La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

La scurit des rseaux

(c) Guillaume Desgeorge 2000
guill@guill.net

http://www.guill.net/
Pourquoi les systmes sont-ils vulnrables?
Les mcanismes de scurit sur un exemple de rseau
Cryptographie : chiffrement et signature
Le commerce lectronique
Les firewalls
Les serveurs proxy
Les VPN
Les systmes de dtection d'intrusions

Pourquoi les systmes sont vulnrables

Cette page est inspire entre autre d'un article de Dorothy Denning qui sappelle " Protection and defense of
intrusion " et qui a valeur de rfrence dans le domaine de la scurit des rseaux.
Quest que la scurit ?
Faire de la scurit sur un rseau consiste s'assurer que celui qui modifie ou consulte des donnes du systme
en a l'autorisation et qu'il peut le faire correctement car le service est disponible.
Quelques chiffres
Aprs un test de 12 000 htes du Dpartement de la dfense amricaine, on retient que 1 3% des htes ont des
ouvertures exploitables et que 88% peuvent tre pntrs par les relations de confiance.
Notons que seules 4% de ces attaques sont dtects et que 5% de ces 4% sont rapportes.
Enfin, notons que le nombre de voleurs dinformations a augment de 250% en 5 ans, que 99% des grandes
entreprises rapportent au moins un incident majeur et que les fraudes informatiques et de tlcommunication ont
totaliss 10 milliards de dollars pour seuls les Etats-Unis.
1290 des plus grandes entreprises rapportent une intrusion dans leur rseau interne et 2/3 dentre elles cause de
virus.
Pourquoi les systmes sont vulnrables ?
- La scurit est cher et difficile. Les organisations nont pas de budget pour a.
- La scurit ne peut tre sr 100%, elle est mme souvent inefficace.
- La politique de scurit est complexe et base sur des jugements humains.
- Les organisations acceptent de courir le risque, la scurit nest pas une priorit.
- De nouvelles technologies (et donc vulnrabilits) mergent en permanence.
- Les systmes de scurit sont faits, grs et configurs par des hommes (errare humanum est !).
- Il nexiste pas dinfrastructure pour les clefs et autres lments de cryptographie.
- Ltat interdit la cryptographie dans certains cas (exportation, par exemple) dans certains pays, ce qui empche

1 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

le cryptage systmatique au niveau du systme dexploitation.

Pourquoi un systme ne peut tre sr 100%
Il est impossible de garantir la scurit totale dun systme pour les raisons suivantes :
- Les bugs dans les programmes courants et les systmes dexploitation sont nombreux.
- La cryptographie a ses faiblesses : les mots de passe peuvent tre casss.
- Mme un systme fiable peut tre attaqu par des personnes abusant de leurs droits.
- Plus les mcanismes de scurit sont stricts, moins ils sont efficaces.
- On peut sattaquer aux systmes de scurit eux-mmes
Mthodes utilises pour les attaques
- La ngligence interne des utilisateurs vis vis des droits et autorisations daccs.
- Se faire passer pour un ingnieur pour obtenir des infos comme le mot de passe.
- Beaucoup de mot de passe sont vulnrables une attaque systmatique.
- Les clefs de cryptographie trop courtes peuvent tre casses.
- Lattaquant se met lcoute sur le rseau et obtient des informations.
- IP spoofing : changer son adresse IP et passer pour quelquun de confiance.
- Injecter du code dans la cible comme des virus ou un cheval de Troie.
- Exploitation des faiblesses des systmes dexploitation, des protocoles ou des applications.
Outils des attaquants
- Programmes et scripts de tests de vulnrabilit et derreurs de configuration (satan).
- Injection de code pour obtenir laccs la machine de la victime (cheval de Troie).
- Echange de techniques dattaques par forums et publications.
- Utilisation massive de ressources pour dtruire des clefs par exemple.
- Les attaquant utilisent des outils pour se rendre anonyme et invisible sur le rseau.
Principales technologies de dfense
-

Authentification : vrifier la vracit des utilisateurs, du rseau et des documents.

Cryptographie : pour la confidentialit des informations et la signature lectronique.
Contrles daccs aux ressources (physiquement aussi).
Firewalls : filtrage des trames entre le rseau externe et le rseau interne.
Audit : tudes des fichiers de log pour reprer des anomalies.
Logiciels anti-virus (2/3 des attaques sont des virus).
Programmes de tests de vulnrabilit et derreurs de configuration (satan).
Dtection dintrusion : dtection des comportements anormaux dun utilisateur ou des attaques connues.

Exemple pour la scurit

Cette page essaie, par un exemple concret et volontairement trs simple, de montrer les menaces qui psent sur
un rseau et les mthodes pour minimiser ces menaces. On va tudier le rseau classique suivant :

2 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

Description du rseau scuriser

Nous avons un rseau d'entreprise,
comportant un routeur, permettant l'accs
Internet. Sous ce routeur se trouve le rseau
interne, compos simplement d'un hub,
reliant un serveur et des stations de travail.
Sur ce serveur se trouve des informations
sensibles qui pourrait intresser l'espion
d'une autre entreprise. On y trouve aussi des
bases de donnes utilises par plusieurs
employs dans diverses applications,
comme Durand et Dupond. Dupond est un
commercial qui sillonne la France. Il peut se
connecter au serveur de n'importe o grce
Internet.

Identifier les informations protger

Le serveur contient des informations sensibles : si personne ne consulte rgulirement ces informations, il n'y a
aucune raison de les laisser sur le serveur connect au rseau... Il ne faut pas tent le diable, et les informations
confidentielles ne resteront sur le rseau qui si c'est ncssaire!
Une base de donnes est utilise par plusieurs employs mais contient des informations confidentielles. Dans ce
cas, le serveur doit garder ces informations. Il faudra mettre sur le serveur un srieux contrle d'accs pour assurer
l'authentification des utilisateurs qui ont besoin de ces donnes. Les autres requtes seront rejetes, mme si
elles proviennent d'employs de l'entreprise. Chaque ordinateur ne sera accessible qu'avec un login et un mot de
passe.
Le serveur contient des informations confidentielles : il faut que le serveur soit physiquement protg... Rien ne
sert de scuris le rseau pour empcher l'espionnage si quelqu'un peut s'emparer du disque dur!
Politique de scurit
Une fois que les informations sensibles sont repres, il s'agit de choisir une politique de scurit. On fait du caf,
on s'installe dans la belle salle de runion, et on discute... pour se mettre d'accord sur la politique de scurit : on
choisit ce qui est autoris et ce qui est interdit. Les outils mis en place par la suite respecteront cette politique de
scurit, et devront mme la reflter.
Sensibilisation des utilisateurs
Une politique de scurit doit se faire avec les utilisateurs : ils doivent comprendre cette politique et respecter un
certain nombre de rgle en relation avec cette politique. Par exemple, il parait vident qu'ils ne doivent
communiquer leur login et mot de passe personne, pas mme leurs collgues. De mme, il est bien connu qu'il
ne faut pas ouvrir les fichiers attachs au email venant de personnes inconnus o dont le contenu est suspect.
Des notes d'informations devront sensibiliser les utilisateurs. Ces rgles s'appliquent tous, y compris
l'administrateur du rseau...
Les virus
Deux tiers des attaques se font par virus : chaque poste doit dispos d'un logiciel anti-virus mis jour
rgulirement!
Les virus se transmettent principalement par disquettes, mais peuvent aussi se faire par mail. Les fichiers les plus
susceptibles d'en contenir sont bien sr les xcutables (.com, .exe), mais galement tous les documents
pouvant contenir des macros (Microsoft Office est un nid virus! Mfiez-vous surtout des macros Word)...
Scurit minimum

