e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
La citadelle électronique Sécurité contre l’intrusion informatique volume 2
Sylvain Maret / version 1.1 Octobre 2002
4
[email protected] | www.e-xpertsolutions.com
4
“ L’art de fortifier ne consiste pas dans des règles et des systèmes mais uniquement dans le bon sens et l’expérience ” Sebastien le Prestre de Vauban Ingénieur Architecte 1633-1707 4
Solutions à la clef
4
f f f f f f f f f 4
Agenda
La citadelle électronique Les firewalls Les proxy Contrôle d’URL Contrôle de contenu Anti Virus Web application firewall IDS FIA Solutions à la clef
4
f f
Agenda
Honeypot VPN f f f
f f f
4
IPSEC SSL SSH
Cartes à puce Sécurisation des serveurs Sécurisation des postes de travail
Solutions à la clef
4
f f f f
4
Agenda
Analyse comportementale S/Mime Technologie PKI Systèmes d’authentification
Solutions à la clef
4
f f
Modèle de sécurité classique
Approches « produit » et périmètre Des solutions spécifiques, des cellules isolées f f f f f f
4
Firewall Antivirus VPN Contrôle de contenu Systèmes de détection d’intrusion Authentification périphérique
Solutions à la clef
4
f f f
Les inconvénients du modèle classique
Des solutions très spécifiques Un manque de cohérence et de cohésion L’approche en coquille d’œuf f f
4
Des remparts Des applications (le noyau) vulnérables
Solutions à la clef
4
Schématiquement…
Firewall, IDS, etc.
Ressources internes
4
Solutions à la clef
4
f
Les enjeux pour le futur
Fortifier le cœur des infrastructures f
f f f f
4
Principalement les applications
Améliorer la cohérence Simplicité d’utilisation Définir une norme suivie par les constructeurs & éditeurs Amener la confiance dans les transactions électroniques
Solutions à la clef
4
f f f f
4
La citadelle électronique
Modèle de sécurité émergent Approche en couches ou en strates Chaque couche hérite du niveau inférieur Les applications et les biens gravitent autour d’un noyau de sécurité
Solutions à la clef
4
f f f f
4
Approche en couche
1) Architecture 2) Protocoles réseaux 3) Systèmes d’exploitations 4) Applications
Solutions à la clef
4
f f f f f f f f
4
Architecture
Sécurisation des accès bâtiments Segmentation & Cloisonnement IP Segmentation & Cloisonnement physique Choix d’environnement (Switch, hub, etc) Mise en place de Firewall Configuration de routeur (ACL) Disponibilité Etc. Solutions à la clef
4
f f f f f f f
4
Protocoles réseaux
TCP/IP, IPSec, L2TP, PPTP, etc. Anti SYNFlooding Anti spoofing « Kernel » réseau à sécuriser D0S, DD0S Architecture réseaux (routeurs et switchs) Etc.
Solutions à la clef
4
f f f f f f f f f 4
Systèmes d’exploitation
Sécurisation des OS Restriction des services Mise en place de FIA Détection d’intrusions sur les OS Analyse comportementale Authentification forte Sécurisation de l’administration Sauvegarde régulière Logging & Monitoring Solutions à la clef
4
f
Applications
Chaque application est sécurisée f f
f
Cryptage des données sensibles f f f
f f f
4
BoF Contrôle de qualité du code DB, Cartes de crédits Base d’utilisateurs Etc.
Authentification forte des accès Signature électronique Etc. Solutions à la clef
4
Schématiquement…
Architecture O.S.
Applications Protocoles réseaux
4
Solutions à la clef
4
f
Pour répondre à ce challenge ?
Une démarche f
f
Des services de sécurité f f f f f f
4
La politique de sécurité Authentification Confidentialité Intégrité Non répudiation Autorisation Disponibilité
Solutions à la clef
4
f f f f f f f f
4
Et des technologies…
Firewalls IDS Analyse de contenu FIA AntiVirus VPN Systèmes d’authentifications PKI… Solutions à la clef
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
Les outils de sécurité
Sécurité contre l’intrusion informatique La citadelle électronique
4
[email protected] | www.e-xpertsolutions.com
4
f
Les firewalls: définition de base
Outil de contrôle des communications réseaux f f
f
Trois grandes familles f f f
f
Proxy ou relais applicatifs (niveau 7) Packet Filter (niveau 3) Stateful Inspection (niveau 3)
Outil de base de la sécurité… f
4
Agit comme un filtre Contrôle en temps réel les communications
N’est plus suffisant ! Solutions à la clef
4
f
Les firewalls
Les services standards du firewall f f f f
f
Les autres services f f f f f f
4
Contrôle d’accès Accounting Authentification Translation d’adresse (NAT) VPN IDS Authentification Contrôle de contenu (AV, filtrage d’URL, Code mobile, etc.) Haute disponibilité Etc. Solutions à la clef
4
4
Exemple d’implémentation
Solutions à la clef
4
Firewall « packet filter »
Source: Checkpoint 2002 4
Solutions à la clef
4
Firewall « proxy »
Source: Checkpoint 2002 4
Solutions à la clef
4
Firewall « Stateful Inspection »
Source: Checkpoint 2002 4
Solutions à la clef
4
Exemple avec FTP: packet filter
Source: Checkpoint 2002 4
Solutions à la clef
4
Exemple avec FTP: proxy
Source: Checkpoint 2002 4
Solutions à la clef
4
Exemple avec FTP: stateful inspection
Source: Checkpoint 2002 4
Solutions à la clef
4
4
Exemple de règles firewall: Checkpoint
Solutions à la clef
4
4
Exemple de « log » avec Checkpoint
Solutions à la clef
4
f
Translation d’adresses: « NAT »
Mécanisme de modification des adresses IP source ou/et destination f
f
NAT « Static » f f
f
1 vers 1 En source ou en destination
NAT « Hide » f f f
4
Eventuellement changement des ports: PAT
N vers 1 Utilise de la PAT Utiliser pour cacher un réseau (accès Internet) Solutions à la clef
4
Exemple de « NAT »
External
Internal 192.168.1.2 192.168.1.1
Legal IP address 204.32.38.1
Illegal IP address 192.168.1.2
192.168.1.4
4
LAN
192.168.1.3
Solutions à la clef
4
4
Exemple de « NAT » avec Checkpoint
Solutions à la clef
4
f f
Firewalls: tendance des Appliances
Concept de « black box » Est considéré comme un élément classique du réseau f
f f f f f f 4
Routeur, Switchs, RAS, etc.
