Archives 2010

14
décembre 2010

INSIA - Cryptologie : Cours N°5

Rédigé par Matthieu CERDA   Aucun commentaire   Mis à jour le  14/12/2010

Wouhou enfin un autre cours de PKI \o/

Le cours commence par l'étude d'un document sur la sécurisation des WLAN dans une grande entreprise télécom multinationale.

  • On note qu'il n'y a qu'un leader et 4 éditeurs/co-éditeurs, en revanche il y a une grande quantité de contributeurs de plusieurs grands noms de l'IT (Transpac, Equant et Orange) qui sont la pour s'assurer de sa qualité.

  • La table des matières montre les grands temps dans le projet, définition du scope, objectifs a remplir et enfin les technologies proposées.

  • Technologies listées : WPA/RSN 802.11i/802.1x/IPSec/PKI

  • Le scope pose le problème suivant : <X> est une entreprise multinationale très hétérogène ayant intégré beaucoup de petits groupes, le wifi est une "hot issue" (un truc peu apprécié mais qu'il vaut mieux intégrer pour pouvoir le contrôler tant que c'est encore possible).

  • On distingue plusieurs zones : Corporate, Corporate roaming (support du roaming et la VoWIP (Voice over Wireless IP), Home (désigné en tant qu'accès distant et hors propos du document), Public (accès depuis un réseau extérieur, hors propos), Visitor corporate, External Visitor ("removes temptation to attach unauthorised equipment to the corporate network", mais il vaut mieux utiliser la solution 3G maison).

  • On remarque que des solutions maison sont déja semblables au niveau des besoins.

  • On cherche a rester aussi sécurisé possible : WIDS (rogue AP, clients compromis), Management de bandes radio (on évite que les ondes n'aillent pas trop loin, antennes dirigées vers le bâtiment et brouilleurs dehors), Sécurisation des composants du réseau RF (SSH obligatoire ou tunneling).

  • Sécurité opérationnelle : logging, recurring audit and accountability, gestion des incidents, identification claire des rôles de monitoring (création d'une "police du wifi").


Les clients sont soumis aux restrictions suivantes :

  • Un firewall personnel obligatoire, pas de connexions doubles, authentification par port 802.1x, chiffrement/intégrité des données forts, échange de clés sécurisé, no SSID-broadcast, authentification bi-facteur (un truc physique et un mdp, smart card), protection des identifiants utilisateurs, management centralisé des utilisateurs (alerte si deux utilisateurs identiques connectés a des endroits différends), mots de passe forts absolument obligatoires, motd détaillé et définition claire des droits de l'utilisateur (bannières et chartes).


Les visiteurs eux sont soumis aux restrictions suivantes :

  • Filtrage de trafic, séparation du trafic et management du service public, protection des identifiants, contrôle d'accès, management centralisé des comptes invités, "Terms and conditions of usage", Mécanisme de verrouillage automatisé (mots de passe échoués trop souvent, brute force), limitation de bande passante, sécurisation et authentification du portail captif.


On remarque que la solution proposée est :

WPA/TKIP/EAP-TLS/Certif-Token/Certificat Machine

au contraire de la solution idéale : WPA2-802.11i-RSN/EAP-TLS/Certificat utilisateur/Certificat machine

Anecdote marrante : on ne peut pas utiliser une photo du prof sur téléphone portable pour se logguer sur sa machine via webcam, ça marche pas. (AVEC SON AUTORISATION !!!)

Nous étudions ensuite un rapport publié par le SGDN ( TrueCrypt faillible ?, dcssi-cspn-cible_2008-03fr.pdf est le rapport draft, tc_dcssi.pdf le rapport complet ) :

  • On cherche a savoir si TrueCrypt est fiable En et Hors Machine.

  • TrueCrypt chiffre lui même intelligemment ses headers sur le disque. Il est donc impossible sans la clé de savoir avec certitude que c'est bien un volume truecrypt, car en plus le point d'entrée est placé aléatoirement.

  • On peut aussi chiffrer le disque système (mais en ce cas le bootstrap est détectable).

  • On peut surchiffrer le disque entier, afin de laisser une partition cachée (en fonction du mot de passe entré, on a accès a l'une ou l'autre.)

  • Le fonctionnement peut utiliser soit une clé ou bien une clé + un fichier.

  • Idée : utiliser clé + fichier et définir une séquence dans laquelle utiliser le fichier

  • Il y a un risque de compromission de la clé maître avec l'utilisation du swap.


Se renseigner sur Keynectis / OpenTrust / IDEALX, et tester TrueCrypt.

08
décembre 2010

ZALGO

Rédigé par Matthieu CERDA   3 commentaires   Mis à jour le  08/12/2010

He Waits Behind The Wall, in a palace of tortured glass, served by legions forged from the tears of the sleepless dead and clad in armor carved from the suffering of mothers. In his right hand he holds a dead star, and in his right hand he holds the Candle Whose Light Is Shadow. His left hands are stained with the blood of Am Dhaegar. He sings the song that ends the earth. The hivemind that confounds the living, and perpetuates the torture of the damned. He takes the eyes, the window of the soul, removes the ability to feel...anything but pain. Once the eyes have been removed, the soul is removed. The living husk is testament to cruelty and everlasting doom. He cannot be stopped, as fear cannot be stopped. He is inseparable from reality, as he exists beyond the veil...waiting.

