(Cours S 351curit 351)
Description
Cours iTeam Sécurité La Politique de Sécurité Arnaud Aucher Page 1 08/02/2007 Sommaire Sommaire ....................................................................................................................................................... 2 Sources........................................................................................................................................................... 3 Programme..................................................................................................................................................... 3 Sécurité : une question essentielle !............................................................................................................... 4 Terminologie.................................................................................................................................................. 4 La sécurité des systèmes d’information..................................................................................................... 4 Le caractère privé....................................................................................................................................... 4 L’intégrité des données.............................................................................................................................. 4 La disponibilité ................................................................................................ ...
Sujets
Informations
| Publié par | Hamef |
| Nombre de lectures | 92 |
| Langue | Slovak |
Extrait
Cours iTeam Sécurité La Politique de Sécurité
Arnaud Aucher
Page 1
08/02/2007
Sommaire
Sommaire ....................................................................................................................................................... 2 Sources ........................................................................................................................................................... 3 Programme ..................................................................................................................................................... 3 Sécurité : une question essentielle ! ............................................................................................................... 4 Terminologie.................................................................................................................................................. 4 La sécurité des systèmes d’information ..................................................................................................... 4 Le caractère privé....................................................................................................................................... 4 L’intégrité des données .............................................................................................................................. 4 La disponibilité .......................................................................................................................................... 4 Notion de politique de sécurité d’un système d’information......................................................................... 5 Définition ................................................................................................................................................... 5 Analyse de risques (Outils n°1) ................................................................................................................. 5 Fault tree (Outils n°2) ................................................................................................................................ 6 L’identification et l’authentification .............................................................................................................. 8 L’identification .......................................................................................................................................... 8 L’authentification....................................................................................................................................... 8 Pourquoi s’identifier et s’authentifier ? ..................................................................................................... 8 Menaces ..................................................................................................................................................... 8 Le Contrôle d’accès ....................................................................................................................................... 9 Terminologie.............................................................................................................................................. 9 Préciser le contrôle d’accès........................................................................................................................ 9 Modes d’accès............................................................................................................................................ 9 Moyens....................................................................................................................................................... 9 Principe du moindre privilège.................................................................................................................... 9 Avantages des domaines de protection restreint ...................................................................................... 10 Mécanismes de contrôle........................................................................................................................... 10 Accès Hiérarchique .............................................................................................................................. 10 Listes d’accès ....................................................................................................................................... 10 Les Capacités ....................................................................................................................................... 10 Systèmes TAKE / GRANT .......................................................................................................................... 11 Représentation Graphique........................................................................................................................ 11 Définitions................................................................................................................................................ 11 Problème de sécurité ................................................................................................................................ 11
Arnaud Aucher
Page 2
08/02/2007
Sources
1. Notes de Cours Option sécurité Master1 Informatique d’Orsay 2. sécurité d’internet, de Stéphane Natkin, éditions Dunod.Les protocoles de
Programme
1. 08/02/07 : Politique de sécurité, Analyse de risques, Falt Tree, Solutions, Contrôle d’accès, … 2. extérieur sur le Correspondant auprès de la CNIL, à08/03/07 Conférence avec un intervenant confirmer ! 3. Film sur la vie de Kevin Mitnick : CYBERTRAQUE : importance du facteur humain :Social Engineering. Comme nous l’a encore confirmé dernièrement le directeur de la DST !!!