Facilité d’exploitation Facilité d’utilisation Niveau de sécurité élevé Gestion par SSL et/ou SSH Performance OS de type Unix / Linux Solutions à la clef
4
f f
Les proxy
Complémentaire au firewall Caching (gain de performance) f
f
Auditing f f
f f
Fichier de logs Qui, Quand, Où
Authentification (NTLM, Radius, ldap, etc.) Interface pour un contrôle de contenu f f f f
4
HTTP, FTP, Streaming Vidéo ou Audio
ICAP ou Plug-IN Analyse virale URL Filtering Analyse code mobile Solutions à la clef
4
Exemple d’implémentation avec authentification Microsoft
Réseau Interne
Proxy Cache
DMZ
Windows DC 4
Solutions à la clef
4
f
f
Les proxy: configuration des postes clients
Configuration du navigateur avec adresse IP (ou le nom) et le « port » du proxy Proxy Pac f
f
Solution transparente f
f
4
Fichier de configuration WCCP
Ne pas oublier la gestion des exceptions !
Solutions à la clef
4
f f
Reverse Proxy
Permet d’accéder à un service web via le Reverse Proxy Protection du site web (firewall applicatif) f f f
f
Terminaison SSL f f
f
IDS Performance
Accès aux ressources internes f
4
Filtrage d’url Authentification Protection DoS (IIS)
Messagerie, extranet, etc. Solutions à la clef
4
Reverse Proxy
The proxy server uses a regular mapping to forward the client request to the internal content server
http or https
Server within a firewall
Firewall
http or https
CACHE
The proxy server appears to be the content server
A client computer on the Internet sends a request to the proxy server
You can configure the firewall router to allow a specific server on a specific port (in this case, the proxy on its assigned port) to have access through the firewall without allowing any other machine in or out.
4
Solutions à la clef
4
Reverse Proxy: exemple d’implémentation avec authentification forte Serveur de Messagerie OWA
Navigateur Internet
HTTPS TCP 443
HTTP TCP 80
DMZ
RSA Ace Server
Reverse Proxy SSL Réseau Interne 4
Solutions à la clef
4
f f
Filtrage d’URL
Contrôle d’accès aux sites Internet Très utilisé dans les entreprises f
f
Plusieurs techniques: f f f f f
f 4
Banques, Industries, Assurances, etc. Base de données Reconnaissance de mots clés Analyse des images RSAC Etc.
Peut être utilisé pour la protection des codes mobiles Solutions à la clef
4
Exemple d’implémentation avec un proxy
Source: Websense 2002 4
Solutions à la clef
4
4
Catégorie Websense
Solutions à la clef
4
f
Contrôle de contenu
Analyse du contenu des flux de communications f
Analyse des Emails f f f f f
f
Analyse des flux HTTP et FTP f f f f
4
Virus Taille Type de fichiers Analyse lexicale Etc. Virus Download de fichiers Codes mobiles Etc. Solutions à la clef
4
Contrôle des codes mobiles
Source: Trendmicro 2002 4
Solutions à la clef
4
Exemple d’implémentation: codes mobiles
Source: Trendmicro 2002 4
Solutions à la clef
4
f f
Les Antivirus
Outils classiques de sécurité Plusieurs catégories f f f f
AV pour les serveurs AV pour les postes clients AV HTTP et FTP AV spécifique f
f
La mise à jour doit être très rapide f
4
Messagerie (Exchange, Notes, Mailsweeper, etc.)
Backweb, http, ftp, etc. Solutions à la clef
4
f
Web application firewall: la nouvelle tendance
Protection des services Web par un filtrage des URL f f f f f
f
Deux approches f f
4
BoF Bad URL Back Door Cookie poisoning Etc. Reverse Proxy Agent sur le frontal Web
Solutions à la clef
4
Agent sur le frontal Web
Source: Sanctum 2002 4
Solutions à la clef
4
Approche Reverse Proxy
Source: Sanctum 2002 4
Solutions à la clef
4
f
f
Système de détection d’intrusions: définition
Système d’analyse d’informations visant à détecter des événements signalant une intrusion potentielle Ces informations peuvent être: f f f f f
f
4
journal system (logs) Journal applicatif Sonde réseau (sniffer) Sonde « host » Etc.
IDS = Intrusion Detection System Solutions à la clef
4
f
Système de détection d’intrusion: architecture
Outils modernes présentant les éléments structuraux suivants: f f f f
4
les sondes Les concentrateurs d’événements La ou les console(s) de gestion La ou les console(s) des alertes
Solutions à la clef
4
Système de détection d’intrusions: architecture
Console de gestion Configuration Signatures Update Software update
sonde
sonde
sonde
Alertes
Concentrateur D’événements Alertes
Console des alertes 4
Solutions à la clef
4
Système de détection d’intrusion: la sonde
Exportation
Vers concentrateur D’événements
Alerte
Analyse Evénement
Mise en forme Informations système Réseaux, Etc. 4
Donnée Brute
Capture Solutions à la clef
4
f
Système de détection d’intrusions: type de sonde
Sondes systèmes: HIDS f
f
Sonde réseau: NIDS f f f
f
Analyse des événements réseaux Généralement en écoute sur un HUB ou switch (copy port) Embarquée dans le switch
Sonde mixte: Mixed IDS f
4
Analyse des événements de type système et/ou de type application (serveur web, db, etc.)
