

Exemple de conguration 1/3 (suite)

" Plus grande scurit quune conguration simple pour deux raisons :
! conguration gre un ltrage au niveau des paquets et de lapplication ! intrus doit en principe passer travers deux systmes

" Souplesse dans la dnition de la politique de scurit et notamment au niveau de laccs Internet

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principe Notions gnral fondamentales Netlter/Iptables rseaux Scuriser IP Firewalls

Exemple de conguration 2/3


" Firewall constitu de deux systmes :
! un packet-ltering router ! un hte Bastion

" LAN derrire lhte Bastion (pas de lien direct vers le routeur) " En cas de compromission du routeur :
! Trac entre Internet et les postes du LAN doit encore passer travers lhte Bastion

" En cas de compromission de lhte Bastion ?...

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principe Notions gnral fondamentales Netlter/Iptables rseaux Scuriser IP Firewalls

Exemple de conguration 3/3

" Firewall constitu de deux systmes :


! deux packet-ltering router ! un hte Bastion

" Internet - routeur - hte Bastion - routeur - LAN " Conguration la plus sre des trois " Cration dun sous-rseau isol (DMZ)

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principe Notions gnral fondamentales Netlter/Iptables rseaux Scuriser IP Firewalls

Exemple de conguration 3/3 (suite)

" Avantages :
! trois niveaux de dfense contre les intrusions ! routeur externe publie uniquement lexistence du sous-rseau protg au rseau Internet (rseau invisible pour lInternet) ! routeur interne publie uniquement lexistence du sous-rseau protg au rseau interne (pas de route directe entre le LAN et Internet)

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principe Notions gnral fondamentales Netlter/Iptables rseaux Scuriser IP Firewalls

NAT : Network Adress Translation


" Augmente le nombre de machines connectes sur Internet : masquage de rseau priv derrire une seule IP (table des couples IP masque/ports de connexion sur le routeur) " DNAT : Destination NAT redirige toute connexion destination dun port/dun host " SNAT : Source NAT redirige toute connexion partir dun port/dun host " proxycation transparente " Possibilits nombreuses...
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principe Notions gnral fondamentales Netlter/Iptables rseaux Scuriser IP Firewalls

Rgles de ltrage : conseils


" Politique par dfaut : DROP (on ferme, aprs on ouvre au besoin) " Pas de rsolution de noms ! ( requtes DNS) " Anti-Spoof externe et interne : pas de paquets source interne depuis Internet et vice-versa (RFC1918). " Filtrage DMZ strict (surtout si politique du LAN plus laxe) " Fragmentation & ags contrls (source routing, ICMP redirect, etc.), Syn-Flood proof... " Le systme pare-feu est le point sensible du rseau : Entretien / Surveillance / Mise jour
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principe Notions gnral fondamentales Netlter/Iptables rseaux Scuriser IP Firewalls

Fonctions de Netlter

" Mettre en place, maintenir et inspecter des rgles de ltrage de paquet dans le noyau Linux. " Contrle des paquets IP transitant par une machine Linux (rgles de ltrage). " Ce contrle permet aussi de rediriger les paquets vers une autre destination, de suivre les connexions TCP/IP et bien dautre choses.

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principe Notions gnral fondamentales Netlter/Iptables rseaux Scuriser IP Firewalls

La commande iptables

" iptables -A chane rgle : ajoute une rgle la chane " iptables -D chane rgle : efface la rgle dans la chane " iptables -F chane : efface toutes les rgles de la chane " iptables -L ... : liste la(les) chane(s)

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principe Notions gnral fondamentales Netlter/Iptables rseaux Scuriser IP Firewalls

Structure des rgles iptables


" iptables ( table ) ( chane ) ( Paramtres de correspondance ) ( cible ) " La rgle ci-dessus prsente les lments typiques. La table indique les actions possibles avec le paquet IP. " La chane indique a quel moment lon contrle le paquet. Les paramtres de correspondance sont tests contre le paquet IP pour dterminer si la rgle doit lui tre appliqu ou pas, exemple : teste de ladresse source du paquet IP. " La cible indique laction effectuer sur le paquet si les paramtres de correspondances sont vris.
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principe Notions gnral fondamentales Netlter/Iptables rseaux Scuriser IP Firewalls

iptables : les chanes

" INPUT : le paquet entre dans la machine. " PREROUTING : le paquet est entr, et il va tre rout. " FORWARD : le paquet est rout. " POSTROUTING : le paquet a t rout mais nest pas encore sorti. " OUTPUT : le paquet sort de la machine.

