|
En quoi Lastwall est-il différent des autres détecteurs d'intrusion ?
Lastwall est différent dans la mesure où il ne repose pas sur la mise à jour d'une
base de connaissances d'attaques ou intrusions connues.
Lastwall ne cherche pas à "comprendre" le type d'attaque et s'attache
seulement à déterminer instantanément qu'une intrusion a lieu en détectant
la corruption des fichiers surveillés.
Le produit détecte en temps réel tous les types d'anomalies qui agissent
sur le contenu des fichiers : ajout, modification ou suppression de données.
Lastwall peut donc détecter tout nouveau type d'attaque, y compris les nouvelles
pas encore répertoriées dans les bases de connaissances.
J'ai déjà un firewall, pourquoi utiliser Lastwall ?
Un firewall joue un rôle précis dans la sécurisation d'un réseau :
celui de définir les types de trafic autorisés sous la forme de "règles".
Par exemple, un administrateur va configurer un firewall pour autoriser les
accès au serveur sur le port 80, refuser les accès Telnet. Le firewall va jouer
le rôle d'une barrière autour du réseau en refusant des accès à des points désignés.
Mais cette défense est "statique" et limitée. Statique, car le firewall
ne déclenche
pas une alerte si une attaque apparaît . Limitée, car le firewall ne peut pas détecter
une attaque qui utilise un service autorisé. Prenons le cas d'un serveur
Web protégé par un firewall qui restreint les services à des flux HTTP sur le
port 80. Si une attaque est menée en HTTP, en profitant par exemple d'un trou de sécurité
dans un programme CGI, le firewall ne pourra pas la détecter.
Plus important, 70 à 80 % des attaques sur les fichiers systèmes ou de données proviennent
de l'intérieur du réseau :
le firewall est complètement inefficace dans ce cas. A l'inverse, Lastwall
sera efficace dans ces deux cas. Dans le cas du CGI détourné, si le pirate
modifie un fichier de configuration, un fichier binaire ou
exécutable une alerte est émise. Idem, si une personne à l'intérieur de
l'organisation modifie un fichier surveillé.
Comment s'intègre Lastwall dans la sécurisation du système d'information ?
Lastwall protège l'intégrité des fichiers des serveurs de réseau et des serveurs Web,
indépendamment de leur nature et rôle. Toute modification de cette intégrité
est détectée sans tenir compte de son origine : attaque sur les données via le réseau,
attaque sur les données en interne. Lastwall joue le rôle de "dernière" couche
de protection si une attaque n'a pas été bloquée par un firewall, ni détectée par
un détecteur d'intrusion réseau de type classique.
Pourquoi la protection de l'intégrité des fichiers est vitale ? Cas du rootkit
Les attaques les plus dangereuses jouent sur la modification de l'intégrité du système.
Le cas typique est la modification des fichiers systèmes, modification qui permet à un
attaquant de prendre possession du serveur, en toute discrétion. Le plus grand danger
est la "pose" d'un rootkit. Un rootkit est un ensemble de logiciels et patches du
noyau qui vont permettre à l'intrus de devenir complètement invisible aux yeux de
l'administrateur système. Certaines commandes systèmes sont "réécrites" pour
favoriser la discrétion : les commandes "dir" ou "ls" n'affichent pas tous
les fichiers, netstat n'affichera pas les sockets ouvertes, etc.
Ce type d'attaque est bloquable par Lastwall, car la mise en oeuvre du rootkit
nécessite au préalable la modification des fichiers de configuration et de
certains binaires. Lastwall va comparer la signature d'origine des fichiers
avec leur signature courante, détecter les différences et alerter immédiatement
l'administrateur.
Pourquoi un contrôle continuel des fichiers sensibles est impératif ?
Les pirates disposent à présent de "kits techniques" complets pour agresser
les organisations. Certains sont mêmes disponibles sur Internet. Ces logiciels
permettent de réaliser des scans exhaustifs et automatiques des
failles de vulnérabilité et des défauts de configuration.
Il suffit de trouver ainsi une faille, d'entrer dans le système avec ou sans
complicité, puis de déposer un rootkit.
L'attaquant prend le contrôle complet du système en quelques heures.
Si un pirate réussit à s'introduire dans le réseau interne, il faut le
débusquer au plus vite, comme pour un incendie, pour limiter les effets et éviter
la propogation des dommages.
Est-il possible de paramètrer les fréquences de contrôle ?
Oui. Le produit permet de lancer simultanément des process de contrôle avec
des fréquences différentes. Par exemple, l'administrateur peut décider que
les répertoires /etc/conf/ ou c:\winnt doivent être contrôlés toutes les demi-heures.
Les CGI seront surveillés toutes les heures, les pages HTML statiques de niveau 2
toutes les demi-journées, etc.
Comment est contrôlée l'intégrité des fichiers ?
Lastwall utilise uniquement des techniques de cryptographie reconnues
avec clés longues pour vérifier l'intégrité des fichiers : algorithmes de
hachage MD5 et SHA-1.
Ces algorithmes sont considérés comme inviolables : si un fichier est modifié, sa valeur
de hachage est forcément modifiée. Il est impossible de "fabriquer" de fausses valeurs
de hachage.
Le Dictionnaire Signé (Cf. celui de ce site) est lui-même
signé avec une clé RSA privée de 1024 à 4096 bits. Cela garantit qu'un attaquant ne
pourra modifier le Dictionnaire Signé. Enfin, La clé RSA privée est chiffrée avec un algorithme de
128 bits (Blowfiwh, CAST ou IDEA) et protégée par une passphrase.
Quels sont les modes de pilotage et d'Administration ?
