FI/4/00

La sécurité du réseau

Georges.Aubry@epfl.ch & Richard.Timsit@epfl.ch, SIC

Maintenant qu'il est tout à fait admis que le réseau est devenu l'ordinateur, comment penser la sécurité de cet indispensable outil sans s'inquiéter du fait qu'il est devenu à ce point ouvert sur la planète pour le meilleur et pour le pire?

Le réseau EPNET a très tôt été ouvert sur Internet grâce à SWITCH, dès 1987. La grande nouveauté c'est qu'aujourd'hui Internet ne se limite plus à relier des campus universitaires ou des centres de recherche entre eux mais infiniment plus de points. L'enjeu du fonctionnement même d'Internet dans l'économie commence à prendre de l'ampleur et nous risquons bien de passer sans nous en apercevoir de l'état de victime potentielle à celui de présumé coupable.

Quels étaient les risques hier et que sont-ils devenus aujourd'hui?

Le risque majeur encouru par un ordinateur quand il est raccordé à un réseau c'est que l'on puisse à travers ce dernier prendre son contrôle. C'était vrai hier, c'est toujours vrai aujourd'hui et probablement pour longtemps encore. Ce qui a changé c'est que les risques ne sont plus seulement ceux d'une intrusion sur un système mais d'inhibition de tout un site dont l'accès est décisif. En effet les dernières attaques qui ont fait la une des journaux ces derniers mois concernent des sites bien connus des internautes. On devine quel peut être l'impact de la paralysie d'un tel site de prestige, ne serait-ce que pendant quelques heures, sur une opinion publique terriblement sollicitée pour accorder toute sa confiance à l'e-commerce. Le risque n'est pas seulement que l'EPFL soit prise comme cible, d'autres campus en Suisse ont déjà vécu cette triste aventure et ont été paralysés plus d'une journée, mais aussi que notre site serve de base de départ d'une attaque massive. Non seulement une telle attaque mettrait à mal les performances de notre réseau mais ferait aux sites de l'arc lémanique une publicité internationale qui n'est pas tout à fait celle qu'ils cherchent à se faire.

Quelles sont les techniques utilisées?

Personne ne sera étonné d'apprendre que les techniques mises en oeuvre dans les outils découverts sur les sites attaqués sont de plus en plus sophistiquées. Depuis longtemps le cracker utilisant l'IRC (Internet Relay Chat) qui voulait inhiber une cible se donnait les moyens de le faire à partir d'une machine piratée sur laquelle il avait installé des outils qui faisaient réagir un maximum de stations pour qu'elles bombardent sa cible de messages. Ce bombardement était d'autant plus efficace que les sites mal configurés répandant des adresses de broadcast étaient nombreux. Smurf est le nom d'un des premiers outils dont le but est d'inhiber une victime en lui faisant adresser une quantité de messages qui la submergent ou qui la bloquent. Le plus souvent la faiblesse d'un protocole est exploitée (TCP/IP par exemple au moment de la prise de connexion) mais ce n'est pas obligatoire. Cette technique baptisée DoS comme denial of service, est la plus répandue aujourd'hui. Trinoo, shaft, TFN2K sont les noms des descendants de Smurf de la famille des DDoS comme distributed denial of service.

Les enjeux des attaques évoluant, il est bien naturel de voir évoluer les outils et leur méthode d'utilisation. Les attaques aujourd'hui se préparent longtemps à l'avance. Des pirates, organisés en gang , placent en exploitant les défaillances des systèmes d'exploitation des machines, des agents discrets. Ces agents sont en veille sur des milliers de machines sur le réseau. D'autres applications un peu plus consistantes sont mises en place sur un nombre plus restreint de machines piratées (intermédiaires) et sont dans l'attente d'envoyer des messages à ces agents. Au moment d'une attaque, il suffit aux attaquants d'envoyer des messages à ces machines intermédiaires en leur désignant la cible, l'heure, voire la nature de l'attaque pour que les agents soient sollicités au même moment et bombardent leur victime qui n'aura alors aucune parade face à la multiplicité des sources et le nombre de requêtes qui l'assailliront. Les messages qui circulent entre intermédiaires et agents, pour déclencher ces attaques, sont des plus anodins et utilisent des protocoles que la plupart des firewall laissent passer. Les agents mis en place ou même les intermédiaires ne sont détectables que si on prend soin de les chercher.

Quels moyens de nous prémunir?

Disposer d'un accès aussi performant à Internet constitue un grand privilège, mais cela nous donne aussi un grand nombre de devoirs. Le SIC en assume une partie en ce qui concerne le réseau, mais chaque utilisateur d'une machine sur le site doit en assumer une autre et se plier à quelques règles élémentaires, qui, si elles ne sont pas respectées peuvent mettre en péril la sécurité ou la crédibilité de tout le site. N'oublions pas que les attaques DoS débutent toujours par la prise de contrôle d'une machine par un pirate et que c'est à partir de cette machine que ces attaques seront propagées à d'autres réseaux. Voir http://slwww.epfl.ch/SIC/SL /securite.html.

