INF4420: Éléments de Sécurité Informatique sécuritaires de réseaux • SSH • SSL et TLS...
Transcript of INF4420: Éléments de Sécurité Informatique sécuritaires de réseaux • SSH • SSL et TLS...
![Page 1: INF4420: Éléments de Sécurité Informatique sécuritaires de réseaux • SSH • SSL et TLS (HTTPS) • S/MIME • IPSEC/IPv6 INF4420 Sécurité Informatique INF4420 Sécurité](https://reader030.fdocument.pub/reader030/viewer/2022032614/5b9c9c8809d3f2f94c8cd3b5/html5/thumbnails/1.jpg)
José M. Fernandez
D-6428340-4711 poste 5433
INF4420: Éléments de Sécurité Informatique
Module III : Sécurité des réseaux informatiques
![Page 2: INF4420: Éléments de Sécurité Informatique sécuritaires de réseaux • SSH • SSL et TLS (HTTPS) • S/MIME • IPSEC/IPv6 INF4420 Sécurité Informatique INF4420 Sécurité](https://reader030.fdocument.pub/reader030/viewer/2022032614/5b9c9c8809d3f2f94c8cd3b5/html5/thumbnails/2.jpg)
INF4420Sécurité Informatique
INF4420Sécurité Informatique
2
Où sommes-nous ?Où sommes-nous ?
� Semaine 1 – Intro
� Semaines 2, 3 et 4 – Cryptographie
� Semaine 6, 7 – Sécurité dans les SE (suite)
� Semaine 8 – Période de relâche
� Semaine 9 – Sécurité des BD et des applications Web
� Semaine 10 – Contrôle périodique
� Semaine 11, 12 et 13 – Sécurité des réseaux� Risques spécifiques aux réseaux� Des attaques, des attaques et encore des attaques
� Configuration sécuritaires et contre-mesures
� Semaine 14 – Gestion de la sécurité. � Intervenants et modes d'intervention
� Aspects légaux et déontologiques
![Page 3: INF4420: Éléments de Sécurité Informatique sécuritaires de réseaux • SSH • SSL et TLS (HTTPS) • S/MIME • IPSEC/IPv6 INF4420 Sécurité Informatique INF4420 Sécurité](https://reader030.fdocument.pub/reader030/viewer/2022032614/5b9c9c8809d3f2f94c8cd3b5/html5/thumbnails/3.jpg)
INF4420Sécurité Informatique
INF4420Sécurité Informatique
3
Module III – Sécurité des réseauxModule III – Sécurité des réseaux
� Semaine 11� Notions de bases sur les réseaux
� Risques spécifiques aux réseaux
� Analyse de risques par couche• Attaques typiques par couche
• Attaques intra-couche
� Semaine 12� Configuration sécuritaire de
réseaux• Plan d'adressage, routage et pare-feu
• DMZ, VPN et serveurs mandataires
� Encore des attaques• Dissection d'une attaque standard
• Attaques de déni de service (DOS)
• SPAM et phishing
� Semaine 13� Détection d'intrus (IDS)
� Protocoles sécuritaires de réseaux• SSH
• SSL et TLS (HTTPS)
• S/MIME
• IPSEC/IPv6
![Page 4: INF4420: Éléments de Sécurité Informatique sécuritaires de réseaux • SSH • SSL et TLS (HTTPS) • S/MIME • IPSEC/IPv6 INF4420 Sécurité Informatique INF4420 Sécurité](https://reader030.fdocument.pub/reader030/viewer/2022032614/5b9c9c8809d3f2f94c8cd3b5/html5/thumbnails/4.jpg)
INF4420Sécurité Informatique
INF4420Sécurité Informatique
4
Systèmes de détection d'intrus (IDS)Systèmes de détection d'intrus (IDS)
