700 likes | 806 Views
Implémenter des Technologies de Pare-feu. Concepts. Objectifs. Objectifs. C'est quoi la sécur ité réseau ?. National Security Telecommunications and Information Systems Security Committee (NSTISSC)
E N D
Implémenter des Technologies de Pare-feu
Concepts CFI_CCH
Objectifs CFI_CCH
Objectifs CFI_CCH
C'est quoi la sécurité réseau? National Security Telecommunications and Information Systems Security Committee (NSTISSC) La sécurité réseau est la protection de l'information, dessystèmes et du matériel utilisé qui utilisent, stockent et transmettent l'information. La sécurité réseau couvre toutes les étapes qui sont exécutéespour assurer la confidentialité, l'intégrité et la disponibilité des données ou des ressources. CFI_CCH
Sens de la sécurité de réseau Les initiatives de sécurité et les spécialistes de sécurité réseau peuvent être situés dans des organismes et des sociétés privées ou publiques, de petite ou de grande taille. Le besoin de sécurité réseau et sa croissance sont dictés par plusieurs facteurs: • Connectivité Internet permanente et mondiale • Accroissement du Cybercrime • Impact sur les affaires et les particuliers • Législation & responsabilités • Prolifération des menaces • Sophistication des menaces CFI_CCH
Cybercrime • Fraude/Escroqueries • Vol d'identité • Pédopornographie • Vol de services de Télécommunications • Vandalisme électronique, Extorsion et Terrorisme WASHINGTON, D.C. –– An estimated 3.6 million households, or about 3 percent of all households in the nation, learned that they had been the victim of at least one type of identity theft during a six-month period in 2004, according to the Justice Department’s Bureau of Justice Statistics CFI_CCH
Impact sur les affaires • Baisse de la productivité • Baisse de revenus de vente • Pertes de données sensibles • Menace sur des secrets commerciaix ou scientifiques • Réputation et confiance compromises • Perte de communications • Menace sur les systèmes et leur environment • Perte de temps CFI_CCH
Prolifération des menaces En 2001, le National Infrastructure Protection Center au FBI a publié un document listant lesDix vulnarébilités les plus critiques de la sécurité Internet. A ce moment là, des milliers d'organisations se réfèrent à cette listepour concentrer leurs efforts afin de d'éliminer ces vulnérabilités lesplus dangereuses en premier. Le paysage des menaces est trèsdynamique ce qui rend nécessairel'adoption de nouvelles mesuresde sécurité.Pendant ces dernières annéesles types de vulnérabilités quisont exploités sont très différentsde ceux exploités dans le passé. CFI_CCH
Sophistication des menaces CFI_CCH
Législation Le gouvernement Féderal et local a crée une législation qui rend les organisations et les individus responsables de la mauvaise gestion de données sensibles. Ces lois comprennent: • The Health Insurance Portability and Accountability Act of 1996 (HIPAA) • The Sarbanes-Oxley Act of 2002 (Sarbox) • The Gramm-Leach-Blilely Act (GLBA) • US PATRIOT Act 2001 CFI_CCH
Buts d'un programme d'information sur la sécurité • Confidentialité • Evite de dévoiler des informations sensibles non-autorisées sur des personnes, sur des ressources et des processus. • Intégrité • Protection du système dinformation ou des processus contre desmodifications intentionnelles ou accidentelles. • Disponibilité • Assure que les systèmes et les données sontaccessibles par des utilisateurs autorisées quandils en ont besoin. CFI_CCH
Modèle d'information pour la sécurité Etats de l'information Propriétés del'informationde Sécurité Mesures de sécurité CFI_CCH
Propriétés de l'information de sécurité Confidentialité Intégrité Disponibilité CFI_CCH
Etats de l'information Traitement Stockage Transmission CFI_CCH
Mesures de sécurité Stratégie et Procédures Technologie Education, Formation et Veille CFI_CCH
Modèle d'information pour la sécurité Traitement Stockage Transmission Confidentialité Intégrité Disponibilité Stratégie et Procédures Technologie Education, Formation et Veille CFI_CCH
Gestion du risque • Analyse du rique • Menaces • Vulnérabilités • Contremesures CFI_CCH
Gestion du risque Contrôle de l'accès physique Patches et mises à jour Protection par mot de passe Développer une Stratégie de Sécurité Anti-Virus Pare-feu • Processus d'estimation et de quantification et d'établissement d'un niveauacceptable de risque pour l'organisation • Le rique peut être limité mais non éliminé CFI_CCH
