Cours SECURI ITE RESEAUX
SECURITE RESEAUX
Jean-Luc Archimbaud CNRS/UREC
Octobre 95
Cours orienté Unix et IP
PLAN (1)
Exemples d'incidents
La sécurité dans notre monde
Généralités
Support "logistique" Structures en France
Actions CNRS
CERTs
Chartes
Sécurité des réseaux Concepts
Chiffrement
L'écoute sur Ethernet et le câblage
Caractéristiques de l'Internet, Renater, IP
Sécurité des applications réseaux Unix PLAN (2)
Contrôle d'accès
Avec les tables de routage dans les stations
Avec les tables de routage dans les routeurs
Avec des filtres sur un routeur
Exemple de structuration de réseau
Outils crack cops
iss et satan tcp_wrapper kerberos
boite de chiffrement IP calculettes et S/Key gardes-barrières
Résumé : où peut on agir ?
Conseils pour la mise en place d'une politique de sécurité
Conseils pour les administrateurs de réseaux
Conseils pour les administrateurs de stations Unix en réseaux
Documentation on-line
EXEMPLES D'INCIDENTS
GET /ETC/PASSWD
CHOOSE GIRL
/BIN/LOGIN
MOT DE PASSE NVRAM (EEPROM)
TREMPLIN POUR HACKERS
UNE ECOLE DE HACKERS
Les communications sont vitales pour l'Enseignement et la Recherche
---> la sécurité ne doit pas être un frein systématique
---> ouvrir quand c'est nécessaire
On ne peut pas ignorer la sécurité
Image de marque de l'université ou du labo !
Ca ne rapporte rien mais ça coûte
C'est toujours un compromis
C'est d'abord une affaire de Direction
Elle doit être vue globalement
La sensibilisation est indispensable
Direction (---> responsabiliser)
Utilisateurs
Administrateurs de machines et de réseau
- - - > La sécurité est l'affaire de tous
La sécurité c'est 80 % bon sens et 20 % technique
70 % des délits viennent de l'intérieur
Unix est surtout vulnérable à cause de sa popularité
l'attitude des vendeurs qui livrent un système ouvert
En réseau : demande de la compétence et de la disponibilité
Les mécanismes de sécurité doivent être fiables Ils doivent faire ce qu'ils sont sensés faire
--> validation des matériels et des logiciels
Le service doit répondre aux besoins
Ex : le chiffrement est inutile si on a besoin de contrôle d'accès
Il faut regarder le coût / efficacité
---> la confidentialité ou l'intégrité sélective
Facilité d'utilisation et d'apprentissage
Rejet ou contournement si trop contraignant
Ex : mots de passe, accès aux fichiers
Souplesse d'adaptation & portabilité
Evolution, matériel hétérogène
---> normes, standards
STRUCTURES
Haut fonctionnaire de défense ENSRIP : M. Pioche
Universités
Un correspondant / Université ou Ecole
Nombre d'établissements : 130
Coordination CRU
CNRS
Fonctionnaire de défense : M. Schreiber
RSSI : Michel Dreyfus
CM "Sécurité informatique (réseaux)" 1/2 temps
Correspondant / DR
Correspondant technique / "gros labo"
Accord tacite de réciprocité" CNRS et Ens Sup STRUCTURES
RENATER
Charte RENATER
CERT-RENATER
Un correspondant sécurité par organisme Isabelle Morel
FRANCE
BCRCI
CNIL
DST
SCSSI
ACTIONS CNRS
Aide en cas d'incident de sécurité
Diffusion électronique -> correspondants techniques
---> CERT-CNRS
Diffusion fax -> correspondants DR
Cours - sensibilisation
Bulletin d'information ---> Dir Labo
Cours sécurité Unix en réseaux
Journées de sensibilisation avec le SCSSI
Rubrique "Sécurité" dans le Microbulletin , ,
Recommandations papiers
Tests de certains produits
Groupe sécurité SOSI
LES CERTS
Computer Emergency Response Teams
SERT UNE COMMUNAUTE
FIRST : regroupe les CERTs
Organise les moyens de défense et de réaction
Diffusion d'information
Recommandations
Corrections de trous de sécurité (informatique e réseau)
Mise en relation des responsables sécurité
Petite cellule
Experts
Pression sur les constructeurs . . .