3 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

Tout ceci est le minimum en matire de scurit. Ils ne coutent quasiment rien. On les reprend un par un :
- authentification des utilisateurs par login et mot de passe.
- suppression des informations confidentielles des machines relies au rseau si elles n'ont pas besoin d'y tre.
- protection physique des machines contenant des informations sensibles (locaux ferms clef).
- contrle pour l'accs aux informations sensibles, avec un login dlivr uniquement pour ceux qui en ont besoin.
- sensibilisation des utilisateurs aux problmes de scurit.
- installation d'un logiciel anti-virus jour sur chaque poste.
Le problme des accs distants
Les donnes qui circulent sur Internet peuvent, priori tre vues de tous. Cela dit, il faut voir si quelqu'un irait
jusqu' couter le rseau pour obtenir les informations manipules par Dupond. Pour scuriser la liaison, mme en
passant par Internet, il faut utiliser ce qu'on appelle un VPN. Avec une liaison VPN (Virtual Private Network), les
donnes sont chiffres, et personne, priori, ne peut les lire. Tous ce passe exactement comme si Dupond tant
directement connect l'entreprise sans passer par Internet, d'o le nom de rseau priv virtuel.
Firewall et proxy
Afin d'viter que des attaques puissent venir d'internet par le routeur, il convient d'isoler le rseau interne de
l'entreprise. La mthode la plus connue est le firewall et le serveur proxy, mais il n'y a pas que a... Par exemple,
sur les routeurs, il est possible de faire du filtrage de paquets ou de la translation d'adresse pour qu'une personne
de l'extrieur ne puisse ni accder, ni voir ce qu'il y a l'intrieur.
Un firewall est une entit qui fait cette opration de filtrage. On va pouvoir analyser les donnes qui rentre et les
interdire si elles ne proviennent pas de quelqu'un de connu ou si elles ne rpondent pas une requte interne. Le
firewall, plac l'entre du rseau, constitue ainsi un unique point d'accs par o chacun est oblig de passer...
Le serveur Proxy, lui, permet de faire le relais au niveau des applications pour rendre les machines internes
invisibles l'extrieur. Si personne l'extrieur ne peut voir les machines internes, l'attaques est beaucoup plus
difficile, car l'attaquant est aveugle! N'oubliez quand mme pas que 80% des attaques proviennent de l'intrieur du
rseau et non de l'extrieur...
Logiciel de dtection systmatique d'erreurs
Les pirates utilisent des logiciel de test de la configuration pour reprer les failles du systme qu'ils attaquent. Je
ne citerai ici que Cops et Satan. Ces logiciels permettent de faon automatique de chercher les erreurs de
configuration ou les vulnrabilits du systme. Si vous les utilisez avant le pirate et que vous rparez ces failles,
ce sera moins facile pour lui!
Systme de dtection d'intrusions
Enfin, une fois que tout cela est en place, si vraiment vous tes paranoaques, vous pouvez utiliser un logiciel de
dtection d'intrusions. Comme pour une alarme dans une maison, ce logiciel met une alarme lorsqu'il dtecte que
quelqu'un de non-autoris est entr sur le rseau.
A l'heure actuelle, ces logiciels sont encore remarquablement inefficace car ils passent leur temps crier au loup
alors qu'il n'y a personne dans la bergerie...
Aprs scurisation
Voil ce que a donne, mais ne vous fiez pas aux apparences : quelqu'un qui a dcid d'entrer...

4 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

Cryptographie : chiffrement et signature

Le chiffrement
Le chiffrement des donnes fut invent pour assurer la confidentialit des donnes. Il est assur par un systme
de cl (algorithme) appliqu sur le message. Ce dernier est dcryptable par une cl unique correspondant au
cryptage.
Il existe lheure actuelle deux grands principes de cryptage : le cryptage symtrique bas sur lutilisation dune
cl prive et le cryptage asymtrique qui, repose sur un codage deux cls, une prive et lautre publique.
Le cryptage symtrique
Le cryptage cl priv ou symtrique est bas sur une cl (ou algorithme) partage entre les deux parties
communicantes. Cette mme cl sert crypter et dcrypter les messages. Les algorithmes de chiffrement les
plus connus sont : Kerberos, DES (Data Encryption Standard) et RSA.
Le principal problme est le partage de la cl : Comment une cl utilise pour scuriser peut tre transmise sur un
rseau inscuris ? La difficult engendre par la gnration, le stockage et la transmission des cls (on appelle
lensemble de ces trois processus le management des cls : key management) limite le systmes des cls
prives surtout sur Internet.
Pour rsoudre ces problmes de transmission de cls, les mathmaticiens ont invent le cryptage asymtrique
qui utilise une cl prive et une cl public.
Le cryptage asymtrique
Ce systme de cryptage utilise deux cls diffrentes pour chaque utilisateur : une est prive et nest connue que
de lutilisateur ; lautre est publique et donc accessible par tout le monde.
Les cls publique et prive sont mathmatiquement lies par lalgorithme de cryptage de telle manire quun
message crypt avec une cl publique ne puisse tre dcrypt quavec la cl prive correspondante. Une cl est

5 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

donc utilise pour le cryptage et lautre pour le dcryptage.

Ce cryptage prsente lavantage de permettre le placement de signatures numriques dans le message et ainsi
permettre lauthentification de lmetteur.
Le principal avantage du cryptage cl publique est de rsoudre le problme de lenvoi de cl prive sur un rseau
non scuris. Bien que plus lent que la plupart des cryptage cl prive il reste prfrable pour 3 raisons :
- Plus volutif pour les systmes possdant des millions dutilisateurs
- Authentification plus flexible
- Supporte les signatures numriques
Signature
Dans toute transaction professionnelle, les deux parties doivent offrir une garantie de leur identit. La signature
numrique et le certificat sont des moyens didentification de lmetteur du message.
Signature numrique
Le principe de la signature numrique consiste appliquer une fonction mathmatique sur une portion du
message. Cette fonction mathmatique sappelle fonction de hachage et le rsultat de cette fonction est appel
code de hachage. Ce code fait usage demprunte digitale du message. Il faut noter que la fonction est choisie de
telle manire quil soit impossible de changer le contenu du message sans altrer le code de hachage.
Ce code de hachage est ensuite crypt avec la cl prive de lmetteur et rajout au message. Lorsque le
destinataire reoit le message, il dcrypte ce code grce la cl publique de la source puis il compare ce code
un autre code quil calcule grce au message reu. Si les deux correspondent, le destinataire sait que le message
na pas t altr et que son intgrit na pas t compromise. Le destinataire sait aussi que le message provient
de lmetteur puisque seul ce dernier possde la cl prive qui a crypt le code.
Ce principe de signature ft amlior avec la mise en place de certificats permettant de garantir la validit de la cl
public fourni par lmetteur.
Les certificats
Pour assurer lintgrit des cls publiques, les cls publiques sont publies avec un certificat. Un certificat (ou
certificat de cls publiques) est une structure de donnes qui est numriquement signe par une autorit certifie
(CA : Certification Authority) une autorit en qui les utilisateurs peuvent faire confiance. Il contient une srie de
valeurs, comme le nom du certificat et son utilisation, des informations identifiant le propritaire et la cl publique ,
la cl publique elle mme , la date dexpiration et le nom de lorganisme de certificats. Le CA utilise sa cl prive
pour signer le certificat et assure ainsi une scurit supplmentaire.
Si le rcepteur connat la cl publique du CA, il peut vrifier que le certificat provient vraiment de lautorit
concerne et est assur que le certificat contient donc des informations viables et une cl publique valide.

