Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

1 ISSXXX – Introduction à la sécurité informatique et à la gestion de risque Ch

1 ISSXXX – Introduction à la sécurité informatique et à la gestion de risque Chapitre « complet » Serge Mani, ing. PhD, CISA, CISM Université de Yaoundé 1 Faculté des Sciences Département d’informatique Sommaire • Révision réseaux TCP/IP • Pratique de la sécurité informatique • Gestion des systèmes d'information • Attaques et défenses • Gestion d'incidents 2 Révision réseaux TCP/IP 3 4 Révision réseaux TCP/IP ●Buts : ●S'assurer que tous les étudiants ont une bonne compréhension des protocoles de la famille TCP/IP : – pour sécuriser un réseau, il faut comprendre ce qui y circule – pour configurer un firewall – pour être capable de diagnostiquer des problèmes réseau ●IP v4 seulement ●Feuille de référence SANS (sans.org) 5 Modèle OSI – IP 6 Adresse IP et masque ●32 bits (4 octets) ●Ex. : 192.168.1.45 ●Plusieurs classes incluant A, B et C ●Masque de réseau (network mask) ● 32 bits, les bits à gauche = 1; les bits à droite = 0 ●Ex. : 255.255.240.0 (11111111.11111111.11110000.00000000 ou 0xFF-FF- F0-00) ●CIDR (Classless Inter-Domain Routing) 7 Encapsulation http://en.wikipedia.org/wiki/File:UDP_encapsulation.svg 8 IP ●Datagramme ●Pas de contrôle de flux ●Pas de garanties (équivalent à des cartes postales) ●Regarder les différents champs de l'en-tête 9 UDP ●Pas de connexion ●Stateless ●Pas de garanties ●Regarder les différents champs de l'en-tête ●DNS, NTP 10 TCP ●Connexion ●Three way handshake : – SYN→ – ← SYN ACK – ACK → ●Stateful ●connecté, garanties ●Regarder les différents champs de l'en-tête 11 ICMP ●Protocole de service de IP ●Utilisé pour le fameux « ping » ●Mais aussi pour signaler ●un port UDP fermé ●un réseau inaccessible ●des problèmes de fragmentation ●Peut aussi servir à changer la passerelle par défaut d'un autre ordinateur (ICMP redirect) 12 ICMP ●On doit faire très attention au trafic ICMP que l'on autorise. ●Interdire tout le trafic ICMP sur le réseau ou au point d'entrée n'est pas une solution viable. 13 Ports ●Certains protocoles comme TCP ou UDP ont des ports ●Permettent de diriger le contenu du paquet vers une application (plusieurs applications peuvent être actives sur une même adresse IP) ●Numéros de port réservés ●Attention : l'utilisation d'un port donné n'est pas une garantie du protocole ou de l'application utilisé 14 Routage ●Niveau 3 (IP) ●Les tables de routage permettent à chaque nœud d'un réseau de savoir à quel hôte (sur le même réseau) envoyer un paquet IP. ●L'adresse MAC (niveau 2) ne traverse pas les routeurs ●Routage statique ●Protocoles de routage : OSPF, BGP... ●netstat -rn 15 Routage http://en.wikipedia.org/wiki/File:IP_stack_connections.svg 16 Routage ●Passerelle par défaut (default gateway) ●Définit l'adresse du routeur à qui l'on envoie les paquets qui ont une destination autre que le réseau local (c-à-d qui ne sont pas directement accessibles). ●Fait généralement partie des paramètres reçus par DHCP ●Importante aussi pour les tunnels VPN 17 Adresses privées ●Définies par RFC 1918 ●10.0.0.0 à 10.255.255.255 (préfixe 10/8) ●172.16.0.0 à 172.31.255.255 (172.16/12) ●192.168.0.0 à 192.168.255.255 (192.168/16) ●Ne sont pas routées sur l'Internet ●Peuvent être utilisées sans demander de permission 18 NAT ●Network Address Translation : « traduction » d'adresses réseau ●Modifie certains paramètres : ●Adresse source ●Port source ●Adresse destination ●Port destination ●Utilisé pour faire communiquer les adresses privées avec Internet ou pour cacher l'architecture du réseau. 19 NAT ●Doit garder en mémoire une table de correspondance pour rediriger correctement les réponses ●Dans le cas de protocoles sans connexion, utilisation de minuteurs d'inactivité ●Pour certains protocoles, changements aussi dans la couche applicative (FTP, ICMP) ●Problèmes avec IPSec AH 20 Pratique de la sécurité informatique 21 Rappel de la sécurité informatique ●Rappel de la « sainte trinité » ●Comment la mettre en pratique ●Quelques règles simples 22 Trinité de la sécurité informatique ●Confidentialité ●L'information et les systèmes ne sont accessibles qu'à ceux qui sont autorisés. ●Disponibilité ●Les systèmes et les informations sont accessibles au moment voulu (pas forcément 24h/24). ●Intégrité ●L'information est exacte et complète. 23 Mise en pratique : confidentialité ●Authentification obligatoire pour accéder aux systèmes ●Définir des permissions ●Ne donner que les permissions nécessaires et rien de plus (inconvénient : génère plus de support) ●Protéger les systèmes ●(Plus loin dans ce cours) ●Chiffrement 24 Mise en pratique : disponibilité ●Protection des systèmes ●Matériel redondant ●Systèmes protégés du réseau ●Systèmes à la sécurité renforcée ●Certains systèmes redondants ●Sauvegardes pour assurer la disponibilité des données 25 Redondance matérielle ●Doubler ou tripler les composantes qui tombent le plus souvent en panne ●Alimentation électrique – Doubler les blocs d'alimentation des serveurs – Brancher chacun des blocs sur une source de courant indépendante – UPS ●Disques durs – RAID 1, 5, 6 – RAID matériel / RAID logiciel 26 Mise en pratique : intégrité ●Systèmes protégés contre les modifications frauduleuses des données ●Sauvegardes pour récupérer les données corrompues ●Utiliser des systèmes de fichiers (file systems) fiables ●Attention aux sauvegardes des bases de données ! ●C'est aussi le travail des applications 27 Quelques règles (1) ●Ne donner que les droits minimaux ●Pas besoin d’être administrateur de sa machine pour envoyer des courriels ●Ne donner accès qu’aux serveurs dont l’utilisateur a besoin ●Ne donner accès physique à la salle des serveurs qu’aux personnes qui en ont réellement besoin, idéalement garder une trace (vidéo, registre...) 