Ne remplacent pas la police
CHARTES
"de bon usage" ou "de sécurité"
Sensibilisation-responsabilisation des personnels
Par université ou laboratoire
Exemples : :pub/securite/Chartes
Contenu
Utilisation des Systèmes d'Information
Qui est responsable de quoi
Ce qu'il ne faut pas faire
Recommandations (choix du mot de passe, )
Rappel des lois et des peines encourues
Signée par tous (même les utilisateurs de passage)
Peut-être courte
Pas de valeur juridique
CONFIDENTIALITE
Message compris uniquement par le destinataire Mécanisme : chiffrement
INTEGRITE
Message reçu identique à celui émis
Mécanisme : scellement - signature
CONTROLE D'ACCES
Uniquement les émetteurs autorisés peuvent envoyer des messages Toutes les couches et étapes
Filtrage - ACL
NON RÉPUDIATION
Sur l'émetteur
Sur le destinataire
Mécanisme : notarisation
AUTHENTIFICATION
Certificat d'identité
Couplée avec identification
Dans les 2 sens
Appelant (individu) ---> Appelé (application)
Appelé (application) ---> Appelant (individu)
Problème de l'unicité de l'identification
Problème de l'Autorité
Authentification d'un utilisateur : mécanismes Ce qu'il sait - Ce qu'il est - Ce qu'il possède
Mot de passe
Pour accéder à quoi ?
Problème réseau : où est il stocké ?
Avec un matériel spécifique
Caractéristique physique de l'utilisateur
Objet que détient l'utilisateur Carte à puce
Authentifieur - Calculette
Problèmes
Coût - Normalisation - Accès universel Exemple sur un réseau : KERBEROS DISPONIBILITE
Matériels et logiciels doivent fonctionner
Maillage des liaisons, duplication des équipements
TRACES
Journalisation
Etre au courant d'un problème, comprendre et éviter la réédition Problème du dépouillement
Problème du volume de données
ALARMES
AUDIT
Quel est le niveau de sécurité de ma machine, de mon réseau, de mon site ?
CONCEPTS SECURITE RESEAUX : SERVICES ET MECANISMES
| C | |||||||
| o | |||||||
| C | n | ||||||
| o | t | ||||||
| M | n | E | r N | ||||
| E | C | t | c | ô o | |||
| C | h | r | h | l t | |||
| A | i | S | ô | I | a | e a | |
| N | f | i | l | n | n | B | r |
| I | f | g | e | t | g | o | r i |
| S | r | n | é | e | u | o s | |
| M | e | a | a | g | r | u a | |
| E | m | t | c | r | a | r | t t |
| S | e | u | c | i | u | a | a i |
| n | r | è | t | t | g | g o | |
| SERVICES | t | e | s | é | h | e | e n |
| Auth d'homologues | s | s | • | • | O | • | • s |
| Auth de l'origine | s | s | • | s | • | • | • s |
| Contrôle d'accès | • | • | s | s | s | • | • • |
| Confidentialité O | • | • | • | • | • | s • | |
| Confi champs sélectifO | • | • | • | • | • | • • | |
| Confi flux de donnéesO | • | • | • | • | s | s • | |
| Intégrité de connexiosn | • | • | O | • | • | • • | |
| Intégrité sans conn s | s | • | O | • | • | • • | |
| Non-répudiation • | s | • | s | • | • | • s | |
O : Le service est fourni
• : Le service n'est pas fourni s : Selon la config ou les autres mécanismes utilisés
Auth : Authentification
Confi : Confidentialité
CONCEPTS SECURITE RESEAUX : SERVICES ET COUCHES
| SERVICES | COUCHES | ||||
| 1 2 | 3 | 4 | 5 | 6 | 7 |
| Authentification • • | O | O | • | • | O |
| Contrôle d'accès • • | O | O | • | • | O |
| Confi mode connecté O O | O | O | • | O | O |
| Confi mode non-connecté • O | O | O | • | O | O |
| Confi champs sélectif • • | • | • | • | O | O |
| Confi du flux de données O • | O | • | • | • | O |
| Intég connecté avec reprise•• | • | O | • | • | O |
| Intég connecté sans reprise•• | O | O | • | • | O |
| Intég connecté champs sé l• • | • | • | • | • | O |
| Intég sans connexion • • | • | • | • | • | O |
| Non-répudiation • • | • | • | • | • | O |
O : Le service peut être fourni
• : Le service ne peut pas être fourni
Confi : Confidentialité Intég : Intégrité sélec : sélectif
Tous les services peuvent être fournis en couche 7
De nombreux services peuvent être rendus par les couches 3 et 4
SECURITE DES RESEAUX : CHIFFREMENT
Le chiffrement est le mécanisme le plus important
Transforme des données en clair en des données non intelligibles pour ceux qui n'ont pas à les connaître
Algorithme mathématique avec un paramètre (clé)
Inverse : le déchiffrage (ou déchiffrement)
Peut être non-inversible
Services: authentification - intégrité - confidentialit
Algorithmes symétriques (à clé secrète) le + connu : DES : Data Encryption Standard clé de chiffrement = clé de déchiffrement
Algorithmes asymétriques (à clé publique) le + connu : RSA : Rivest Shamir Adleman clé de chiffrement ? clé de déchiffrement
Problèmes
Gestion des clés
Législation
Coûteux : en temps CPU,
A quelle couche OSI ?
