Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

Transcription

1 Sécuriser son réseau Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

2 Plan Rappel IP Techniques et outils Réseaux Outils réseaux ( sniffer,scanner ) Translation d adresse (NAT, PAT et Masquerade) Filtrage statique Filtrage dynamique Les Réseaux Virtuels (VLAN) Tunnels (tunnels applicatifs et VPN) relais applicatifs (Proxy,Cache) Architecture sécurisée Questions

3 Les Réseaux TCP/IP TCP/IP : protocoles de communication Flux de données : Via la pile TCP/IP d'une machine qui désigne la structure en couches du traitement dont est l'objet une requête ou réponse Conception en mode multi-couches. Ceci indique que nous avons une fonctionnalité sur un niveau, et une autre à un autre niveau, etc. Organisation des données en paquets (datagrammes) avec encapsulation des données Référence les hôtes sur la base d'adresses physique et d'adresses logiques dans les couches de la pile Mac: Media Access Controller

4 Les réseaux La pile TCP/IP : modèle OSI...

5 Les réseaux: Couche 3 Trame réseau: Les datagrammes (1) Couche 3 / réseau : IP (pas orienté connexion, aucune vérification de la réception des paquets, protocole routé) ICMP(collecte d'informations, résolution des problèmes réseau Types importants : Type Code Checksum 0 (echo reply) : réponse au message de type 8 3 (unreachable) : destinataire inaccessible 5 (redirect) : le routeur remarque que la route qu'a choisi l'ordinateur émetteur n'est pas optimale 8 (echo request) : demande de renvoi d'informations

6 Les réseaux: couche 4 Datagrammes (2) Couche 4 / transport : TCP (fiable, orienté connexion, lent, optimisé pour Internet) Drapeaux UDP (peu fiable, sans connexion, rapide, optimisé pour les Intranets)

7 Les réseaux: Drapeaux TCP Champ des drapeaux Drapeau TCP SYN ACK FIN RESET Représentation S Ack F R Signification du drapeau Il signale une requête d'établissement d'une session, il s'agit de la première partie Ce drapeau est en général utilisé pour acquitter la reception des données en provenance Ce drapeau indique l'intention de l'expéditeur de clore sa connexion avec l'hôte Ce drapeau indique l'intention de l'expéditeur d'interrompre immédiatement sa connexion PUSH URGENT P Urg La fonction de la fonction push et du flag PUSH est de forcer la transmission immédiate de toutes les données latentes entre les deux TCP. L'application indique dans la commande SEND si les données soumises lors d'un appel doivent être émises par l'activation du flag PUSH Ce drapeau indique qu'il doit être donné la priorité à des données urgentes sur d'autre données

8 Les réseaux: connexion TCP Etablissement d une connexion TCP Connexion exclusive et unique Repose sur des principes d'acquittements de paquets Le handshake : initialisation d'une connexion TCP

9 Les réseaux: Session TCP Sessions Tcp ou Udp (vu par un filtre dynamique de paquets)

10 Échange DNS

11 Échange FTP Pour ProFTPd dans /etc/proftpd.conf PassivePorts Pour wu-ftp dans /etc/ftpaccess Passive port /

12 Équipements d'interconnexion Niveau OSI 7 Passerelle, Gateway Datagrammes Trames 3 Routeurs Passerelle 2 Pont => Commutateur «switch» Routeur Commutateur Trains de Bits 1 Répéteur => Concentrateur «hub»

13 Outils Réseaux Sniffer (tcpdump, wireshark: ex ethereal) Scanner ( nmap, openvas : ex nessus )

14 tcpdump tcpdump Permet la collecte de tout le trafic à partir de l'interface réseau par défaut et envoie toutes les sorties vers la console Filtre permet de spécifier les enregistrements que l on désire collecter. permet de préciser le(s) champ(s) d'un datagramme IP qui doi(ven)t être examiné(s) et retenu(s) si les conditions spécifiées sont satisfaites Options: -i interface, -n évite les résolutions de nom, service Collecte Redirection des sorties vers des fichiers (format binaire) tcpdump i eth0 w /tmp/fichlier.dump (enregistrement) tcpdump i eth0 r /tmp/fichier.dump (lecture)