Analyse réseau sur un host
Solutions à la clef
4
f
Système de détection d’intrusions: algorithmes d’analyse
Actuellement 2 approches f
Approche scénario (knowledge base scenario) f
f
Approche comportementale (Anomaly Detection) f f f
4
Basée sur une base d’attaques connues Définition du comportement « normal » des systèmes informatiques Exclusion des événements non-standards Actuellement en phase de test
Solutions à la clef
4
f
Système de détection d’intrusions: les contres-mesures
Possibilité de générer une contre-mesure suite à une attaques f
Interaction avec un firewall f
f f f
f
4
SAM de Checkpoint
Isolement d’une machine attaquée (Islanding) Ralentissement de la connexion avec l’attaquant (throlting) Etc.
Attention au DoS …
Solutions à la clef
4
Système de détection d’intrusions: exemple d’implémentation
= HIDS = NIDS
IDS externe
IDS Console
DMZ IDS
Sensitives Internal servers IDS serveur
IDS interne 4
Solutions à la clef
4
ISS RealSecure: architecture distribuée
Source: ISS 2002 4
Solutions à la clef
4
ISS RealSecure: console des alertes
Exemple: http cmd.exe IIS Serveur
4
Solutions à la clef
4
4
ISS RealSecure: console de configuration d’une sonde
Solutions à la clef
4
ISS Real Secure: configuration d’une contre mesure
Display Log DB Etc.
4
Solutions à la clef
4
f
Système de détection d’intrusions: domaine public
Très bon outils f f
f
Projet Snort f
f
http://www.snort.org
Projet Prelude f
4
Mais… demande du temps à mettre en œuvre et au suivi Excellent comme outil didactique
http://www-prelude-ids.org
Solutions à la clef
4
f
Système de détection d’intrusion: les limitations
Ne pas se baser uniquement sur la mise en œuvre d’un IDS f f
Possibilité de contourner les IDS Analyse comportementale f
4
Nouvelles attaques pas connues !
Solutions à la clef
4
f f
Contrôle d’intégrité des systèmes (FIA)
Famille des IDS Outil très puissant pour détecter les altérations des systèmes f
f
4
Complément des HIDS et NIDS
FIA = File Integrity Assesment
Solutions à la clef
4
Contrôle d’intégrité des systèmes (FIA): fonctionnement
f
Utilisation de fonctions crytographiques f f
f
Création d’une « Base Line » des fichiers surveillés f
f
4
Fonctions de hashage (md5, sha1, etc,) Fonctions de signatures électroniques (RSA, DSA) « Photo du système »
Comparaison régulière avec la « Base Line » de référence
Solutions à la clef
4
Contrôle d’intégrité des systèmes (FIA): fonctionnement
Fichier A Fonction De Hashage
Base Line
Hash
Fonction De Signature
Clé privée
Signature
? =
Fichier A = FA12Ab…
Signature Base Line
Signature A 4
Solutions à la clef
4
f f
Contrôle d’intégrité des systèmes (FIA): mise en œuvre
Définition des fichiers a surveiller Deux approches f f
f
Définition du type de fichier f
f
4
Logs, configuration, drivers, registry, etc.
Définition de la périodicité des « Checks » f
f
Approche inclusive Approche exclusive
Attention ressources CPU
Mise en production Solutions à la clef
4
f f
Contrôle d’intégrité des systèmes (FIA): Tripwire
Leader du marché FIA Architecture distribuée f f
f
Création de « Policy File » f f
4
Tripwire server Tripwire Manager (Console de management) Spécification « directory » et fichiers à surveiller Maintenant avec un « Wizard » !
Solutions à la clef
4
4
Contrôle d’intégrité des systèmes (FIA): Tripwire Manager
Solutions à la clef
4
4
Contrôle d’intégrité des systèmes (FIA): Tripwire Reporting
Solutions à la clef
4
Contrôle d’intégrité des systèmes (FIA): exemple d’implémentation
Cisco Unix Solaris, Aix, HP, Linux
Microsoft NT 4.0, Win2K
4
Web Serveur IIS, Apache
Solutions à la clef
4
f f
f
Honeypot: mieux apprendre pour mieux se protéger
Leurres pour les « Black Hat »… Permet aux « Black Hat » d’attaquer et de compromettre le système But principal: apprendre les techniques d’attaques f f f
4
Compléments aux IDS Permet de déceler les attaques « à la source » Un outil de recherche
Solutions à la clef
4
f
f
Honeypot: fonctionnement
Emulation d’un système ou de plusieurs systèmes d’exploitation Emulation d’une application ou de plusieurs applications (service) f
f
Tous les accès sont « logger » f
4
Web Server, DNS, etc. Tout trafic vers le Honeypot est considéré comme suspect !