SECURITE DES RESEAUX : CHIFFREMENT
code secret (= clé) ---> chiffrement
1986 : décrets et arrêtés Matériel de chiffrement classé
Obligation d'autorisation
Fabrication et de commerce (importateur) Utilisation
Déc 90 : article 28 de la loi télécommunication
Autorisations : Services Premier Ministre
Authentification et intégrité pas besoin d'autorisation d'utilisation Procédures simplifiées pour certains
Législation américaine
Très stricte sur l'exportation
---> impossible d'exporter l'algorithme DES
---> L'utilisation des produits est réglementé SECURITE DES RESEAUX : L'ECOUTE
SUR ETHERNET ET LE CABLAGE
ETHERNET
Non buts du DIX (1980) : sécurité
Problème de la diffusion : confidentialité
Limiter la diffusion : ponts, routeurs
Charte
Attaque interne -> sensibilisation et responsabilisation
Vérifier les accès (/dev, tcpdump, . . .) r-commandes : le mot de passe ne circule pas
Avec "su" : difficile de récupérer le mot de passe
S/Key
SUPPORTS
Paire torsadée ou fibre optique
On ne peut pas s'y brancher en pirate
Des étoiles "sécurisées" existent (3COM,
SynOptics)
| CARACTERISTIQUES INTERNET, | RENATER |
Internet
Beaucoup (trop ?) d'informations sont publiques
---> Toutes les @ IP et les noms sont publics
RFC1281 Guidelines for the Secure Operation of the
Internet
Utilisateurs responsables de leurs actes
Utilisateurs doivent protéger leurs données
Prestataires de services responsables de la sécurité de leurs équipements
Vendeurs et développeurs doivent fournir des mécanismes de sécurité et corriger les bugs
Besoin de coopération
Besoin d'ajouts dans protocoles actuels et futurs
Les réseaux de l'Internet affichent des règles de bon usage
RENATER
Liste des réseaux autorisés à entrer à chaque point d'accès
Protocole réseau (niveau 3)
N'est pas un mode connecté
Pas de début de session où insérer des contrôles
Accès "bijectif"
---> Impossible d'interdire un sens et d'autoriser l'autre (au niveau IP)
Les numéros IP des machines sont fixés par logiciel
---> Mascarade possible
| CARACTERISTIQUES DE | IP |
La résolution des noms est distribuée (DNS)
---> Aucune garantie : mascarade
Les réseaux IP supportent de très nombreuses applications
---> nombreuses portes possibles
@ IP = @ réseau + @ locale (machine)
Circulation des datagrammes IP : contrôlée par le routage
---> agir sur ce routage pour limiter les accès Routage IP
= trouver l'itinéraire = laisser passer ou pas
basé sur le numéro de réseau
---> utilisation de différents numéros
Uniquement l'adresse destination est utilisée
| CARACTERISTIQUES DE | IP |
Application : réciprocité de "non accès"
Principal outil de protection actuellement : contrôles d'accès à différents niveaux
Où agir pour avoir des contrôles d'accès ?
Daemons sur la station Unix
Table de routage (accès IP) sur la station
Table de routage dans les routeurs
Filtres dans les routeurs
Principe des applications (services) réseaux
Client : souvent utilisateur
Serveur
Daemon en attente
Activation : ou /etc/rc* Dialogue IP entre serveur et client
inetd
Daemon qui regroupe la partie serveur de très nombreuses applications réseaux Configuration :
telnet
Serveur : telnetd (conf : )
Login ---> droits de l'utilisateur local
Coup d'œil : who (sans argument ou -R ou ?) tftp
Transfert de fichiers sans contrôle d'accès
Serveur : inetd
Par défaut accès à tous les fichiers • • 4
Limiter l'accès à un directory (man tftpd)
Vérifier que l'on a une bonne version
ftp
Serveur ftpd configuré dans Login ---> droits de l'utilisateur local ftp anonymous
Cf man ftpd ou documentation papier chroot sur ~ftp
Fichiers déposés : accès • • 4
~/.netrc
Permet un login automatique lors d'un ftp sur une machine distante
A n'utiliser que pour les ftp anonymous
Trace : ftpd -l ---> syslogd
Contrôle d'accès : /etc/ftpusers
Utiliser une version de ftpd récente (> Déc 88) r-commandes
Permettent de s'affranchir de la phase d'identification et d'authentification manuelle
Les serveurs de r-commandes : daemon inetd
~/.rhosts
Equivalence : users distants - user local
Liste : nom_machine nom_d'utilisateur
/etc/hosts.equiv
Equivalence : tous les utilisateurs machine distante et tous les utilisateurs locaux Format : Liste de noms de machines
L'équivalence est basée sur les noms
Utilisation des r-commands
Avantages (quand on en a besoin)
Evite aux utilisateurs la phase de login N'impose pas aux utilisateurs la
mémorisation de plusieurs mots de passe Le mot de passe ne circule pas en clair sur le réseau
Désavantages
On fait confiance à une autre machine Entrèes possibles (via ~/.rhosts) que l'administrateur ne maitrise pas
Conseils
S'ils ne sont pas utilés ôter les "r-serveurs" dans
Vérifier régulièrement le contenu des fichiers .rhosts de vos utilisateurs et leurs accès
Attention à host.equiv
Ne pas lancer rexecd ou rexd (sauf besoin)
Sendmail - SMTP
Un administrateur de machine peut lire tous les courriers électroniques qui :
Partent de sa machine
Arrivent sur sa machine
Transitent par sa machine
Ceci pour tous les types de messageries (Internet-SMTP, EARN, X400 . . .)