Commerce lectronique et paiement en ligne

Le commerce lectronique
Le commerce lectronique, qui existait dj avec le minitel partir de 1980, vit avec Internet un vritable essor. Il
sagit de toutes les transmissions de donnes pour des activits commerciales.
Les enjeux conomiques pour ce type doprations, et notamment la vente en ligne, sont trs importants. On
estime, dans le monde, quil y a 550 millions dinternautes pour un chiffre daffaire li au commerce lectronique de

6 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

7 milliards de dollars. Sur 250 000 sites, 100 000 ont un but commercial !
On retrouve sur Internet, et dans la vente en ligne, les mmes acteurs que dans la vie : le commerant, qui veut
tre pay, le consommateur, qui veut payer sans crainte et simplement, et la banque, qui se veut garant de la
bonne marche des oprations. Les produits qui fonctionnent le mieux (enqute de fvrier 1997) sont les produits
informatiques, les livres, CD et vidos, et tout ce qui touche aux voyages et loisirs.
Gnralement, les sites de vente mettent en ligne une description du produit et des photos (comme une vitrine), et
propose une commande en ligne avec plusieurs moyens de payement Cest justement laspect payement qui
est le point sensible de lchange.
Le problme du paiement sur Internet
Les paiements sont notamment limits par les lois du pays qui nautorisent pas forcement le libre chiffrement des
informations (cest le cas en France). Les internautes sont encore trs frileux pour la consommation sur Internet,
car ils ne savent pas ce quon fait de leur numro de carte de crdit lorsquils le donnent, et ont peur que quelquun
dautre ne le rcupre.
En rgle gnral, les sites de vente propose soit un paiement traditionnel (par chque), soit un paiement en ligne
(par carte de crdit). Les inconvnients du paiement traditionnel est vident en terme de dlais et dchange de
devises avec les pays trangers.
Deux possibilits existent pour le paiement en ligne. La premire possibilit est le porte-monnaie lectronique, qui
est gr par un organisme tiers et qui correspond une carte virtuel sur laquelle on dpose de largent. Cette
solution est gnralement utilise pour les produits de faible cot. La deuxime solution est le paiement
directement avec sa carte de crdit, comme tout autre achat. Cest la que les problmes de scurit commence et
que la peur des consommateurs se fait sentir.

La scurit du paiement
Les risques sont multiples. Le commerant peut modifier le montant dbiter ou vendre un produit qui nexiste pas
et que le client ne recevra jamais. Le client, lui, peut utiliser une carte qui nest pas la sienne, contester avoir
pass une commande ou avoir un dcouvert la banque. Enfin, une tiers personne peut rcuprer les informations
sur la carte de crdit et les utiliser
Il sagit donc de scuriser les changes en sassurant quils sont chiffrs (confidentialit), que ceux qui y
participent sont bien ceux quils disent tre (authentification), que les donnes nont pas t modifies (intgrit). Il
faut galement pouvoir certifier que les changes ont bien eu lieu (non rpudiation) et que le client peut payer.
Il existe plusieurs mcanismes pour assurer une certaine scurit :
- SSL : Secure Socket Layers : cest de loin le plus utilis, il assure le chiffrement des changes mais ne garantit
pas que le marchand va vous livrer, ni que le client peut payer. On sait que lchange est scuris car ladresse
http:// est remplace par https:// et un cadenas apparat en bas de votre navigateur.
- SET : Secure Electronic Transaction : chiffrement des donnes de la carte de crdit, signature des messages et
authentification des diffrents acteurs de lchange.
- C-SET : Chip Secure Electronic Transaction : Cest une extension de SET avec un lecteur de carte. Ces deux
systmes sont compatibles, mais C-SET permet de contrler davantage de chose de faon physique (vrification
de la carte, etc). Ce systme est aussi sr quun paiement par carte bancaire dans un magasin.
Dautres mcanismes de scurit existe mais ne devrait pas tre utiliss pour le paiement.

Conclusion : Faut-il avoir peur de payer sur Internet ?

Aprs avoir pay des annes sur le minitel, on se pose la question de la scurit sur Internet pour le paiement en

7 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

ligne. Ce quil faut se dire, cest quon peut sans problme se fier une entreprise qui a pignon sur rue, comme
fnac.fr, amazon.com, ou internic.net et que dans ce cas, les craintes ne sont pas justifies. Par contre, il faut se
mfier des sites tape--lil inconnus jusque l Cest peut-tre pour a quil est difficile de faire sa place sur
Internet !
Le principal risque, en effet, est que le commerant en face vous ne soit pas srieux ou que son entreprise soit
fictive. Le risque de se faire voler son numro de carte bleue nest pas nul, mais il est improbable Pourquoi ?
Regardez le dernier ticket de paiement que vous avez reu en utilisant votre carte de crdit : ny voyez-vous pas le
numro de carte qui y figure ? Le commerant garde toujours un double de ce ticket alors pourquoi quelquun
irait dcrypter des numros de cartes de crdit sur Internet ? Vous avez dj donn votre numro de carte tous
les commerants de France et de Navarre !

Firewalls
Voici la traduction de quelques questions et rponses d'une FAQ sur les firewalls. Je me suis permis de ladapter
et dajouter certaines choses, ce qui nengage que moi Cette FAQ, en anglais, peut tre retrouve dans son
intgralit l'adresse suivante : http://www.interhack.net/pubs/fwfaq/ et http://www.clark.net/pub/mjr/pubs/fwfaq/

Qu'est-ce qu'un firewall?

Un firewall est un systme ou un groupe de systme qui gre les contrles daccs entre deux rseaux. Plusieurs
mthodes sont utilises lheure actuelle. Deux mcanismes sont utiliss : le premier consiste interdire le
trafic, et le deuxime lautoriser.
Certains firewalls mettent beaucoup dnergie empcher quiconque de passer alors dautres tendent tout
laisser passer. La chose la plus importante comprendre est quil reprsente une politique de contrle daccs.
Vous devez avoir une ide prcise de cette politique dans son ensemble pour savoir ce que vous devez autoriser
ou interdire.

De quoi protge un firewall?

Certains firewalls laissent uniquement passer le courrier lectronique. De cette manire, ils interdisent toute autre
attaque quune attaque bas sur le service de courrier. Dautres firewalls, moins strictes, bloquent uniquement les
services reconnus comme tant des services dangereux.
Gnralement, les firewalls sont configurs pour protger contre les accs non authentifier du rseau externe.
Ceci, plus quautre chose, empche les vandales de se logger sur des machines de votre rseau interne, mais
autorise les utilisateurs de communiquer librement avec lextrieur.
Les firewalls sont galement intressants dans le sens o ils constituent un point unique o laudit et la scurit
peuvent tre imposs. Tous les changes passeront par lui. Il pourra donner des rsums de trafic, des
statistiques sur ce trafic, ou encore toutes les connexions entre les deux rseaux.

De quoi ne protge pas un firewall?

Un firewall ne protge pas des attaques qui ne passe pas par lui Certaines entreprises achtent des firewalls
des prix incroyables alors que certains de leurs employs sont parfois connects par modem au monde extrieur.
Il est important de noter quun firewall doit tre la mesure de la politique de scurit globale du rseau. Il ne sert
rien de mettre une porte blinde sur une maison en bois Par exemple, un site contenant des documents
top-secret na pas besoin dun firewall : il ne devrait tout simplement pas tre connect Internet, et devrait tre

8 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

isol du reste du rseau !

Une autre chose contre laquelle un firewall ne peut vous protger est les traitres et les idiots qui sont lintrieur
de lentreprise Si un espion industriel dcide de faire sortir des donnes, il y arrivera, surtout sur disquette Il
vaut mieux vrifier qui a accs aux informations que de mettre un firewall dans ce cas !

Que dire des virus?