Solutions à la clef
4
f
Honeypot: références
Projet Honeynet f f
f
Produits f f f f f
f 4
http://project.honeynet.org http://www.tracking-hackers.com ManTrap Specter Back Officer Friendly Honeyd Deception Tool Kit
Livre: Know You Enemy Solutions à la clef
4
f
VPN
Technologie pour sécuriser les communications f f f
f
Plusieurs approches f f f f f f
4
Intégrité Authentification Confidentialité IPSEC SSL SSH PPTP L2TP Etc. Solutions à la clef
4
f
VPN
Différentes topologies f f f f f
4
Client à site (Accès distant) Site à site Client à serveur Serveur à serveur Client à client
Solutions à la clef
4
4
Exemple VPN: Accès distants
Solutions à la clef
4
4
Exemple VPN: Site à site
Solutions à la clef
4
f f f
IPSEC
IPSEC = IP Security IETF (RFCs 2401-2406) Fournit du chiffrement et intégrité au paquets IP f
f
Support de PKI f f f
4
Authentification mutuelle Certificat pour les « gateway » Certificat pour les clients Support de la révocation
Solutions à la clef
4
f
IPSEC
Deux option de sécurité f f
f
AH et ESP peuvent être utilisé en: f f
4
AH: Intégrité et authentification ESP: Intégrité, authentification et confidentialité Mode Transport Mode Tunnel
Solutions à la clef
4
IPSEC: Transport Mode
Internet
Host A
IPsec
Host B
Source: SSH.COM 2002 4
Solutions à la clef
4
IPSEC: Tunnel Mode
Internet
Host B
Host A IPsec
Source: SSH.COM 2002 4
Solutions à la clef
4
IPSEC: AH
AH in transport mode IP header
IP header
TCP/UDP header
AH header (SPI, SEQ)
Upper layer payload
TCP/UDP header
Upper layer payload
Authenticated
AH in tunnel mode IP header
AH header (SPI, SEQ)
IP header
TCP/UDP header
Upper layer payload
IP header
TCP/UDP header
Upper layer payload
Authenticated
Source: SSH.COM 2002 4
Solutions à la clef
4
IPSEC: ESP
ESP in transport mode IP header
IP header
TCP/UDP header
ESP header (SPI, SEQ)
Upper layer payload
TCP/UDP header
Upper layer payload
ESP trailer
ESP auth
Encrypted Authenticated
ESP in tunnel mode IP header
ESP header (SPI, SEQ)
IP header
TCP/UDP header
Upper layer payload
IP header
TCP/UDP header
Upper layer payload
ESP trailer (Padding)
ESP auth
Encrypted Authenticated
Source: SSH.COM 2002 4
Solutions à la clef
4
IPSEC: échange des clés (IKE)
1) IKE SA
2) IPSec SAs
IPsec device
IPsec device
Source: SSH.COM 2002 4
Solutions à la clef
4
f f
SSL: technologie PKI par excellence
Secure Sockets Layer TCP/IP socket encryption Fournit des mécanismes de protection des communications f f f
f
Utilise la technologie PKI (certificat) pour l’authentification du serveur et la négociation SSL f
f
Certificat public (Verisign, Thawte, etc.)
Eventuellement peut authentifier le client (option) f
4
Confidentialité Contrôle d’intégrité Authentification
PKI Interne par exemple Solutions à la clef
4
f
SSL: l’historique
SSL v1 par Netscape en 1994 f
f f f
SSL v2 avec Navigator 1.0 and 2.0 SSL v3 dernière version TLS v1 repris par l’IETF f
4
Usage Interne seulement
Aka SSL v3.1
Solutions à la clef
4
f
4
Protocole SSL
Entre la couche applicative et TCP
Solutions à la clef
4
Ports SSL (IANA)
f
nsiiops 261/tcp # IIOP Name Service over TLS/SSL
f
https 443/tcp # http protocol over TLS/SSL
f
smtps 465/tcp # smtp protocol over TLS/SSL (was ssmtp)
f
nntps 563/tcp # nntp protocol over TLS/SSL (was snntp)
f
imap4-ssl 585/tcp # IMAP4+SSL (use 993 instead)
f
sshell 614/tcp # SSLshell
f
ldaps 636/tcp # ldap protocol over TLS/SSL (was sldap)
f
ftps-data 989/tcp # ftp protocol, data, over TLS/SSL
f
ftps 990/tcp # ftp protocol, control, over TLS/SSL
f
telnets 992/tcp # telnet protocol over TLS/SSL
f
imaps 993/tcp # imap4 protocol over TLS/SSL
f
ircs 994/tcp # irc protocol over TLS/SSL
f
pop3s 995/tcp # pop3 protocol over TLS/SSL (was spop3)
f
msft-gc-ssl 3269/tcp # Microsoft Global Catalog with LDAP
4
Solutions à la clef
4
SSL: authentification client avec certificat X509
PKCS#12
Smartcard
Challenge Response SSL / TLS
Web Server SSL
Token USB
4
Solutions à la clef
4
SSL: sécurisation du serveur (HSM) Smartcards
HSM
SSL Acceleration
SSL or TLS
Web Server SSL 4
Solutions à la clef
4
SSL / TLS tunneling Serveur de Messagerie Notes
Client Notes Client SSL Tunnel SSL 3DES TCP 443
TCP 1352 DMZ
SSL Serveur
Réseau Interne 4
Solutions à la clef
4
f f f
SSH
Famille des VPN SSH = Secure Shell Defacto Standard maintenant f
f f f
Solution de remplacement de telnet, ftp et les commandes R (Unix) Existe pour toutes les plates-formes Unix et aussi NT Fournit f f f
f f 4
Environ 8 millions utilisateurs
Chiffrement (AES, DES, 3DES, etc.) Intégrité Authentification
Très recommander dans les environnements UNIX Simple à mettre en œuvre Solutions à la clef
4
f f
SSH: système d’authentification
Supporte plusieurs modes d’authentications Authentifications « Classiques » f f f f f
f
SecurID Public Key Pam Kerberos Etc.