Daemon serveur : sendmail lancé dans rc*
Fichier de "configuration"
L'origine du message n'est pas fiable
Trous de sécurité très connus
Remarques
Les bugs de sécurité sont régulièrement corrigées
Très pratique : on ne peut plus s'en passer Jusqu'à présent, son manque de confidentialité et d'authentification ne justifie pas son rejet
NFS (Network File System)
Permet un système de gestion de fichiers distribué sur plusieurs machines
Origine SUN
Basé sur les RPC (Remote Procedure Call)
Serveur :
nfsd en n exemplaires lancé dans rc.local rpc.mountd dans inetd
Client :
biod (n exemplaires) lancé dans rc.local
/etc/exports
Liste des directories qui peuvent être exportées Options :
NFS (suite)
Exemple de fichier /etc/exports
Après modif de /etc/exports : exportfs -a
Accès root
Root sur A monte une arborescence sur B
Si -root dans exports alors UID sur B = 0
Sinon UID sur B= -2 ou 32767 ou 65534
Remarques - Conseils
Les droits d'accès sont basés sur les UID
Il faut une gestion centralisée des UID et GID
Ne lancer NFS serveur qu'après avoir correctement configuré /etc/exports avec les accès minimum
Vérifier régulièrement /etc/exports
Attention à root=
finger
Peut donner des informations sur les utisateurs d'une station à tout l'Internet
Les informations proviennent de /etc/passwd, de /etc/wtmp, , ~/.project, . . .
Serveur : fingerd dans inetd
Ce peut être très utile mais aussi dangereux Version de fingerd postérieure à dec 88 ?
rwho
Permet de connaître les utilisateurs connectés sur toutes les machines du réseau local
Serveur et client : rwhod lancé dans rc*
Broadcast de l'information
L'information ne traverse pas les routeurs
Conseil : ne pas le lancer
Similaires :
rusers avec serveur rusersd (inetd) rup avec serveur rstatd (inetd) ruptime avec daemon rwhod
Quel est le risque de rwho ou finger ?
