--- title: "Sécurité Réseau : Cours 1 : Introduction" ... \newpage{} # Introduction à la Sécurité des SI ## Définitions **Sécurité des Systèmes d'information** : Ensemble des moyens techniques, humains et organisationnels mis en place pour garantir le fonctionnement d'un SI dans l'objectif qu'il s'est donné en matière de *Disponibilité*, *Intégrité* et *Confidentialité*. ## Notions de base But de la Sécurité SI : protéger les **biens** et **actifs** de l'entreprise : - Primordiaux : - Processus métiers - Données - Support : - Site - Employée - matériel - Réseau - Logiciel - Organisation ### Pourquoi - Obligation : Loi & responsabilité pénale - Volonté : - Adhérer à des normes - Position par rapport aux concurrents - Point d'entrée sur le marché - Attendu : - Bonnes pratiques - Veille - Intérêt : - ROI ### Difficultés - Coût - Méconnaissance des risques - Manque de compétence technique - Manque de maîtrise SI ### Impacts - Financier - Image et réputation - Organisationnels - Juridiques et réglementaires ## Besoin de sécurité ### Critères D - I - C - Disponibilité : accessibilité au moment voulu - Intégrité : exactitude et complétude - Confidentialité : accessible qu'aux personnes autorisées ### Preuve Permettre de retrouver avec une confiance suffisante les circonstances dans lesquels le bien évolue. Cela inclut : - Traçabilité des actions - Authentification des utilisateurs - Imputabilité des responsables ### Sûreté vs Sécurité **Sûreté** : protection contre les accidents involontaires. Quantifiable statistiquement. **Sécurité** : protection contre les actions malveillantes volontaires. On peut évaluer le niveau de risque. ### Exemples de mécanismes | Mécanisme | D | I | C | P | |-------------------|---|---|---|---| |Anti-virus | O | O | O | N | |Cryptographie | N | O | O | O | |Pare-feu | O | N | O | N | |Contrôle d'accès | O | N | N | N | |Sécurité physique | O | O | O | N | |Capacité d'audit | O | O | O | O | |Clause de contrats avec partenaires | O | O | O | O | |Formation et sensibilisation | O | O | O | O | ## Notion d'attaques - **Vulnérabilité** : Faiblesse au niveau d'un bien - **Menace** : Cause potentielle d'un incident - **Attaque** : Action malveillante pour porter atteinte à la sécurité d'un bien. Concrétisation d'une menace par l'exploitation d'une vulnérabilité ### Publication des vulnérabilités **CVE (Common Vulnerabilities and Exposures)** : Dictionnaire de référencement publique de toutes les informations sur des vulnérabilités de sécurité informatique, maintenu par le MITR. # La sécurité des réseaux ## Attaques sur les réseaux Types : - Interruption : disponibilité - Interception : confidentialité - Modification : intégrité - Fabrication : authenticité Attaques passives : analyse de traffic Attaques actives : - Usurpation d'identité - Rejeu - Déni de service ### Balayage #### Découverte des machines - But : découvrir les machines - Principe : envoyer des paquets à toutes les adresses et analyser les résultats - Outils : `nmap` #### Découverte de ports - But : découvrir les services / ports ouverts sur une machine - Principe : envoyer des paquets et analyser les résultats - Outils : `nmap`,`telnet`,`netcat` #### Exemple : TCP SYN Scan Envoyer un paquet SYN et attendre de la réponse : - Si on reçoit un SYN/ACK on envoie un RST pour fermer la connexion → le port est ouvert - Si on reçoit un RST → le port est fermé Avantages : On ne créer pas de connexion TCP, c'est discret Inconvénients : Nécessite privilège root #### Exemple : Traversée des équipement filtrant - Modification du port source - Fragmentation des paquets IP ### Ecoute du traffic réseau - Sniffing : usurpation d'adresse MAC pour tromper le commutateur - Attaque de commutateur - Attaque du protocole STP pour se faire élire comme commutateur racine ### Spoofing Exploiter les faiblesse des mécanismes d'authentification - Spoofing ARP - Spoofing IP - Man in the middle : proxy applicatif intru qui se met entre le client et le serveur pour