Authentifications basées sur PKI f
Utilisation d’un certificat X509 f
f
f
4
Smartcard ou clé USB
Validation des certificats (OCSP ou CRL)
Solutions éprouvées et robustes Solutions à la clef
4
Exemple d’implémentation SSH: authentification forte
VA SSH Serveur
2) PKI / OCSP
1) SecurID Ace Serveur
SSH V3 AES 256 SSH Client
4
Solutions à la clef
4
Solution VPN avec SSH
Email
Corporate LAN File Server
Intranet
Secure Shell Server
Firewall
Web Server
Remote User Secure File Transfer
Internet
Secured Tunnel
4
Secure Shell Server
Mail Server
Secure Shell Server
Solutions à la clef
4
Chiffrement de fichiers
f
Deux approches f f
f f f
Bonne solution pour les « laptop » Intégration avec les cartes à puces ou USB Gestion des clés de chiffrement f
f
4
Chiffrement du disque dur Chiffrement de certains fichiers
Key Recovery !
Chiffrement de base de données
Solutions à la clef
4
f f
Carte à puce
Carte à puce ou Smartcard (ISO 7810 54x85x0.8mm) Carte mutli-applications f f f f f f
4
Pay TV Banques (EC, Carte bleu, Visa, etc.) GSM Médical Informatique Etc.
Solutions à la clef
4
f
f
Carte à puce et l’informatique
Souvent couplée au stockage des clés privées et certificats X509 (PKI) Peux contenir des « Credentials » f f
f
Fournit de l’authentification forte f
f
4
Windows NT4, voir 2000 Reduce Sign-On PIN et la carte
Protégées contre la « Brute Force »
Solutions à la clef
4
f
Carte à puce et PKI
Deux types de cartes f f
f
Applications: f f f f f f f
4
Carte mémoire Carte avec un Processeur Cryptographique (RSA, DSA, etc.) Sign Sign ON (Windows 2000 et PKINIT) Messagerie Chiffrement de fichiers Signature de documents Portail Web VPN (Accès distant) Etc. Solutions à la clef
4
f f
Tokens USB
Même approche que les cartes à puces Deux types de cartes f f
f
Moins de sécurité que les cartes à puces f
f
4
Carte mémoire Carte avec un Processeur Cryptographique (RSA, DSA, etc.) Accès physique moins compliqué
Grand succès pour les postes nomades
Solutions à la clef
4
Exemple avec Windows 2000: Smartcard Logon
PIN Number
Support natif des cartes à puces Norme PC/SC Crypto API
4
Solutions à la clef
4
f
Sécurisation des serveurs
Sécurisation de l’accès aux serveurs f f
f
Mise en œuvre d’une politique d’application des « Patchs » f f
f f f
4
Authentification forte (SecurID, Carte à puce, etc.) Technologie VPN (SSH, IPSEC, etc.)
Machines de tests Backup
Mise en place d’une politique de backup Segmentation (firewall) Haute disponibilité (HA) Solutions à la clef
4
f
Sécurisation des serveurs
Sécurisation de l’OS f f f f f f f f f
4
Restriction des services Accounting (Syslog, SNMP, etc.) FIA Blindage du stack IP (DoS) Firewall (ACL, TCP Wrapper, etc.) Gestion des droits Jail (UNIX) Analyse comportementale Etc. Solutions à la clef
4
f
Sécurisation des postes clients
L’accès à Internet amène des problématique de sécurité pour les postes de travail f f
f f
L’idée est de garantir l’intégrité des postes Ces postes ont accès à des informations sensibles f
f
ERP, Back Office, Bases de données, etc.
La problématique pour la sécurisation: f
4
Virus, Pests, Trojan, Backdoor Lié à la messagerie et au surf
Gestion du parc des postes de travail Solutions à la clef
4
Sécurisation des postes clients
f
L’approche classique f f
f
La tendance f f f f f
4
Anti Virus Gestion des droits (par exemple GPO Win2k) Firewall personnel Analyse comportementale Contrôle des codes mobiles Contrôle d’intégrité (FIA) Authenfication forte
Solutions à la clef
4
f
Firewall Personnel
Fonctionnalités de base f f f
f
Fonctionnalités avancées f f f f f
4
Filtrage IP en entrée et sortie Lien entre les filtres et les applications Apprentissage automatique (POP-UP) Code mobiles (Sandbox) Contrôle des cookies IDS Analyse du comportement Etc. Solutions à la clef
4
f
Analyse comportementale
Nouveaux outils de sécurité f
f
Capable de bloquer les attaques inconnues f
f
4
Détecte les intrusions et les bloques
Blocage des attaques de BoF f
f
Prévention des intrusions
(60% des attaques selon le CERT 2002)
Simple à mettre en œuvre
Solutions à la clef
4
System Call Interception : la technologie de base
Program A
Program B
Program C
System Call Table
fopen unlink rndir
User Mode Kernel Mode OS Kernel
Network Driver
Disk Driver
Other Drivers
Source: Entercept 2002 4
Solutions à la clef
4
System Call Interception: la technologie de base
Program A
Program B
Program C
System Call Table
fopen unlink rndir
User Mode Kernel Mode
OS Kernel
Network Driver
Disk Driver
Other Drivers
Source: Entercept 2002 4
Solutions à la clef
4
Solution Entercept Notification
Reporting
Management
Serveur NT et 2000
4
Serveur WEB
Serveur Unix Solutions à la clef
4
Entercept: Console
Source: Entercept 2002 4
Solutions à la clef
4
Entercept: SecureSelect
Warning Mode
Protection Mode
Vault Mode
Increasing Security Source: Entercept 2002 4
Solutions à la clef
4
f
S/MIME
Secure Mime f
f
Standard IETF f
f
Microsoft, Lotus, Laboratoires RSA, etc.
Services de sécurité f f f f
4
Solution de sécurisation de la messagerie
L’authentification La confidentialité L’intégrité La non-répudation Solutions à la clef
4
f
S/MIME
Utilise la technologie PKI f f
f
Support des algorithmes symétriques f
f
DES, 3DES, RC2, etc.
Application très simple à utiliser f
4
Certificats personnels X509 Autorité de certification publique ou privée
Support natif dans Outlook, Lotus, Netscape, etc.
Solutions à la clef
4
S/MIME
Autorité de certification public ou privée
Alice
Bob Certificat Personnel
Certificat Personnel
S/Mime 3DES / RSA Signature 4
Solutions à la clef
4
S/MIME: exemple avec Outlook
Signature du message
4
Solutions à la clef
4
4
S/MIME: exemple avec Outlook
Solutions à la clef
4
S/MIME: exemple avec Outlook
Message signé
4
Solutions à la clef
4
4
S/MIME: exemple avec Outlook
Solutions à la clef
4
S/MIME: exemple avec Outlook
Message modifié
4
Solutions à la clef
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
Technologie PKI
Introduction à la sécurité informatique La citadelle électronique
4
[email protected] | www.e-xpertsolutions.com
4
f
Technolgie PKI: définition
Infrastructure pour la gestion des clés publiques f f
f
Fournit des mécanismes: f f f f f
f 4
Software et hardware Procédures Authentification Signature Non-repudation Confidentialité Intégrité
Utilise la notion de certificats (X509) Solutions à la clef
4
f f f f f f f
Cryptographie de base et PKI
Secret Key Public Key Message Digest Nombres aléatoire Signature numérique Certificat numérique PKI f
4
RA, CA, Revocation, ldap
Solutions à la clef
4
Secret Key: Alice et Bob
Plain Text
Ciphertext
Secret Key
4
Plain Text
Secret Key
Solutions à la clef
4
f
Secret Key: avantages et inconvénients
Avantages f f f
f
Inconvénients f f f
4
Rapidité Simplicité Fiabilité Gestion des clés complexes Partage de la clé secrète Grand nombres de clés
Solutions à la clef
4
f
Secret Key
Quelques algorithmes f f f f f
f
Technologies qui les utilisent… f f f f
4
DES 3DES AES RC4 Etc. IPSEC SSL SSH Etc. Solutions à la clef
4
Public Key: Alice and Bob (Chiffrement)
Plain Text
Ciphertext
Bob’s Public Key
4
Plain Text
Bob’s Private Key
Solutions à la clef
4
Public Key: Alice and Bob (Signature)
Ciphertext Ou Signature
Plain Text
Alice’s Private Key
4
Plain Text
Alice’s Public Key
Solutions à la clef
4
f
Public Key: avantages et inconvénients
Avantages f f f
f
Inconvénients f f
4
Gestion des clés Pas de partage de secret Signature numérique Pas rapide Longueur des clés (1024, 2048, etc.)
Solutions à la clef
4
f
Public Key
Exemple d’algorithmes f f f
f
RSA est dit réversible f
f
Chiffrement et signature
Utilisation f f f
4
RSA DSA El Gamal
PKI SSL, IPSEC, SSH Etc. Solutions à la clef
4
Message digest
Input
Fonction Hash
Output / Résultat 4
Digest Solutions à la clef
4
f
Message digest
Fonction de hashage f f f f
f
Utilisation f f f f f
4
Md3, Md4 MD5 Sha1 Ripemd signature numérique Crontôle de « checksum » Outils FIA MAC Etc. Solutions à la clef
4
Nombres aléatoires
f
Deux familles f f
f
Très important pour la cryptographie f
4
PRNG Vrai nombres aléatoires Génération des clés de session
Solutions à la clef
4
Signature numérique: exemple de création avec RSA et md5
Vers BOB
MD5
Alice’s Private Key
4
Digest
RSA
Solutions à la clef
4
Signature numérique: vérification
MD5
Digest A’ Alice’s Public Key
=
?
Digest A
RSA 4
Solutions à la clef
4
RSA Key Wrapping
Source: PGP 4
Solutions à la clef
4
RSA Key Wrapping
Source: PGP 4
Solutions à la clef
4
Man in the Midle !
Bob Alice Charly Interception des clés publique
4
Solutions à la clef
4
Notion de confiance
Autorité de certification
No more Charly Bob Alice
4
Charly
Solutions à la clef
4
f f
Notion de certificat numérique
Lien entre une entité et une clé publique L’entité peut être: f f f f
f f
4
Une personne Une machine Une entreprise Etc.
La signature digitale garantit ce lien (certificat) Il existe une norme: X509
Solutions à la clef
4
4
Le certificat est analogue à un passeport
Solutions à la clef
4
4
Certificat X509
Solutions à la clef
4
4
Format Certificat X509
Solutions à la clef
4
4
Format Certificat X509
Solutions à la clef
4
4
Vérification du certificat
Solutions à la clef
4
f f f f f f
4
Architecture PKI: les composants de bases
Certificats X509 Autorité de certification (CA) Autorité d’enregistrement (RA) Autorité de validation (VA) Annuaires Archivage
Solutions à la clef
4
f f f f
4
Autorité de certification (CA)
L’entité qui délivre les certificats Le tiers de confiance L’entité qui publie les certificats dans un annuaire L’entité qui génère les listes de révocation
Solutions à la clef
4
f f f
f
4
Autorité de souscription (RA)
Bureau d’enregistrement Reçoit les requêtes de certification Obéit à la structure granulaire de l’entreprise Identification du requérant
Solutions à la clef
4
f f f f
Autorité de validation (VA)
Service on-line Contrôle de validité des certificats Réponse: valide/invalide/inconnue Plus efficace que les CRLs f f
4
Minimise le trafique Etat en temps réel
Solutions à la clef
4
f f f
4
Annuaires
Structure hiérarchisée de type x.500 Liste des liens entre utilisateurs et certificats Peut contenir des listes de révocation (CRL)
Solutions à la clef
4
f f
Archivage
Stockage à long terme des clés de chiffrement Key recovery f f f
f f
Procédure de récupération des clés Pas de stockage des clés de signature f
4
Perte des clés Vol Etc.
