/fdata%2F4266034%2Favatar-blog-1212474526-tmpphpFMIwYn.jpeg){kind=avatar}
Le but de cet article est de vous faire appréhender une meilleure architecture de défense que celle actuellement utilisée dans nos sites, pour tenir compte des nouvelles menaces liées à l'apparition des nouvelles technologies du Net, et également des nouveaux modes d'utilisation, comme le nomadisme des employés.
Avez-vous remarqué la disparition des châteaux forts à la fin du Moyen-âge ? Pourtant, il s'agissait d'un rempart idéal contre les attaques, malgré un espace confiné et bruyant. Un pont-levis faisait office de sas avec l'extérieur et permettait les échanges de marchandises, et l'allée et venue des gens.
Les soldats qui gardaient les murailles étaient peu nombreux mais suffisants pour donner l'alerte. D'épaisses et hautes murailles donnaient aux habitants un réel sentiment de sécurité. L'invention de la bombarde mit fin à cet équilibre entre les menaces externes et ce type de défense. Il suffisait de se positionner à bonne distance et de tirer jusqu'à ce que la brèche soit suffisante!
En effet ce type de défense était dépassé par les nouvelles menaces. Il en va de même aujourd'hui pour les systèmes d'information : L'architecture de site (château fort) protégé par le firewall (pont-levis) à vécu. Les menaces arrivent à pénétrer les sites de plusieurs manières, et ceci malgré le firewall. Pourquoi ?
1. LES NOUVELLES MENACES.
Plusieurs facteurs simultanés ont permis l'exploitation de failles auparavant protégées par le firewall : - l'utilisation d'ordinateurs portables sur internet à domicile, ou ailleurs, normalement connectés en réseau sur le site. Lorsque l'utilisateur revient sur le site et rebranche son ordinateur à l'intérieur du site, celui-ci contamine le reste du réseau local à l'insu du firewall (problème du Cheval de Troie). - La messagerie véhicule bon nombre de malwares (programmes pirates) en pièces jointes.
La combinaison des nouveaux virus et du SPAM a accéléré ce phénomène. - L'exploitation des failles du navigateur et du système d'exploitation (Windows) a permis l'installation de logiciels à l'insu de l'utilisateur (spywares) et permet également de renseigner le pirate sur le type de défenses ou de systèmes visés. Techniquement, l'explication est simple : le firewall « scanne » les paquets et vérifie que le protocole est autorisé, mais il ne vérifie pas à l'intérieur des paquets autorisés. C'est comme une douane qui vérifie la plaque d'immatriculation des voitures, mais pas les passagers à l'intérieur de la voiture !
Depuis les firewalls ont évolué, et commencent à regarder à l'intérieur des paquets pour vérifier qu'ils ne transportent pas une charge « maligne », en particulier les paquets web (http) et mail (smtp-pop). Mais vérifier ce type de données, et compte tenu du nombre d'attaques possibles, rend les firewalls plus lents et donc vulnérables à un autre type d'attaque : le déni de service, c'est-à-dire le blocage ou le ralentissement des traitements.
Un troisième type de problème vient d'achever de noircir le tableau: depuis mi 2003- le problème des SPAMS. Les utilisateurs reçoivent des dizaines, voire des centaines de messages non sollicités chaque jour et les suppriment un par un ; Sans parler de l'engorgement des serveurs de messagerie, on perd des millions d'heures de travail sur toute la planète chaque jour !