Arnaud Aucher
Page 3
08/02/2007
Sécurité : une question essentielle ! Pour obtenir plus de sécurité, il fautnécessairement restreindre les accès. Un exemple de politique de sécurité serait de réserver l’accès de ma maison à mes seuls amis : 0. Solution (niveau de confiance) 1. (implique que je fasse confiance aux gardiens).Louer des services de gardiennage 2. Placer des serrures sur les portes et fenêtres (implique que je fasse confiance aux serrures). 3. Mettre en place une vidéo surveillance en relation directe avec le poste de police 4. …
Terminologie
La sécurité des systèmes d’information Ce terme français couvre deux domaines qui sont distingués en anglais par les termes «safety» et «security». Premier aspect : méthodes et moyens mis en œuvre pouréviter les défaillances naturelles (safety). Un exemple de problème concret est la conception, la réalisation et la validation du système de pilotage automatique du métro Meteor. Ce métro est entièrement piloté par des ordinateurs reliés par réseau entre la rame et le sol. Ces ordinateurs sont chargés de fonctions complexes, allant de la gestion des voyageurs (ouverture et fermeture des portes) jusqu’à la conduite du métro proprement dite (courbe de vitesses, anticollision). Une défaillance résultant, soit d’un phénomène physique, soit d’une erreur de conception (en particulier du logiciel) peut avoir des conséquences catastrophiques. Dans ce cadre, des méthodes complexes d’architecture informatiques, de développement formel de logiciel, de validation et de tests ont été mises en œuvre. Le concept de sécurité est alors un des aspects du domaine plus général dela sûreté de fonctionnement des SI couvre toutes les méthodes de traitement des fautes et défaillances du qui logiciel et du matériel. Menace Physique : température, feu, gel, … Deuxième aspect : méthodes et moyens mis en œuvre pourse protéger contre les défaillances résultant d’une action intentionnelle(security) visant au vol ou au sabotage portant sur des SI. Prenons par exemple, le cas d’un organisme financier qui doit, d’une part,se protéger contre le vol d’argent électronique et, d’autre part,assurer la confidentialité de données, comme l’état des comptes de ses clients. Menaces humaines : vol, chantage, corruption; ou Menaces logiciels : virus, vers, cheval de Troie, dénis de service, …
Le caractère privé Faire en sorte que les informations, que je veux garder secrètes, le restent; et que celles que je veux communiquer à certain ne le soit pas par d’autres.
L’intégrité des données Faire en sorte que mes données et programmes ne soient pas remplacés, modifiés ou détruits.
La disponibilité Faire en sorte que je rende correctement et sans interruption les services que je suis censé rendre.
Arnaud Aucher
Page 4
08/02/2007
Notion de politique de sécurité d’un système d’information
Définition La sécurité des systèmes informatiques n’est qu’une toute petite partie du problème de sécurité des systèmes d’information. Il est évident qu’un voleur d’informations qui a le choix entre acheter quelques poubelles pleines et espionner avec un matériel complexe un réseau, choisira la première solution.Il n’est pas nécessaire de crypter des informations si tous les documents traînent en clair sur les bureaux. Il peut être impossible parfois d’éliminer ces mêmes documents pour des questions d’efficacité ou de sociologie. Il est donc inutile dans ce genre de situation de se poser des problèmes de pare-feu ou de cryptographie tant que n’est pasdéterminé ce qui doit être protégé contre quelles attaques cette et protection est envisageable. C’est l’objet d’une politique de sécurité de spécifier : Où, Quand, Quels moyens, …) qui détermine quel systèmeUn périmètre d’application (Qui, d’information est concerné. Les règles définissant les actions autorisées (Droits d’accès) ou interdites, réalisées par des hommes (Sujets de la politique) sur des hommes ou des biens matériels ou immatériels (Objets de la politique). La nature et la force des attaquants éventuels. des défaillances auxquelles elle doit être capable de résister.La nature
Analyse de risques (Outils n°1) Il s’agit d’une approche qualitative et quantitative de la sécurité : 1. Identifier l’Objet de la politiquequi doit être protégé. 2. Evaluer lesSourcespossibles de risque et placer la confiance. 3. Elaborer lesContre mesuresdes attaques possibles. Ex : Un aéroport 1. Les avions, le système de réservation, les systèmes d’information en général, les personnes, les bagages, les pilotes, l’argent, le contrôle aérien, … 2. Attardons nous sur l’avion et les bagages : a. Avion i. Sabotage ii. Défaut technique iii. étDrnouneme t iv. Phénomènes naturels v. Pilote, Incident dans le cockpit b. Bagages i. Perte ii. Vol iii. dation Dégra iv. Destruction v. Mauvaise destination 3. Attardons nous sur l’avion : a. Sabotage i. Restriction d’accès ii. Contrôle d’accès b. Défaut technique i. Mécaniciens vérification ii. Check-up et tests avant décollage