Evaluation du risque • L'estimation du risque consiste à déterminer en quoi lavulnérabilité est un risque pour l'organisation • Chaque vulnérabilité peut être évaluée sur une échelle • Quelquefois le calcul anticipé des pertes peut être utile pourdéterminer l'impact d'une vulnérabilité CFI_CCH
Identification des ressources • Catégories d'évaluations • Estimations des informations (Individus, matériel, logiciel, systèmes) • Ressources supportées (facilités, utilitaires, services) • Ressources critiques (peuvent être parmi celle listées ci-dessus) • Les attributs des ressources doivent être listés • Déterminer la valeur relative de chaque item • Quel revenu/profit cela génère-t-il? • Quel est le coût de remplacement? • Quelle est la difficulté de remplacement? • Quelle est la rapidité de remplacement? CFI_CCH
Menace de Sécurité Réseau • Danger potentiel pour l'information ou une ressource • Un exemple: Capacité d'obtenir un accès non-autorisé ou à des informations pour une fraude, une intrusion réseau, de l'espionnage industriel, un vol d'identité ou simplement causer l'arrêt du système ou du réseau • Il peut y avoir des faiblesses qui augmentent énormément la probabilté qu'une menace se manifeste • Les menaces pour comprendre unedéfaillance d'équipement, des attaquesstructurées, des désastres naturels, desattaques physiques, vols, des virus etplusieurs autres événements potentielspouvant causer des dommages CFI_CCH
Types de menaces réseau • Usurpation d'identité • Indiscrétion • Deni de service • Paquet dupliqé • "Man in the middle" • Modification de paquet CFI_CCH
Vulnérabilité • Une vulnérabilité est une faiblesse dans un système, une technologie, un produit ou un stratégie • Aujourd'hui plusieurs organismes recherchent , répertorient et test ces vulnérabilités • Le gouvernement US a un contrat avec un organisme pour rechercher et plublier les vulnérabilités réseau • Chaque vulnérabilité a un ID et peut être revue par les professionnels de la sécurité réseau sur Internet. • La liste CVE (Common Vulnerability Exposure) publie aussiles moyens d'empêcher que ces vulnérabilités soient utiliséespour des attaques CFI_CCH
Evaluation de vulnérabilité • Il est très important que les spécialistes de comprendrel'évaluation de vulnérabilité • L'évaluation de vulnérabilitéest un état instantané de la sécurité courante de votre organisation telle qu'elle est • Quelle faiblesses de sécurité courantes peuvent exposer les ressources à ces attaques? • Les "scanners" de vulérabilités son des outils tels que des produits libres (Internet) ou des produits commerciaux • Ces outils comparent les ressources avec une base de données devulnérabilités connues et produiset un rapport de découverte quidécrit la vulnérabilité et indique sa sévérité CFI_CCH
Termes pour la gestion des risques • Vulnérabilité – Faiblesse d'un système, d'un réseau oud'un équipement • Menace – Danger potentiel amené par une vulnérabilité • Agent de menace – Entité qui identifie une vulnérabilitéet l'utilise pour une attaque • Risque – Probabilité pour qu'un agent de menace utiliseune vulnérabilité et son impact correspodant • Exposition – Probabilité de subir des dommages à partir d'un agent de menace • Countremesure – Moyen mis en place pour limiter le risquepotentiel CFI_CCH
Comprendre le risque Met en oeuvre Agent demenace Exploite Menace Mène à Vulnérabilité Risque Agit directement sur Ressource Peut endommager Exposition Entraîne Countremesure Peut être protégé par CFI_CCH
Analyse qualitative de risque Sévérité Exposition x = Probabilité L'exposition donne une priorité pour le traitement des riques Risk Exposure Probability Severity Un nouveau ver Déréférencement de site Web Système de détection incendie Inondation de Datacenter CFI_CCH
Analyse quantitative de risque • Exposure Factor (EF) • % de probabilité de perte d'une ressource • Single Loss Expectancy (SLE) • EF x Valeur d'une ressource en $ • Annualized Rate of Occurrence (ARO) • Nombre représentant la fréquence d'apparition d'une menace Exemple: 0.0 = Jamais 1000 = Se produit très souvent • Annualized Loss Expectancy (ALE) • Valeur en dollars obtenue par : SLE x ARO CFI_CCH
