Projet Authentic (fr)

Sécurité sur le réseau de l'UNIL avec AUTHENTIC: un réseau entre amis

Article de Ha Nguyen, ingénieur réseau au Centre informatique de l'Université de Lausanne, mars 2001, e-mail: Ha.Nguyen@unil.ch

Depuis les prémices d'Internet, le réseau de l'UNIL en a fait partie intégrante et ouverte, sans obstacle. La généralisation récente de son utlisation a fait apparaître, bon gré mal gré, des utilisations peu recommandables. Afin de continuer à pouvoir profiter de cet outil, sans en subir les conséquences néfastes, la mise en place d'une protection douce, sans contrainte trop astreignante, est proposée.

Imaginons un monde où l'être humain est parfait; le meilleur des mondes. Les logiciels (systèmes d'exploitation, logiciels d'application...) qu'il crée fonctionnent sans "bugs" et sont dans les mains d'utilisateurs tous chevronnés et consciencieux. Quant à la communauté Internet, chaque membre se comporte en vrai "gentleman", honnête et amical. Si tel est le cas, le terme sécurité informatique n'aurait même pas du être créé.

Hélas, la réalité est toute autre. Les logiciels de plus en plus complexes présentent de nombreuses failles de sécurité et nécessitent de fréquentes mises à jour que l'utilisateur néglige la plupart du temps. De l'autre côté, le niveau de connaissance du "hacker" (amateur ou non) s'est considérablement amélioré, aidé par la circulation tout à fait libre de documents qui décrivent en détails toutes ces failles et de programmes qui facilitent la mise en place d'une attaque. Il suffit d'ouvrir n'importe quel journal de la presse à grand tirage pour se rendre compte de l'ampleur du phénomène. Des sites aussi glorieux et bien protégés tels que Yahoo ou Amazon ont connu des heures noires. Plus près de chez nous, on se rappelle de l'attaque dont a été victime l'EPFZ il y a environ une année.

 

Etat des lieux

Depuis toujours, le réseau de l'UNIL a été à l'image d'un Internet idéal: ouvert et convivial. La communication interne, ainsi que de l'intérieur vers l'extérieur est complètement libre. Quant à l'accès depuis l'extérieur, certes il existe une liste "rouge" pour protéger quelques serveurs du Centre Informatique. Ainsi, les serveurs de distribution de logiciels soumis aux contraintes de licence ne sont pas visibles depuis Internet. Grâce aux efforts du groupe exploitation, l'informatique administrative bénéficie d'une protection poussée. En dehors de ces quelques restrictions, le reste (c'est-à-dire la majorité des machines) demeure ouvert.

Au fil du temps et des partenariats, le réseau de l'UNIL s'est ouvert de nombreuses portes vers le monde extérieur. Nos services internes et l'accès à Internet sont offerts à un certain nombre d'institutions telles que le CHUV, l'IDHEAP, etc. Ces dernières ont été pratiquement considérées comme faisant partie du réseau de l'UNIL. En outre, on est connecté à certains réseaux privés (le réseau cantonal vaudois, le réseau FOLAC, Reuters). Comme toute autre université suisse, l'UNIL accède à Internet via le réseau SWITCH.

Jusqu'à ce jour, l'UNIL n'a pas (encore) connu d'attaques graves. Certes, de temps en temps il arrive qu'une machine Unix d'un institut se fasse pirater. Pourtant, avec nos équipements de mesure on relève à tout instant de la journée (et de la nuit), des tentatives venant du monde entier pour sonder nos machines. La majorité de ces tentatives ne durent pas longtemps et proviennent probablement de simples curieux. D'autres sont plus persistantes et menaçantes. Dans ces conditions, il est temps de remettre en question notre approche de la sécurité tout en évitant de tomber dans le piège de la paranoïa. Avant tout, il apparaît judicieux de déterminer où sont nos problèmes et nos faiblesses. Ainsi, une solution pratique peut être proposée.