Arnaud Aucher
Page 5
08/02/2007
Fault tree (Outils n°2) Il s’agit de construire un arbre en suivant la méthode suivante : 1. racine qui représente le système à protéger.Commencer en haut par la 2. Répertorier les différentes vulnérabilités du système. 3. Déterminer comment ces vulnérabilités se combinent (Algèbre de Boole). 4. Continuer de raffiner l’arbre. 5. une entité en qui on place la confiance.S’arrêter à une feuille avec Ex 1 : Echec d’un examen
Sujet Correct
Mauvais Elève
Elève paresseux
Elève tro nul
Echec d’un examen
Mauvais Prof
Prof saoul
Sujet Erroné
Prof trop nul
Ex 2 : Version simplifiée d’une intrusion dans un système
Deviner le mot de asse
P (A) = 0.005
Arnaud Aucher
Intrusion du S stème
XOR
Exploitation d’une faille de base
P (B) = 0.05
Page 6
AND
Erreur dans la co ie
Erreur d’attention
Attaque d’une faille
Le prof ne t’aime as
Machine non mise à jour ou male confi urée
P (C) 0.1 =
08/02/2007
On en déduit la probabilité d’une possible intrusion : P (Intrusion) = P (A) XOR P (B AND C) = P (A) OR P (NOT (A) AND (B AND C)) = P (A) + (1 – P (A)) * P (B) P (C) * = 1% Ex 3 : Calcul de risques Victor a acheté 2 machines d’identification pour contrôler l’accès à une zone réservée aux seules personnes autorisées. La première teste les empreintes digitales et est caractérisée par un taux de fausse acceptation Pfa1 et un taux de faux rejet Pfr1 (sur 100 personnes Pfa1 personnes non autorisées sont faussement reconnues et acceptées et Pfr1 autorisées sont faussement reconnues et rejetées). La seconde machine utilise des photos du visage et a des taux correspondants Pfa2 et Pfr2. Victor n’est pas sûr de la manière dont il doit combiner ces machines, mais il pense aux 2 possibilités suivantes : 1. Une personne n’est acceptée que si elle est acceptée par les 2 machines. 2. acceptée par l’une ou l’autre des 2 machines.Une personne n’est acceptée que si elle est chacun des cas, en supposant que les 2Calculer les fausses acceptations et de faux rejets dans critères d’identification sont indépendants. Application numérique : Pfa1 = 0.1 ; Pfr1 = 0.2 ; Pfa2 = 0.3 ; Pfr2 = 0.4 Vous ne connaissez pas exactement les conditions précises d’utilisation des machines, que conseilleriez-vous à Victor ? Solutions : 1èrequestion a. Pfa total = Pfa1 * Pfa2 = 0.03 ; Raisonnement : AB Pfr total = Pfr1 + Pfr2 – Pfr1 * Pfr2 = 0.6 – 0.08 = 0.52 ; Raisonnement : A U B - AB b. Pfa total = Pfa1 + Pfa2 – Pfa1 * Pfa2 = 0.4 – 0.03 = 0.37 ; Raisonnement : A U B - AB Pfr total = Pfr1 * Pfr2 = 0.08 ; Raisonnement : AB 2ndequestion a. Si on privilégie Confort > Sécurité alors choix 2 b. Si on privilégie Sécurité > Confort alors choix 1
Arnaud Aucher
Page 7
08/02/2007
L’identification et l’authentification
L’identification C’est dire qui l’on est : le login, le nom d’utilisateur.
L’authentification C’est prouver que l’on est bien la personne que l’on prétend être : le password. La base de l’authentification repose sur le fait de faire la preuve que l’on possède un secret ou particularité (propriété) que l’on est seul à connaître ou posséder.
Pourquoi s’identifier et s’authentifier ? Pour réaliser le contrôle d’accès. Faciliter les Audits : pouvoir enregistrer les actions de chaque utilisateur, suivre leur parcours. (Login, Password) avec les données stockées par le systèmeSi il y a correspondance du couple alors on autorise les accès. TOCTOU : Time Of Check to Time Of Use, il s’agit du problème de l’écran de veille protégé par un mot de passe après une période d’inactivité de l’utilisateur.
Menaces Deviner le mot de passe (recherche exhaustive: programme générant tous les password si le système autorise plusieurs cas d’erreur, test de passe non limité ; ourecherche intelligente: dictionnaires). Voler ou acheter un mot de passe.NE JAMAIS sous estimer le facteur humain (Social Engineering). Corruption du fichier des passwords.
Arnaud Aucher
Page 8
08/02/2007
Le Contrôle d’accès
Terminologie Sujet : entité active, en général un processus. Objet : entité passive, en général une ressource. Modalité d’accès : lien entre le Sujet et l’Objet. les sujets qui ont le droit d’accéder à quels objets et de quelleContrôle d’accès : définit quels sont façon. Droit d’accès : Couple formé d’un objet et de son mode d’accès.
Préciser le contrôle d’accès Au niveau du sujet : on précise tout ce qu’un sujet a le droit de faire : SGBD. Au niveau de l’objet : on précise quels sujets ont le droit d’accéder à l’objet et comment : Système d’exploitation.