Administrer les risques Acceptation Transfert Savoir que le riqueexiste mais pasd'application de sécurité Passer la responsabilité à une partie tierce (ISP, Assurance, etc.) Risque Limitation Evitement Eliminer l'exposition dela ressource au riqueou éliminer également la ressource Changer l'exposition de la resource au risque(appliquer une sécurité) CFI_CCH
Types d'attaques Attaque structurée Vient de personnes qui sont très motivées et techniquement trèscompétentes. Ces personnes connaissent les vulnérabilités des systèmes et peuvent comprendre et exploiter du code ou des scripts.Ellescomprennent, développent et utilisent des techniques d'attaque sophistiquées pour pénétrer dans les systèmes. Ces groupes font trèssouvent connus pour des cas de fraude ou de vol rapportés par lesautorités judiciaires. Attaque non structurée Ces attaques sont réalisées majoritairement par des individus nonexpérimentés qui utilisent des outils très disponibles tels que desscripts et des craqueurs de mots de passe. Même si les attaques nonstructurées sont exécutées dans le but de tester ou de vérifier lesconnaissances d'un "hacker", elles toujours créer de sérieux dommages CFI_CCH
Types d'attaques Attaques Externes Initiated by individuals or groups working outside of a company. They do not have authorized access to the computer systems or network. They gather information in order to work their way into a network mainly from the Internet or dialup access servers. Attaques Internes More common and dangerous. Internal attacks are initiated by someone who has authorized access to the network. According to the FBI, internal access and misuse account for 60 to 80 percent of reported incidents. These attacks often are traced to disgruntled employees. CFI_CCH
Types d'attaques • Attaque Passive • Listen to system passwords • Release of message content • Traffic analysis • Data capturing • Attaque Active • Attempt to log into someone else’s account • Wire taps • Denial of services • Masquerading • Message modifications CFI_CCH
Attaques spécifiques réseau • ARP Attack • Brute Force Attack • Worms • Flooding • Sniffers • Spoofing • Redirected Attacks • Tunneling Attack • Covert Channels CFI_CCH
Déni de Service Uh-Oh. Another DoS attack! • Commonly used against information stores like web sites • Simple and usually quite effective • Does not pose a direct threat to sensitive data • The attacker tries to prevent a service from being used and making that service unavailable to legitimate users • Attackers typically go for high visibility targets such as the web server, or for infrastructure targets like routers and network links CFI_CCH
Déni de Service -Exemple If a mail server is capable of receiving and delivering 10 messages a second, an attacker simply sends 20 messages per second. The legitimate traffic (as well as a lot of the malicious traffic) will get dropped, or the mail server might stop responding entirely. • This type of an attack may be used as a diversion while another attack is made to actually compromise systems • In addition, administrators are likely to make mistakes during an attack and possibly change a setting that creates a vulnerability that can be further exploited CFI_CCH
Attaques de type Déni de Service • Buffer Overflow Attack • SYN Flood Attack • Teardrop Attack • Smurf Attack • DNS Attack • Email Attack • Physical Infrastructure Attack • Viruses/Worms CFI_CCH
DoS - Attaque Buffer Overflow The most common DoS attack sends more traffic to a device than the program anticipates that someone might send Buffer Overflow. CFI_CCH
DoS - Attaque SYN Flood • When connection sessions are initiated between a client and server in a network, a very small space exists to handle the usually rapid "hand-shaking" exchange of messages that sets up a session. • The session-establishing packets include a SYN field that identifies the sequence order. • To cause this kind of attack, an attacker can send many packets, usually from a spoofed address, thus ensuring that no response is sent. CFI_CCH
DoS - Attaque Teardrop • Exploits the way that the Internet Protocol (IP) requires a packet that is too large for the next router to handle be divided into fragments. • The fragmented packet identifies an offset to the beginning of the first packet that enables the entire packet to be reassembled by the receiving system. • In the teardrop attack, an attacker's IP puts a confusing value in the second or later fragment. If the receiving operating system cannot cope with such fragmentation, then it can cause the system to crash. CFI_CCH