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principe Notions gnral fondamentales Netlter/Iptables rseaux Scuriser IP Firewalls

iptables : les tables

" lter : (table par dfaut) Cette table est utilis pour ltrer les paquets, il est possible dutiliser les chanes INPUT, FORWARD, OUTPUT " nat : Cette table est utilis lorsque un paquet cre une nouvelle connexion, il est possible dutiliser les chanes PREROUTING, POSTROUTING, OUTPUT

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principe Notions gnral fondamentales Netlter/Iptables rseaux Scuriser IP Firewalls

iptables : les paramtres de correspondance


Les extentions sont des modules additionnels diptables. Ils sont chargs implicitement ou avec loption -m. " -m -state tat-de-connexion : Ce module permet de tester ltat de la connexion TCP/IP " -p tcp/udp : Ce module permet de tester les indicateurs du protocole TCP/UDP. " -p tcp/udp -sport [ !] port[ :port] : teste le ou un interval de ports source du paquet IP. " -p tcp/udp -dport [ !] port[ :port] : teste le ou un interval de ports destination du paquet IP.
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principe Notions gnral fondamentales Netlter/Iptables rseaux Scuriser IP Firewalls

iptables : les cibles

La cible indique laction effectuer sur le paquet si les paramtres de correspondances sont vris. " -j ACCEPT : signie que le paquet est autoris passer. " -j REJECT : signie que le paquet est rejet (envoi dune rponse ngative). " -j DROP : signie que le paquet est dtruit (aucune rponse).

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principe Notions gnral fondamentales Netlter/Iptables rseaux Scuriser IP Firewalls

iptables : extentions de cible


" -j DNAT -to-destination adresse-IP :port : Cette cible modie ladresse de destination :port du paquet IP par celle fourni. Cette cible permet de rendre accessible depuis Internet, un serveur dans un rseau priv.
exemple : iptables -t nat -A PREROUTING -i ppp0 -p tcp -dport 80 -j DNAT -to-destination 192.168.0.1 :80 cette rgle redirige les paquets destination du port 80 (http) entrant sur linterface ppp0 (modem connect a internet), vers le serveur web ladresse 192.168.0.1

" -j SNAT -to-source adresse-IP : Cette cible modie ladresse IP source du paquet IP par celle fourni. Cette cible permet de camouer un rseau derrire une adresse IP. Si vous connectez votre rseau priv Internet, assurez vous davoir une adresse IP xe pour utiliser la cible SNAT.
exemple : iptables -t nat -A POSTROUTING -o ppp0 -j SNAT -to-source 162.230.10.25

" -j MASQUERADE : Cette cible est utilis pour connecter un rseau priv Internet. A utiliser dans le cadre o votre adresse IP vous est fourni dynamiquement par votre FAI.
exemple : iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principe Notions gnral fondamentales Netlter/Iptables rseaux Scuriser IP Firewalls

Divers

Activation du routage par le noyau Linux : Permet au noyau Linux de faire transiter les paquets entres ses interfaces rseaux. echo 1 > /proc/sys/net/ipv4/ip_forward

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Gnralits

" La cryptographie
! lart de lcriture secrte

" Types de protection assure


! Condentialit ! Authentication ! Intgrit

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Les ingrdients de la cryptographie

" texte original (plaintext) " algorithme de cryptage " cl secrte " texte chiffr (ciphertext) " algorithme de dcryptage

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Principe de fonctionnement

plaintext
+3

encrypter avec cl secrte


O O O

transmission O ciphertext

O

O O

dcrypter avec cl secrte

+3 plaintext

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

" Pourquoi une cl ?