Un pirate peut faire :
finger @nom_de_la_machine
Il obtient une liste d'utilisateurs
Il essaie chaque nom avec des mots de passe triviaux
/etc/ttytab - secure terminal
Avec SunOS
"secure" = login root direct possible pas "secure" = login user suivi de su
Ne mettre "secure" que sur la console
Sur HP-UX : /etc/securetty
pour HP/UX
Services locaux avec la liste des machines ou des réseaux qui peuvent y accéder
Exemple :
login allow 192.34.56.*132.40.5.1 shell deny tftp allow termserv1
Une station peut être client sans être serveur
Daemons "réseaux" sur la station Unix
Ne lancer que ceux utilisés
Faire du ménage dans et rc*
Limiter et contrôler la bonne d'utilisation Config correcte de : hosts.equiv, .rhosts, exports
Surveiller sulog, syslog, , .rhosts des utilisateurs,
Sendmail : installer version de Erci Allman
R-Commandes
Interdire ou limiter au réseau local
NFS
Limiter au réseau local si possible
X11
Installer tcp_wrapper
Station inaccessible au niveau IP : accès aux applications impossibles
Une table de routage dynamique stocke les informations d'accessibilité
Cette table est mise à jour par La commande ifconfig (dans rc*)
Les commandes route (dans rc*)
Les daemons de routage dynamique (routed, gated
)
Exemple de réseau
# route add net 129.88.0.0 147.171.150.128 1 add net 129.88.0.0: gateway 147.171.150.128 # netstat -rn Routing tables
Destination Gateway Flags Refs Use Interface
129.88 147.171.150.128 UG 0 28 ae0
127.0.0.1 127.0.0.1 UH 0 63 lo0 147.171.150 147.171.150.2 U 6 191 ae0 # ping 129.88.32.10 PING 129.88.32.10: 56 data bytes
64 bytes from 129.88.32.10: icmp_seq=1. time=66. ms
64 bytes from 129.88.32.10: icmp_seq=2. time=33. ms
64 bytes from 129.88.32.10: icmp_seq=3. time=33. ms
----129.88.32.10 PING Statistics----
5 packets transmitted, 3 packets received, 40% packet loss round-trip (ms) min/avg/max = 33/44/66 # ping 130.190.5.1 Network is unreachable # ping 134.157.4.4 Network is unreachable
< Uniquement les machines 147.171.150.X et les machines 129.88.X.Y peuvent m'atteindre >
# route add default 147.171.150.128 1 add net default: gateway 147.171.150.128 # netstat -rn Routing tables
Destination Gateway Flags Refs Use Interface
129.88 147.171.150.128 UG 0 78 ae0 127.0.0.1 127.0.0.1 UH 0 63 lo0 default 147.171.150.128 UG 0 0 ae0 147.171.150 147.171.150.2 U 4 353 ae0 # ping 134.157.4.4 PING 134.157.4.4: 56 data bytes
64 bytes from 134.157.4.4: icmp_seq=0. time=533. ms
64 bytes from 134.157.4.4: icmp_seq=1. time=733. ms
----134.157.4.4 PING Statistics----
3 packets transmitted, 2 packets received, 33% packet loss round-trip (ms) min/avg/max = 533/633/733 # ping 130.190.5.1 PING 130.190.5.1: 56 data bytes
64 bytes from 130.190.5.1: icmp_seq=0. time=16. ms
64 bytes from 130.190.5.1: icmp_seq=1. time=16. ms
----130.190.5.1 PING Statistics----
2 packets transmitted, 2 packets received, 0% packet loss round-trip (ms) min/avg/max = 16/16/16 #
< Toutes les machines du monde peuvent m'atteindre >
SECURITE IP : CONTROLE D'ACCES AVEC LES TABLES DE ROUTAGE DANS LES ROUTEURS
Idem station
Le routeur se base sur les numéros de réseaux
Bien répartir ses numéros de réseau
Bien maîtriser les algorithmes de routage dynamique
CONTROLE D'ACCES AVEC LES FILTRES DANS
LES ROUTEURS
Concrètement : Access Lists
Forme de garde-barrière
Structure d'une trame Ethernet - telnet
1. Entête Ethernet
1.1Adresse Ethernet du destinataire
1.2Adresse Ethernet de l'origine
1.3Type = 0800
2 . Entête IP
• • •
2.1Protocol = 6
2.2Adresse IP de l'origine
2.3Adresse IP du destinataire
• • •
3 . Entête TCP
3.1Source port
3.2Destination port
• • •
4 . Les données
CONTROLE D'ACCES AVEC LES FILTRES DANS
LES ROUTEURS
Le routeur peut filtrer sur
Les adresses Ethernet (champs 1.1 et 1.2)
Le protocole de la couche 3 (1.3)
Le protocole de la couche 4 (2.1)
Les algorithmes de routage dynamique (1.3, 2.1)
L'adresse IP d'origine (2.2)
L'adresse IP destinataire (2.2)
Un numéro de port (3.1 et 3.2)
Degrés de liberté
Offset, masques avec des valeurs hexa
Autoriser - interdire
Plusieurs listes d'accès
Listes d'accès par interface
Problèmes
Connaissance des protocoles : obligatoire
Chaque modification : conséquences inattendues ?
Les listes deviennent rapidement illisibles
Les performances du routeur sont affectées
L'accès au routeur doit être protégée
EXEMPLE DE STRUCTURATION DE
RESEAU DE CAMPUS
Chaque réseau B, G, R, E a un numéro IP propre
Le réseau backbone (B) contient les services "ouverts" tels que le DNS, la messagerie, FTP anonyme,
Le réseau gestion G n'est accessible que par le réseau backbone (B) et le réseau recherche (R). Le réseau enseignement (E) et l'extérieur (Internet I) ne peuven pas y accéder.
