ids, parfeu, reseau securisé
TRANSCRIPT
-
8/4/2019 IDS, Parfeu, reseau securis
1/32
Securite
Firewall IDS Architecture
securisee dun reseau
Assurer le controle des connexions au
reseau
[email protected] Securite 1
-
8/4/2019 IDS, Parfeu, reseau securis
2/32
Introduction
Sommaire general
Mise en oeuvre dune politique de securite a travers :
Pare-feu (Firewall)
Systeme de Detection dintrusion (IDS)
Architecture securisee dun reseau
[email protected] Securite 2
-
8/4/2019 IDS, Parfeu, reseau securis
3/32
IntroductionCategories principales de pare-feu
Categories secondaires de pare-feuConclusion
Pare-feu Sommaire
2 IntroductionDefinitionFonctions principalesNAT et PATCategories de filtres de pare-feu
3 Categories principales de pare-feuFiltrage de paquets sans etats (stateless firewall)Pare-feu a etats (stateful firewall)Pare-feu applicatif (proxy ou service mandataire ou relais)
4 Categories secondaires de pare-feuPare-feu identifiant
Pare-feu personnel ou embarque5 Conclusion
RecommandationsProduits du marcheCriteres de choixQuizz de synthese
[email protected] Securite 3
-
8/4/2019 IDS, Parfeu, reseau securis
4/32
IntroductionCategories principales de pare-feu
Categories secondaires de pare-feuConclusion
DefinitionFonctions principalesNAT et PATCategories de filtres de pare-feu
Definition
Definition
Un pare-feu (ou firewall) : ensemble materiel et/ou logiciel qui
met en oeuvre la politique de securite du reseau : quels
sont les types de communication autorises ou interdits ?concentre ladministration de la securite en des pointsdacces limites
cree un perimetre de securite entre le reseau intranet de
lentreprise et le reseau internetLanalyse du trafic est opere a laide de regles aussi appelees ACL
(Access Control List poru les pare-feu Cisco), politique ou policy
(pare-feu Juniper/Netscreen), filtres...
[email protected] Securite 4
I d i Dfi i i
-
8/4/2019 IDS, Parfeu, reseau securis
5/32
IntroductionCategories principales de pare-feu
Categories secondaires de pare-feuConclusion
DefinitionFonctions principalesNAT et PATCategories de filtres de pare-feu
Fonctions principales dun pare-feu
Filtrage de paquets hors contexte et avec le contexte de
sessions,
Translation statique/dynamique dadresses IP (NAT),translation de ports (PAT)
Journalisation des evenements
[email protected] Securite 5
I t d ti Dfi iti
-
8/4/2019 IDS, Parfeu, reseau securis
6/32
IntroductionCategories principales de pare-feu
Categories secondaires de pare-feuConclusion
DefinitionFonctions principalesNAT et PATCategories de filtres de pare-feu
NAT et PAT
Translation statique/dynamique dadresses IP (NAT) et translation deports (PAT)
Gestion dun petit parc dadresses IP sur internet
Masquage (masquerading) du plan dadressage interne
[email protected] Securite 6
Introduction Definition
-
8/4/2019 IDS, Parfeu, reseau securis
7/32
IntroductionCategories principales de pare-feu
Categories secondaires de pare-feuConclusion
DefinitionFonctions principalesNAT et PATCategories de filtres de pare-feu
Categories de filtres de pare-feu
On distingue differentes categories de pare-feu selon :
son niveau dans le modele OSI (Reseau, Transport,Applicatif),
sa sensibilite au contexte dun echange (session),
ses possibilites didentification de lutilisateur,
le perimetre quil couvre (un reseau ou une machine hote),
...