Les firewalls ne protge pas trs bien des virus. Il y a trop de manires diffrentes de coder des fichiers pour les
transfrer. En dautres termes, un firewall ne pourra pas remplacer lattention et la conscience des utilisateurs qui
doivent respecter un certain nombre de rgles pour viter les problme La premire tant bien videmment de ne
jamais ouvrir un fichier attach un mail sans tre sr de sa provenance.
Il faut prendre des mesures globales et importantes contre les virus. Avant de traquer les virus lentre du rseau,
il faut sassurer que chaque poste de travail dispose dun anti-virus. Les virus passe galement trs facilement par
disquette Les virus sur Internet son bien moins important que les virus sur disquette.
Quoiquil en soit, de plus en plus de vendeurs de firewalls vous offrent des firewalls qui dtectent les virus. Ils
permettent probablement darrter les virus simples. Ne comptez pas sur leur protection !

Quelles sont les points prendre en compte pour un firewall?

Il y a un certain nombre de rgles qui doivent tre prise par le chanceux qui a reu la responsabilit de configurer
et de grer le firewall.
Le plus important est de reflter la politique de scurit choisit par lorganisation. Entre tout interdire et tout
autoriser, il y a diffrent degrs de paranoa. Le choix final doit tre le rsultat dune politique globale de scurit
plus que dune dcision dun ingnieur
La deuxime est de savoir le degr de contrle que vous voulez. Aprs avoir analyss les risques, il faut dfinir ce
qui doit tre autoris et interdit.
Le troisime point est financier : cest de savoir le busget que vous allouez au firewall. Un firewall complet peut tre
gratuit, ou coter 100 000 dollars. La solution gratuite, comme la configuration dun routeur, ne cote rien sinon
beaucoup de temps et de caf. Dautres solutions coteront cher au dpart et peu ensuite Il est important de
considrer le prix de dpart, mais aussi celui du support.
Un firewall cote cher et prend beaucoup de temps administrer Vrifiez que vous avez des bijoux avant
dacheter un coffre-fort hi-tech !

Qu'est-ce qu'un proxy?

Le but d'un serveur proxy est d'isoler une ou plusieurs machines pour les protger, comme indiqu sur le schma :

9 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

Les machines A doivent se connecter au rseau par lintermdiaire du serveur Proxy. Ce dernier sert de relais
entre le rseau et les machines cacher. Ainsi, les machines du rseau B auront l'impression de communiquer
avec le proxy, et non les machines A.
Pour les applications du rseau B, l'adresse IP du client sera celle du serveur Proxy. Par exemple, lors dune
connexion un serveur HTTP, le browser se connecte au serveur proxy et demande laffichage dune URL. Cest le
serveur proxy qui gre la requte et qui renvoie le rsultat votre browser.
Ainsi, en utilisant un numro de port diffrent, le proxy oblige toutes les requte passer par lui en supprimant les
trames dont le numro de port ne lui correspond pas.
De plus, le proxy possde un avantage supplmentaire en termes de performances. Si deux utilisateurs
demandent peu de temps dintervalle la mme page, celle-ci sera mmorise dans le proxy, et apparatra donc
beaucoup plus rapidement par la suite.
Ce procd est trs intressant en termes de scurit sur Internet, les machines sont protges. Le serveur proxy
peut filtrer les requtes, en fonctions de certaines rgles.

Les VPN et le protocole PPP

Quest-ce quun VPN ?
Les rseaux privs virtuels (VPN : Virtual Private Network) permettent lutilisateur de crer un chemin virtuel
scuris entre une source et une destination. Avec le dveloppement dInternet, il est intressant de permettre ce
processus de transfert de donnes scuris et fiable. Grce un principe de tunnel (tunnelling) dont chaque
extrmit est identifie, les donnes transitent aprs avoir t chiffres.
Un des grands intrts des VPN est de raliser des rseaux privs moindre cot. En chiffrant les donnes, tout
se passe exactement comme si la connexion se faisait en dehors dInternet. Il faut par contre tenir compte de la
toile, dans le sens o aucune qualit de service nest garantie.
Comment marche un VPN ?
Le principe du VPN est bas sur la technique du tunnelling. Cela consiste construire un chemin virtuel aprs
avoir identifi lmetteur et le destinataire. Ensuite la source chiffre les donnes et les achemine en empruntant ce
chemin virtuel.
Les donnes transmettre peuvent appartenir un protocole diffrent dIP. Dans ce cas le protocole de tunnelling
encapsule les donnes en rajoutant une entte. Permettant le routage des trames dans le tunnel. Le tunneling est
lensemble des processus dencapsulation, de transmission et de dsencapsulation.

10 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

A quoi sert un VPN ?

Auparavant pour interconnecter deux LANs distants, il ny avait que deux solutions, soit les deux sites distants
taient relis par une ligne spcialise permettant de raliser un WAN entre les deux sites soient les deux
rseaux communiquaient par le RTC.
Une des premire application des VPN est de permettre un hte distant daccder lintranet de son entreprise
ou celui dun client grce Internet tout en garantissant la scurit des changes. Il utilise la connexion avec
son fournisseur daccs pour se connecter Internet et grce aux VPN, il cre un rseau priv virtuel entre
lappelant et le serveur de VPN de lentreprise.
Cette solution est particulirement intressantes pour des commerciaux sillonnant la France : ils peuvent se
connecter de faon scurise et do ils veulent aux ressources de lentreprise. Cela dit, les VPN peuvent
galement tre utilis lintrieur mme de lentreprise, sur lintranet, pour lchange de donnes confidentielles.
Services des VPN
Ces VPN nont pas comme seul intrt lextension des WAN moindre cot mais aussi lutilisation de services ou
fonctions spcifiques assurant la QoS et la scurit des changes. Les fonctionnalits de scurit sont matures
mais par contre la rservation de bandes passantes pour les tunnels est encore un service en dveloppement
limit par le concept mme dInternet.
La qualit de service (QoS) est une fonctionnalit importante des VPN nest pas encore une technologie assez
mature et les solutions proposes sur le march lheure actuelle ne permettent que des garanties sur des
rseaux locaux propritaires, cest pourquoi peu dISP proposent leurs clients des solutions VPN.
La scurit des changes est assure plusieurs niveaux et par diffrentes fonctions comme le cryptage des
donnes, lauthentification des deux extrmits communicantes et le contrle daccs des utilisateurs aux
ressources.
Principaux protocoles de VPN
Il existe sur le march trois principaux protocoles :
- PPTP (Point to Point Tunnelling Protocol) de Microsoft
- L2F (Layer Two Forwarding) de Cisco
- L2TP (Layer Two Tunnelling Protocol) de lIETF

PPTP (Point to Point Tunnelling Protocol)

Cest un protocole de niveau 2 qui encapsule des trames PPP dans des datagrammes IP afin de les transfrer sur

11 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

un rseau IP. PPTP permet le cryptage des donnes PPP encapsules mais aussi leur compression.
Le schma suivant montre comment un paquet PPTP est assembl avant dtre transmis par un client distant vers
un rseau cible.

Lintrt de PPTP est de ne ncessiter aucun matriel supplmentaire car les deux logiciels dextrmit (le client
et le serveur) sont intgrs dans NT4. Par contre, il ne fonctionne que sous NT pour le moment.

L2F (Layer Two Forwarding)

L2F est un protocole de niveau 2 qui permet un serveur daccs distant de vhiculer le trafic sur PPP et
transfrer ces donnes jusqu un serveur L2F (routeur). Ce serveur L2F dsencapsule les paquets et les envoie
sur le rseau. Il faut noter que contrairement PPTP et L2PT , L2F na pas besoin de client.
Ce protocole est progressivement remplac par L2TP qui est plus souple.