� But :� Détecter la présence de vecteurs d'attaque en examinant le trafic
réseau
� Méthode de base� Le trafic est capturé à un ou plusieurs endroits sur le réseau� Examen de chacun des paquets capturés
• En-tête IP (ICMP, TCP ou UDP)
• En-tête spécifiques au applications (e.g. HTTP, FTP)
• Message ("payload")
� Un mécanisme de détection est appliqué� Des alarmes sont générées et enregistrer dans un journal
![Page 5: INF4420: Éléments de Sécurité Informatique sécuritaires de réseaux • SSH • SSL et TLS (HTTPS) • S/MIME • IPSEC/IPv6 INF4420 Sécurité Informatique INF4420 Sécurité](https://reader030.fdocument.pub/reader030/viewer/2022032614/5b9c9c8809d3f2f94c8cd3b5/html5/thumbnails/5.jpg)
INF4420Sécurité Informatique
INF4420Sécurité Informatique
5
Détection par règleDétection par règle
� Méthodes� Traditionnelle "par règle"
• Examen de chacun des paquets capturés
� En-tête IP (ICMP, TCP ou UDP)
� En-tête
• Application de règles pour détection d'attaques
� Signatures d'attaques réseaux (e.g. "Land attack")
� Signatures de code malicieux (e.g. traîneau de NOP, signature
spécifique à un outil)
� Paradigme général • "X évènements de type Y dans un temps Z"
![Page 6: INF4420: Éléments de Sécurité Informatique sécuritaires de réseaux • SSH • SSL et TLS (HTTPS) • S/MIME • IPSEC/IPv6 INF4420 Sécurité Informatique INF4420 Sécurité](https://reader030.fdocument.pub/reader030/viewer/2022032614/5b9c9c8809d3f2f94c8cd3b5/html5/thumbnails/6.jpg)
INF4420Sécurité Informatique
INF4420Sécurité Informatique
6
Type d'implantationsType d'implantations
� Network-based IDS (NIDS) � Une machine ou dispositif
dédié ("appliance")
� Placé où le plus de trafic peut
être capturé• En dehors du pare feu
� Exposition maximale
� Détection de menaces
externes
• À l'intérieur de la DMZ et/ou
du LAN corporatif
� Détection de la menace
interne
� "Dernière ligne de
défense"
� Host-based IDS (HIDS)� Logiciel ajouté sur un serveur
ou un client
� Souvent intégré avec un anti-
virus
� Avantages• Configuration des règles plus
précises, étant donné que le
contexte est connu
� Applications qui roulent
� État du stack TCP/IP
• Débit plus bas, donc demandant
en terme de puissance de calcul
![Page 7: INF4420: Éléments de Sécurité Informatique sécuritaires de réseaux • SSH • SSL et TLS (HTTPS) • S/MIME • IPSEC/IPv6 INF4420 Sécurité Informatique INF4420 Sécurité](https://reader030.fdocument.pub/reader030/viewer/2022032614/5b9c9c8809d3f2f94c8cd3b5/html5/thumbnails/7.jpg)
INF4420Sécurité Informatique
INF4420Sécurité Informatique
7
IDS – ProblématiqueIDS – Problématique
� Rapport de "signal" vs. "bruit"� Compromis entre taux de faux positif vs. taux d'évasion� Nature de la menace actuelle
• Haut niveau de bruit ("Spinning Cube")
• Niveau de capacité très inégale et en moyenne bas
� Incapacité d'évaluation de la menace• "Comment trouver l'aiguille dans la botte de foin??"