Dabord les categories principales, puis les categorie secondaires(plus un desir de structurer la presentation quune realite)
[email protected] Securite 7
Introduction
-
8/4/2019 IDS, Parfeu, reseau securis
8/32
IntroductionCategories principales de pare-feu
Categories secondaires de pare-feuConclusion
Filtrage de paquets sans etats (stateless firewall)Pare-feu a etats (stateful firewall)Pare-feu applicatif (proxy ou service mandataire ou relais)
Filtrage de paquets sans etats (stateless firewall)
Definition
Filtrage statique de paquets (Couche 3 ISO) selon les criteressuivants :
adresse IP source/destination, protocole encapsule (ICMP, IP,TCP, OSPF...), numero de ports source/destination
Mise en oeuvre aisee a laide de regles simples
Performant si regles limitees et leur enchanement optimise
Statique : ne prend pas en compte les etats des sessions
Ni le filtrage des applications
Ni lauthentification des utilisateurs
[email protected] Securite 8
Introduction( )
-
8/4/2019 IDS, Parfeu, reseau securis
9/32
IntroductionCategories principales de pare-feu
Categories secondaires de pare-feuConclusion
Filtrage de paquets sans etats (stateless firewall)Pare-feu a etats (stateful firewall)Pare-feu applicatif (proxy ou service mandataire ou relais)
Pare-feu a etats (stateful firewall)
DefinitionFiltrage dynamique de paquets (Couches 3 et 4 ISO) selon :
etats des sessions TCP (NEW, ESTABLISHED, RELATED,INVALID), ports sources TCP/UDP, sequencement des paquets, IP,
interfaces associees aux sessions en cours...
Dynamique : prend en compte les etats des sessions
Performance bonne
Gestion de la translation dadresses (NAT, Network Address
Translation) et de ports (PAT, Port Address Translation)Complexe a configurer (nombre important doptions)
Authentification limitee a ladresse IP
Non prise en compte des protocoles superieures a la couchetransport (telnet, FTP, ...)
[email protected] Securite 9
IntroductionFil d ( l fi ll)
-
8/4/2019 IDS, Parfeu, reseau securis
10/32
IntroductionCategories principales de pare-feu
Categories secondaires de pare-feuConclusion
Filtrage de paquets sans etats (stateless firewall)Pare-feu a etats (stateful firewall)Pare-feu applicatif (proxy ou service mandataire ou relais)
Pare-feu applicatif (proxy ou service mandataire ou relais)
Definition
Filtre applicatif (Couche 7 ISO) : chaque connexion correspond a 2connexions : 1) utilisateur et pare-feu, 2) pare-feu et systeme viseun agent agit comme relais pour chaque application (SMTP, HTTP, ...)
Filtre les protocoles applicatifs en profondeurExemple : Seules les requetes http get authorisees et des sites interdits
Service dauthentification plus puissant que ladresse IP
Cache le plan dadressage interne
Journalisation des evenements tres detaillee
Forte puissance de traitement pour ne pas impacter trafic
Non prise en compte ni des trafic UDP, ni des protocolesapplicatifs RPC (Remote Procedure Call)
[email protected] Securite 10
Introduction
-
8/4/2019 IDS, Parfeu, reseau securis
11/32
Categories principales de pare-feuCategories secondaires de pare-feu
Conclusion
Pare-feu identifiantPare-feu personnel ou embarque
Pare-feu identifiant
Definition
Pare-feu identifiant : identification des connexions passant a travers lefiltre IP.Ladministrateur peut ainsi definir les regles de filtrage par utilisateur etnon plus par IP, et suivre lactivite reseau par utilisateur.