28 Quelques règles (2) ●Les mots de passe d'administration ne doivent être connus que des administrateurs (pas forcément tous) ●On peut les laisser dans des enveloppes scellées dans le coffre d'un directeur. ●Il est dangereux de donner les accès administrateur à quelqu'un qui n'a pas les connaissances techniques nécessaires. ●Rien ne doit reposer sur une seule personne 29 Quelques règles (3) ●Les systèmes doivent être gardés à jour afin de limiter leurs vulnérabilités ●Il faut s'appuyer sur une politique de sécurité (plus de détails plus tard) ●Low hanging fruit paradigm ●Ne pas autoriser des ordinateurs non gérés par le service sur le réseau ●Ordinateurs personnels et de visiteurs 30 Quelques règles (4) ●Défense en profondeur (defense in depth) ●Mettre en place des mécanismes de protection à plusieurs niveau ●Il ne faut pas s'appuyer sur un seul mécanisme pour se protéger, il doit y avoir de la redondance ●Exemples : – FW local et FW réseau – filtrer le trafic entrant ET sortant – désactiver un programme ET le désinstaller – patches ET antivirus Firewall (Coupe-feux) ●Qu’est-ce que c’est ? ●Firewall, garde-barrière, pare-feu ●Protection physique et logique ●Dispositif assurant le filtrage des communications entre 2 réseaux : bloque tout trafic non autorisé Zone suspecte Zone de confiance Coupe-feu R2 R1 31 Coupe-feux 32 33 Différence Firewall - proxy ●Proxy (ou mandataire) ●Le client envoie sa requête (Web, ftp...) au proxy, le paquet est destiné au proxy ●Le proxy reçoit la requête et forme une nouvelle requête vers le serveur (nouvelle connexion). ●Le proxy reçoit la réponse du serveur et la recopie pour le client. ●Le client et le serveur ne communiquent pas directement ●Non transparent pour le client 34 Firewall (pare-feu) ●Obéit à une série de règles définies par l'administrateur du FW ●Politiques par défaut : ●Accepter (Accept) ●Rejeter (Reject) ●Bloquer (Drop) Coupe-feux ●Inspection de paquets ●Examine le contenu des en-têtes IP, TCP, UDP et ICMP. ●Le filtrage statique consiste à inspecter les paquets indépendamment les uns des autres ; il ne reconnaît pas de nombreuses formes d’attaques. ●L’inspection dynamique considère le rôle que jouent les paquets dans le flux auquel ils appartiennent, qu’il s’agisse d’une connexion en cours ou d’une requête de connexion. ●L’inspection dynamique est actuellement la méthode d’inspection de paquets la plus répandue. 35 Coupe-feux ●Matériels/Logiciels ●Routeur filtrant – Installation d’un logiciel pare-feu sur un routeur – N’assurent généralement qu’un filtrage minimal. – Coûts de traitement élevés, impliquant généralement la mise à jour des routeurs – Élimine le « bruit » causé par les attaques par sondage ou balayage de ports « simples » pour faciliter la détection d’attaques plus sérieuses. – Bon emplacement pour le filtrage en sortie, capable de bloquer les réponses aux attaques par sondage ou balayage de ports, éventuellement émises par le routeur 36 Coupe-feux ●Matériels/Logiciels ●Coupe-feu logiciel (sur une machine) – Installation d’un logiciel pare-feu sur un serveur Windows ou UNIX – Une version adaptée à chaque volume de trafic – Utilisation facile, car connaissance du système d’exploitation – Certains fabricants proposent des kits matériel-logiciel dotés d’un système d’exploitation sécurisé. – Les systèmes d’exploitation génériques offrent souvent moins de performances. 37 Coupe-feux ●Matériels/Logiciels ●Coupe-feu logiciel (sur une machine) – Problème de sécurité : un pirate risque de s’introduire dans le système d’exploitation. ●Changement des règles de filtrage pour permettre l’entrée de tous les paquets ●Changement des règles de filtrage pour bloquer les paquets légitimes 38 Coupe-feux ●Matériels/Logiciels ●Boîtier coupe-feu – Kit doté d'un système d’exploitation simplifié – Difficile à compromettre – Configuration très simple – Ne peut pas être adapté aux besoins spécifiques des entreprises. – Doit pouvoir être mis à jour. 39 Coupe-feux ●Matériels/Logiciels ●Coupe-feu individuel – Installé directement sur les ordinateurs (serveurs et parfois clients) – Sécurité accrue du fait de la spécificité de la configuration ●Par exemple : blocage de tous les paquets, hormis ceux émanant du serveur spécialisé dans la défense – Défense en profondeur ●Normalement associé uploads/Management/ uy1-iss-chap-all-s1-2015-2016.pdf