Non répudiation
Solutions à la clef
4
4
Exemple: obtention d’un certificat
Solutions à la clef
4
Exemple: obtention d’un certificat
RA
User enrolls for certificate http://www http://www
Admin mailed notification
User mailed ack.
User mailed retrieval PIN
CA Admin Approves request
User retrieves certificate
http://www http://www http://www http://www
Certificate installed
4
LDAP Solutions à la clef
4
f f f f f f f
4
Les applications PKI
Sécurisation de la messagerie VPN, Accès distants Portail Web, e-commerce Transactions électroniques Publications électroniques Single Sign On Etc.
Solutions à la clef
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
Systèmes d’authentification
Introduction à la sécurité informatique La citadelle électronique
4
[email protected] | www.e-xpertsolutions.com
4
f f
Systèmes d’authentification: introduction
Tour d’horizon des technologies d’authentification Clé de voûte pour la construction de la citadelle électronique f
4
1er besoin pour la sécurité du système d’information
Solutions à la clef
4
f
Systèmes d’authentification: la base des services de sécurité
L’identification et l’authentification: des services de sécurité de base f f f f
4
Autorisation Auditing Non-répudiation Confidentialité
Solutions à la clef
4
f
Systèmes d’authentification: identification et authentification ?
Identification f
f
Authentification f
4
Qui êtes vous ? Prouvez le !
Solutions à la clef
4
f f f f f f
4
Les 6 éléments d’un système d’authentification
Entité ou personne Caractéristique unique Propriétaire du système Mécanisme d’authentification Mécanisme de contrôle d’accès Mécanisme d’archivage
Solutions à la clef
4
f
Exemple avec Ali Baba …
Entité f
f
Caractéristique Unique f
f
Le mot de passe: « Sésame, ouvre toi ! »
Le propriétaire de la caverne f
4
La personne qui connait le mot de passe
Ali Baba et Les 40 voleurs
Solutions à la clef
4
f
Exemple avec Ali Baba…
Mécanisme d’authentification f
f
Mécanisme de contrôle d’accès f
f
Mécanisme pour rouler la pierre ou les pierres
Mécanisme d’archivage f
4
Elément magique qui répond au mot de passe
Journal des événements
Solutions à la clef
4
Login par mot de passe
Mécanisme d’authentification
Caractéristique unique Mot de passe
Login Process
Mécanisme D’archivage
Mécanisme de contrôle D’accès
Computer Ressources La personne 4
Propriétaire
Solutions à la clef
4
f
Les facteurs d’authentification
Quelque chose que l’on connait f
f
Quelque chose que l’on possède f
f
Tokens, Carte à puce, badge, etc.
Quelque chose que l’on est f
4
PIN, Mot de passe, etc.
Biométrie
Solutions à la clef
4
f
Authentification forte
Un minimum de deux facteurs f f f f
4
Smartcard + PIN Token + PIN Biométrie avec Smartcard Etc.
Solutions à la clef
4
f
Que sécuriser ?
Equipements réseaux f
f
Systèmes d’accès aux réseaux f f
f
Windows (NT, 2000, XP, etc.)
Applications f
4
Unix, NT, Main Frame, AS400, etc.
Postes de travail f
f
Remote access Firewall
Serveurs du système d’information f
f
Routeurs, Switchs, etc.
Web, ERP, Back office, etc. Solutions à la clef
4
f f f f
Quelle technologie d’authentification ?
Password standard Tokens Challenge Response Authentification indirecte f
f f f f 4
Radius, Tacacs+
Kerberos Biométrie PKI (Smartcard, Tokens USB) Etc. Solutions à la clef
4
f
Les « Tokens »
Quelque chose que vous possédez f
f
Deux grandes familles f f
4
Généralement authentification forte (PIN+Token) Passive Tokens Active Tokens
Solutions à la clef
4
f
Passive Tokens
Contient un secret unique (Base Secret) f
f
Type de Tokens f f f
f
Badge de proximité Carte magnétique Etc.
Généralement authentification « faible » f
4
Secret unique partagé
Pas de deuxième facteur
Solutions à la clef
4
Mode de fonctionnement
Base Secret
=
Base Secret
Token + (PIN)
4
Solutions à la clef
4
f
Active Tokens
Contient un secret unique (Base Secret) f f
f f
Résultat: One Time Password (OTP) Mode de fonctionnement dit synchrone f f f
4
Secret unique partagé Facteur commun changeant
Counter Based Clock Based Hybride
Solutions à la clef
4
Mode de fonctionnement
Facteur commun changeant
=
Facteur commun changeant
Token + (PIN)
Base Secret
4
=
Base Secret Solutions à la clef
4
Counter Based Tokens
+1
Facteur commun
Counter Hash
Secret unique partagé
4
Base Secret
OTP
Solutions à la clef
4
Clock Based Tokens
Hash
Secret unique partagé
4
OTP Base Secret
Solutions à la clef
4
f
Protection des tokens
Deuxième facteur par PIN f
f
Deux solutions f f
4
Personal Identifier Number PIN externe PIN interne
Solutions à la clef
4
PIN Code interne
Clock or Counter
Hash PIN unlock Base Secret Base Secret
4
OTP
Solutions à la clef
4
PIN Code externe
Clock or Counter
Hash
Base Secret
+ PIN
* OTP
* Shoud use encryption (SSL, IPSEC, SSH 4
Solutions à la clef
4
f
RSA SecurID
De facto standard f
f f f f
4
Grandes banques, industries, gouvernements
Système basé sur le temps Très portable Grand nombre d’agents (env. 300) Facilité d’utilisation
Solutions à la clef
4
RSA SecurID
Token
ACE/Server 482392 482392
Algorithm Time
Algorithm
Seed
Time
Seed
