Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

1 Novembre – Décembre 2005 Version 1.01 État de l’art de la sécurité informatiq

1 Novembre – Décembre 2005 Version 1.01 État de l’art de la sécurité informatique Chapitre 1 – La sécurité des réseaux Auteurs : Stéphan GUIDARINI – Consultant Senior Sébastien DESSE – Expert Réseaux et Sécurité 2 Novembre – Décembre 2005 Version 1.01 Programme Introduction  Quoi protéger ?  Contre qui ?  Pourquoi ?  Qui croire ?  Comment protéger ?  Quelle politique de sécurité ? Sécurité des réseaux  Généralités  Sécurité niveau 1  Sécurité niveau 2  Commutateurs  Sans fil  sécurité niveau 3  Généralités  Protocoles de routage  Fire wall  Sécurité niveau 7  Relais applicatifs  Filtres applicatifs  Détection d'intrusions  Network IDS Sécurité des con tenus & échanges  Introduction à la cryptographie  Utilisation de la cryptographie  PPP/PPTP/L2TP  IPSEC  TSL/SSL  SHTTP  S/MIME  Les Infrastructures à clef publique (PKI)  PGP  La réglementation Sécurité des accès  Authentification Mots de passe – Authentification forte – Single Sign On  RADIUS - TACACS/TACACS+ - Kerberos  802.1x , Sécurité Wifi (WEP, WPA, etc.) Sécurité des systèmes et des applications  Généralités  Sécurité en environnement Microsoft  Sécurité en environnement Uni x  Détection d'intrusions au niveau système  Virus, Vers et chevaux de Troie Conclusion  Synthèse  Les dix commandements  Sources d’information Œ  Ž  3 Novembre – Décembre 2005 Version 1.01 Sommaire Sécurité des Réseaux Généralités Administration Sécurité Niveau 1-3 (OSI) Firewall Relais applicatifs Détection d’intrusions 4 Novembre – Décembre 2005 Version 1.01 Généralités Qu'est-ce que la sécurité d'un réseau ? La sécurité d'un réseau est un niveau de garantie que l'ensemble des machines du réseau fonctionnent de façon optimale et que les utilisateurs des dites machines possèdent uniquement les droits qui leur ont été octroyé. Il peut s’agir : d'empêcher des personnes non autorisées d'agir sur le système de façon malveillante d'empêcher les utilisateurs d'effectuer des opérations involontaires capables de nuire au système de sécuriser les données en prévoyant les pannes de garantir la non interruption d'un service 5 Novembre – Décembre 2005 Version 1.01 Généralités La sûreté de fonctionnement.  L ’objectif du concepteur est la prévision de la capacité de survie du système : la continuité de service Il y a deux approches avec des objectifs et des moyens différents : la disponibilité comprend la fiabilité (pannes) et la maintenabilité (réparation) la crédibilité comprend l ’intégrité 6 Novembre – Décembre 2005 Version 1.01 Généralités La sûreté de fonctionnement (2)  Les solutions sont essentiellement matérielles : une redondance de tout ou partie des matériels actifs une redondance des liaisons télecoms des contrats de maintenance avec GTI et GTR pour des serveurs type Firewall, Proxy…: technologie RAID, SAN, CLUSTER… Backup/Restore : Operating System, configurations... 7 Novembre – Décembre 2005 Version 1.01 Administration L’accès aux équipements  Physique  Empêcher l’accès physique aux équipements  Bouton Marche/Arrêt  Port console SNMP  Éviter le classique public / private  A désactiver si non utilisé  De préférence dans un VLAN d’administration  Faille de SNMP v2 publiée récemment  Attendre impatiemment la généralisation de SNMPv3 8 Novembre – Décembre 2005 Version 1.01 Administration (2) L’accès aux équipements  Telnet  Mot de passe à choisir judicieusement !!  Si possible utiliser des ACL pour filtrer les accès  De préférence dans un VLAN d’administration  Utiliser SSH  L’interface Web  A désactiver sur ce type d’équipement  Si nécessaire -> VLAN d’administration Utiliser d’un protocole d’authentification tel que RADUIS ou Kerberos si disponible 9 Novembre – Décembre 2005 Version 1.01 Administration (3) Un certain nombre de services actifs par défaut peuvent / doivent être désactivés  C’est notamment le cas de l’IOS de Cisco qui est dérivé d’un Unix et qui a donc conservé un certain nombre de protocoles bien connus de ces environnement  Echo  Finger  Bootp  Et d’autres  DNS lookup  IP source-routing (routeurs ou commutateurs L3)  Directed-Broadcasts (routeurs ou commutateurs L3)  CDP (cisco, mais implémenté sur d’autres équipements) 10 Novembre – Décembre 2005 Version 1.01 Sécurité Niveau 1->3 (OSI) 11 Novembre – Décembre 2005 Version 1.01 Sécurité Niveau 1-2 (OSI) Généralités  Niveau 1  Concentrateurs  Niveau 2  Commutateurs  Le cas du sans fil (WLAN) 12 Novembre – Décembre 2005 Version 1.01 Généralités L’identité est l’adresse MAC (IEEE)  Identifiant unique (48bits)  Peut être