 

Situer le problème

La figure 1 nous montre les éléments concernés par le problème de la sécurité. Dans chaque machine reliée au réseau, on distingue la partie réseau, le système d'exploitation et les applications. Dans cet article, on ne va aborder que le premier élément. La sécurisation de chaque élément nécessite des compétences bien spécifiques. Vu l'existence de zone de recouvrement, un effort de coordination reste nécessaire afin d'obtenir une solution globale cohérente. Relèvons encore que la sécurité ne se résume pas à un seul problème d'ordre technique. L'aspect humain joue un rôle très important, l'utilisateur et le hacker étant des êtres humains avec leurs réactions rationelles et irrationelles. Quelle que soit la solution adoptée, il faudrait fournir un grand travail d'explication et de formation afin de sensibiliser l'utilisateur pour qu'il puisse jouer le jeu. Avant de mettre en place une solution de sécurité, il est utile de comprendre la psychologie du hacker afin de le combattre efficacement. Dans ce qui suit, on va essayer de déterminer où se trouvent les talons d'Achille et de démystifier certains on-dits dans le contexte de l'UNIL.


Figure 1. Eléments concernés

Le protocole IP a été conçu à la base pour un fonctionnement "normal". Il montre cependant de nombreuses failles qui sont facilement exploitables par des hackers mal intentionés. Malgré la vulnérabilité de leur driver TCP/IP, les PC et les Mac ne constituent pas vraiment une source de souci au niveau réseau (En revanche, ils sont bien sensibles aux problèmes de virus. Comme annoncé plus haut, cet aspect concerne le système d'exploitation et les applications, et ne sera pas traité dans cet article). Par contre, le système Unix constitue la cible de choix des hackers. De par sa complexité, il nécessite un grand effort d'administration et un certain niveau de connaissance. Chaque nouvelle version introduit de nouveaux bugs qui nécessitent de fréquents "patch". Chaque institut possède ses propres machines qui sont gérées généralement par des chercheurs. Ces derniers sont déjà surchargés par leur tâche de recherche et d'enseignement. On imagine qu'il serait très difficile d'exiger d'eux qu'ils fournissent encore le même niveau de travail qu'un ingénieur système Unix engagé à temps plein. Le problème risque d'empirer avec l'arrivée de Linux peu gourmand en ressources matérielles et qu'on arrive à faire fonctionner sur un simple PC. Ce qui a comme effet d'augmenter rapidement le parc de machines Unix. Etant donné que ces machines sont souvent utilisées pour offrir des services à un grand nombre d'utilisateurs (par exemple comme serveur web), elles attirent naturellement le hacker. Un autre risque est encore plus probable: le hacker détecte que l'UNIL possède des machines puissantes et une bande passante importante vers Internet, et s'en sert pour monter une attaque contre un autre site beaucoup plus en vue. C'est ce scénario qu'a subi récemment l'EPFZ.

De nombreuses études, surtout américaines, rapportent que la majorité des attaques proviennent de l'intérieur, chiffres à l'appui (80%). On constate qu'il n'en est rien à l'UNIL. Nos utilisateurs sont probablement plus "civilisés". C'est légitime et raisonnable de continuer à faire confiance au trafic à l'intérieur de l'UNIL et depuis l'intérieur vers l'extérieur. Certes, il y a eu quelques rares cas d'abus où une personne récupère de gros fichiers sur Internet. Ce trafic anormal augmente la facture de l'UNIL, mais ne menace pas la sécurité du réseau. Par contre, si une machine interne se fait pirater par un hacker depuis l'extérieur, elle peut être utilisée pour s'attaquer à d'autres. Dans ce cas, le danger est loin d'être négligeable, car le trafic intérieur n'est soumis à aucun contrôle.

On peut classer les nombreuses portes vers l'extérieur en trois groupes, par ordre croissant de soucis en matière de sécurité:

  • Groupe 1: Ce groupe englobe l'ISREC, l'IDHEAP, le CHUV, le CEP et le BIOPOLE. On les a pratiquement assimilés comme faisant partie de l'UNIL. Jusqu'à ce jour, l'expérience nous a montré qu'aucune attaque ne provient de ces institutions et qu'une telle confiance est bien méritée.
     