� Protection de la vie privée� Principe de présomption d'anonymat des clients ou utilisateurs
légitimes� Interception du trafic d'autrui
![Page 8: INF4420: Éléments de Sécurité Informatique sécuritaires de réseaux • SSH • SSL et TLS (HTTPS) • S/MIME • IPSEC/IPv6 INF4420 Sécurité Informatique INF4420 Sécurité](https://reader030.fdocument.pub/reader030/viewer/2022032614/5b9c9c8809d3f2f94c8cd3b5/html5/thumbnails/8.jpg)
INF4420Sécurité Informatique
INF4420Sécurité Informatique
8
IDS – Problématique (2)IDS – Problématique (2)
� Techniques d'évasions d'IDS� Détection
• Balayage des ports standards utilisés par les applications IDS• Interception du trafic d'alarme
� Technique de fragmentation de paquet� Polymorphisme de code ou de vecteur d'attaque
� Infrastructure sous-jacente � Comment contrôler à distance et distribuer les données d'alarmes
tout en :• Évitant de surcharger le réseau• Assurant la confidentialité• Évitant la détection des IDS• Ne créant pas de "trous" de sécurité ("bypass" des pare-feu)
� Problématique de la sous-traitance des fonctions de monitoring• Comment acheminer les données via Internet
![Page 9: INF4420: Éléments de Sécurité Informatique sécuritaires de réseaux • SSH • SSL et TLS (HTTPS) • S/MIME • IPSEC/IPv6 INF4420 Sécurité Informatique INF4420 Sécurité](https://reader030.fdocument.pub/reader030/viewer/2022032614/5b9c9c8809d3f2f94c8cd3b5/html5/thumbnails/9.jpg)
INF4420Sécurité Informatique
INF4420Sécurité Informatique
9
Nouvelles approches et rechercheNouvelles approches et recherche
� "Intrusion Prevention Systems" (IPS)� Associe des actions de protection aux alarmes� Actions typiques
• Bloquer un port• Bloquer une machine ou un sous réseau• Rejeter des paquets
� "Network Appliances"� Peuvent intégrer
• Pare-feu• IDS et IPS• Détecteur de virus
� Utilise du matériel spécialisé (e.g. FPGA) pour pouvoir analyser des hauts débits (Gbit/s)
� Reconstruction "Stateful" des sessions (TCP et application)
![Page 10: INF4420: Éléments de Sécurité Informatique sécuritaires de réseaux • SSH • SSL et TLS (HTTPS) • S/MIME • IPSEC/IPv6 INF4420 Sécurité Informatique INF4420 Sécurité](https://reader030.fdocument.pub/reader030/viewer/2022032614/5b9c9c8809d3f2f94c8cd3b5/html5/thumbnails/10.jpg)
INF4420Sécurité Informatique
INF4420Sécurité Informatique
10
Nouvelles approches et recherche (2)Nouvelles approches et recherche (2)
� "User Profiling"� Utilisation de techniques d'IA pour la classification des comportements typiques
d'un utilisateur ou d'une machine• Port/applications utilisés• Adresse contacté• Patron d'utilisation dans le temps
� Si comportement "hors du normal", alors alarme !!� IDS Collaboratif
� But : permettre d'obtenir une meilleure image de la menace en consolidant les données de plusieurs IDS
• Meilleure signification statistique• "C'est pas juste moi, c'est tout le monde…"
� Exemple primitif : Internet Storm Center• Journaux "anonymisés" soumis par organisations volontaires
� IDS par agents mobiles� Réduire l'utilisation de bande passante pour le trafic d'alarme� Nécessaire dans certaines conditions (réseau sans-fil) � Possibilité d'algorithmes de détection plus évolués
• collaboratif centralisé• essaim intelligents• stratégies évolutives
![Page 11: INF4420: Éléments de Sécurité Informatique sécuritaires de réseaux • SSH • SSL et TLS (HTTPS) • S/MIME • IPSEC/IPv6 INF4420 Sécurité Informatique INF4420 Sécurité](https://reader030.fdocument.pub/reader030/viewer/2022032614/5b9c9c8809d3f2f94c8cd3b5/html5/thumbnails/11.jpg)
INF4420Sécurité Informatique
INF4420Sécurité Informatique
11
Protocoles sécuritairesProtocoles sécuritaires
� SSH� SSL/TLS (supporte https, SMTP, IMAP, etc.)� IPSEC
IP
couches inférieures
TCP
SSL ou SSH
IP
couches inférieures
IPsec
TCP
applications applications
![Page 12: INF4420: Éléments de Sécurité Informatique sécuritaires de réseaux • SSH • SSL et TLS (HTTPS) • S/MIME • IPSEC/IPv6 INF4420 Sécurité Informatique INF4420 Sécurité](https://reader030.fdocument.pub/reader030/viewer/2022032614/5b9c9c8809d3f2f94c8cd3b5/html5/thumbnails/12.jpg)
INF4420Sécurité Informatique
INF4420Sécurité Informatique
12
Secure Shell (SSH)Secure Shell (SSH)
� Permet l'établissement d'une session terminal à distance� Souvent utilisé par d'autres applications comme
mécanisme de "tunneling"� Deux modes d'opérations
1. Authentification du serveur� La clé publique du serveur est connu du client (fichier local) ou est
vérifié et accepté manuellement lors de la première connexion.� Le client s'authentifie au serveur par d'autres moyens (authentification
via SE, p.ex. nom d'usager/mot de passe)
2. Authentification du client� La clé publique du serveur est connu du client (fichier local) ou est
vérifié et accepté manuellement lors de la première connexion.� La clé publique du client est connu d'avance du serveur
(~/.ssh/authorized_keys) et est utilisée pour authentifier le client.