Modes d’accès Au niveau le plus élémentaire, un sujet peut soit observer un objet, soit l’altérer. Au niveau supérieur on a le modèle Bell-Lapadula : Exécuter Modifier Lire Ecrire Observer X X X Altérer X X Ex : Unix: Exécuter, Lire, Ecrire Windows NT: Exécuter, Lire, Ecrire, Supprimer, Changer les permissions, Changer le propriétaire, Accorder l’accès (GRANT), Révoquer (REVOKE), Décider (ALERTE), Dénier (DENY)
Moyens Mécanique de protection Hardware : Rigide Matrice de sécurité : OBJETS 1 Segment 1 ProcessusFile 1 2 File Processus 1Lire Exécuter Entrer SUJETS Processus 2 Ecrire Exécuter Lire, DROITS D’ACCES
Principe du moindre privilège Un programme ne peut pas endommager un objet auquel il n’a pas accès. Un programme est constitué d’un ensemble de modules (procédures). Le principe du moindre privilège implique que chaque procédure s’exécute dans le domaine le plus réduit possible (uniquement accès aux objets nécessaires). Arnaud Aucher Page 9 08/02/2007
Avantages des domaines de protection restreint Le degré de protection d’un système dépend du maillon le plus faible. On a observé que très souvent les systèmes lourds et rigides avaient une porte dérobée. Chaque fois que des mesures lourdes et rigides pénalisent les performances du système, l’expérience montre que les utilisateurs débranchent ces mesures. intéressant de distinguer différentes catégories d’utilisateurs (Administrateurs, Invités, …).Il est Le changement de domaine de protection rend très facile l’établissement de contrôles intermédiaires ou redondants. Certains problèmes ne supportent pas la rigidité : Cheval de Troie.
Mécanismes de contrôle
Accès Hiérarchique Le plus simple : 2 modes maître et esclave, super utilisateur et utilisateur. Ex : MULTICS
8 …
2 1 0
8 niveaux sachant que 0 = tout et le niveau (n+1) est inclus dans le niveau n. Chaque anneau est lié à un domaine de protection, la mémoire est segmentée. Chaque segment est associé de manière statique à un anneau. Les descripteurs sont des entiers de 0 à 7 et 3 bits contrôlant la lecture, écriture, exécution, … Chaque processus est associé à un domaine de protection à un instant donné. Quand un processus Pi s’exécute dans le domaine Di, il ne peut pas accéder à un segment Lj pour ji. Ce mécanisme ne permet pas d’implanter le principe de moindre privilège. En effet, le seul moyen de permettre l’accès au segment Lj est de changer le numéro de domaine de Pi en i = j. Mais alors Pi peut accéder à tous les segments de Dj.
Listes d’accès Chaque fois qu’un sujet souhaite accéder à un objet, le système explore la liste des modalités d’accès de l’objet pour voir si le sujet possède ou non les droits.
Les Capacités Nom Modalité d’Accès @ de l’Objet Editeur Exécuter @ Editeur Processus Lire, Exécuter @ Processus File n Lire, Ecrire @ File n Une capacité est un ticket d’entrée qui contient l’adresse d’un objet et une liste de modalités d’accès pour celui-ci. La possession d’une capacité pour un objet est le seul moyen de pouvoir y accéder. Le domaine de protection d’un processus à un instant donné est défini par la liste des capacités qu’il possè _ iste. de : C l Changer de domaine de protection revient à changer de C_liste. Arnaud Aucher Page 10 08/02/2007
Systèmes TAKE / GRANT
Représentation Graphique
Sujet
TpourTAKE GpourGRANT
Objet
Définitions Si P a un droit TAKE sur Q, alors P peut prendre et utiliser un droit possédé par Q. Si P a un droit GRANT sur Q, alors P peut donner (transmettre) un droit qu’il possède à Q. Si P crée ou possède un fichier F, alors il peut GRANT ses droits sur F à un autre processus Q. Si P contrôle un processus Q, alors il peut TAKE les droits de Q pour lui-même. T : on peut remonter le droit selon la flèche. G : on peut descendre le droit selon la flèche.
Problème de sécurité Un processus Q peut-il obtenir un droit d’accès R pour l’objet O ? Exemple 1 Montrer que dans les 2 cas suivants, p peut obtenir le droit r pour x : P a un droit G pour S et S a un droit R pour X. S a un droit T pour P et un droit R pour X.
Arnaud Aucher
OWN
P
R
S
G
R
Z
G, T
S R
R
X
X R R P Q T OWN T, G
Page 11
08/02/2007
© 2010-2024 YouScribe