2. COMMENT CONTRER LES NOUVELLES MENACES ?
L'objectif de cet article est de donner aux RSSI les nouvelles briques de défense qui leur permettront de contrer ces menaces, et de revenir à un état stable de défense. Pour renforcer la protection du système, il faut revenir à la typologie des attaques, et ajouter par conséquent une « brique dédiée » à chaque type et position d'attaque ; Chaque brique est ainsi dénommée P.R.S. « Point de Renforcement de Sécurité » : Pour adresser les denis de service, "inondations" et autres blocages du réseau, il s'agit d'ajouter en amont du firewall un système I.P.S. (Intrusion Prevention System). Contrairement à l'I.D.S. qui se contente d'enregistrer l'attaque, l'I.P.S. va empêcher l'ordinateur attaquant de continuer à inonder ou scanner le réseau en rejetant tous les paquets de sa provenance. Il existe deux types d'I.P.S. : Ceux basés sur une liste de menaces, et ceux « comportementaux ». Ceux basés sur une liste de menaces devront constamment être mis à jour, et nécessiteront un processeur rapide pour analyser chaque paquet et le comparer à la liste des menaces connues. On voit que cette stratégie est perdante, car trop coûteuse en temps. Les I.P.S. « comportementaux », eux, analysent la fréquence, la taille, la source, la destination des paquets et en déduisent s'il s'agit d'un comportement « normal » ou bien d'une attaque. Par exemple, une source qui envoie mille paquets par seconde à un serveur est probablement en train de tenter de l'inonder! Bien entendu, s'il s'agit d'un trafic légitime (une grosse application de streaming vidéo), l'administrateur de sécurité peut l'autoriser explicitement. Les I.P.S. agissent également contre les virus et vers, non pas en les empêchant - c'est le rôle de l'anti-virus- mais en en empêchant les conséquences, par exemple un ordinateur infecté qui cherche à contaminer le site. Cet ordinateur sera automatiquement repéré (adresse IP et MAC) et « mis en quarantaine » tant que l'attaque durera.
3. FIREWALL PERSONNEL.
De la même manière que nous venons de renforcer la périmètre avec l'IPS entre le firewall et le routeur, nous devons renforcer le réseau local, car celui-ci peut être contaminé sans passer par le firewall, soit à travers des e-mails, soit à travers des ordinateurs contaminés au dehors puis rebranchés sur le réseau local.
Les ordinateurs portables « nomades » sont particulièrement la cible des attaques, car ils seront rebranchés sur le réseau de l'entreprise au bureau. Il s'agit d'ajouter un firewall personnel au système anti-virus actuel. L'anti-virus parfaitement à jour ne suffit-il plus ? En effet, les attaques actuelles ne sont pas forcément des virus, mais peuvent également exploiter des failles du navigateur web ou du système d'exploitation. Il existe des dizaines de failles répertoriées chaque année, et les pirates écrivent des « malwares » qui vont exploiter ces failles, et au final tenter d'ouvrir des ports sur la machine pour communiquer avec elle et par rebond pirater tout le système d'information.
C'est pour cela que la plupart des fournisseurs d'anti-virus ont intégré un firewall personnel dans leur offre en plus de l'anti-virus, sous la dénomination « internet security » ou équivalent. Là encore il existe deux types de firewalls personnels : Ceux basés sur une liste de menaces et ceux « comportementaux ». Dans le cas du firewall personnel, il semble que la puissance des ordinateurs permette la combinaison de ces deux techniques, chacune ayant des avantages et inconvénients.
4. INTRAWALL.
En complément d
es firewalls personnels on pourra ajouter à l'intérieur du réseau un « intrawall ». Il s'agit d'un firewall interne positionné sur
le LAN, mais qui agit à la manière inverse d'un firewall: « Tout ce qui n'est pas explicitement défendu est autorisé !».
Pourquoi ne pas insérer un firewall dans le réseau local de manière à se prémunir des machines contaminées à l'intérieur ? Parce que vous créez aussitôt un déni de service : en paramétrant le firewall à l'intérieur du réseau on s'aperçoit rapidement que des centaines de protocoles sont utilisés par les applications (bases de données, SAP, automates etc.) et que les règles doivent être très souples pour ne pas créer d'incident entre le poste client et le serveur. A ce point, il y a tellement de ports ouverts que le « malware » va facilement proliférer.