! il est difcile dinventer un nouvel algorithme pour chaque communication encrypte ! on utilise le mme algorithme avec diffrentes cls

" Exemple : coffre fort


! algorithme : tourner la molette ! cl : combinaison

" La scurit dun algorithme dpend de la difcult dcrypter un message en essayant toutes les cls possibles
! il faut que cette recherche exhaustive prenne sufsamment de temps (li la longueur de la cl)

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Premier code
" Le chiffrement de Csar
! dcaler lensemble des valeurs des caractres du message dun certain nombre de positions (substituer chaque lettre par une autre). ! lorsque lajout de la valeur donne une lettre dpassant la lettre Z, il suft de continuer en partant de A (addition modulo 26).

" Exemple : Lodysse de lespace


! ordinateur porte le nom de HAL # IBM dcaler de 1 - cl A

" Inconvnient : totalement symtrique


! soustraction des nombres 1 26 pour voir si lun de ces nombres donne un message comprhensible.
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Substitution monoalphabtique

" Substitution monoalphabtique


! remplacer chaque lettre du message par une autre lettre (arbitraire) de lalphabet ! 26 ! possibilits ! toujours facile dcrypter en calculant les frquences dapparition des lettres dans le message cod (cela est dautant plus facile faire que le message est long).

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Cryptoanalyse
" Ciphertext only
! algorithme de cryptage ! ciphertext dcoder

" Known plaintext


! algorithme de cryptage ! ciphertext dcoder ! une ou plusieurs paires plaintext-ciphertext cres avec la cl secrte

" Chosen plaintext


! algorithme de cryptage ! ciphertext dcoder ! plaintext choisi par lanalyste, avec son ciphertext correspondant gnr avec la cl
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Cryptoanalyse
" Chosen ciphertext
! algorithme de cryptage ! ciphertext dcoder ! ciphertext choisi par lanalyste, avec son plaintext correspondant dcrypt avec la cl

" Chosen text


! algorithme de cryptage ! ciphertext dcoder ! plaintext choisi par lanalyste, avec son ciphertext correspondant gnr avec la cl ! ciphertext choisi par lanalyste, avec son plaintext correspondant dcrypt avec la cl

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Rsultats de la cryptoanalyse
" Cassage complet
! la cl est trouve

" Obtention globale


! un algorithme quivalent est trouv

" Obtention locale


! un message chiffr est dchiffr

" Obtention dinformation


! certaines information sont trouves

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

" Les algorithmes faibles sont cassables avec ciphertext only " Les algorithmes sont conus pour supporter ciphertext only, known plaintext et chosen plaintext " Mcanisme de crypage rput sr si
! cot pour casser le ciphertext dpasse la valeur de linformation crypte ! temps ncessaire dpasse la dure de vie de linformation

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Types de fonctions cryptographiques

" Fonctions de hachage # 0 cls " Cryptage cl secrte # 1 cl " Cryptage cl publique # 2 cls

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Utilisation de la cryptographie cl secrte


" Transmission sur des canaux non-scuriss " Stockage sur un support non-scuriss " Authentication forte Alice rA
o o

Bob
/

KAB (rA ) rB
/

KAB (rB )

" Intgrit (Message Authentication Code)


! comme les CRC mais secrt

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Utilisation cryptographie cl publique

" Transmission sur des canaux non-scuriss Alice mA


+3

encrypter avec cl publique eB


O O O O eB (mA ) O O O  +3 Bob

dcrypter avec cl secrte dB

mA

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Utilisation cryptographie cl publique

" Stockage sur un support non-scuriss " Authentication forte Alice eB (rA )
/ Bob O o O dcrypter avec dB O 

rA

! Alice na pas besoin de partager un secret avec Bob pour lauthentier

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Utilisation cryptographie cl publique


" Intgrit - signatures lectroniques Alice mA
+3

signer avec cl secrte dA


O O O O dA (mA ) O O O  +3 Bob

vrier avec cl publique eA

mA

! seulement le propritaire de la cl priv peut signer un message ! non-rpudiation


Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Fonctions de hachage
" Fonction H() non inversible
! h=H(M) pour un message M de longueur arbitraire

" Proprits
! H(M) est facile calculer pour un M donn ! pour h donn, il est difcile de trouver M tel que h=H(M) ! pour M donn, il est difcile de trouver M tel que H(M)=H(M) ! il est difcile de trouver 2 messages tels que H(M)=H(M)

" Utilises principalement pour lauthentication de donnes

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Utilisation fonctions de hachage

" Password hashing


! garder le hash du mots de passe et non le mots de passe en clair

" Intgrit message H (message|secrt) message


/h
?

Alice

Bo

/ H (message|secrt)

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Utilisation fonctions de hachage


" Empreintes chiers
! pour vrier si un chier a t modi ! le programme qui calcule le hash doit tre protg indpendamment

" Downline load


! dispositif (e.g. router, printer) download programme et vrie le hash

" Signatures digitales


! calculer un message digest et utiliser les algorithmes cl publique pour signer (algorithmes cl publique sont gourmands en ressources)

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Cryptographie cl secrte

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Avantage et inconvnients
" Relativement efcaces
! implantations hardware : n 100 Mbytes/s ! implantations software : n Mbytes/s

" Cls relativement courtes


! une cl de 128 bits est sure

" La cl doit rest secrte des deux cts de la communication " Beaucoup de cls partager dans un grand rseau

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Le chiffrement par bloc (block cipher)


" Les donnes sont dcoupes en blocs de taille gnralement xe qui sont ensuite chiffrs les uns aprs les autres " Une fonction de cryptage E et une de dcryptage D = E 1 avec 2 paramtres
! un bloc M de taille n (bits) ! une cl K de taille k (bits) ! DK (EK (M )) = M

" Example :
! CECI ESTU NCHI FFRE ! CICE TUES HINC REFF (cl=P2) ! CICE UEST HINC EFFR (cl=(P2,P3))

" Algorithmes : DES, IDEA, AES, Blowsh, Twosh (versions AES)Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Rseau de Feistel
" Encryptage
! Li = Ri1 ! Ri = Li1 f (Ri1 , Ki ) ! Ciphertext=Ln , Rn

" Dcryptage
! Ri1 = Li ! Li1 = Ri f (Li , Ki ) ! Plaintext=L0 , R0

" Lavantage de ce modle est que la fonction f nest pas ncessairement inversible et peut tre trs complexe.
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

" La ralisation dun rseau de Feistel dpend du choix des paramtres


! ! ! ! taille du bloc longueur de cl nombre dtapes algorithme de gnration de sous-cls

" Algorithmes utilisant un rseau de Feistel


! ! ! ! ! DES Blowsh Camellia RC5 ...

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Data Encryption Standard (DES)

" adopt comme standard en novembre 1976 " blocs de 64-bits " cl de longueur 56-bits (64 bits dont 8 bits de parit) " 16 tapes

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Une tape DES


! Expansion ! mixage cl avec la fonction XOR ! fonction non-linaire (substitution) avec des S-Boxes (confusion) ! permutation des bits via des P-Boxes (diffusion) " confusion : rendre la relation entre la cl de chiffrement et le texte chiffr la plus complexe possible " diffusion : la redondance statistique dans un texte en clair est dissipe dans les statistiques du texte chiffr
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

3DES
" Utiliser 3 cls et 3 excutions de lalgorithme DES (cryptage-dcryptage-cryptage) K1 plaintext
 / EN C

K2
 / DEC

K3
 / EN C / ciphertext

K3 ciphertext
 / DEC

K2
 / EN C

K1
 / DEC / plaintext

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Autres algorithmes symtriques par bloc


" International Data Encryption Algorithm (IDEA)
! cl : 128 bits ! utilis dans Pretty Good Privacy (PGP)

" Blowsh
! ! ! ! cl de longueur variable de 32 448 bits utilis dans GnuPG et OpenSSH facile implanter haute vitesse dexcution

" RC5
! cl de longueur variable de 0 2048 bits ! adaptable pour hardware et software

" Advanced Encryption Standard (AES)


! bloc de 128 bits (16 octets) ! cl de 128, 192 ou 256 bits ! adopt par le NIST (National Institute of Standards and Technology) en 2001
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Mode dopration - Electronic Code Book, ECB


" Le message chiffrer est subdivis en plusieurs blocs qui sont chiffrs sparment les uns aprs les autres.

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Mode dopration - Electronic Code Book, ECB


" Problmes
! deux blocs avec le mme contenu seront chiffrs de la mme manire ! on peut tirer des informations partir du texte chiffr en cherchant les squences identiques ! on obtient des correspondances entre le clair et le chiffr : codebook.

" Example JO|HN|__|10|50|00 Q9|2D|FP|VX|C9|IO JA|CK|__|50|00|00 LD|AS|FP|C9|IO|IO

Puisque John connait son salaire, il peut deviner le salaire de Jack et ventuellement changer le sien. " Ce mode est pour ces raisons fortement dconseill dans toute application cryptographique
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Mode dopration - Electronic Code Book, ECB


" On applique sur chaque block un XOR avec le chiffrage du bloc prcdent avant quil soit lui-mme

encrypt.

" Le vecteur dinitialisation est utilis pour rendre chaque message unique.
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Le chiffrement de ux (stream cipher)


" Des donnes de longueur quelconque sont traites sans les dcouper (en blocs). " Utilise un gnrateur de nombres pseudo-alatoires avec lequel on opre un XOR (ou autre opration) entre un bit la sortie du gnrateur et un bit provenant des donnes. " Soit une cl K et un message M
! cryptage : C = M K ! cryptage : M = C K

" Un chiffrement par bloc peut tre converti en un chiffrement par ot grce un mode opratoire qui permet de chaner plusieurs blocs et traiter des donnes de taille quelconque.
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Mode dopration - Cipher Feedback (CFB)


" Fonctionne comme un chiffrement par ux
! le ux de cl est obtenu en encryptant le prcdent bloc chiffr.

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Mode dopration - Output Feedback (OFB)


" Fonctionne comme un chiffrement par ux
! le ux de cl est obtenu en encryptant le prcdent ux de cl.

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Cryptographie cl publique

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Cryptographie cl publique

Alice mA
+3

encrypter avec cl publique eB


O O O O eB (mA ) O O O  +3 Bob

dcrypter avec cl secrte dB

mA

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Cl publique vs. cl secrte


" Cryptographie cl secrte
! un coffre ferm ! plusieurs personne connaissent la combinaison ! toute personne connaissant la combinaison a accs au contenu

" Cryptographie cl publique


! un coffre ouvert ! une seule personne connat la combinaison ! toute personne peut dposer des objets dans le coffre et le fermer ! seulement la personne connaissant la combinaison peut rcuprer les objets

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Utilisation courantes

" Cryptage/dcryptage
! lexpditeur encrypte un message avec la cl publique du destinataire.

" Signature lectronique


! lexpditeur signe un message avec sa cl prive.

" Echange de cl
! 2 parties cooprent pour changer un cl de session

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Prrequis
" Facile de gnrer (pour Bob) une paire (cl publique eB , cl prive dB ) " Facile pour lexpditeur dencrypter le message avec la cl publique du destinataire C = eB (M ) " Facile pour le destinataire de dcrypter le message encrypt avec sa cl prive M = dB (C ) = dB (eB (M ))

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Prrequis

" Impossible de calculer la cl prive dB en connaissant la cl publique eB " Impossible de dcrypter un message M , en connaissant eB et le ciphertext C " Les deux cls peuvent tre utilises pour le cryptage, respectivement le dcryptage M = dB (eB (M )) = eB (dB (M ))

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Premire tentative

" Addition modulaire C = eB (M ) = (M + 4) mod 10 dB (C ) = (C + 6) mod 10 = (((M + 4) mod 10) + 6) mod 10 = ((M + 4 + 6) mod 10) mod 10 = M mod 10 = M " eB = < e, p >
! dB = ? e+d=10 # dB = < d, p >