Sécurisation de l'infrastructure réseau

La confidentialité des données transmises sur le réseau local est l'un des aspects de la sécurité. Dans ce domaine l'évolution de l'infrastructure du réseau EPNET qui a permis d'offrir un port Ethernet dédié par poste d'utilisateur, assure une sécurité de base au niveau de la confidentialité des données transitant sur le réseau EPNET. En effet les utilisateurs du réseau local n'ont plus la possibilité, au moyen de divers outils d'analyse du trafic installés sur leur ordinateur, de pouvoir visionner le contenu des paquets correspondant aux communications entre d'autres utilisateurs. Malheureusement, il n'en est pas de même en ce qui concerne l'infrastructure Internet, d'où la nécessité dans certains cas d'encrypter les données sensibles transmises par les applications, pour les opérations commerciales par exemple.

Protection du réseau EPNET

En ce qui concerne la protection contre les intrusions et les attaques de pirates, il n'existe pas d'équipement firewall à l'entrée du réseau de l'EPFL. Cependant un premier niveau de sécurité est assuré par le routeur qui nous relie à notre fournisseur d'accès Internet (SWITCH), en utilisant les mécanismes de filtrage de paquets et de listes de contrôle d'accès offertes par ce routeur. Cette méthode permet de restreindre l'accès à des sous-réseaux et des machines particulières. Elle permet aussi de se protéger contre certains types d'attaques de pirates, telle que IP spoofing (usurpation de l'adresse IP source). Dans ce cas, le routeur frontière de l'EPFL est configuré de manière à ne pas laisser entrer, sur notre réseau, de paquets ayant une adresse IP source comprise dans le rang des adresses officiellement attribuées à l'EPFL. Le but de cette protection est de déjouer d'éventuelles intrusions sur des machines dont les permissions d'accès sont basées uniquement sur l'adresse source. D'autres adresses particulières comme les multicast et broadcast ainsi que certaines adresses privées ne sont pas acceptées comme adresses source dans les paquets provenant d'Internet. Dans l'autre sens, les paquets sortant de notre réseau à destination d'Internet sont éliminés au niveau du routeur s'ils contiennent une adresse source autre que celles appartenant à notre rang d'adresses. Cette protection empêche les ordinateurs de notre site d'être utilisés anonymement pour mener une attaque DoS sur des sites externes.

Pour que notre site ne serve pas d'intermédiaire comme amplificateur des requêtes émises lors d'une attaque smurf, les paquets, ayant pour destination une adresse broadcast IP de l'EPFL, ne sont pas transmis sur notre réseau par les routeurs.

En outre, signalons que tout trafic concernant les services tftp, snmp, snmptrap, chargen, rpcbind, systat, netstat, netbios-session et tcpmux, est aussi bloqué à l'entrée de notre réseau en raison de la vulnérabilité de ces services.

Les mécanismes de protection en vigueur dépendent des possibilités de la version du système fonctionnant actuellement sur notre routeur. Ils ne permettent pas de nous protéger de certaines attaques DoS dont nous serions la cible directe, mais ils pourraient aux mieux contribuer à en atténuer les conséquences. Il s'agit d'analyser les événements consignés et le trafic concerné pour établir si possible un filtrage ou une limitation momentanée du débit de ce type de trafic.

Les scans (automates qui scrutent systématiquement tous les ports de toutes les machines) sont surveillés et dans la mesure du possible sont interceptés par un dispositif à l'entrée du réseau.

Mise à part cette forme de protection assurée par le routeur, le réseau de l'EPFL est ouvert. Les utilisateurs peuvent établir des sessions interactives depuis l'extérieur sur presque tous les ordinateurs. Par conséquent la sécurité s'applique principalement au niveau de la machine, par le responsable système qui veille à ce que les patches de sécurité soient installés et en exigeant que les utilisateurs aient des mots de passe sûrs.

Conclusion

Avec le développement d'Internet les risques concernant la sécurité informatique vont en augmentant. Nous sommes conscients que le système de protection actuel atteint ses limites. Le besoin de disposer de fonctionnalités de protection supplémentaires nous permettant de profiter de l'ouverture sans en subir les conséquences néfastes est à l'étude par un groupe sécurité du SIC qui fera tout prochainement des propositions dans ce sens.

Une présentation du projet DIODE aura lieu le mercredi 17 mai 2000 à 14h15 à la salle de conférences du SIC.

Tous les utilisateurs des moyens informatiques de notre école sont les bienvenus.

Pour en savoir plus: http://ditwww.epfl.ch/SIC/diode/.


retour au sommaire du Flash informatique du mois de mai 2000
retour à la page principale des Flash informatique
Vos commentaires
© FI-4-00 du 9 mai 2000