![Page 13: INF4420: Éléments de Sécurité Informatique sécuritaires de réseaux • SSH • SSL et TLS (HTTPS) • S/MIME • IPSEC/IPv6 INF4420 Sécurité Informatique INF4420 Sécurité](https://reader030.fdocument.pub/reader030/viewer/2022032614/5b9c9c8809d3f2f94c8cd3b5/html5/thumbnails/13.jpg)
INF4420Sécurité Informatique
INF4420Sécurité Informatique
13
SSH - SSL/TLSSSH - SSL/TLS
ALICES = secretK = f(S, Ra, Rb)
BOB
Hello, voici les algos que je connais, Ra
certificat, algo que je choisi, Rb
EBob(S, hash (K))
hash (K)
Données protégées par K
![Page 14: INF4420: Éléments de Sécurité Informatique sécuritaires de réseaux • SSH • SSL et TLS (HTTPS) • S/MIME • IPSEC/IPv6 INF4420 Sécurité Informatique INF4420 Sécurité](https://reader030.fdocument.pub/reader030/viewer/2022032614/5b9c9c8809d3f2f94c8cd3b5/html5/thumbnails/14.jpg)
INF4420Sécurité Informatique
INF4420Sécurité Informatique
14
IPSecIPSec
� La nécessité de plus de sécurité a été reconnue par le IAB (Internet Architecture Board)
� Défini pour inclusion à la prochaine version de l'Internet: IPv6
� Compatible avec la version courante: IPv4� Déjà offerte par plusieurs fournisseurs de produits� Applications:
� utilisation du réseau public comme un intranet sécurisé� communications sécuritaires de l'extérieur vers l'intérieur d'un
intranet sécurisé
� connectivité sécurisée entre deux intranets� sécurité supplémentaire aux applications ayant leur propre
sécurité
![Page 15: INF4420: Éléments de Sécurité Informatique sécuritaires de réseaux • SSH • SSL et TLS (HTTPS) • S/MIME • IPSEC/IPv6 INF4420 Sécurité Informatique INF4420 Sécurité](https://reader030.fdocument.pub/reader030/viewer/2022032614/5b9c9c8809d3f2f94c8cd3b5/html5/thumbnails/15.jpg)
INF4420Sécurité Informatique
INF4420Sécurité Informatique
15
Dispositifs réseauavec IPSec
Données IP sécuriséesEn tête IPSec
EntêteIP
Données IPEntêteIP Données IPEntête
IP
Donné
es IP
sécu
risée
s
En tête
IP
Sec
Entête
IP
Don
nées
IP s
écur
isée
s
En
tête
IP
Sec
Ent
ête
IP
![Page 16: INF4420: Éléments de Sécurité Informatique sécuritaires de réseaux • SSH • SSL et TLS (HTTPS) • S/MIME • IPSEC/IPv6 INF4420 Sécurité Informatique INF4420 Sécurité](https://reader030.fdocument.pub/reader030/viewer/2022032614/5b9c9c8809d3f2f94c8cd3b5/html5/thumbnails/16.jpg)
INF4420Sécurité Informatique
INF4420Sécurité Informatique
16
Services et protocolesServices et protocoles
� Services:� contrôle d'accès� intégrité des paquets
� authentification de l'origine (adresse IP)� rejet de paquets "rejoués"� confidentialité par chiffrement� une certaine confidentialité du flux de trafic
� Protocoles:� authentification: entête de type AH
� encryptage seul: entête de type ESP� ESP plus AH
![Page 17: INF4420: Éléments de Sécurité Informatique sécuritaires de réseaux • SSH • SSL et TLS (HTTPS) • S/MIME • IPSEC/IPv6 INF4420 Sécurité Informatique INF4420 Sécurité](https://reader030.fdocument.pub/reader030/viewer/2022032614/5b9c9c8809d3f2f94c8cd3b5/html5/thumbnails/17.jpg)
INF4420Sécurité Informatique
INF4420Sécurité Informatique
17
Concept de "Security Association"Concept de "Security Association"
� Relation unidirectionnelle entre un émetteur et un récepteur� Identifiée par:
� SPI:"Security Parameter Index"� adresse de destination IP
� identificateur de protocole de sécurité: AH ou ESP