15 tcpdump:exemples Exemple d utilisation de tcpdump Condition host src dst port icmp, ip, arp, rarp, udp, tcp less, great Détail Affiche les trames pour le host défini en paramètre Affiche les trames ayant pour origine le host défini en paramètre Affiche les trames ayant pour destination le host défini en paramètre Affiche les paquets du port précisé Affiche les paquets du protocole précisé Affiche les paquets d'une taille inférieure/supérieure à celle précisée en paramètre Exemple tcpdump -i eth0 host tcpdump -i eth tcpdump -i eth0 src host tcpdump -i eth0 dst host tcpdump -i eth0 port 21 tcpdump -i eth0 icmp tcpdump -i eth0 less 60 or, and, not Affiche les paquets avec conditions Tcpdump i eth0 dst host and dst port 22

16 Tcpdump: interprétation tcpdump : interprétation

17 Audit réseau Apport d un audit Analyses et cartographies complètes d un périmètre donné Vérifier le niveau de sécurité et la bonne implémentation de sa politique de sécurité surveiller la sécurité de son parc informatique Plusieurs type d audits réseaux Audit ouvert : accès à toutes informations Audit fermé : pas d information, mais observation et sollicitation du système Audit intrusif : tentative de pénétration d un système On effectue un audit uniquement sur son réseau!

18 Audit réseau : nmap Le scanner de port nmap Sert à déterminer à l'aide d'un outil logiciel quelles sont: les adresses IP actives sur le réseau, les ports ouverts correspondant à des services accessibles, et le système d'exploitation utilisé par ces serveurs Envoi des requêtes successives sur les différents ports et analyse les réponses afin de déterminer lesquels sont actifs.

19 Audit réseau : nmap Les techniques de scan La plupart des types de scans ne sont disponibles que pour les utilisateurs privilégiés Toute sa perspicacité est basée sur les paquets renvoyés par les machines cibles (ou les firewall qui les protègent). Les réponses ne sont pas toujours dignes de confiance -ss : le scan SYN est celui par défaut Il envoie un paquet SYN et attend sa réponse Une réponse SYN/ACK indique que le port est en écoute (ouvert), tandis qu'une RST (reset) indique le contraire La connexion est donc interrompue (rapide), mais doit être root -sa : scan TCP Ack Les systèmes non-filtrés réagissent en retournant un paquet RST, et Les ports qui ne répondent pas ou renvoient certains messages d'erreur ICMP sont considérés comme filtrés furtif

20 Audit réseau : nmap Les techniques de scan (suite) -st : scan TCP connect C est le type de scan par défaut quand le SYN n'est pas utilisable (non root) Etablie une connexion sur les ports demandés C'est plus long et demande plus de paquets pour obtenir la même information, mais il est peu discret -sn; -sf; -sx : scans TCP Null, FIN et Xmas Utilise le fait que pour les paquets envoyés à des ports sans aucun des drapeaux SYN, RST ou ACK activés provoque l émission d un paquet RST Scans furtifs qui peuvent même traverser certains pare-feux ou routeurs filtrants sans état de connexion Risque de pertes de paquets avant arrivée à destination Certains OS ne répondent pas correctement (RST même port ouvert) -su : le scan UDP Un scan Udp est très lent (les ports ouverts et filtrés ne renvoient que rarement des réponses : problème d expiration de délai de retransmission)

21 Audit réseau : nmap Les états de port reconnus par Nmap ouvert (open) Une application accepte des connexions TCP ou des paquets UDP sur ce port fermé (closed) Un port fermé est accessible (il reçoit et répond aux paquets émis par Nmap), mais il n'y a pas d'application en écoute filtré (filtered) Nmap ne peut pas déterminer si un port est ouvert car les dispositifs de filtrage des paquets empêchent les paquets de tests d'atteindre leur port cible (ralentissement du scan) non-filtré (unfiltered) Le port est accessible, mais Nmap est incapable de déterminer s'il est ouvert ou fermé ouvert filtré (open filtered) Nmap renvoie cette information quand il est incapable de déterminer l'état entre un port ouvert et filtré (lorsque les ports ouverts ne renvoient pas de réponse ou paquet nmap est dropé par un filtre)

22 Audit réseau : nmap Quelques options intéressantes: -p <port ranges> : N'audite que les ports spécifiés nmap -p U:53,111,137,T:21-25, F : le scan rapide se limite aux ports connus -sv : détection de version des services Modes hostiles -D : le principe est de le surcharger de fausses attaques simultanées (avec de fausses adresses sources) tout en lançant une attaque réelle -T <Paranoid Sneaky Polite Normal Aggressive Insane> : règle un profil de comportement au niveau du délai -T0 : 5 min (paranoïd), -T5 : 5 ms, -T3 : profil par défaut Détection de système d exploitation -O : Active la détection du système d'exploitation