L2TP (Layer Two Tunnelling Protocol)

Microsoft et Cisco, reconnaissant les mrites des deux protocoles L2F et PPTP , se sont associs pour crer le
protocoles L2TP. Ce protocole runit les avantages de PPTP et L2F.
L2TP est un protocole rseau qui encapsule des trames PPP pour les envoyer sur des rseaux IP, X25, relais de
trames ou ATM. Lorsquil est configur pour transporter les donnes sur IP, L2TP peut tre utilis pour faire du
tunnelling sur Internet. Mais L2TP peut aussi tre directement mis en uvre sur des supports WAN (relais de
trames) sans utiliser la couche de transport IP.
On utilise souvent ce protocole pour crer des VPN sur Internet. Dans ce cas, L2TP transporte des trames PPP
dans des paquets IP. Il se sert dune srie de messages L2TP pour assurer la maintenance du tunnel et dUDP
pour envoyer les trames PPP dans du L2TP.

12 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

PPP : Point-to-Point Protocol

Introduction
PPP fut dvelopp pour transfrer des donnes sur des liens synchrones ou asynchrones entre deux points en
utilisant HDLC comme base dencapsulation et un Frame Check Sequence (FCS) HDLC pour la dtection des
erreurs. Cette liaison permet le full duplex et garantit lordre darrive des paquets.
Une fonctionnalit intressante de ce protocole est le multiplexage simultan de plusieurs protocoles de niveau 3
du modle OSI.
Ce protocole encapsule des paquets IP,IPX et NetBEUI, dans des trames PPP, puis transmet ces paquets
PPP encapsuls travers la liaison point point. PPP est donc utilis entre un client distant et un serveur daccs
distant.
Le protocole PPP est dcrit dans la RFC 1331.
Format de la trame PPP

Fanion

: sparateur de trame. Un seul drapeau est ncessaire entre 2 trames.

Adresse : Le champ adresse correspond une adresse HDLC, or PPP ne permet pas un adressage

individuel des stations donc ce champ doit tre 0xFF (toutes les stations), toute adresse non
reconnue fera que la trame sera dtruite.
: Le champ contrle doit tre 0x03, ce qui correspond une trame HDLC non numrote.
Toute autre valeur fera que la trame sera dtruite.

contrle

: La valeur contenue dans ce champ doit tre impaire, loctet de poids fort tant pair. Ce
champ identifie le protocole encapsul dans le champ informations de la trame. Les diffrentes
valeurs utilisables sont dfinies dans la RFC « assign number » et reprsentent les
diffrents protocoles supports par PPP (OSI,IP,Decnet IV,IPX,), les NCP associs ainsi que les
LCP.
Protocole

: De longueur comprise entre 0 et 1500 octets, ce champ contient le datagramme du

protocole suprieur indiqu dans le champ »protocole ». Sa longueur est dtecte par
le drapeau de fin de trame, moins 2 octets de contrle
Informations

FCS (Frame Check Sequence) : Ce champ contient la valeur du checksum de la trame. PPP vrifie le

contenu du FCS lorsquil reoit un paquet. Le contrle derreur appliqu par PPP est conforme
X25.

Le protocole LCP
Ce protocole de contrle de liens est charg de grer les options et les liens crs. LCP est utilis pour tablir,
maintenir, et fermer la liaison physique.

13 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

Dans loptique dtre transportable sur un grande nombre denvironnements, PPP comprend un protocole de
contrle de liens LCP (Link Control Protocol) pour tablir, configurer, tester, et terminer le lien. LCP est utilis pour
manipuler les tailles variables des paquets, en effet selon le protocole dencapsulation slectionn dans le champ
protocole,la taille du champ options/donnes nest pas la mme. Ces fonctions de test permettent de dtecter un
lien boucl sur lui mme ou toute autre erreur classique de configuration. Dautres fonctionnalits optionnelles
comme lauthentification didentit des extrmits, et la dtermination de ltat du lien peuvent savrer
intressantes.
L en-tte est le suivant :

Code : Dfinit , sur un octet, le type de paquet LCP :

1 : Configure request - 2 : Configure Ack - 3 : Configure NAK - 4 : Configure Reject - 5 : Terminate Request - 6 :
Terminate Ack - 7 : Code Reject - 8 : Protocol Reject - 9 : Echo Request - 10 : Echo Reply - 11 : Discard Request
- 12 : Link quality report
Identifiant

: Ce champ contient une valeur numrique qui sert la gestion des requtes et des

rponses.
: Longueur totale du paquet LCP. Ce paquet comprend le code, lidentifiant, la longueur
et les donnes.
Longueur

: Ce champ de taille variable peut contenir une ou plusieurs configuration

doptions. Le format dune configuration doptions LCP possde 3 champs : type, longueur et
donnes.

Donnes / Options

- Longueur : Longueur de la configuration doptions, cest dire la longueur des trois champs : type, longueur et
donnes.
- Type : Cet octet indique la configuration doptions ou de donnes choisie : Paquets de configurations, paquets de
fin de connexion, paquets dtruits ou paquets de test.

Les systmes de dtection d'intrusions

Ce rapport est une partie de ma recherche bibliographique de DEA : c'est une synthse d'article de recherche sur
la dtection d'intrusions fate en fvrier 2000.

1 Introduction

1.1 Pourquoi les systmes sont-ils vulnrables?

La scurit est devenue un point crutial des systmes d'informations. Cependant, les organisations sont peu ou
pas protges contre les attaques sur leur rseau ou les htes du rseau. Dorothy DENNING, aprs avoir donn
des chiffres montrant l'importance du nombre d'attaques dans le monde, nous donne des raisons visant
dmontrer la vulnaribilit des systmes d'informations.
La premire raison qui fait que les systmes sont mal protgs est que la scurit cote chre. Les organismes
n'ont pas de budget allou ce domaine. Elle souligne galement que la scurit ne peut tre sr 100%, voire
qu'elle est mme souvent innefficace. Aurobino SUNDARAM nous en donne les raisons : les bugs dans les

14 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

programmes sont courants et seront toujours exploitables par les attaquants. De plus, mme la cryptographie a
ses faiblesses et les mots de passe, par exemple, peuvent tre casss. Il n'existe pas d'organisation centralise
grant l'ensemble des clefs et autres lments de cryptographie. Enfin, mme un systme fiable peut tre attaqu
par des personnes abusant de leurs droits lgitimes.
Dorothy DENNING ajoute d'autres raisons dmontrant la vulnrabilits des systmes : la politique de scurit est
complexe et est base sur des jugements humains. On trouve notamment des faiblesses dues la gestion et la
configuration des systmes. Il y a aussi en permanence de nouvelles technologies qui mergent, et par l-mme,
de nouveaux points d'attaques. En dernier point, les organisations acceptent de courir ce risque, la scurit n'tant
pas leur principale priorit.
Pour exploiter ces faiblesses, les attaquants profitent de la ngligence des utilisateurs vis--vis de leurs droits et
autorisations d'accs, en se faisant passer pour un employ du service informatique dans le but d'obtenir des
informations. Ils peuvent aussi casser les clefs d'une longueur insuffisante ou les mots de passe par une attaque
systmatique. Ils peuvent se mettre l'coute sur le rseau pour obtenir des informations. Ils peuvent changer leur
adresse rseau pour se faire passer pour quelqu'un de confiance. Ils ont la possibilit d'injecter du code comme un
virus ou un cheval de Troie sur la cible. Enfin, ils peuvent exploiter les faiblesses des applications, des protocoles
ou des systmes d'exploitation.