administrée localement  Elle identifie mais n’authentifie pas Adresse du Destinataire Adresse de l’expéditeur 13 Novembre – Décembre 2005 Version 1.01 Généralités  Les protocoles rencontrés sont :  ARP – Address resolution protocol  CDP – Cisco Discovery protocol  STP – Spanning Tree Protocol 802.1d  VLAN – Virtual LAN 802.1q  VTP – VLAN Trunking Protocol (cisco)  Unicast Frames  Multicast Frames  Broadcast Frames 14 Novembre – Décembre 2005 Version 1.01 Sécurité Niveau 1 Concentrateurs Les concentrateurs (hub)  Diffusion des flux à tous  Il existe des mécanismes de bruitage  Il existe des mécanismes de filtrage (MAC)  l’adresse peut être usurpée  Induit une charge administrative importante  Disparaissent naturellement  Utiles pour les sondes de détection d’intrusions 15 Novembre – Décembre 2005 Version 1.01 Sécurité Niveau 2 Commutateurs Les commutateurs  But premier : Augmenter le nombre de domaines de broadcast en segmentant le réseau  Crée des réseaux locaux en faisant abstraction de l’organisation physique des équipements  Augmenter la sécurité des communications 16 Novembre – Décembre 2005 Version 1.01 Sécurité Niveau 2 Commutateurs Les commutateurs sont la cible d’attaques telles que :  ARP cache poisoning  ARP/DHCP spoofing  HSRP/VRRP spoofing  STP/VTP attacks  VLAN Jumping (ISL/DTP) 17 Novembre – Décembre 2005 Version 1.01 Sécurité Niveau 2 Commutateurs ARP cache poisoning 18 Novembre – Décembre 2005 Version 1.01 Sécurité Niveau 2 Commutateurs VLAN Jumping (ISL/DTP) Problème des VLAN  Pas conçu pour faire de la sécurité mais permet de la renforcer Les commutateurs multi-layer sont des points faibles des infrastructures réseaux (attention aux mauvaises configurations) Attaques : VLAN « jumping » (injection de frame 802.1q) est possible si : DTP (Dynamic Trunking Protocol) est activé  Et si le port est dans le même VLAN que le native VLAN (VLAN 1 par défaut) 19 Novembre – Décembre 2005 Version 1.01 Sécurité Niveau 2 Commutateurs Il existe des moyens de se protéger  Ne pas utiliser le VLAN 1 (VLAN par Défaut)  Filtrage des adresse MAC par port  Cisco « port security » par exemple  Activer le BPDU-Guard afin de filtrer le STP  Désactive un port si un BPDU est reçu via celui-ci  Limiter le taux de broadcast  A affiner en fonction du type d’équipement connecté sur le port  HSRP  Donner l’@IP la plus élevée au routeur principal, la suivante au secondaire, etc…  Filtrer à l’aide d’ACL les flux HSRP entre équipement  Les commutateurs niveau 2/3/4/5/6/7/….  Concentrent en un seul point de nombreux problèmes de sécurité et sont donc à surveiller tout particulièrement 20 Novembre – Décembre 2005 Version 1.01 Sécurité Niveau 2 Commutateurs Il existe des moyens de se protéger (2)  Notion de Private VLAN  Le segment devient « Multi-Access Non Broadcast »  Des équipements d’un même VLAN ne peuvent pas communiquer directement entre eux  VTP (VLAN Trunking Protocol) - Cisco  Ne pas laisser la configurartion par default  Mode Server sans mot de passe  Affecter un domaine et un mot de passe  Server / Client / Transparent ?  DTP (Dynamic Trunking Protocol)  Les ports sont en mode auto par défaut  Choisir le mode Off pour tous les port non utilisés pour des interconnections de commutateurs 21 Novembre – Décembre 2005 Version 1.01 Sécurité Niveau 2 Réseaux sans fil Infrarouge, Bluetooth, 802.1b, …  Infrarouge peu utilisé pour le réseau  Bluetooth utilisé uniquement pour l’interconnexion de périphériques 802.11(b)  Le réseau ne s’arrête pas à la porte de l’entreprise  Parking Visiteurs, rue…  Mettre en place un filtrage par @MAC  Administration contraignante  Il est possible d’usurper une @MAC 22 Novembre – Décembre 2005 Version 1.01 Sécurité Niveau 2 Réseaux sans fil 802.11 (b) ou (g)  Les trames ne sont plus confinées dans un câble mais diffusées dans toute la pièce  Tout le monde peut écouter (comme un hub)  Mise en place de chiffrement  WEP -> souffre d’un manque de maturité  Facile à cracker (40 bits), 128 bits…  IPSec -> contraignant  Accès au réseau facilité  Faiblesse des mécanismes d’authentification  Vulnérable aux attaques du type Man in the Middle  Utilisation WPA s'appuie sur la famille 802.1x et le protocole EAP (Extensible Authentification Protocol) 23 Novembre – Décembre 2005 Version 1.01 Sécurité Niveau 3 (OSI) Généralités Adressage privé Sécurité & DHCP ICMP Les protocoles de routage Filtrage IP 24 Novembre – Décembre 2005 Version 1.01 Généralités L’identité est l’adresse IP (pour Internet)  Identifiant de 32 bits  Aisément modifiable / uploads/Ingenierie_Lourd/ 1-etat-de-l-x27-art-de-la-securite-informatique-securite-des-reseaux-v-1-01.pdf