[email protected] Securite 11
Introduction
-
8/4/2019 IDS, Parfeu, reseau securis
12/32
Categories principales de pare-feuCategories secondaires de pare-feu
Conclusion
Pare-feu identifiantPare-feu personnel ou embarque
Pare-feu personnel ou embarque
DefinitionPare-feu personnel (embarque) : notion de perimetre de securitereduite au systeme local et a ses applications (soppose a pare-feu zonal)
categories possibles : stateless, stateful ou proxy
liberte de choisir le produit le mieux adapte a une situation
controle le trafic reseau entre 2 systemes dun meme LAN ; ce que nepermet pas un pare-feu zonal
difficulte de desolidariser la gestion de la securite de celle de ses
applications (le pare-feu est en soi une application)gestion fastidieuse meme pour parc de taille moyenne
Le choix entre pare-feu zonal et pare-feu embarque est uncompromis entre ces facteurs
[email protected] Securite 12
Introduction Recommandations
-
8/4/2019 IDS, Parfeu, reseau securis
13/32
Categories principales de pare-feuCategories secondaires de pare-feu
Conclusion
Produits du marcheCriteres de choixQuizz de synthese
Recommandations
Tout acces externe au reseau interne est filtre :tout cequi nest pas autorise est interdit
La profondeur du filtrage couches OSI reseau (3),transport (4) et application (7) est fonction des besoinsde securite ; le controle le plus fin est au niveau applicatif
Tout trafic non autorise est detruit sans donner dereponses (DROP)
Tout trafic detruit est journalise (LOG) a des finsdinvestigation
[email protected] Securite 13
IntroductionC f
Recommandations
-
8/4/2019 IDS, Parfeu, reseau securis
14/32
Categories principales de pare-feuCategories secondaires de pare-feu
Conclusion
Produits du marcheCriteres de choixQuizz de synthese
Produits du marche
Versions libres
Linux Netfilter/Iptables, pare-feu a etat, libre des noyauxLinux 2.4 et 2.6.
NuFW, Pare-feu identifiant, licence GPL pour serveur etclients Linux, FreeBSD et Mac OS. NuFW est base surNetfilter et en augmente les fonctionnalites.
Versions proprietaires
Cisco PIX, botier pare-feu a etatCheck Point FireWall-1, botier pare-feu a etatGauntlet , proxy applicatif
[email protected] Securite 14
IntroductionC i i i l d f
RecommandationsP d i d h
-
8/4/2019 IDS, Parfeu, reseau securis
15/32
Categories principales de pare-feuCategories secondaires de pare-feu
Conclusion
Produits du marcheCriteres de choixQuizz de synthese
Criteres de choix dun pare-feu
Moyens dadministration (interface, acces distants, ...)
Niveau de details des regles de filtrage
Audit des regles de filtrage et des journaux (consistance
des regles, verification des sauvegardes et de leur integrite, ...)Options pour gerer et archiver les journaux
Reactions en cas de problemes (perte dun lien deconnexion, integrite de la base des regles de filtrage...)
Interfacage possible avec dautres equipements desecurite (IDS, anti-virus, authentification dutilisateur, ...)
Vulnerabilites et mise a jour des correctifs
Certifications de securite
[email protected] Securite 15
IntroductionC t i s i i l s d f
RecommandationsP d its d h
-
8/4/2019 IDS, Parfeu, reseau securis
16/32
Categories principales de pare-feuCategories secondaires de pare-feu
Conclusion
Produits du marcheCriteres de choixQuizz de synthese
Quizz de synthese
Quelles sont les fonctions principales dun pare-feu ?Quelles differences et similitudes y a til entre un pare-feuzonal et un pare-feu embarque ?
[email protected] Securite 16
Introduction
-
8/4/2019 IDS, Parfeu, reseau securis
17/32
Fonctions et mode operatoireAttaques contre les IDS
IDS Sommaire
6 IntroductionDefinition
7 Fonctions et mode operatoireFonctions et mode operatoireCollecte des informationsMethodes danalyse et de detection des intrusionsReponses aux intrusions detectees
8 Attaques contre les IDSAttaques contre les IDSQuizz de synthese
[email protected] Securite 17
Introduction
-
8/4/2019 IDS, Parfeu, reseau securis
18/32
Fonctions et mode operatoireAttaques contre les IDS
Definition
Definition
Definition
Un Systeme de Detection dIntrusion (IDS) : ensemble des
pratiques et des mecanismes utilises pour detecter une erreur(incident, anomalie) pouvant conduire a la violation de la politiquede securiteRepose sur des techniques de Sniffing des reseaux et de journalisation des evenements sur les systemes
Pour certains lavenir est aux Systemes de Prevention dIntrusion (IPS)
[email protected] Securite 18
IntroductionF i d i
Fonctions et mode operatoireCollecte des informations
-
8/4/2019 IDS, Parfeu, reseau securis
19/32
Fonctions et mode operatoireAttaques contre les IDS
Collecte des informationsMethodes danalyse et de detection des intrusionsReponses aux intrusions detectees
Fonctions et mode operatoire
1 Collecte des informations,2 Analyse et detection des informations recuperees,
3 Reponse a donner a la suite dune intrusion decelee
[email protected] Securite 19
IntroductionF ti t d t i
Fonctions et mode operatoireCollecte des informations
-
8/4/2019 IDS, Parfeu, reseau securis
20/32
Fonctions et mode operatoireAttaques contre les IDS
Collecte des informationsMethodes danalyse et de detection des intrusionsReponses aux intrusions detectees
Collecte des informations
Au niveau des :Machines hotes par le biais du systeme dexploitation :identification dobjet responsable dun evenement, du processus qui a
lance evenement, de utilisateur associe a evenement, de sa date, ...