1.2 Introduction la scurit des systmes d'informations

Etant donn le nombre de systmes attaqus ces dernires annes et les enjeux financiers qu'ils abritent, les
systmes d'informations se doivent aujourd'hui d'tre protgs contre les anomalies de fonctionnement provenant
soit d'une attitude intentionnellement malveillante d'un utilisateur, soit d'une faille rendant le systme vulnrable.
Du fait du nombre toujours croissant de personnes ayant accs ces systmes par le biais d'Internet, la politique
de scurit se concentre gnralement sur ce point d'entre du rseau interne. La mise en place d'un pare-feu est
devenu indispensable afin d'interdire l'accs aux paquets indsirables. On peut, de cette faon, proposer une vision
restreinte du rseau interne vu de l'extrieur et filtrer les paquets en fonction de certaines caractristiques telles
qu'une adresse ou un port de communication.
Cependant, ce systme de forteresse est insuffisant s'il n'est pas accompagn d'autres protections. Citons la
protection physique des informations par des accs contrls aux locaux, la protection contre les failles de
configuration par des outils d'analyse automatique des vulnrabilits du systme, ou encore la protection par des
systmes d'authentification fiables pour que les droits accords chacun soient clairement dfinis et respects,
ceci afin de garantir la confidentialit et l'intgrit des donnes.
Faire de la scurit sur des systmes d'informations consiste s'assurer que celui qui modifie ou consulte des
donnes du systme en a l'autorisation et qu'il peut le faire correctement car le service est disponible.
Mme en mettant en place tous ces mcanismes, il reste encore beaucoup de moyens pour contourner ces
protections. Pour les complter, une surveillance permanente ou rgulire des systmes peut tre mise en place :
ce sont les systmes de dtection d'intrusions. Ils ont pour but d'analyser tout ou partie des actions effectues sur
le systme afin de dtecter d'ventuelles anomalies de fonctionnement.

1.3 L'audit de scurit

L'audit de scurit permet d'enregistrer tout ou partie des actions effectues sur le systme. L'analyse de ses
informations permet de dtecter d'ventuelles intrusions. Les systmes d'exploitation disposent gnralement de
systmes d'audit intgrs, certaines applications aussi. Les diffrents vnements du systmes sont enregistrs
dans un journal d'audit qui devra tre analys frquemment, voire en permanence. Sur les rseaux, il est
indispensable de disposer d'une base de temps commune pour estampiller les vnements.
Voici les types d'informations collecter sur les systmes pour permettre la dtection d'intrusions. On y trouve les
informations sur les accs au systme (qui y a accd, quand et comment), les informations sur l'usage fait du
systme (utilisation du processeur, de la mmoire ou des entres/sorties) et les informations sur l'usage fait des
fichiers. L'audit doit galement permettre d'obtenir des informations relatives chaque application (le lancement ou
l'arrt des diffrents modules, les variables d'entre et de sortie et les diffrentes commandes excutes). Les

15 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

informations sur les violations ventuelles de la scurit (tentatives de commandes non autorises) ainsi que les
informations statistiques sur le systme seront elles aussi ncessaires.
Notons que ces nombreuses informations occupent beaucoup de place et sont trs longues analyser. Ces
informations devront tre, au moins pour un temps, stockes quelque part avant d'tre analyses par le systme
de dtection d'intrusions.

2 Classification des systmes de dtection d'intrusions

Pour classer les systmes de dtection d'intrusions, on peut se baser sur plusieurs variables. La principale
diffrence retenue est l'approche utilise, qui peut tre soit comportementale, soit par scnarios. Nous verrons
ensuite d'autres paramtres permettant de classer les diffrents systmes de dtection d'intrusions.

2.1 Approche comportementale et approche par scnarios

Dans les traces d'audit, on peut chercher deux choses diffrentes. La premire correspond l'approche
comportementale, c'est--dire qu'on va chercher savoir si un utilisateur a eu un comportement dviant par rapport
ses habitudes. Ceci signifierait qu'il essaye d'effectuer des oprations qu'il n'a pas l'habitude de faire. On peut en
dduire, soit que c'est quelqu'un d'autre qui a pris sa place, soit que lui mme essaye d'attaquer le systme en
abusant de ses droits. Dans les deux cas, il y a intrusion.
La deuxime chose que l'on peut chercher dans les traces d'audit est une signature d'attaque. Cela correspond
l'approche par scnarios. Les attaques connues sont rpertories et les actions indispensables de cette attaque
forment sa signature. On compare ensuite les actions effectues sur le systme avec ces signatures d'attaques.
Si on retrouve une signature d'attaque dans les actions d'un utilisateur, on peut en dduire qu'il tente d'attaquer le
systme par cette mthode.
Plusieurs mthodes diffrentes peuvent tre mises en oeuvre pour dtecter le comportement dviant d'un individu
par rapport un comportement antrieur considr comme normal par le systme. La mthode statistique se
base sur un profil du comportement normal de l'utilisateur au vu de plusieurs variables alatoires. Lors de l'analyse,
on calcule un taux de dviation entre le comportement courant et le comportement pass. Si ce taux dpasse un
certain seuil, le systme dclare qu'il est attaqu. Les systmes experts, eux, visent reprsenter le profil d'un
individu par une base de rgles cre en fonction de ses prcdentes activits et recherchent un comportement
dviant par rapport ces rgles. Une autre mthode consiste prdire la prochaine commande de l'utilisateur avec
une certaine probabilit. Notons galement l'utilisation des rseaux de neurones pour apprendre les
comportements normaux des utilisateurs ou encore l'utilisation de la mthode dte "d'immunologie" se basant sur
le comportement normal du systme et non des utilisateurs.
De mme que pour l'approche comportementale, plusieurs mthodes peuvent tre utlises pour grer les
signatures d'attaques. Les systmes experts les reprsentent sous forme de rgles. La mthode dite du "Pattern
Matching" (reconnaissance de forme) reprsente les signatures d'attaques comme des suites de lettres d'un
alphabet, chaque lettre correspondant un vnement. Les algorithmes gntiques sont galement utiliss pour
analyser efficacement les traces d'audit. Les signatures d'attaques peuvent tre galement vues comme une
squence de changements d'tats du systme. La simple analyse de squences de commandes a t rapidement
abandonne car elle ne permettait pas la dtection d'attaques complexes. Pour l'approche par scnarios, le poids
donn chaque entit (audit, base de signatures d'attaques et mcanisme d'analyse) et la faon dont elles sont
mises en relation est dcisif pour obtenir un systme de dtection efficace.
Chacune des deux approches a ses avantages et ses inconvnients, et les systmes de dtection d'intrusions
implmentent gnralement ces deux aspects. Avec l'approche comportementale, on a la possibilit de dtecter
une intrusion par une attaque inconnue jusqu'alors. Par contre, le choix des paramtres est dlicat, ce systme de
mesures n'est pas prouv exact, et on obtient beaucoup de faux positifs, c'est--dire que le systme croit tre
attaqu alors qu'il ne l'est pas. Qui plus est, un utilisateur peut apprendre la machine le comportement qu'il
souhaite, notamment un comportement totalement anarchique ou encore changer lentement de comportement.
Avec l'approche par scnarios, on peut prendre en compte les comportements exacts des attaquants potentiels.
Les inconvnients sont dans la base de rgles qui doit tre bien construite et les performances qui sont limites
par l'esprit humain qui les a conues. Notons galement que l'approche par scnarios ne permet videmment pas
de dtecter une attaque inconnue jusque l.

16 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

2.2 Autres mthodes de classification des systmes de dtection d'intrusions

Si la classification la plus utilise est celle de l'approche comportementale et de l'approche par scnarios, il est
possible de classer les systmes de dtection d'intrusions en fonction d'autres paramtres :
On peut classer les systmes en fonction de la rponse qu'il apporte l'intrusion qu'ils ont dtecte. Certains
systmes se contentent d'mettre une alarme l'administrateur (rponse passive) tandis que d'autres essayent de
contrer l'attaque en cours (rponse active). Il y a pour l'instant deux principaux mcanismes de rponse
implments : les alarmes qui permettent de prvenir rapidement l'administrateur et le filtrage des paquets venant
de l'attaquant.
Les systmes peuvent tre classs en fonction de la provenance de leurs donnes d'audit, selon qu'elles viennent
du systme, des applications ou des paquets du rseau.
Certains systmes surveillent en permanance le systme d'informations tandis que d'autres se contentent d'une
analyse priodique.
On peut trs bien envisager de se baser sur d'autres paramtres comme le dlai de dtection, c'est--dire si le
systme dtecte les intrusions en temps rel ou non, sa capacit de traiter les donnes de faon distribue, sa
capacit rpondre aux attaques sur lui-mme ou encore son degr d'interoprabilit avec d'autres systmes de
dtection d'intrusions.