� Paramétrisé par:� compteur de messages: pour numéroter et éviter la réutilisation� indicateur d'action en cas de débordement de ce compteur� largeur de la fenètre de séquencement� informations spécifiques au protocole choisi� durée de vie de cette association: en octets transmis ou en temps
� mode IPSec: transport, tunnel, ou "wildcard"� taille maximale de paquet et autres variables
![Page 18: INF4420: Éléments de Sécurité Informatique sécuritaires de réseaux • SSH • SSL et TLS (HTTPS) • S/MIME • IPSEC/IPv6 INF4420 Sécurité Informatique INF4420 Sécurité](https://reader030.fdocument.pub/reader030/viewer/2022032614/5b9c9c8809d3f2f94c8cd3b5/html5/thumbnails/18.jpg)
INF4420Sécurité Informatique
INF4420Sécurité Informatique
18
Concept de fenètre de séquencementConcept de fenètre de séquencement
� Mécanisme anti-réutilisation� si un nouveau paquet tombe dans la fenètre et qu'il est authentifié, il
est marqué� si un nouveau paquet reçu est authentifié et se situe à droite de la
fenètre, la fenètre est avancée� si le paquet reçu est à gauche de la fenètre, ou qu'il n'est pas
authentifié, il est rejeté
. . . . . . . . . . . .
Fenètre de taille fixe WNuméro de séquence N-W
N
N+1
![Page 19: INF4420: Éléments de Sécurité Informatique sécuritaires de réseaux • SSH • SSL et TLS (HTTPS) • S/MIME • IPSEC/IPv6 INF4420 Sécurité Informatique INF4420 Sécurité](https://reader030.fdocument.pub/reader030/viewer/2022032614/5b9c9c8809d3f2f94c8cd3b5/html5/thumbnails/19.jpg)
INF4420Sécurité Informatique
INF4420Sécurité Informatique
19
ModesModes
� Mode "transport"� protection surtout pour les protocoles de plus haut niveau� simple ajout d'un entête approprié
� Mode "tunnel"� protection d'un paquet au complet� après l'ajout de l'entête approprié, un nouvel entête IP est ajouté
Données à transmettreTCPEntête IP originalAHNouvel entête IP
Données à transmettreTCPEntête IP original AH
![Page 20: INF4420: Éléments de Sécurité Informatique sécuritaires de réseaux • SSH • SSL et TLS (HTTPS) • S/MIME • IPSEC/IPv6 INF4420 Sécurité Informatique INF4420 Sécurité](https://reader030.fdocument.pub/reader030/viewer/2022032614/5b9c9c8809d3f2f94c8cd3b5/html5/thumbnails/20.jpg)
INF4420Sécurité Informatique
INF4420Sécurité Informatique
20
Bénéfices de IPSecBénéfices de IPSec
� Sécurité forte à tout trafic qui traverse le périmètre protégé
� Ajoute à la sécurité d'un coupe feu� Transparent aux applications� Transparent aux usagers� Sécurise les usagers individuels si requis� Ajoute à la sécurité des routeurs en assurant que…
� l'annonce d'un nouveau routeur vient d'une source autorisée� même chose pour un routeur dans un autre domaine
� un message redirigé vient bien du routeur auquel il a étéoriginalement envoyé
� une mise à jour d'un routeur n'a pas été falsifiée
![Page 21: INF4420: Éléments de Sécurité Informatique sécuritaires de réseaux • SSH • SSL et TLS (HTTPS) • S/MIME • IPSEC/IPv6 INF4420 Sécurité Informatique INF4420 Sécurité](https://reader030.fdocument.pub/reader030/viewer/2022032614/5b9c9c8809d3f2f94c8cd3b5/html5/thumbnails/21.jpg)
INF4420Sécurité Informatique
INF4420Sécurité Informatique
21
IPSec : Aspects cryptographiquesIPSec : Aspects cryptographiques
� Internet Security Association and Key Management Protocol (ISAKMP) & IKE� Utilise des algorithmes de clés publiques pour établir des clés de
sessions
� Ces clés de sessions protège les paquets dans une SA� Modèle de gestion de clé
• Probablement hiérarchique …