intercepter le flux en clair ### DOS - Attaque par Inondation : `ping`, SYN - Attaque sur DNS - DDoS : Distributed Denial of Service : un handler commande des agents (souvent botnet) pour lancer des attaques DOS sur une victime ### Protocoles Exploitation des faiblesses des protocoles standards : - SMTP / POP3 / IMAP : - Envoi / réception de faux messages - Vers - Spam, Relai ouvert (serveur mail qui accepte n'importe qui) - Phishing - Dérober mots des passe, cartes de crédits, etc ... - Création d'une copie d'un page connue - L'utilisateur fourni ses infos en pensant qu'il s'agit d'un lien légitime ## Méthodologies d'attaque réseau ### APT Exemple de déroulement d'une Attaque Avancée (APT : Advanced Persistant Threat) 1. Envoi d'un courriel contenant une PJ piégée 2. La machine infectée annonce sa compromission à l'attaquant 3. L'attaquant prend le contrôle de la machine infectée 4. Il se connecte à cette machine, la "tête de pont" 5. Attaque et prise de contrôle des serveurs 6. Exfiltration des mots de passe 7. Prise de contrôle des autres ordinateurs du réseau en machines rebond 8. Prise de contrôle des machines rebond 9. Demande aux serveurs de fichiers le contenu des répertoires cible 10. Récupération du contenu des répertoires cible 11. Exfiltration du contenu 12. Effacement des traces d'exfiltration ### Attaques système - Le balayage permet de repérer des points d'entrée - Les faiblesses de programmation ou de configuration permettent de pénétrer le système Exemples : - Injection SQL - Buffer Overflow ### Méthode de piratage 1. Recherche d'information 2. Découverte des cibles 3. Enumération des services 4. Intrusion (→ DOS) 5. Escalation de privilèges 6. Pillage 7. Destruction des traces 8. Création de backdoor # Sécurisation des réseaux ## Pare-feux ### Définition du pare-feu - Equipement en coupure entre deux réseau - Inspecte les paquets entrants et sortants - Implémente un mécanisme de filtrage basé sur des règles et des politiques - Ne transmet que les paquet qui obéissent aux règles et politiques Pare-feu avec mémoire : garde trace des sessions de connexion et réagit en cas d'anomalie. Cela permet de résister au OS en bannissant les IP qui font trop de requêtes. ### Règles de filtrage - Historiquement basées sur les couches basse du modèle OSI (réseau / transport) - Aussi capable de filtrer selon des données de la couche applicative - Peut également possèder un antivirus pour éviter la propagation de malwares L'objectif est de restreindre le traffic aux seules connexion légitimes. Tout connexion illégitime est bloquée Prendre avantage de la segmentation : - On définit un niveau de sécurité pour chaque zone - On groupe les règles par zone dans l'ordre décroissant du niveau de sécurité - Chaque groupe a 4 parties : - Autorisations explicites du traffic en entrée - Interdiction générales de traffic en entrée - Autorisation explicite du taffic en sortie - Interdiction générales du traffic en sortie ## Repartiteur de charge (Load Balancer) - Sur les grosses infra avec beaucoup de traffic - Permet de répartir / redistribuer la charge en fonction de la dispo des serveurs → Permet de mieux résister au DDOS ## Anti-virus - Permet de stopper les malwares connus : - Virus - Vers - Keyloggers - Trojans - Utilise une DB des malware connus pour les reconnaitre en analysant les exécutables Limite : ne détecte que les malwares déjà connus, pas les nouveaux. Il doit toujours être maintenu à jours. Déploiment de l'anti-virus : - Local : sur les postes et serveur pour détecter les malwares sur la machine - En coupure de flux réseau : sur un pare-feu pour analyser le réseau et détecter la transmission des malware avant qu'ils n'atteignent leur cible ## IDS et IPS **IDS** : Intrusion Detection System **IPS** : Intrusion Prevention System Analyse le réseau pour repérer les intrusions : - Analyse les comportement des flux - Détection de signatures malveillantes ( comme les anti-virus) En cas d'intrusion : - L'IDS alerte l'admin - L'IPS bloque le flux Ils demandent une config fine et maintenue : - Eviter les faux positifs - Comme pour les anti-virus on ne peut détecter que les menaces dans la signature est déjà connue L'IDS peut être en coupure ou à l'écoute. L'IPS est en coupure du flux réseau pour pouvoir le bloquer ## VPN **VPN** : Virtual Private Network. Réseau Privée Virtuel qui permet à deux réseaux distants de communiquer en toute sécurité, malgré la présence de réseau pas de confiance entre les deux. Les VPNs utilisent des mécanismes cryptographiques pour chiffrer et vérifier l'intégrité des données qui circule sur le flux entre les deux réseaux. - Les données qui transitent sur internet sont caché à un éventuel attaquant - En cas de modification malveillante du flux, on s'en rend compte Il existe différents types de VPNs. ### VPN IPsec De site à site, le tunnel est géré par des routeurs au niveau de la couche Internet. ### VPN TLS (Transport Layer Security) VPN entre systèmes, le tunnel est au niveau de la couche transport. Exemple : OpenVPN. ### VPN MPLS (Multi Protocol Label Switching) Utilise les infrastructures des opérateurs au lieu de la cryptographie. La protection du réseau est assurée par l'opérateur. ### VPN PPTP (Point to Point Tunneling Protocole) Prédécesseur de IPsec conçu par Microsoft. ### VPN PPTP (Point to Point Tunneling Protocole) Prédécesseur de IPsec conçu par Microsoft. ### VPN L2F (Layer 2 Forwarding) Protocole de tunneling développé par Cisco. ## Segmentation Un principe majeur de la sécurité est le *moindre privilège* : on donne les droits d'accès qu'à ceux qui ont un besoin légitime d'y accèder. **Segmentation** : séparer le réseau en différentes zones. Le droits d'accès à ces zones sont filtrés pour n'autoriser que les flux nécessaires dans chaque zone. Il existe plusieurs techniques de segmentation. ### Réseau non connectés Pour mettre les machines qui n'as pas accès à internet. Permet d'éviter les attaques par rebond. - Avantages : pas de communication possible → étanchéité parfaite. - Inconvénients : adapté seulement au réseau très sensibles, car les réseau d'entreprise ont besoin de communiquer. ### Segmentation par VLAN (Virtual Local Area Network) Réseaux virtuels implémentés par les switchs. Communication restreinte selon les règles configurées. La segmentation peut se faire par : - Port ethernet des switchs - Adresses MAC des systèmes ## Démarche de sécurisation de réseau ### Internet Si un réseau est directement connecté à internet, il faut placer un pare-feu en frontal qui va autoriser uniquement les connexion vers les services nécessaires. typiquement Web (TCP : 80/443), DNS (UDP/TCP : 53). ### Segmentation Diviser le réseau en zones de criticités : - DMZ (zone démilitarisée) : contient uniquement les serveur accessibles de l'extérieur. Rend le rebond vers le réseau interne plus difficile. - Zone pour les serveurs internes - Zone pour postes de travail filaires - Zone pour postes de travail Wi-Fi - Zone pour Wi-Fi des visiteurs - Zone pour les postes de travail admin Pour que le segmentation soit efficace, il faut un second pare-feu interne qui va gérer tous les flux. ### Utilisateurs nomades Pour permettre aux utilisateurs distants de se connecter au réseau interne de l'entreprise, on met en place une DMZ spécifique pour : - Fournir une interface d'accès au réseau interne depuis internet via un tunnel VPN - Vérifier l'habilitation des postes nomades - vérifier le niveau de sécurité des postes nomades - Autoriser les connexion vers la zone interne si tout va bien (en utilisant un pare-feu) ### Traffic Web (Poxy) Il faut filtrer le traffic web : - Entrant : analyser les requête vers les serveurs pour intercepter les requêtes malveillantes - Sortant : définir les sites web autorisés à naviguer pour les utilisateurs via des white lists / black lists Equipement utilisé : - Forward proxy pour le traffic sortant. Les machines feront leurs requêtes par l'intermédiaire du proxy. Proxy transparent : ne