3 Les systmes de dtection d'intrusions actuels

3.1 Modle de base d'un systmes de dtection d'intrusions
Le premier systme de dtection d'intrusions a t propos en 1980 par James ANDERSON. Il en existe
maintenant beaucoup d'autres, commerciaux ou non. La majorit de ses systmes se basent sur les deux
approches, comportementale et par scnarios.
Stefan AXELSSON donne un modle d'architecture de base pour un systme de dtection d'intrusions. Du
systme surveill, un module s'occupe de la collecte d'informations d'audit, ces donnes tant stockes quelque
part. Le module de traitement des donnes intragit avec ces donnes de l'audit et les donnes en cours de
traitement, ainsi qu'avec les donnes de rfrence (signatures, profils) et de configuration entres par
l'administrateur du systme de scurit. En cas de dtection, le module de traitement remonte une alarme vers
l'administrateur du systme de scurit ou vers un module. Une rponse sera ensuite apport sur le systme
surveill par l'entit alerte.
Les imperfections de ce type de systmes monolithiques et mme des systmes de dtection d'intrusions en
gnral sont prendre en compte. Stefano Martino souligne que si un certain nombre de techniques ont t
dveloppes jusque l pour les systmes de dtection d'intrusions, la plupart analysent des vnements au niveau
local et se contentent de remonter une alarme sans agir. Ils dtectent de plus les activits dangereuses d'un
utilisateur sans se proccuper du code dangereux.

3.2 Imperfections dans les implmentations actuelles

Dans la plupart des cas, les systmes de dtection d'intrusions sont faits d'un seul bloc ou module qui se charge
de toute l'analyse. Ce systme monolithique demande qu'on lui fournisse beaucoup de donnes d'audit, ce qui
utilise beaucoup de ressources de la machine surveille. L'aspect monolithique pose galement des problmes de
mises jour et constitue un point d'attaque unique pour ceux qui veulent s'introduire dans le systme
d'informations.
D'autres imperfections plus gnrales sont relevables dans les systmes de dtection d'intrusions actuels :
- Mme en implmentant les deux types d'approches, certaines attaques sont indcelables et les systmes de
dtection sont eux-mme attaquables. Les approches comportementale et par scnarios ont elles-mmes leurs

17 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

limites.
- Les groupes de travail sur ce sujet sont relativement ferms et il n'y a pas de mthodologie gnrique de
construction. Aucun standard n'a pour l'instant vu le jour dans ce domaine. Des groupes y travaillent, notament au
sein de la DARPA et de l'IETF.
- Les mises jour de profils, de signatures d'attaques ou de faon de spcifier des rgles sont gnralement
difficiles. De plus, les systmes de dtection d'intrusions demande de plus en plus de comptence celui qui
administre le systme de scurit.
- Les systmes de dtection sont gnralement crits pour un seul environnement et ne s'adapte pas au systme
surveill alors que les systmes d'informations sont, la plupart du temps, htrognes et utiliss de plusieurs
faons diffrentes.
- Aucune donne n'a t pour l'instant publie pour quantifier la performance d'un systme de dtection
d'intrusions. De plus, pour tester ces systmes, les attaques sont de plus en plus difficile simuler.
De ces imperfections, on a tent de rpondre la question "Quelles sont les obligations d'un systme de
dtection d'intrusions?" et on en a dduit des conditions indispensables pour un bon fonctionnement de ces
systmes.

3.3 Conditions de fonctionnement des systmes de dtection d'intrusions

Stefano MARTINO souligne qu'un systme de dtection d'intrusions vise augmenter la fiabilit d'un rseau et en
devient donc un composant critique. Un systme de dtection d'intrusions, quelque soit son architecture, doit :
tourner en permanence sans superviseur humain.
tre tolrant aux fautes et rsister aux attaques.
utiliser un minimum de ressources du systme surveill.
dtecter les dviations par rapport un comportement normal.
tre facilement adaptable un rseau spcifique.
s'adapter aux changements avec le temps.
tre difficile tromper.
Les conditions appliquer aux systmes de dtection d'intrusions peuvent tre classes en deux parties : les
conditions fonctionnelles, c'est--dire ce que le systme de dtection se doit de faire, et les conditions de
performances, c'est--dire comment il se doit de le faire.
Un systme de dtection d'intrusions se doit videmment de faire une surveillance permanente et d'mettre une
alarme en cas de dtection. Il doit de fournir suffisamment d'informations pour rparer le systme et de dterminer
l'tendu des dommages et la responsabilit de l'intrus. Il doit tre modulable et configurable pour s'adapter aux
plates-formes et aux architectures rseaux. Il doit pouvoir assurer sa propre dfense, comme supporter que tout ou
partie du systme soit hors-service. La dtection d'anomalies doit avoir un faible taux de faux positifs. Le systme
de dtection doit tirer les leons de son exprience et tre frquemment mis jour avec de nouvelles signatures
d'attaques. De plus, il doit pouvoir grer les informations apportes par chacune des diffrentes machines et
discuter avec chacune d'entre elles. En cas d'attaques, il doit tre capable d'apporter une rponse automatique,
mme aux attaques coordonnes ou distribues. Ensuite, le systme de dtection devra galement pouvoir
travailler avec d'autres outils, et notamment ceux de diagnostic de scurit du systme. Il faudra, lors d'une
attaque, retrouver les premiers vnements de corruption pour rparer correctement le systme d'informations.
Enfin, il va de soi qu'il ne doit pas crer de vulnrabilits supplmentaires et qu'il doit aussi surveiller
l'administrateur systme.
Les vnements anormaux ou les brches dans la scurit doivent tre rapports en temps rel pour minimiser les
dgts. Le systme de dtection d'intrusions ne devra pas donner un lourd fardeau au matriel surveill, ni
interfrer avec les oprations qu'il traite. Il doit pouvoir s'adapter la taille du rseau qu'il surveille.
Pour pallier un certain nombre de ses problmes et remplir ses conditions, la technologie des agents mobiles a
t applique aux systmes de dtection d'intrusions. Le paragraphe suivant explique le principe, les avantages et
les inconvnients des agents mobiles.

18 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

4 Utilisation des agents mobiles dans les systmes de dtection

d'intrusions
Une alternative l'utilisation d'un module monolithique pour la dtection d'intrusions est la mise en oeuvre de
processus indpendants.

4.1 Qu'est-ce qu'un agent mobile ?

Un agent mobile est un programme autonome qui peut se dplacer de son propre chef, de machine en machine
sur un rseau htrogne dans le but de dtecter et combattre les intrusions. Cet agent mobile doit tre capable
de s'adapter son environnement, de communiquer avec d'autres agents, de se dplacer et de se protger. Pour
ce dernier point, une des fonctions de l'agent doit tre l'identification et l'authentification pour donner l'emplacement
et l'identit de celui qui l'a lanc.
Ainsi, Chaque agent est un programme lger, insuffisant pour faire un systme de dtection d'intrusions entier car
il n'a qu'une vision restreinte du systme. Si plusieurs agents cooprent, un systme de dtection plus complet
peut tre construit, permettant l'ajout et le retrait d'agents sans reconstruire l'ensemble du systme.
La premire caractristique dont ont peut tirer des avantages est la mobilit des agents. Le fait qu'il n'y ait pas de
programme principal qui se sert des autres modules comme esclaves mais plutt la prsence de plusieurs entits
intelligentes qui collaborent, fait que si une des entits s'arrte, le systme continue de fonctionner.