  • Groupe 2: Ce groupe de portes nous relie vers les réseaux privés du canton de Vaud, FOLAC et Reuters. Là aussi, on n'a jamais eu de problèmes. Etant donné que l'UNIL n'a aucun contrôle sur ces réseaux, il faut quand même être plus attentif.
     
  • Groupe 3: Il comprend SWITCH. C'est par SWITCH que l'UNIL est reliée à Internet, source de nos plus gros soucis. Pratiquement toutes les attaques connues par le Ci viennent par ce chemin. Actuellement, il existe des demandes pour créer des points d'accès pour les réseaux sans fil. Un tel accès devrait être assigné à ce groupe de sécurité, car l'onde radio traverse les murs et il se peut qu'une personne puisse se connecter tout en se trouvant en dehors d'un bâtiment.

Il apparaît évident que les utilisateurs ne doivent pas créer eux-mêmes leur propre porte d'entrée. En effet, il est dangereux de connecter un modem sur sa machine de bureau et ouvrir ainsi complètement l'UNIL à soi-même et à ses amis privés via le réseau téléphonique public. Une personne qui arrive à s'introduire par cette voie ne sera pas soumise aux contrôles mis en place aux portes officielles et tout se passe comme si elle se trouve à l'intérieur de l'UNIL.

Au vu de tout ce qui a été dit précédemment, on pourrait être tenté de se dire qu'il suffit d'interdire tout accès depuis Internet (tout en permettant l'accès en direction d'Internet), car c'est là l'origine de tous les dangers. Mais une telle solution n'est pas du tout acceptable dans notre contexte où la mobilité des gens est un fait de tous les jours. Employés, chercheurs, enseignants et étudiants désirent avoir accès aux services de l'UNIL comme s'ils s'y trouvaient, mais depuis leur domicile ou depuis une autre université où ils sont en visite. Des projets communs entre un institut et l'extérieur posent les même exigences et problèmes d'accès.

 

Ebauche de solution

Il n'existe pas UNE seule solution au problème de la sécurité. C'est avant tout une question de bon sens. Une banque ne se protège pas de la même manière qu'une université. Les enjeux de l'une et de l'autre sont tellement différents. Même d'une université à l'autre, les sensiblités ne sont pas les mêmes et changent au cours du temps. Car la sécurité a un prix. On est confronté au dilemme suivant: comment introduire le maximum de sécurité sans diminuer (ou très peu) le confort (la productivité) de l'utilisateur et la fiabilité du réseau.

La suite de cet article va tenter d'esquisser quelques idées qui permettraient de proposer une solution pratique pour améliorer la sécurité du réseau de l'UNIL. Pour commencer, on va aborder surtout le sujet de la prévention, tout en sachant que les aspects liés à la détection (comment détecter l'intrusion qui a pu passer à travers malgré les efforts de prévention) et à la réaction (comment réagir en cas de détection d'intrusion) ne doivent pas être négligés et seront traités ultérieurement.

Comme on l'a vu auparavant, le degré de risque étant très faible pour le trafic à l'intérieur de l'UNIL et pour celui de l'intérieur vers l'extérieur, il apparaît juste de n'y imposer aucune restriction. Par contre, vis-à-vis de l'accès depuis l'extérieur, on peut regrouper les ressources de l'UNIL en trois catégories:

  • Liste rouge:
    actuellement elle existe déjà et permet de protéger des machines ou certains services sur ces machines (Voir "Etat des lieux"). En cas de besoin, les machines d'institut peuvent aussi y figurer sur demande.
     
  • Liste verte:
    elle rend toujours visible certaines machines ou une partie de leurs services. Des serveurs d'institut peuvent sur demande y figurer, à condition qu'ils respectent un certain niveau de et que le besoin soit justifié. Dans ce cas, le Ci délègue la responsabilité à l'institut en question qui doit s'assurer que le serveur ainsi exposé ne soit pas utilisé comme tremplin pour atteindre les machines contenues dans les listes rouge et orange.
     