L'extérieur (Internet I) ne peut accéder qu'au réseau backbone et au réseau recherche (et réciproquement) Etapes suivantes :
Filtrage par applications dans les routeurs
Garde-barrière applicatif à différents noeuds Remarques sur ces 5 outils du domaine public D'autres existent peut-être meilleurs
Ils peuvent contenir des chevaux de Troie
Enorme erreur d'Unix : /etc/passwd lisible par tous
Beaucoup de fichier passwd circulent sur l'Internet
Par combinaison (sans dictionnaire), on peut découvrir des mots de passe jusqu'à 5 caractères
Solutions
Avoir un bon mot de passe
Changer de mot de passe régulièrement
Machine sensible = utilisateurs fiables uniquement
Shadow password
Commande passwd qui n'accepte que de bons mots de passe
Faire passer crack régulièrement
Crack : A Sensible Password Checker for Unix
Version 4.1
Découvrir les mots de passe par essais successifs Un mot en clair est chiffré puis comparé avec la chaîne que l'on trouve dans /etc/passwd
Utilise
Les informations dans /etc/passwd
Des dictionnaires (listes de mots)
Crée de nouveaux mots avec les dictionnaires
Langage pour générer ces mots : règles
Configurable
Ajout de dictionnaires
Ajout ou modification de règles
Fonctionnalités
Travaille sur un ou plusieurs fichiers passwd
Exécution partagée entre plusieurs serveurs
Envoi automatique d'un message aux utilisateurs
Plusieurs passes
Mémorise les mots de passe traités La première exécution est longue Arme défensive ou offensive ?
Faut il le mettre sur ftp anonymous ?
Computer Oracle and Password System
Audit sécurité d'un système Unix
Actuellement version 1.04
Un ensemble de programmes qui vérifient/détectent
Les permissions de certains fichiers, répertoires et "devices"
Les mots de passe "pauvres"
Le contenu des fichiers passwd et group Les programmes lancés dans /etc/rc* et par cron
Les fichiers SUID root
Les modifications de certains fichiers
L'accès de certains fichiers utilisateurs
L'installation correcte du ftp anonymous
Certains trous de sécurité très connus
Diverses choses
Les dates de certains fichiers avec les avis CERT
• • •
Création d'un fichier résultat ou envoi de message
N'a pas besoin d'être exécuté sous root
Configurable crc_list : fichiers à sceller
: objets dont l'accès est à vérifier pass.words : dictionnaire
CARP (COPS Analysis and Report Program)
Ce que ne fait pas COPS Corriger les erreurs
En tirer partie
Se substituer à la vigilance des administrateurs
On peut (il faudrait) :
Ajouter ses propres vérifications
Le mettre dans CRON
Le faire passer sur chaque nouveau système installé
Les hackers connaissent COPS
OUTIL DU DOMAINE PUBLIC : ISS ET SATAN
ISS : INTERNET SECURITY SCANNER
Audit de sécurité d'un réseau de machines
Essaie les trous de sécurité connus
Trous exploitables via le réseau
Outil très dangereux dans les mains de hackers
Essaie
Les comptes sync, guest, lp ,
Le port sendmail (version ?)
Certains alias (uudecode )
FTP anonymous (et essaie de créer un répertoire)
NIS (cherche le domaine) rexd
NFS (regarde les répertoires exportés)
Les utilisateurs connectés
SATAN
Mêmes objectifs et même méthode que ISS
Interface client http
---> passer régulièrement SATAN sur son réseau OUTIL DU DOMAINE PUBLIC : ISS
OUTIL DU DOMAINE PUBLIC : TCP_WRAPPER
Trace et filtre les accès TCP/IP entrant Services lancés par inetd
tcpd s'intercale entre inetd et l'appel du serveur
Ne modifie pas le système où il est installé
Ne détériore pas les temps de réponse
Aucun dialogue avec les clients
Trace (avec le daemon syslogd)
Enregistre nom site appelant - service appelé
Filtres : sites-Services
Programme (try) pour tester les filtres
Exécution de script possible
Vérification des noms
Limitations Uniquement inetd
Pas NIS, NFS et X
Actuellement version 6.1
OUTIL DU DOMAINE PUBLIC : KERBEROS
Le Cerbère
Système d'authentification centralisé sur un réseau non sécurisé
Origine MIT - Projet Athena (1ère version 86)
Utilisé au MIT et dans certaines universités US
Permet à des systèmes de prouver leur identité (ticket) d'éviter les attaches par rejeu de garantir l'intégrité de préserver la confidentialité
Tous les mots de passe sont stocker sur un serveur
ne circulent pas en clair sur le réseau
Utilise un système de chiffrement DES
Sur le réseau
Des stations d'utilisateur
Des serveurs (calcul, impression, ..)