4.2 Avantages et inconvnients des agents mobiles

Si les agents n'apportent pas fondamentalement de nouvelles capacits, ils apportent nanmoins des rponses
aux imperfections soulignes prcdemment. Stefano MARTINO fait d'ailleurs une analogie entre le systme
immunitaire humain et cette approche : chaque cellule ou agent doit combattre les intrus avant que a ne
deviennent une menace pour le systme.
Quatre classes peuvent tre faites pour caractriser ces avantages :
La flexibilit : on a la possibilit d'adapter le nombre d'agents la taille du systme d'informations ainsi que
d'avoir des agents entrans en fonction du systme surveill.
L'efficacit : les agents affectent moins les performances de chaque machine puisqu'ils peuvent travailler
sur les ressources ayant uniquement rapport avec leur champ de vision. Le gain au niveau de l'change
d'informations, sur le rseau notamment, est loin d'tre ngligeable.
La fiabilit : c'est la tolrance aux fautes. Si un agent est hors-service, il reste d'autres agents qui peuvent
se reproduire. Le systme de dfense n'est pas annihil par la compromission d'un seul agent, un agent
corrompu ne donnnant pas une image fausse de l'ensemble du systme aux autres agents.
La portabilit : les agents supportent plus facilement les systmes distribus, et donc la fois l'aspect
hte et l'aspect rseau. Notons par exemple que ce systme permet de dtecter les attaques distribues,
c'est--dire des aux attaques simultanes de plusieurs personnes rparties sur un rseau.
En plus de ses avantages, il y en a encore un certain nombre. L'architecture par agents mobiles est naturelle et
prsente une plus grande rsistance aux attaques puisqu'elle se base sur un systme autre que hirarchique. Qui
plus est, elle est base sur une excution asynchrone et une certaine autonomie, ce qui fait que les agents
mobiles sont dsolidariss du reste pour une plus grande tolrance aux fautes. Enfin, les agents mobiles
prsentent la capacit de s'adapter dynamiquement aux changements et peuvent donc ragir plus rapidement.
Si les systmes par agents mobiles ont des avantages indniables, ils ont galement des inconvnients notables.
Il est clair que le codage et le dploiement sera difficile pour assurer un code code sr avec beaucoup de
fonctionnalits.
Il y a d'autres inconvnients : quand les agents se dplacent, un noeud dpourvu d'agent est vulnrable pendant un
moment. De plus, si les agents ont besoin d'un apprentissage, ce temps peut tre long. Il souligne ensuite
quelques unes des imperfections des systmes de dtection d'intrusions qui ne sont pas corriges par le systme

19 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

des agents mobiles. Ils peuvent tre corrompus et ils imposent une utilisation des ressources et que quelque soit
le systme. Enfin, certains attaquants russiront toujours obtenir des droits pendant quelques temps avant d'tre
dtects.
Enfin, quelques points resteront tudier, comme la performance, car il faut voir la rapidit avec laquelle l'agent
dtecte et remonte l'information d'intrusion, la taille du code, car les systmes de dtection sont complexes et les
agents risquent de demander d'assez gros programmes et le temps d'adaptation des agents un systme, car il y
aura un manque de connaissance de base tant donn que beaucoup de plates-formes et de configurations sont
diffrentes.

4.3 Conclusion et perspectives pour les agents mobiles

Si les agents mobiles apportent des avantages importants, les inconvnients qu'ils engendent du mme coup ne
sont pas ngligeable. Cependant, l'approche par agents mobiles semble pouvoir donner des rsultats meilleurs que
les autres technologies et la recherche va dvelopper une nouvelle architecture pour cette technologie.
Les avantages des agents mobiles pourront tre exploits de plusieurs faons : en prvoyant de la surveillance en
plus de la dtection, en fournissant une rponse aux attaques et en augmentant la fiabilit du systme. On peut
aussi tirer profit de la diversit en reprsentant les signatures d'attaques par une mthode diffrente pour chaque
agent.

5 Perspectives pour la recherche

Les tendances de la recherche vont de la machine vers le rseau, d'un systme centralis vers un systme
distribu, vers une plus grande interoprabilit des systmes et vers une plus grande rsistance aux attaques. Les
constantes de la recherche sont l'utilisation d'un systme hybride (approche comportementale et par scnarios)
permettant de la dtection en temps rel. Beaucoup de chercheurs se penchent sur le problme de l'amlioration
du nombre de faux positifs et d'attaques non dtects.
Les mcanismes idaux de rponses aux attaques consisteraient supprimer l'action de l'intrus dans la cible,
teindre la cible et protger le reste du rseau. Dans le cas des attaques internes, il faudrait bloquer l'attaquant,
teindre sa machine ou tre capable de remonter l'attaquant trs rapidement pour surveiller ses actions. Enfin, il
faudrait que le systme de dtection puisse toujours modifier les tables de filtrage des routeurs et pare-feux, ce qui
est dj le cas de certains systmes du commerce.
L'approche par agents mobiles apportent l aussi une solution puisqu'il n'est pas ncessaire d'avoir un serveur de
scurit dans le sens o les agents peuvent automatiquement se mouvoir dans le rseau et installer les
composants appropris sur les lments qu'il faut. Ils peuvent traquer les attaquants et rassembler des preuves de
faon automatique ou encore effectuer des oprations sur la machine de l'attaquant, sur la machine cible ou sur le
rseau en les mettant, par exemple, en quarantaine.
Un certain nombre de questions restent ouvertes :
Quels types d'intrusions est-on sr de dtecter ?
De quelles donnes d'audit a-t-on besoin pour prendre la dcision qu'il y a eu intrusion ?
Quels sont les types d'attaques contre les systmes de dtection mme ?
Quand est-on sr que le systme de dtection d'intrusions n'est pas compromis et si c'est le cas, que faire
?
Quelle quantit minimum de ressources peut prendre un systme de dtection pour tre efficace ?
A ces questions, on peut en ajouter une autre : Comment peut-on rduire le taux de faux positif? La rponse
passera sans doute par ces deux autres questions :
Quelles mthodes et mcanismes permettent de dtecter les scnarios d'attaques complexes?
Comment peut-on faire cooprer les diffrents systmes de dtection d'intrusions?

20 sur 21

23/03/00 21:26

La scurit des rseaux

file:///C|/Mes Documents/Mes Pages Web/guill.net/reseaux/La scurit des rseaux.htm

Bibliographie
Dorothy Denning, "Protection and Defense of Intrusion", 1996
Ludovic M and Cdric Michel, "La dtection d'intrusions : bref aperu et derniers dveloppements", 1999
Aurobindo Sundaram, "An introduction to Intrusion Detection", 1996
L. M and V. Alanou, "Dtection d'intrusions dans un systme informatique : mthodes et outils", 1996
Stefan Axelsson, "Research in Intrusion-Detection Systems : A Survey", 1999
Herv Debar, "Dtection d'intrusions, une aide a la scurit pour l'accs mobile", 1999
Roland Buschkes, Dogan Kesdogan et Peter Reichl, "How to Increase Security in Mobile Networks by
Anomaly Detection", 1998
Stefano Martino, "A mobile agent approach to intrusion detection", 1999
Wayne Jansen, Peter Mell, Tom Karygiannis et Don Marks, "Applying Mobile Agents to Intrusion Detection
and Response", 1999
J.P. Anderson, "Computer Security Threat Monitoring and Surveillance", 1980
Mark Crosbie et Gene Spafford, "Active Defense of a Computer System using Autonomous Agents", 1995
Nadia Boukhatem, "Les agents mobiles et applications", 1999
S. Corson et J. Macker, "Request For Comments 2501", 1999

www.guill.net
Mars 2000

21 sur 21

23/03/00 21:26