23 NAT, PAT et MASQUERADE

24 NAT Network Address Translation Son rôle : Permettre de faire face à la pénurie d adresse Masquer les machines qui se trouvent dans son réseau Permettre de refaire la politique de routage de son réseau sans limitations (partitionnement, isolation des communautés ) Nécessite au moins : Un routeur ou bien un firewall implémentant NAT Renumérotation du site Création de 2 DNS ( un interne et un externe )

25 NAT ( Vocabulaire ) Routeur NAT :Routeur sur lequel NAT a été activé Site NAT :Site ayant mis en place un routeur NAT au point de connexion de son réseau avec l'internet Espace d'adressage public : L'espace des adresses gérées par l'iana7. Ces adresses sont globalement uniques, elles sont routées sur l'internet. Espace d'adressage privé : L'espace des adresses utilisées en interne par un site NAT. Ces adresses sont généralement celles définies par le RFC1918, mais pas obligatoirement. C est tout de même très fortement conseillé Pour mémoire / / /16

26 NAT Mécanisme Translation des adresses IP de l en-tête Recalcul et vérification du checksum Recalcul et modification du checksum TCP

27 NAT Méthodes de traduction : Statique : le couple adresse interne, adresse externe est figé. C est utilisé pour les serveurs internes devant être contactés de l extérieur ou bien des authentifications externes basée sur l adresse IP (Base de donnée Web, X11 ) Dynamique : La correspondance est temporaire, à l établissement de la connexion l adresse externe est prise dans un pool d adresse pour une durée déterminée ( par un timeout ). Lorsque tout le pool d adresse est utilisé, les autres machines internes ne peuvent plus sortir

28 PAT Port Address Translation Extension de NAT Il n y a plus correspondance entre interne et externe de de port Une même adresse externe peut être utilisée par plusieurs machines internes

29 Activation de NAT-PAT sur CISCO Traduction ip nat inside source static statique ip nat inside source static tcp ip nat pool net netmask ip nat inside source list 1 pool net-192 overload Pour PAT interface serial0 ip address ip nat outside interface connectée au monde externe (outside) interface ethernet0 ip address interface ip nat inside connectée au réseau interne (inside) access-list 1 permit Translation des adresses /24 des hosts internes vers l adressage globale unique /25.

30 Linux IP NAT Mise en route :» # echo 1 > /proc/sys/net/ipv4/ip_forward active l'ip forwarding» # iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE active la translation d'adresse ATTENTION CECI PERMET DE FAIRE FONCTIONNER LA MASQUERADE EN AUCUN CAS CECI est suffisant pour TRANSFORMER VOTRE LINUX EN FIREWALL

31 Linux iptables NAT Vrai NAT avec linux ( noyau 2.4 ou iptables ) Nat, PAT statique et dynamique, Masquerade NAT statique iptables -t nat -A POSTROUTING -s /32 -o eth0 -j SNAT --to-source xx.xx.xx.1 PAT dynamique iptables -t nat -A POSTROUTING -s /24 -o eth0 -j SNAT --to-source xx.xx.xx.10-xx.xx.xx.20 Port forwarding iptables t nat A PREROUTING p tcp i eth0 j DNAT --dport 80 --to :8080 Masquerade iptables t nat A POSTROUTING s /24 o eth0 j MASQUERADE Log iptables -t nat -A POSTROUTING -s /24 -o eth0 -j LOG --log-prefix NAT-216

32 NAT Avantages et Inconvénients Avantages : Par défaut toutes les machines sont cachées de l extérieur. Il faut explicitement déclarer celle qui doivent héberger des services externes Détection plus faciles des attaques de l intérieur vers l extérieur ( nombre de translations en forte croissance d un seul coup ) Inconvénients : Difficulté de remonter à l adresse d origine d une attaque sur son site ( on ne peut pas tracer toutes les translations sans écroulement des performances) Problème pour les protocoles utilisant des adresses IP dans la partie DATA ( il faut aussi les changer ) Problème des protocoles passant des adresses dans la partie data mais cryptées (IPSec par exemple)

33 NAT Avantages et inconvénients (suite) SMTP : pouvoir tracer la machine source => passer par un relais interne WEB : passer par un cache et Surtout ne pas se dispenser d avoir des filtres efficaces en sortie comme pour tous les sites...