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Deuxime tentative
" Multiplication modulaire C = eB (M ) = (M 7) mod 10 dB (C ) = (C 3) mod 10 = (((M 7) mod 10) 3) mod 10 = ((M 7 3) mod 10) mod 10 = M mod 10 = M " eB = < e, p > " Comment choisir le e ?
! e relativement premier (coprime) p (il y en a (p))

" dB = ?
! e d = 1 mod p
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Troisime tentative

" Exponentiation modulaire C = eB (M ) = M ? mod p dB (C ) = C ? mod p = M " X Y mod n = X Y mod (n) mod n (si n premier ou produit de premiers) " si Y = 1 mod (n) alors X Y = X mod n

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

RSA - Ron Rivest, Adi Shamir, Len Adleman

" Fonctionnement
! ! ! ! ! Choisir 2 grands nombres premiers, p et q , p = q Calculer n = p q Calculer (n) = (p 1) (q 1) Choisir e t.q. 1 < e < (n) coprime avec (n) Calculer d t.q. d e = 1 mod (n)

" Cl publique = < e, n > " Cl prive = < d, n >

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

RSA - Cryptage/Dcryptage

" Cryptage C = eB (M ) = M e mod n " Dcryptage dB (C ) = C d mod n = (M e mod n)d mod n = M ed mod n = M 1 mod n = M

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Echange de cls
" Objectif : se mettre daccord une cl pour chiffrer la conversation suivante sans quune troisime personne puisse dcouvrir la cl en coutant. " Dife-Hellman
! Alice et Bob choisissent un nombre premier p et une base g. ! Alice choisit un nombre secret a. ! Alice envoie Bob la valeur g a mod p. ! Bob choisit un nombre secret b. ! Bob envoie Alice la valeur g b mod p. ! Alice peut maintenant calculer la cl secrte (g b mod p)a mod p. ! Bob peut aussi calculer la cl secrte (g a mod p)b mod p = (g b mod p)a mod p.
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Cryptosystme de ElGamal (Taher Elgamal, 1984)

" Bas sur lchange de cls Dife-Hellman " Utilis dans GNU Privacy Guard, PGP, etc. " Digital Signature Algorithm (DSA) est une variante de la signature lectronique ElGamal

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Fonctionnement ElGamal
" Gnration cls
! Alice calcule h = g x avec h, g Zp (p un grand nombre premier) ! cl publique : (p, g, h) ! cl prive : x

" Encryptage
! ! ! ! Bob convertit son message en un nombre m Zp Bob gnre un nombre entier y alatoire Bob calcule c1 = g y et c2 = m hy Bob envoie (c1 , c2 ) Alice

" Dcryptage
! Alice calcule 1 y y x c2 c = (m g yx )/g yx = m 1 = (m h )/g
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

DSA - Digital Signature Algorithm


" Algorithme de signature numrique standardis par le NIST " Fonctionnement
! gnration des cls ! signature du document ! vrication du document sign

" Gnrations des cls


! Choisir un nombre premier p de L-bit, avec 512 L 1024, et L est divisible par 64 ! Choisir un nombre premier q de 160 bits t.q. p 1 = qz (z entier) ! Choisir h, avec 1 < h < p 1 t.q. g = hz mod p > 1 ! Gnrer alatoirement un x, avec 0 < x < q ! Calculer y = g x mod p ! Cl publique : (p, q, g, y ) ! Cl prive : x
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

DSA - Fonctionnement
" Signature
! Choisir un nombre alatoire k t.q. 1 < k < q ! Calculer r = (g k mod p) mod q ! Calculer s = (H (m) + s1 x)k 1 mod q , o H (m) est le rsultat dun hachage cryptographique avec SHA-1 sur le message m ! La signature est (r, s)

" Vrication
! ! ! ! ! Calculer w = (s)1 mod q Calculer u1 = H (m) w mod q Calculer u2 = r w mod q Calculer v = (g u1 y u2 mod p) mod q La signature est valide si v = r

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Fonctions de hachage - hash functions


" fonction qui convertit un grand ensemble en un plus petit ensemble " utiliss en particulier pour accder rapidement des donnes grce aux tables de hachage " Proprits dune fonction de hachage H
! H (x) = H (y ) implique x = y ! H (x) = H (y ) implique probablement x = y

" Fonctions de hachage cryptographiques


! stocker les mots de passe ! assurer lauthenticit des donnes ! pour tout x avec le hash H (x), il est trs difcile de calculer y t.q. H (x) = H (y )
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Fonction H de hachage cryptographiques


1

H peut tre applique un bloc de donnes de nimporte quelle taille H produit un rsultat de longueur xe H (x) est facile calculer pour tout x donn Pour tout bloc x donn, il impossible de retrouver par calcul x tel que H (x) = h (pas inversible) Pour tout bloc x donn, il est impossible de trouver par calcul x = y avec H (y ) = H (x) (rsistance faible la collision) Il est impossible de trouver par calcul une paire (x, y ) telle que H (x) = H (y ) (rsistance forte la collision)
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

MD5 - Message Digest 5


" fonction de hachage cryptographique qui permet dobtenir pour chaque message une empreinte numrique de 128 bits " 1996 : une faille est dcouverte " 2004 : dcouverte des collisions compltes " encore trs utilis comme outil de vrication lors des tlchargements et pour enregistrer une empreinte dun mot de passe " Example
! ASRALL : la meilleure licence # 466fd1c82008606688c2bca2ed6de74c ! ASRALL, la meilleure licence # 3644ca4b9ec8e78acd8f4decccd5e914
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

SHA-1 - Secure Hash Algorithm

" conue par la NSA (National Security Agency) " standard fdral du NIST (National Institute of Standards and Technology) " produit un rsultat (hash) de 160 bits " excellent gnrateur de nombres pseudo-alatoires (sorties "plus alatoires" que celles de RIPEMD-160 ou SHA-0)

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Attaques
" collision complte sur le SHA-1 avec un nombre doprations de lordre de 280 (base sur le paradoxe des anniversaires) " fvrier 2005 :
! une collision dans le SHA-1 complet de 128 bits avec 269 ! une collision dans le SHA-0 complet avec 239 oprations ! une collision dans une version simplie du SHA-1 (58 tours) avec 233 oprations

" aot 2005 :


! amlioration de lattaque - la complexit passe de 269 263

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Fonctionnement
" prend un message dun maximum de 264 bits en entre " fonctionnement similaire MD4 ou MD5 " si le message nest pas multiple de 512 alors lalgorithme ajoute un bit 1 suivi dune srie de bits 0 et la longueur du message (en bits) code sur 64 bits " Fonctions
! 4 fonctions boolennes qui prennent 3 mots de 32 bits en entre et calculent un mot de 32
Laurent VALLAR Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

La famille SHA

" SHA-0 (1993), SHA-1(1995) " Des versions offrant plus de scurit
! SHA-256, SHA-384 et SHA-512 qui fournissent des signatures de 256, 384 et 512 bits.

" SHA-224
! assure une compatibilit avec la longueur des cls utilises pour du 3DES

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Principes Notions Types fondamentales de cryptographie rseaux Cryptographie Scuriser IP cl Firewalls secrte

Comparatif algorithmes

Longueur empreinte Unit traitement Nombre tapes Taille max message

SHA-1 160 512 160 (5 paires de rounds de 16) 264 1 bits

MD5 128 512 64 (4 rounds de 16)

RIPEMD-160 160 512 80 (4 rounds de 20)

Laurent VALLAR

Scurit des Systmes dInformations

Introduction La menace La lutte et la protection Scuriser le systme Notions fondamentales rseaux Scuriser IP Firewalls

Bibliographie

Ce cours est bas sur ...

Prentice Hall, ISBN 0-13-120271-5

Laurent VALLAR

Scurit des Systmes dInformations