DoS - Attaque Smurf The attacker sends an IP ping request to a network site. The ping packet requests that it be broadcast to a number of hosts within that local network. The packet also indicates that the request is from a different site, i.e. the victim site that is to receive the denial of service. This is called IP Spoofing--the victim site becomes the address of the originating packet. The result is that lots of ping replies flood back to the victim host. If the flood is big enough then the victim host will no longer be able to receive or process "real" traffic. CFI_CCH
DoS - Attaque DNS Attack • A famous DNS attack was a DDoS "ping" attack. The attackers broke into machines on the Internet (popularly called "zombies") and sent streams of forged packets at the 13 DNS root servers via intermediary legitimate machines. • The goal was to clog the servers, and communication links on the way to the servers, so that useful traffic was gridlocked. The assault is not DNS-specific--the same attack has been used against several popular Web servers in the last few years. CFI_CCH
DoS - Attaque Email • When using Microsoft Outlook, a script reads your address book and sends a copy of itself to everyone listed there, thus propagating itself around the Internet. • The script then modifies the computer’s registry so that the script runs itself again when restarted. CFI_CCH
DoS - attaque de l'Infrastructure physique • Someone can just simply snip your cables! Fortunately this can be quickly noticed and dealt with. • Other physical infrastructure attacks can include recycling systems, affecting power to systems and actual destruction of computers or storage devices. CFI_CCH
DoS - Virus/Vers • Viruses or worms, which replicate across a network in various ways, can be viewed as denial-of-service attacks where the victim is not usually specifically targeted but simply a host unlucky enough to get the virus. • Available bandwidth can become saturated as the virus/worm attempts to replicate itself and find new victims. CFI_CCH
Attaques Code Malveillant • Malicious code attacks refers to viruses, worms, Trojan horses, logic bombs, and other uninvited software • Damages personal computers, but also attacks systems that are more sophisticated • Actual costs attributed to the presence of malicious code have resulted primarily from system outages and staff time involved in repairing the systems • Costs can be significant CFI_CCH
Attaque Capture de paquets • Most organization LANs are Ethernet networks • On Ethernet-based networks, any machine on the network can see the traffic for every machine on that network • Sniffer programs exploit this characteristic, monitoring all traffic and capturing the first 128 bytes or so of every unencrypted FTP or Telnet session (the part that contains user passwords) CFI_CCH
Attaques par fuite d'informations • Attackers can sometimes get data without having to directly use computers • Exploit Internet services that are intended to give out information • Induce these services to reveal extra information or to give it out to unauthorized people • Many services designed for use on local area networks do not have the security needed for safe use across the Internet • Thus these services become the means for important information leakage CFI_CCH
Attaques par tromperie • Hacker-speak for tricking a person into revealing some confidential information • Social Engineering is defined as an attack based on deceiving users or administrators at the target site • Done to gain illicit access to systems or useful information • The goals of social engineering are fraud, network intrusion, industrial espionage, identity theft, etc. CFI_CCH
Méthodologie d'attaque Stages - the methodology of network attacks is well documented and researched. This research has led to greater understanding of network attacks and an entire specialization of engineers that test and protect networks against attacks (Certified Ethical Hackers/Penetration Testers) Tools - penetration testers have a variety of power tools that are now commercially available. They also have may open source free tools. This proliferation of powerful tools has increased the threat of attack due to the fact that even technical novices can now launch sophisticated attacks. CFI_CCH