  • Liste orange:
    elle comprend tacitement tout ce qui n'est pas dans les deux listes précédentes, c'est-à-dire la majorité des machines de l'UNIL, et offre une protection via une procédure d'authentification obligatoire.

Pour comprendre cette procédure d'authentification, on va maintenant décrire un scénario typique d'accès où un chercheur de l'UNIL est en visite dans une autre université et désire de temps en temps se connecter à son institut d'origine (voir figure 2):


Figure 2. Procédure d'authentification

  1. Depuis n'importe quelle machine, il cherche à ouvrir une page web de l'UNIL.
     
  2. Sa requête est interceptée par le coupe-feu qui lui envoie une fenêtre d'authentification où il doit entrer son nom d'utilisateur et son mot de passe usuels (voir figure 3).
     
  3. Le coupe-feu contrôle son identité en s'adressant à la base de données existante des utilisateurs de l'UNIL. Une fois correctement authentifié, le coupe-feu lui ouvre la porte et il peut continuer son travail normalement. On pourrait même envisager la possibilité de définir dans la base de données des privilèges d'accès spécifiques à chaque groupe d'utilisateurs (un étudiant n'a pas les mêmes besoins d'accès qu'un employé administratif). Cette procédure d'autorisation permet de configurer plus finement la sécurité des machines de la liste orange.


Figure 3. Fenêtre d'authentification

Cette approche n'exige qu'un effort minimal de la part de l'utilisateur. Pour lui faciliter encore la tâche, il peut aussi utiliser une session telnet ou ftp pour l'authentification. On sait que n'importe quel ordinateur possède au moins l'une de ces trois applications courantes, et on évite ainsi l'obligation d'avoir à installer sur son poste de travail un logiciel trop spécifique qui risque de ne pas exister sur toutes les plates-formes. Ce principe d'authentification de personne et non de machine reste ouvert à la mise en oeuvre d'autres méchanismes plus sûrs (système du type "one-time password" par exemple) mais aussi moins confortables pour l'utilisateur.

Le lecteur attentif ne manquera pas de relever que l'introduction du coupe-feu et la dépendance vis-à-vis de la machine qui contient la base de données des utilisateurs, rendent le réseau moins fiable. Des solutions existent pour pallier à cet inconvénient:

  • Le coupe-feu peut être secondé par un deuxième de backup qui remplace automatiquement le premier en cas de panne.
     
  • On peut aussi dédoubler la base de données. Le coupe-feu interroge les deux machines. Si l'une seule répond, il utilise cette réponse. Si les deux répondent, il peut même se permettre le luxe de comparer les deux réponses avant acceptation. Qui sait si l'une d'entre elles n'a pas été déjà piratée?

Un dernier souci: l'UNIL possède actuellement un lien rapide avec SWITCH, l'introduction d'un tel coupe-feu va-t-il nous ralentir ? Il s'agit d'une technologie déjà mûre et on trouve sur le marché des produits performants qui supportent du trafic jusqu'au Gbps.

 

Conclusion

La solution décrite impose un minimum de désagrément pour l'utilisateur. Elle devrait diminuer sensiblement les risques si elle s'accompagne d'une coopération volontaire de chacun de nous.

Lorsqu'on n'a jamais eu de problème, il est bien facile de défendre l'idée d'un réseau complètement libre d'accès au nom de l'esprit d'ouverture académique. Mais dès qu'on se retrouve victime d'une attaque sérieuse et sans défense par manque de préparation, la perception du danger change rapidement et on risque même de passer d'une extrême à l'autre. Une politique de sécurité ne doit pas se faire dans la précipitation, dictée par les événements externes qu'on ne peut maîtriser. D'où l'utilité du projet actuellement en cours à l'UNIL Il s'agit là d'un sujet hautement "sensible", nous en sommes bien conscients. Au moins essayons de maîtriser la partie technique dans l'attente du feu vert politique. Que le débat soit ouvert.

Partagez: