HSC
Network Security Consulting Agency Since 1989 - Specialized in Unix, Windows, TCP/IP and Internet
Text mode: access to the page content
Hervé Schauer Consultants
You are here: Home > Resources > Techno-Watch >
Go to: HSC Trainings
Télécharger le catalogue des formations
Search:  
Version française
   Services   
o Skills & Expertise
o Consulting
o ISO 27001 services
o Audit & Assessment
o Penetration tests
o Vunerability assessment (TSAR)
o Forensics
o ARJEL
o Training courses
o E-learning
   Conferences   
o Agenda
o Past events
o Tutorials
   Resources   
o Thematic index
o Tips
o Lectures
o Courses
o Articles
o Tools (download)
o Vulnerability watch
   Company   
o Hervé Schauer
o Team
o Job opportunities
o Credentials
o History
o Partnerships
o Associations
   Press and
 communication
 
 
o HSC Newsletter
o Bulletin juridique HSC
o Press review
o Press releases
o Publications
   Contacts   
o How to reach us
o Specific inquiries
o Directions to our office
o Hotels near our office
|>|  
> Access to the content HTML Beginning of the report  
> Description Report on the SANS 2000 conference, from 21 to 28 March 2000 in Orlando (USA).  
> Context & Dates Report made for our news monitoring service .
The difference between the report writing and publishing dates are generally due to corrections and proofreading by the different people who took part in the conference.
11 April 2000 - Report writing
27 April 2000 - Sending to the news monitoring service subscribers
5 May 2000 - Publication in Netcost & Security Hebdo number 26
9 June 2000 - Publication on HSC's web site  
> Author Hervé Schauer (Herve.Schauer@hsc.fr), Denis Ducamp and Gilles Guiot  
> Type  
> Abstract &
Table of content
Introduction
Détection d'Intrusion
Le logiciel Snort
Sécurité réseau distribuée (Distributed Network Security)
Autres sujets des cours et conférences
Infogérance de la sécurité
Exposition  
> Related documents
> Copyright © 2000, Hervé Schauer Consultants, all rights reserved.

 


Introduction

La conférence SANS (System Administration, Networking & Security) qui s'est déroulée du 21 au 28 mars 2000 à Orlando en Floride a bénéficié d'une affluence record, avec plus de 2400 participants et 59 exposants. Une affluence internationale aussi, puisque pas moins de 36 pays étaient représentés.


Détection d'Intrusion

L'ensemble des instructeurs restent focalisés sur la détection d'intrusion sur les réseaux, même si SANS couvre aussi bien la sécurité Unix que Windows, ainsi que les réseaux en général, de la commutation à Sendmail en passant par le DNS. Il demeure cependant un fossé entre les spécialistes des réseaux comme Allan Leinwand et ceux de la sécurité : les premiers ont du mal à accepter la sécurité comme étant une fonction intrinsèque du réseau, et la perçoivent comme un facteur de dégradation des performances du réseau.

Avec la version actualisée de son tutoriel "IP for Intrusion Detection" Stephen Northcutt a fait salle comble. Succès mérité puisque ses transparents étaient d'une grande qualité, notamment dans les explications sur la fragmentation.

La préoccupation majeure des participants semblait être les IDS réseaux, et la détection de tous les types de scans et d'attaques. Certains comme Steve Schall et Richard Bejtlich se démarquaient en rappelant les qualités des IDS systèmes et en fournissant la définition d'un véritable scan.


Le logiciel Snort

Snort, écrit par Martin Roesch est le logiciel de détection d'intrusion open-source le plus léger. Il repose sur l'utilisation d'une base de signatures.

Étant peu gourmand en ressources, un pentium 83 suffit pour faire fonctionner simultanément trois occurrences du logiciel, et permettre ainsi la surveillance d'une LS modeste. Snort autorise également la surveillance d'un réseau 100Mbit fonctionnant au maximum de ses capacités à condition de désactiver la détection de scans de ports. Ces qualités ont incité un grand nombre de testeurs et de développeurs très actifs tels que Martin Roesh, Fyodor (CyberPsychotic), Patrick Mullen et tant d'autres à le porter sous de nombreux systèmes tels que : Linux, OpenBSD, FreeBSD, NetBSD, Solaris, SunOS 4.1.X, HP-UX, AIX, IRIX, Tru64 ou encore MacOS X Server.

Snort bénéficie d'une architecture modulaire comprenant :

  • Les modules pré-processeurs, en charge de l'examen et de la manipulation des paquets
  • Les modules de détection : chacun ne fait qu'un test simple sur un paramètre précis d'un paquet (TTL, ID, Flags, Ack, Seq, ..., content...)
  • Les modules de sortie : fichier alerte, syslog, tcpdump, Winpopup SMB

Le fichier de configuration est composé de règles, chacune d'entre elle comportant deux parties :

  • L'en-tête : spécifie les filtrages sur les adresses, les ports sources et destinations, ainsi que la direction et l'action (alert, pass, log)
  • Une combinaison de modules de détection

Parmi les pré-processeurs qui sont aujourd'hui en standard :

  • détection de scans de ports
  • normalisation du protocole HTTP (%41 -> A)
  • détection de fragments (trop) petits

En cours de développement :

  • défragmentation IP
  • analyse de trafic ICMP pour détecter les canaux cachés
  • activation / désactivation dynamique de règles
  • changement d'identité et restriction dans une cage (chroot)

Un module de réponse active est disponible mais n'est à utiliser qu'avec beaucoup d'attention. Il a par ailleurs déjà prouvé son efficacité contre la détection d'OS par nmap.

Si les bibliothèques fournies en standard sont un très bon point de départ, d'autres sont disponibles :

  • la base arachNIDS par Max Vision
  • la base rapidnet par Jim Foster

Il est vrai que les possibilités de fausses alertes sont nombreuses, mais les NIDS ne sont que des "antivirus réseaux" et n'ont encore que peu d'années d'expériences.

Au final, s'il manque encore quelques fonctionnalités comme la reconstruction de flux TCP, Snort se révèle cependant excellent à l'accomplissement de toutes les tâches pour lesquelles il a été conçu.


Sécurité réseau distribuée (Distributed Network Security)

La sécurité réseau distribuée représente l'avenir de la sécurité des réseaux. Telle était la thèse défendue par Hervé Schauer, qui offrait de nombreux arguments à l'appui :

  • Demain, chaque utilisateur aura une adresse IP : filtrer les adresses IP aujourd'hui permettra demain de faire de la sécurité au niveau des utilisateurs.
  • Les IDS ne peuvent empêcher les dénis de service. Quand l'IDS s'aperçoit qu'un paquet malicieux arrive, il est déjà passé...
  • L'impact sur les utilisateurs est nul, seuls les pirates auront conscience des restrictions.
  • Il est irréaliste de vouloir sécuriser plusieurs centaines de serveurs parfaitement, seuls les serveurs les plus sensibles peuvent être réellement sécurisés.
  • Les routeurs utilisés aujourd'hui n'ont pas toujours les possibilités de filtrage et les ressources nécessaires, mais les routeurs et commutateurs récents savent filtrer à des débits élevés sans dégradation de performance.
  • Il n'est pas nécessaire de sécuriser tous les routeurs, cinq bien choisis peuvent suffire à assurer un filtrage efficace. Il devient alors possible d'utiliser des interfaces de configuration semblables à celle de FW-1.
  • Aucun logiciel n'est capable de gérer des centaines de routeurs, notamment à cause des problèmes d'antispoofing et des chargements de configurations.
  • Le filtrage IP est à la base de la sécurité des réseaux ; c'est sur cette base que s'appuient les VPN chiffrés et la sécurité au niveau des individus. Le filtrage a cet avantage sur l'IDS qu'il va refuser les paquets interdits alors que l'IDS ne pourra détecter un paquet "erroné" qu'après son passage, et les modifications de la configuration du garde-barrière induites par l'IDS ouvrent la porte aux dénis de service.
  • Un atout de l'IDS est la détection des attaques sur des ports autorisés.

Cependant le futur de l'IDS tel qu'implémenté actuellement est hypothéqué par le recours croissant aux commutateurs dans les réseaux. L'IDS devra alors être mis en place au sein des routeurs/commutateurs, à l'instar du sous-ensemble de NetRanger fourni par Cisco dans ses routeurs.

Enfin, la mise en place d'un filtrage IP n'est pas synonyme de machines coûteuses : si les vieux routeurs dont vous disposez n'offrent pas de fonctionnalités de filtrage, un PC de base doté de Linux/IPChains ou d'OpenBSD/IPFilter les remplacera avantageusement. L'examen des sources vous dévoilera la qualité du filtrage IP ainsi mis en place, supérieur à celui de bien des gardes-barrières commerciaux. Enfin, il faut tenir compte du contexte : dans le cadre de la sécurisation d'un réseau d'entreprises, les adresses IP sont beaucoup plus fiables que dans une perspective Internet.


Autres sujets des cours et conférences

Le Dr. Matt Bishop présentait un cours intéressant sur les méthodes d'attaque de programmes et son pendant, les règles à respecter pour l'écriture de programmes sécurisés. De la même façon, Crispin Cowan présentait les différentes attaques en débordement de buffers et les différentes méthodes pour s'en prémunir.

Du cours de John Green, on retiendra plus particulièrement quelques recommandations : l'utilisation régulière de nmap afin de surveiller les serveurs et les services disponibles sur son réseau, ainsi que celle de Nessus, le logiciel de tests de vulnérabilités. Il cite également les logiciels capables de tester le filtrage IP d'un équipement, qui sont également utiles : nmap, tcpdump et filterrules de Renaud Deraison.

À noter également Chris Benton, qui donnait des indications précieuses sur les méthodes d'audit régulier de systèmes NT. Quant au cours de Simple Nomad (Paranoid Network), si son sujet était digne d'intérêt (sécurisation de système et durcissement de noyau) les exemples pratiques et références étaient trop rares. Cette tendance se retrouvait dans de nombreux autres cours, qui faisaient une part trop importante aux généralités et à la théorie.

En ce qui concerne les réseaux, Steve Acheson de Cisco remettait quelque peu en cause la rentabilité des VPN aux USA. En effet, le coût analytique moyen d'une liaison Frame Relay T1 (1,5 Mb) entre un bureau distant et Cisco est de $3000 par mois, alors que la même chose avec un accès Internet T1 et un VPN revient à $6000 par mois. Parallèlement, il confirmait la tendance au remplacement progressif des serveurs d'authentification TACACS et RADIUS par des serveurs LDAP. Une évolution de la sécurité qu'il appuyait en rappelant que certains réseaux câblés subissent plus de scans que le réseau de Cisco.

Toujours dans le domaine de la sécurité, Jeffrey Hunker, Senior Director pour Critical Infrastructure National Security Council (www.ciao.gov) présentait les axes du combat mené par le gouvernement américain contre la cyber-criminalité, comme lors des éditions précédentes.


Infogérance de la sécurité

Fritz Nelsonn, éditeur en chef de la revue américaine Network Computing proposait une présentation-débat sur l'infogérance de la sécurité. Entre autres informations, les résultats d'une enquête réalisée auprès de 500 lecteurs étaient présentés :

Utilisent déjàPlanifient d'utiliser
Anti-virus94%3%
Firewall88%13%
VPNs(tout types, y compris accès distants)46%37%
Chiffrement au niveau applicatif42%24%
Logiciels de détection d'intrusion30%42%
Logiciels de tests de vulnérabilités21%33%
Authentification forte18%23%
Infrastructure de clés10%25%

La conclusion de la présentation indique que l'infogérance de sa sécurité est un choix discutable, car parfois imputable à un excès de confiance...

URLs :


Exposition

L'exposition comprenait 59 exposants dans le seul domaine de la sécurité, dont une seule société française présente avec Solsoft NP, leader de policy-based management pour la sécurité.

La société américaine Hiverworld, réputée pour ses conseils en sécurité, et travaillant principalement pour la défense américaine, se transforme en fournisseur d'un système de tests de vulnérabilités. Le système proposé n'est ni la vente d'un logiciel de tests de vulnérabilités comme le propose Fidji, ni la vente d'un service de tests de vulnérabilités, comme le propose Qualys, mais une combinaison des deux modèles. Hiverworld propose à la vente ou la location des boîtiers : "Hivermute", un PC avec une carte Ethernet 100MB carrossé en boîtier rackable, que l'on place dans son réseau privé. Les boîtiers dialoguent avec Hiverworld en utilisant un tunnel propriétaire utilisant Blowfish. Les boîtier effectuent des tests de vulnérabilités en permanence sur le réseau. Sur le serveur web d'Hiverworld, le système ARMS (Adaptive Risks Management System), permet d'obtenir statistiques et rapports en PDF. Hiverworld annonce plus de 500 signatures reconnues, fruit d'une expérience de 8 ans en conseil en sécurité. Il va de soi qu'un tel service d'infogérance de ses tests de vulnérabilités, avec des boîtiers étrangers sur son réseau, ne conviendra qu'aux entreprises prêtes à faire confiance à un tiers pour la sécurité de leur réseau privé.

La société "e-security" proposait quant à elle un logiciel de surveillance de divers logiciels et garde-barrières, dans une vue topologie graphique de son réseau similaire à celle utilisée par Solsoft NP.

SANS demeure la manifestation la plus large et la plus complète pour se former et s'informer en sécurité.

Last modified on 7 November 2007 at 13:40:52 CET - webmaster@hsc.fr
Mentions légales - Information on this server - © 1989-2013 Hervé Schauer Consultants