Same Seed Same Time 4
Solutions à la clef
4
DMZ Web Server
RSA RSA ACE/Server ACE/Server (Replica) (Primary)
Internet Firewall
RSA ACE/Agent
Intranet
Firewall
RSA ACE/Agents
RSA ACE/Agents
NT/ Unix
VPN
RAS
Novell
RSA Security 2001 4
Solutions à la clef
4
f f f f
4
Challenge Response
Basé sur un challenge (nonce) Basé sur un secret unique Calcul du challenge avec une fonction de hachage Mode de fonctionnement dit asynchrone
Solutions à la clef
4
Mode de fonctionnement
nonce (adf341gf)
Base Secret
=
Base Secret
dupont
nonce = adf341gf
response = ff747dgd4
4
Solutions à la clef
4
f
Norme X9.9
Standard ouvert pour Challenge Response f f
f
Utilisation de « DES » comme Hash f
f
4
US Gouvernement American Bankers Association Problème de « Password Guessing »
Migration vers « AES »
Solutions à la clef
4
Norme X9.9
Random Challenge Nonce
Hash (DES encrypt)
OTP Response
Base Secret
4
Solutions à la clef
4
f f f
Kerberos
Protocole de sécurité pour l’authentification Architecture Single Sign-On Développé par le MIT en 1985 f f f
4
Version 4.0 Version 5.0 (IETF) rfc 1510 et 1964 Open Software pour environnement Unix
Solutions à la clef
4
f
Kerberos
Fournit du chiffrement de session f
f
Fournit l’authentification mutuelle f
f
Entre clients et serveurs
Utilisation du protocole par Windows 2000 f
4
Secure Single Sign-On
Nouvelle vie pour Kerberos
Solutions à la clef
4
f
Kerberos: concept de base
Utilisation de secret partagé f
f
Utilisation d’un tiers de confiance pour le partage des secret partagés (clés) f
f
Key Distribution Center
Utilisation de tickets distribués par le KDC f f
4
Chiffrement symétrique
Credential ou ticket de session Validité des tickets dans le temps
Solutions à la clef
4
Key Distribution Center
Ka
Logon Request
TGT
Ka Kb
TGT Unix Server Ticket
Master Key Database
Unix Server Request With Ticket
Unix Server « Kerberized » Software 4
Unix Server Response
Kb Solutions à la clef
4
f
Kerberos et Win 2000
Protocole d’authentification de Windows 2000 f
f
f f
4
Remplacement de NTLM
Utilisation de Active Directory pour le stockage des clés Kerberos Architecture Single Sign-On Kerberos Version 5.0
Solutions à la clef
4
f
Extension du protocole Kerberos
Logon initial remplacé par la technologie PKI f f f
f
KDC vérifie le certificat f f
4
PKINIT (IETF) Utilisation des smartcards Authentification basé sur un certificat X509 « Trust » et les « Path » Validation du certificat (CRL)
Solutions à la clef
4
f
Biométrie
Système « ancien » f f f
f
Deux familles f f
4
1930 - carte d’identité avec photo Reconnaissance de la voix Etc. Mesure des traits physiques uniques Mesure d’un comportement unique
Solutions à la clef
4
f f f
Mesure des traits physiques
Empruntes digitales Géométrie de la main Les yeux f f
f f
Reconnaissance du visage Nouvelles voies f
4
Iris Rétine
ADN, odeurs, oreille et « thermogram »
Solutions à la clef
4
f f f
Mesure d’un comportement
Reconnaissance vocale Signature manuscrite Dynamique de frappe f
4
Clavier
Solutions à la clef
4
f f f
Promesses et réalité
Difficultés liées aux « false rejection » Mais aussi les « false acceptance » « Replay Attacks » et « Spoofing » f
f
Prix ? f
4
Ajout d’un PIN Code ou Smartcard Les bons capteurs sont onéreux (600 CHF/poste)
Solutions à la clef
4
Biometric Pattern
Personnel trait
? Biometric Matching
Biometric Reader
Feature Extraction
1=127 2=126 3=456 4=987
dupont: 1=127,2= deraud: 1=878,2= marcus: 1=656,2=
Biometric Signature
4
Solutions à la clef
4
f
Mécanisme de contrôle
Par serveur d’authentification f f f f
f
Sur une smartcard f f f f
4
Requêtes par réseau Problème de la sécurité Problème de confidentialité Problème de disponibilité Meilleure sécurité Mode « offline » Prix plus élevé MOC = Match On card Solutions à la clef
4
f
Précision Biométrique
False Acceptance f f
f
False Rejection f f
4
FAR (False Acceptance Rate) in % Lecteur sale, mauvaise position, etc FRR (False Rejection Rate) in % Usurpation, falsification
Solutions à la clef
4
4
Equal Error Rate (EER)
Solutions à la clef
4
Authentification forte
f
Deux facteurs f f
4
Une carte à puce Un PIN code
Solutions à la clef
4
4
Questions ?
Solutions à la clef
4
e-Xpert Solutions S.A. est une société Suisse de services spécialisée en sécurité informatique dont les fondateurs ont fait de leur passion leur métier : La sécurité des systèmes d'information Fort de leurs convictions et de leur expérience, nos ingénieurs conçoivent, déploient et maintiennent au quotidien des architectures de sécurité au moyen de solutions pragmatiques, basées sur des technologies fondamentales et novatrices, adaptées aux exigences de la clientèle. Cette approche, associée à des collaborateurs motivés, flexibles et au bénéfice d'une intégrité irréprochable, nous a permis d'assurer une croissance continue et de gagner la confiance d'une clientèle issue de tout domaine d'activité et de toute taille. Notre siège à Bernex/Genève et notre agence de Morges/Lausanne vous garantissent un contact de proximité. http://www.e-xpertsolutions.com 4
Solutions à la clef