efficace meme si les applications sont chiffrees
non multiplate-forme : difficulte de deploiement de cettesolution car dependante de lOS du systeme
programmes daudit affectent les performances (anti-virus)Reseau (source dinformations pour la majorite des IDS)
nest generalement pas un routeur, et sa localisation depend de
larchitecture du reseaupas de probleme de performance
transparent pour utilisateur interne, invisible pour exterieur
maintenance et cout relativement basdonnees chiffrees
trafics [email protected] Securite 20
IntroductionFonctions et mode operatoire
Fonctions et mode operatoireCollecte des informations
-
8/4/2019 IDS, Parfeu, reseau securis
21/32
Fonctions et mode operatoireAttaques contre les IDS
Methodes danalyse et de detection des intrusionsReponses aux intrusions detectees
Methodes danalyse et de detection des intrusions
Transformation des donnees en suite dactions et detection fondees sur :Signatures : comparaison a scenarios dattaques deja connus
rapide, facile a implementer, largement utilise
faible nombre de fausses alarmesnecessite de mise a jour reguliere
inefficace pour contrer des attaques inconnues
Profils : comparaison a profils de comportements normauxassocies a un utilisateur ou une application
pas besoin de maintenance et aucune connaissance
anterieure des attaques requisesnombre important de faux positifs (alarme sans prejudice)
phase dapprentissage indispensable dans un environnementstable et non hostile : difficulte de mise en place dans unenvironnement dynamique (utilisateurs nomades, changements
frequents des applications)[email protected] Securite 21
IntroductionFonctions et mode operatoire
Fonctions et mode operatoireCollecte des informations
-
8/4/2019 IDS, Parfeu, reseau securis
22/32
Fonctions et mode operatoireAttaques contre les IDS
Methodes danalyse et de detection des intrusionsReponses aux intrusions detectees
Reponses aux intrusions detectees
Reponses actives (automatiques) : impliquent uneaction a entreprendre suite a une detection
agresser lintrus (traquer, localiser, contre-attaquer etendommager) : illegale mais peut etre un dernier recours
restructurer le reseau (isoler et modifier le systemeattaque) : solution la plus repandue et la plus efficace pourstopper la propagation de lattaquesurveiller le systeme attaque (collecte de plus amplesinformations : faille exploitee, finalite, identite de lintrus...) :facilite une poursuite en justice
Reponses passives : presentent toutes les informationsrecoltees a ladministrateur, qui entreprend ensuite desmesures qui lui semble pertinentes
[email protected] Securite 22
IntroductionFonctions et mode operatoire
Attaques contre les IDS
-
8/4/2019 IDS, Parfeu, reseau securis
23/32
Fonctions et mode operatoireAttaques contre les IDS
Quizz de synthese
Attaques contre les IDS
Essentiellement les denis de service : pour penetrer unsysteme, effacer des traces en inondant les ressources de lIDS
[email protected] Securite 23
IntroductionFonctions et mode operatoire
Attaques contre les IDSQ i d h`
-
8/4/2019 IDS, Parfeu, reseau securis
24/32
Fonctions et mode operatoireAttaques contre les IDS
Quizz de synthese
Quizz de synthese
Quelles sont les differentes phases de traitement dun IDS ?A quel niveau la collecte dinformations peut etre realisee parun IDS ? Donner avantage et un inconvenient pour chacun.