Un serveur Kerberos qui contient le fichier des mots de passe partage un secret avec chaque serveur
Avec son mot de passe un utilisateur obtient un certificat d'identité
Quand il veut accéder à un service, il demande un autre ticket en présentant son certificat d'identité OUTIL DU DOMAINE PUBLIC : KERBEROS
Principales applications kerberisées : telnet, rlogin, ftp, nfs, dns
2 versions : 4 et 5 incompatibles
DES ne peut pas être exporté en Europe ---> Version Bones
Exportation sous certaines conditions
Versions peut-être utilisables
DEC - Athena (V4)
OSF-DCE (V5)
Avantages de Kerberos Ca existe
C'est utilisé aux USA
Ca fait ce que ça dit
Désavantages
Problèmes d'exportation
Versions différentes mal supportées
Centralisation des mots de passe
Une (plutôt deux) stations immobilisées
Kerbérisation des applications
Utilisation d'algorithme symétrique
Toujours basé sur les mots de passe
Version US : :pub/kerberos Version Europe (Bones) :
:pub/unix/security/kerberos OUTIL COMMERCIAL : BOITE DE CHIFFREMENT IP
DCC : Origine EDF/DER
Dispositif de Chiffrement de Communication sur un réseau IP
Répéteur Ethernet-Ethernet intelligent
Ne chiffre pas ICMP et ARP
Ne modifie pas la longueur des trames
Utilise un chiffrement DES en mode chaîné
Clé de chiffrement / adresse ou / groupe d'adresses
Peut chiffrer ou pas
Performances : 5 Mbps
Prix : 30-50 KF
AUTHENTIFIEUR : CALCULETTES
OU S/KEY
Pour l'authentification des utilisateurs
Pas de mot de passe en clair sur le réseau
Indépendant du réseau
Envoi d'un aléa par le système
Calculette
De la taille d'une carte de crédit
De 300 à 500 F par utilisateur
Pas de norme
S/Key
Fonction sur Unix, PC et Mac
RFC1760
---> utilisation pour les "gros" centres de calcul ou lorsque l'authentificiation est centralisée (gardebarrière applicatif)
OUTIL : GARDE-BARRIERE
Antéserveur, écluse, gate-keeper, par-feu, coupefeu, fire-wall
Point de passage obligé - Etablit une frontière
Fonctions possibles en sécurité
Filtrage
Authentification (fichier des mots de passe)
Contrôle d'accès (fichier des droits)
Journalisation
Fonctions annexes La facturation
Le chiffrement
Convivialité : menu d'accueil
Avantages
Permet de ne pas modifier les systèmes internes Administration centralisée
Problèmes
Les utilisateurs ne peuvent pas utiliser toutes les applications : difficile à faire accepter après l'ouverture Performances
Station - équipements dédiées Service doit être fiable
Si le pirate est introduit . . .
GARDE-BARRIERE FILTRES
Cf filtres dans routeurs
Transparent pour l'utilisateur
Intéressant d'avoir d'autres fonctions que le filtrage
Langage de configuration simple
Lui-même protégé et sécurisé,
De journaliser les rejets
D'envoyer des alarmes
De détourner les datagrammes
De convertir les adresses IP (NAT)
Recommandation (pour site important) : utiliser un routeur dédié à cette fonction
Produits :
Routeurs classiques
Routeur Network Systems (complet pour filtrage
FireWall-1
. . .
Architecture : sur le routeur d'entrée ou sur l routeur d'accès au réseau gestion,
| GARDE-BARRIERE | APPLICATIF |
Station : passerelle applicative
Double login : authentification des utilisateurs
Applications en mode connecté
TIS
Version domaine public
Applications : telnet, rlogin, X11, SMTP, HTTP
Exemple d'architecture
RESUME : OU PEUT ON AGIR ?
RESUME : OU PEUT ON AGIR ?