Lastwall offre à l'Administrateur plusieurs types d'interface de pilotage
dans un but de confort maximal :
- Interface HTML utilisable à partir de tout navigateur compatible HTML 3.2 :
Windows, MacOs, Linux, terminaux légers.
- Interface ligne de commande uniformisée pour fabriquer des scripts et/ou
batchs customisés
et réutilisables sous Windows NT et UNIX.
Sous quels formats sont émis les alertes ?
La première solution consiste à utiliser une console qui supporte du HTML :
un CGI ou une Servlet fonctionne en boucle et déclenche des alertes visuelles et
sonores sur la console. Il est possible d'utiliser un nombre illimité de consoles Web
simultanément. Les alertes sont au format HTML 3.2 et véhiculées par un flux HTTP : tout
hardware qui comporte un navigateur et une connexion HTTP (Intranet, Internet) est
utilisable comme console.
Le deuxième mode de surveillance est par messagerie : toute alerte
peut être envoyée sous forme d'e mail, à un nombre illimité de destinataires.
Les alertes sont toujours signées avec un clé RSA privée :
cela signifie qu'elles peuvent être véhiculées sur des réseaux non surveillés et
non sécurisés.
Comment sont limitées les consommations de ressources sur les serveurs ?
Lastwall a été conçu pour s'intégrer dans un environnement de production avec un
overhead minime.
L'architecture client-serveur, qui fonctionne entre des OS différents,
permet d'isoler les opérations. Prenons le cas d'une station Windows NT qui
sert de console de monitoring d'un serveur Unix de production :
- Le module Lastwall "Monitor", qui effectue les opérations de calcul et contrôle
de signatures est installé sur la station Windows NT.
- Le "Socket Server", un simple module de communication TCP/IP est installé sur
le serveur Unix de production. Le Socket Server ne fait que des opérations de lecture des
fichiers, et ne consomme que très peu de ressources CPU.
Les schémas ci-dessous décrivent cette architecture client-serveur :
Quels sont les principes qui ont guidé la conception ?
1) La simplicité technique :
"Le pire ennemi de la sécurité est la complexité " (Bruce Schneier, gourou US en sécurité
et cryptographie). Lastwall se consacre uniquement à l'examen de l'intégrité des fichiers
et ne cherche pas à couvrir toute la chaîne de sécurité. Cette limitation du champ est
volontaire, car plus la complexité d'un logiciel augmente, plus augmente le risque
d'introduire des bogues et trous de sécurité. Du point de vue technique, il n'existe
qu'un seul byte code pour toutes les distributions : l'unicité du byte code réduit
la complexité des développement et accroît considérablement la facilité et vitesse
de maintenance et de correction.
2) La facilité d'administration
Nous avons voulu que l'installation, le paramètrage et l'exécution du logiciel
soient le plus simple possibles. Lastwall offre à l'Administrateur plusieurs
types d'interfaces dans un but de confort maximal :
Interface HTML et Interface ligne de commande.
Par ailleurs, le mode opératoire est strictement identique entre les plates-formes.
L'administrateur apprend rapidement un et un seul mode opératoire pour gérer toutes
ses plates-formes. Enfin, le mode client-serveur permet de gérer la surveillance de
dizaines de serveurs hétérogènes à partir d'un script unique.
3) La modularité
Lastwall est composé de modules indépendants, qui ont chacun un rôle précis
à effectuer. Le module de cryptographie est complètement isolé du module
de communication client-serveur, etc. Cette modularité favorise l'objectif
de simplicité : une fonction modifiée dans un module n'a aucun impact sur les
autres. Ce principe nous permettra d'éditer prochainement un module d'API
afin d'implémenter directement dans vos interfaces et logiciels les
fonctions d'administration.
Quels sont les environnements de fonctionnement ?
Lastwall est programmé en Java et fonctionne sur la majorité des systèmes
d'exploitation. Voici les environnements supportés par SafeLogic :
- UNIX :
- Sun Solaris.
- Linux (toutes distributions).
- AIX,
- Digital Unix.
- HP UX.
- IRIX.
- OS/400.
- Windows NT.
- Machine virtuelles Java (JVM)
Comment est sécurisé le site safelogic.com ?
En préambule : la sécurisation informatique par le secret ou "l'obscurité" n'est
pas considérée par les spécialistes comme une vrai sécurisation.
Il n'y donc pas de risque réel à
divulguer une configuration Web, d'autant plus que de nombreux outils ou services Web
permettent de détecter la majorité des éléments : adresse IP, OS, serveur Web, etc.
safelogic.com fonctionne
sur un serveur
Dell
dédié avec processeur Intel sous
Linux avec la distribution
RedHat 6.0 et un serveur
Web Apache 1.3.6.
La sécurisation a consisté en premier à retirer tous les services inutiles ou "dangereux" :
Telnet, rlogin, rsh, uucp, tftp, ftp, rcp, sendmail, mail, talk, etc.
Il ne reste que les ports 22 (SSH) et 80 (HTTP).
SSH ou Secure Shell
permet d'établir un lien chiffré entre un
client et le serveur. SSH remplace Telnet qui véhicule les informations en clair,
y compris
le password de connexion...
Un analyseur de réseau (tcpdump) a été installé, ainsi qu'un firewall pour tracer les
tentatives d'attaques.
Bien sûr, Lastwall surveille en continu les fichiers systèmes et applicatifs. Vous pouvez
librement consulter le Dictionnaire Source qui
établit la liste des fichiers à protéger, ainsi que le Dictionnaire Signé
qui contient toutes les adresses des fichiers avec leur signature numérique.
|