demande pas de configuration sur le poste client - Reverse proxy en frontal devant les serveurs et intercepte le traffic entrant. Il peut avoir pour but : - Repérer les requêtes malveillantes - Equilibrer la charge - Redistribuer des requêtes sur différentes applications - Authentification - Cache (si devant un site statique) - Peut implémenter un anti-virus / IDS pour analyser le contenu applicatif Ils sont en frontal sur internet donc ce sont les seuls à placer dans la DMZ. # Principes de base de la sécurité réseau ## Minimisation Il faut éviter la complexité des systèmes pour : - Réduire la surface d'attaque - Mise à jours et suivi efficace - Simplifier la surveillance → Installer uniquement les composants nécessaires au fonctionnement du système. Désactiver/supprimer tout ce dont la présence ne peut être justifiée. La configuration doit également être limitée au strict nécessaire, en évitant à tout prix les configurations par défaut. Unicité de fonction : - Une fonction, une machine - Réduction de la surface d'attaque - Eviter le Single Point of Failure - Complique la tâche de l'attaquant Dans un système simple : - Risque d'erreur plus faible - Plus facile de vérifier son fonctionnement ## Moindre Privilège Toute entitée ne dispose que des droits strictement nécessaire à son exécution, pas un seul de plus. Une analyse est nécessaire pour les déterminer. Gain en sûreté et en sécurité : - Les dysfonctionnement sont limités par les privilèges octroyés - En cas de compromission, escalade de privilège moins triviale Exemple : - Les utilisateurs normaux ne doivent pas être admin - Les admins doivent utiliser des comptes d'utilisateurs - Pas besoin d'être root pour consulter les logs - Root n'as pas besoin d'accéder à internet - Un serveur ne doit pas tourner en tant que root - Une serveur web tourne sous un compte non privilégié Certains mécanismes sont apparus pour aider cela comme les solutions à base de conteneur. ## Défense en profondeur - Il faut définir plusieurs couches de sécurité indépendantes et complémentaires pour ralentir un attaquant - Chaque couche est un point à franchir - La mise en défaut d'une couche déclenche des signaux d'alarme et de la journalisation - Facilite la remédiation grâce aux infos apportées par le contexte de la compromission Exemple : - Authentification pour effectuer des opérations - Journalisation centralisées - Mécanismes de cloisonnement - IPS : mécanismes de prévention d'exploitation - Sécuriser quand mêmes les machine derrière un pare-feu - Sécuriser les locaux - Anti-virus sur les serveurs de messagerie et poste de travail ## Goulot d'étranglement Un seule accès depuis et vers l'extérieur : - Interdiction d'utiliser modems et points d'accès dans le réseau de l'entreprise - Les connexion avec d'autres entreprises doivent passer par un pare-feu - Le pare-feu est un élément critique, en mettre deux en redondance en cas de panne ## Maillon le plus faible - La solidité de l'architecture correspond à celle du maillon le plus faible - Il faut sécuriser le réseau de façon uniforme Exemples : - Même effort de filtrage sur tous les protocoles - Mise à jours de sécurité sur tous les serveurs - SSH inutile si telnet activé - Attention à la machine d'admin ## Interdiction par défaut - Interdire tout ce qui n'est pas explicitement permis - On ne connait pas les attaque à l'avance - Si on fait un oubli mieux vaut interdire qqch d'autorisé que l'inverse - L'autorisation par défaut est celle de l'utilisateur le moins privilégié - Panne sécurisée - Un filtre ne doit plus rien laisser passer quand il plante - Réactivité requise pour rétablir l'accès aux personnes légitimes ## Participation des utilisateurs - Sensibilisation - La protection est efficace qui si les utilisateurs la supporte - L'admin n'a pas la même vision que l'utilisateur - Un système trop restrictif pousse les utilisateurs à devenir créatif - Connaitre les besoin des utilisateurs et communiquer sur les raisons des restrictions