On se rappellera tous l'attaque SLAMMER basée sur la diffusion de la disponibilité des serveurs SQL Server. L'intrawall agit inversement : il laisse tout passer, mais si une machine a un « comportement suspect », par exemple essaye de scanner d'aut res machines sur tous les ports, alors l'intrawall bloque cette machine, la met en quarantaine et prévient l'administrateur. Le support technique va alors voir l'utilisateur et vérifie sa machine. On notera que cette façon de procéder respecte parfaitement la confidentialité à laquelle ont droit les utilisateurs, puisque l'intrawall ne « lit » pas le contenu des paquets qui transitent.
5. FIREWALL EXTRANET ou "EXTRAWALL"
Comme les menaces visent essentiellement les machines temporairement à l'extérieur du site - pour mieux pénétrer le site - il s'agit, avec le concept de firewall extranet, de « bétonner » tous les accès entrants pour les utilisateurs et partenaires de l'entreprise. Techniquement, il s'agit de créer un tunnel crypté entre l'utilisateur nomade et le site avec un VPN SSL.
Le gros avantage de cette technique est d'utiliser un simple navigateur pour accéder aux ressources, de crypter les données grâce à un système éprouvé et sûr (SSL, dans ce cas https), et de ne nécessiter aucune installation de logiciel supplémentaire sur le poste client, contrairement aux tunnels IPSEC qui demandent l'installation d'un logiciel sur chaque poste à connecter. Bien entendu, comme ce dispositif permet la consultation des e-mails (webmail), la navigation sur l'intranet, et le partage de données, le boîtier sera doté d'une protection anti-virale dont pourront bénéficier toutes les personnes autorisées à se connecter. L'entreprise pourra donc mettre à disposition des ressources de son site, non seulement à son personnel, mais également à des partenaires, sans crainte d'être contaminée.
6. FIREWALL APPLICATIF.
Les firewalls traditionnels sont très efficaces pour contrer les attaques massives et rapides. En revanche, ils sont inefficaces pour lutter contre les attaques dites « lentes ». De quoi s'agit-il ? Les hackers utilisent des lignes de commande dans un navigateur ou des scripts pour exploiter une faille connue. Par exemple, le fait de dépasser le nombre de caractères autorisés dans une URL. Avez-vous déjà essayé de taper plus de 256 caractères dans une adresse web ? Eux ont essayé, et quelquefois cela donne accès à l'arborescence du disque qui héberge le site web (directory transversal); Quelquefois on peut donc lire les fichiers du disque, par exemple les coordonnées des clients, la liste des cartes de crédit, ou bien le fichier des mots de passe des utilisateurs !
Ces failles dénommées par exemple « unicode » ou « cross site scripting » ou encore « buffer overflow », peuvent permettre -sur un système non mis à jour ou protégé correctement- d'avoir accès à tout un site! Le firewall n'est d'aucun secours puisqu'il s'agit du scénario d'un simple utilisateur qui a parfaitement le droit de taper une adresse de votre site public dans son navigateur. Il existe donc des boîtiers qui s'intercalent entre le serveur web et internet sur la DMZ, qui interceptent ce type d'attaques et protègent le serveur web. De même, le code source du site web ne pourra pas être exploité par une faille liée à une mauvaise écriture du point de vue sécurité.
CONCLUSION
Ces nouvelles briques de sécurité constituent une nouvelle approche dans l'architecture sécurisée : Au lieu du « château fort » qui supportait tout l'effort de défense, on a un système défensif en profondeur, qui traque la tentative de piratage à tous les endroits clés du système. Cette défense en profondeur ne ramènera pas à elle seule le « bouclier » au niveau de « l'épée », mais elle va y contribuer fortement. Il restera à résoudre le problème du SPAM, du renforcement de l'authentification, de la simplification de l'accès aux applicatifs, de la coordination avec les opérateurs d'accès au Net, de l'application des patches de sécurité, de la normalisation de sécurité, des audits, de la signature électronique, de l'archivage sécurisé, de la tolérance de panne, de plans de secours, du contrôle des accès logiques etc. Beaucoup de pain sur la planche pour les mois et années qui viennent !
"So far as the laws of mathematics refer to reality, they are not certain. And so far as they are certain, they do not refer to reality" -Albert Einstein