[email protected] Securite 24
IntroductionConfiguration reseau
-
8/4/2019 IDS, Parfeu, reseau securis
25/32
gConclusion
Architecture securise Sommaire
9 IntroductionMise en place dune architecture securiseeQuestions techniques a se poserPrincipe
10 Configuration reseauConfiguration typeLes elements dun reseauUn exemple de deploiement dune configuration
11 ConclusionQuizz de synthese
[email protected] Securite 25
IntroductionConfiguration reseau
Mise en place dune architecture securiseeQuestions techniques a se poser
-
8/4/2019 IDS, Parfeu, reseau securis
26/32
gConclusion
q pPrincipe
Mise en place dune architecture securisee
De nombreuses solutions en fonction de :
de la politique de securite a mettre en oeuvre,du systemes dinformation a representer,
des services a assurer,
et des possibilites techniques et financieres
[email protected] Securite 26
IntroductionConfiguration reseau
Mise en place dune architecture securiseeQuestions techniques a se poser
-
8/4/2019 IDS, Parfeu, reseau securis
27/32
Conclusion Principe
Questions techniques a se poser
Quels equipements (botiers ou machines serveurs)accompliront les fonctions de routage ? de firewall ? deserveurs ?
un botier est plus fiable quune machine serveur
Quels systemes dexploitation et puissance pour les machines ?
les OS windows sont plus vulnerables quun OS Linuxpuissance peut etre requise pour un serveur web mais peut etreaussi un challenge pour un pirate
Quels regroupements de services ou de fonctions sur un botierou une machine serveur ?
une machine a la fois routeur et serveur represente une serieusefaille si compromise
Ou positionner les differents equipements entre eux et parrapport a linternet ?
[email protected] Securite 27
IntroductionConfiguration reseau
C
Mise en place dune architecture securiseeQuestions techniques a se poser
-
8/4/2019 IDS, Parfeu, reseau securis
28/32
Conclusion Principe
Principe
PrincipeDiviser et diversifier pour regner
Diviser
Distribuer les services sur des machines distinctes
Decouper le reseau en sous-reseau (routeur oucommutateur-VLAN)
Partager en plusieurs zones de securite
Diversifier
Les systemes dexploitation, les equipements, les marques deslogiciels et materiels
Meme si une machine ou une partie du reseau venait a etrecompromise, lacces aux parties restantes requerra dautres
connaissances pour les [email protected] Securite 28
IntroductionConfiguration reseau
C l i
Configuration typeLes elements dun reseauU l d d l i d fi i
-
8/4/2019 IDS, Parfeu, reseau securis
29/32
Conclusion Un exemple de deploiement dune configuration
Configuration type
[email protected] Securite 29
IntroductionConfiguration reseau
C l i
Configuration typeLes elements dun reseauU l d d l i t d fi ti
-
8/4/2019 IDS, Parfeu, reseau securis
30/32
Conclusion Un exemple de deploiement dune configuration
Les elements dun reseau
Pare-feu (sans etat, a etat, proxy), par la suite GB pourGarde-BarriereIDS,Bastion : avancee qui sert de premiers remparts, serveur (HTTP,DNS et/ou SMTP...) point dentree/sortie a internetRouteur ecran (screening router) : filtrage sans etat et a etat etfonction de separation de flux entre les reseauxCommutateur : separation de flux entre les reseaux (Virtual Lanou VLAN)DMZ (zone demilitarisee ou zone semi-ouverte) : sous-reseau isolepar deux pare-feux.
Contient des machines bastions situees entre un reseau interne et unreseau externe (Internet)La DMZ permet a ces machines dacceder a Internet et/ou depublier des services sur Internet sous le controle du pare-feu externe.Pot de miel (Honeypot) : systeme ou serveur volontairement
vulnerable destine a attirer et a pieger les [email protected] Securite 30
-
8/4/2019 IDS, Parfeu, reseau securis
31/32
IntroductionConfiguration reseau
ConclusionQuizz de synthese
-
8/4/2019 IDS, Parfeu, reseau securis
32/32
Conclusion
Quizz de synthese
Rappeler et expliquer le principe de base de la mise en placedune architecture securisee ?
Rappelez les fonctions du routeur ecran ?
[email protected] Securite 32