• 1 : architecture physique et logique du réseau
• 2 : réseau Gestion "inconnu"
• 3 : annoncer uniquement R et B
• 4 : Garde-barrière
• 5 : filtrer le réseau E
• 6 : ne router que R et B, filtrer / appli et stations
• 7 : ne router que R et B
• 8 : installer un "bon" sendmail
• 9 : pas de ifconfig
• 10 : pas de "route default"
• 11 : filtres et trace ---> tcpd, xinetd
• 12 :
• 13 : applis sécurisées : PGP
• 14 : surveiller - contrôler : COPS, CRACK
• 15 : sensibiliser, charte
CONSEILS POUR LA MISE EN PLACE D'UNE POLITIQUE DE SECURITE
Impliquer la Direction
La sécurité doit être vue globalement
Informatique et réseaux
Matériel
Personnel
Logiciels
Données
La sensibilisation est indispensable Direction (---> responsabiliser)
Utilisateurs
Administrateurs de machines et de réseaux
- - - > La sécurité est l'affaire de tous
Le responsable sécurité informatique et réseaux
Un engagement moral : charte
Prise en compte à la conception
CONSEILS POUR LA MISE EN PLACE
D'UNE POLITIQUE DE SECURITE
Etablir ses besoins et les risques
Prendre des mesures adéquates
Faire respecter les réglementations :
copie de logiciel déclaration à la CNIL
Charte
Etre en contact avec le CERT-Renater
Pas de station sans administrateur
Campagnes régulières sur les mots de passe
Choisir entre garde-barrière applicatif ou non
Choisir quelques outils (crack, cops, ) CONSEILS POUR LES
ADMINISTRATEURS DE RÉSEAUX
Protéger les éléments de communication physiquement accès logique attention à SNMP
Segmenter le réseau / sécurité
Tri par activité (et degré de confiance)
Différencier les serveurs : sensibles ou non
Créer plusieurs réseaux physiquement et/ou logiquement
CONSEILS POUR LES
ADMINISTRATEURS DE RÉSEAUX
Architecture avec garde-barrière
Périmètre de sécurité : connaître tous les points d'entrée
Serveurs d'info dans une zone "ouverte" Filtres dans le routeur d'entrée : obligatoire Garde-barrière applicatif ?
Ne pas donner l'accès "international" à tous
Passer régulièrement SATAN
Chiffrement : difficile à mettre en place et à utiliser dans notre domaine
La messagerie n'est pas sécurisée
Evolution : PGP
En cas de problème de piratage, avertissez immédiatement votre responsable hiérarchique
Répartir les utilisateurs / stations avec un critère sécurité
Utiliser avec circonspection les logiciels "publics"
A LA MISE EN SERVICE D'UNE STATION
Vérifier principalement
/etc/passwd et /etc/group
Accès sur /dev/*
Accès au fichier aliases
PATH et les fichiers .* de root /etc/exports ou l'équivalent ce qui touche à cron les script rc* le contenu de inetd que tftpd n'est pas ouvert Supprimer
/etc/hosts.equiv
alias decode et uudecode dans aliases ce qui est utilisé par uucp
Choisir un bon umask pour les utilisateurs
Forcer l'utilisation de su pour passer "root"
.Xauthority pour les terminaux X
Installer
Sendmail version 8 le routage minimum
crack dans le cron
tcp_wrapper
des vérifs de sécurité dans .login de l'admin
Passer cops et crack
Faire une sauvegarde complète
Connecter la station sur le réseau et l'ouvrir aux utilisateurs
OPERATIONS A EFFECTUER REGULIEREMENT
Sauvegardes
"ps -e" ou l'équivalent
Passer cops et crack
Installer les nouvelles versions de système/applicatif
Sensibiliser les utilisateurs
Coup d'oeil sur les .rhosts et .netrc des utilisateurs
HABITUDES DE TRAVAIL
Attention au mot de passe de root
Logout chaque fois que l'on quitte son poste de trava
Travailler au minimum sous root
Ne pas laisser une autre personne travailler sous root
Faire /bin/su au lieu de su
Utiliser un compte spécial pour les démos
Bien utiliser les groupes
Chaque compte doit correspondre à une seule personne
Attention a SUID root
DOCUMENTATION ON-LINE (1)
DOCUMENTS, LOGICIELS STOCKÉS À L'UREC
Documents généraux
Lois en France
(textes de loi, chiffrement, CNIL, DISSI, SCSSI)
Chartes en français
Documents divers (mot de passe, orange book dictionnaires, RFC "Site Security Handbook", ) Articles en ligne (en HTML) :
Les outils de sécurité sur X11
RFCs et groupes de travail de l'IETF
Les CERTs
Documentations diverses sur les CERTs
CERT-Renater
CERT-CC
Notes d'informations d'autres CERTs (CIAC, )
Sécurité (documents, logiciels, patches, )
Réseaux (cours, RFCs, satan, tamu, )
Unix (conseils, cops, tcp_wrapper, )
Macintosh (disinfectant, gatekeaper, ) PC
DOCUMENTATION ON-LINE (2)
SUR D'AUTRES SERVEURS
Français
CRU (très complet)
INRIA (logiciels Unix et réseaux)
Groupe sécurité AFUU
CNRS (sécurité des systèmes d'information)
Etrangers
CIAC (logiciels de sécurité, documents, )
NIST
DFN-CERT
CERT-CC
FIRST
TIS (garde-barrière)
Bonnes pages
Antivirus PC (serveur )
Utilisation du chiffrement en France
Filtres dans un routeur
Patches SUN
Kerberos
PGP