Lire la suite de ZALGO

Classé dans : IRL Mots clés : aucun


06
décembre 2010

INSIA – CCNA : Cours N°1

Rédigé par Matthieu CERDA   Aucun commentaire   Mis à jour le  06/12/2010

Un exemple de configuration type Cisco pour un routeur, avec une sécurisation de base :
[code lang="shell"]
# configure terminal
# --- GENERAL ---
(config)# hostname FAI
(config)# enable secret class
(config)# line console 0
# --- VTYs ---
(config-line)# password cisco
(config-line)# login
(config-line)# logging synchronous
(config-line)# exec-timeout 3 30
(config-line)# exit
(config)# line vty 0 15
(config-line)# password cisco
(config-line)# login
(config-line)# exec-timeout 3 30
(config-line)# logging synchronous
(config-line)# exit
(config)# banner motd "Avez-vous les droits ?"
# --- INTERFACE ETHERNET ---
(config)# interface fa0/0
(config-if)# description Réseau client 1
(config-if)# ip address 192.168.10.254 255.255.255.0
(config-if)# no shutdown
(config-if)# exit
# --- INTERFACE SERIE ---
(config)# interface se0/0
(config-if)# description Réseau FAI 1 DCE 64000 Kbps
(config-if)# clock rate 64000
(config-if)# bandwith 64 # En Kbps !
(config-if)# encapsulation hdlc # Par défaut
(config-if)# ip address 200.200.200.5 255.255.255.252
(config-if)# no shutdown
(config-if)# exit
# --- ROUTAGE RIP ---
(config)# router rip
(config-router)# network X.X.X.X
(config-router)# exit
(config)# exit
%SYS-5-CONFIG_I: Configured from console by console
[/code]

Un exemple de configuration type Cisco pour un switch, avec une sécurisation de base :
[code lang="shell"]
# configure terminal
(config)# interface Vlan 1
(config-if)# ip address 192.168.10.253 255.255.255.0
(config-if)# no shutdown
(config-if)# exit
# --- INTERFACE ETHERNET - VLANs ---
(config)# interface fa0/0.100
(config-if)# description Réseau client VLAN 100
(config-if)# encapsulation dot1Q 100 # VLAN 100
(config-if)# bridge-group 1
(config-if)# exit
[/code]

Debuggage :

  • En cas d'interface up / down, penser a :



  1. Vérifier l'encapsulation

  2. Vérifier si l'on est DCE ou DTE et si la commande clock rate est réglée en conséquence (show controller s0/0, vérifier le message CLOCK STOPPED)

Classé dans : INSIA Mots clés : aucun


16
novembre 2010

INSIA - Cryptologie : Cours N°4

Rédigé par Matthieu CERDA   Aucun commentaire   Mis à jour le  16/11/2010

Et c'est parti pour de nouvelles aventures !
On commence le cours sur le phénomène de la "folle de charcot" : Une personne peut trouver intuitivement une information en étant en état d'hypersensibilité.

Le professeur aborde avec beaucoup de poésie le hacking éthique.

Quels sont les problèmes rencontrés dans la sécurisation des sites :

  • Le pognon$$$

  • Les failles humaines : négligeance, coût humain, volonté de préserver son travail.

  • Les failles logicielles


Exemple : un serveur, dans les toilettes, sous les tuyaux d'eau, sans ventilation, avec les sauvegardes posées sur le serveur, a l'abandon.

Pourquoi le problème n'est pas aussi connu que ça ?

  • Plus le réseau est grand plus le risque d'être faillible est grand


La crypto permet de contourner le problème : il n'y a plus besoin de réparer toutes les failles très vite, on ralentit les choses.

Une petite présentation ancienne ayant pour sujet une étude de sécurité dans une grande entreprise d'énergie française est faite, et on remarque que le réseau est un vrai gruyère : des vulnérabilités sont présentes a beaucoup de niveaux. Les intervenants extérieurs conseillent la création de "bulles de sécurité", afin de parer au plus urgent.

Le projet est lancé avec une deadline de 3 mois, avec pour objectif de créer un système résistant, mais rencontre une forte opposition des équipes en place qui créent un projet concurrent. (3/2 ans de moratoire et migration vers MS Vista, et organisation d'une journée de la sécurité au stade de france)

Bilan au bout des 2 ans de moratoire : la situation est toujours aussi pourrie, les mdp sont triviaux et tout est vulnérable. Une preuve de concept est présentée pour discréditer toute opposition, et exhibe de manière explicite toutes les failles ...

Une seconde présentation est faite, ayant pour source le Groupe Gartner : Il y a 10 défis pour un groupe informatique

  1. Sécuriser les données

  2. Assurer la continuité d'activité

  3. Nettoyer les réseaux hérités du passé

  4. Organiser la mobilité

  5. Faire plus avec moins

  6. Garantir les performances du système

  7. Certifier l'informatique (normes ISO, etc...)

  8. Simplifier l'infrastructure informatique

  9. Simplifier l'accès aux applications et aux données


Proverbe Texan : "If you always do what you always did, you always get what you always got"

On évolue vers un nouveau paradigme :

  • S (écurité) : de bout en bout

  • A (ccès) : ATTAWAD (AnyTime, AnyWhere, Any Device)

  • C (ontinuité) : Interne et Externe


Grâce a la virtualisation, il devient possible de protéger assez simplement l'information.

Création de systèmes "Secure by design" => Isolation totale de toutes les couches d'opération de l'entreprise.

On gère plusieurs zones séparées, sans interconnexion directe => sandboxes, dont plusieurs implémentations sont proposées aujourd'hui : Citrix, Windows vServer ...

Ce type d'infrastructure est dite "OSS" ou "Bastion".