Académique Documents
Professionnel Documents
Culture Documents
Introduction
Risques Attaques, services et mcanismes Les attaques Services de scurit Mcanismes de dfense Politique de scurit Architectures de scurit
Scurit des rseaux informatiques 2
Bibliographie
Stallings, W. Network Security Essentials, 2nd edition. Prentice Hall, 2003
Un grand nombre de figures ont t extraites de ce livre Support de cours inspir de Henric Johnson (Blekinge Institute of Technology, Sweden)
Risque majeur
Risque moyen
Contre-mesures
Risque mineur
Vulnrabilits
Attaques
10
11
12
13
14
15
17
18
Mcanismes de dfense
Chiffrement : algorithme gnralement bas sur des clefs et transformant les donnes. Sa scurit est dpendante du niveau de scurit des clefs. Signature numrique: donnes ajoutes pour vrifier l'intgrit ou l'origine des donnes. Bourrage de trafic : donnes ajoutes pour assurer la confidentialit, notamment au niveau du volume du trafic. Notarisation : utilisation dun tiers de confiance pour assurer certains services de scurit. Contrle daccs : vrifie les droits daccs d'un acteur aux donnes. N'empche pas l'exploitation d'une vulnrabilit.
Scurit des rseaux informatiques 19
Mcanismes de dfense
Antivirus : logiciel cens protger ordinateur contre les logiciels (ou fichiers potentiellement excutables) nfastes. Ne protge pas contre un intrus qui emploie un logiciel lgitime, ou contre un utilisateur lgitime qui accde une ressource alors qu'il n'est pas autoris le faire. Le pare-feu : un lment (logiciel ou matriel) du rseau informatique contrlant les communications qui le traversent. Il a pour fonction de faire respecter la politique de scurit du rseau, celle-ci dfinissant quels sont les communications autoriss ou interdits. N'empche pas un attaquant d'utiliser une connexion autorise pour attaquer le systme. Ne protge pas contre une attaque venant du rseau intrieur (qui ne le traverse pas). Dtection d'intrusion : repre les activits anormales ou suspectes sur le rseau surveill. Ne dtecte pas les accs incorrects mais autoriss par un utilisateur lgitime. Mauvaise dtection : taux de faux positifs, faux ngatifs. Journalisation ("logs") : Enregistrement des activits de chaque acteurs. Permet de constater que des attaques ont eu lieu, de les analyser et potentiellement de faire en sorte qu'elles ne se reproduisent pas. Analyse des vulnrabilit ("security audit") : identification des points de vulnrabilit du systme. Ne dtecte pas les attaques ayant dj eu lieu, ou lorsqu'elles auront lieu.
20
10
Mcanismes de dfense
Contrle du routage : scurisation des chemins (liens et quipements d'interconnexion). Contrle d'accs aux communications : le moyen de communication n'est utilis que par des acteurs autoriss. Par VPN ou tunnels. Horodatage : marquage scuris des instants significatifs . Certification : preuve d'un fait, d'un droit accord. Distribution de clefs : distribution scurise des clefs entre les entits concernes.
21
Mcanismes de dfense
Authentification : Authentifier un acteur peut se faire en utilisant une ou plusieurs de ses lments.
Ce qu'il sait. Par ex. : votre mot de passe, la date anniversaire de votre grand-mre Ce qu'il a. Par ex. : une carte puce Ce qu'il est. Par ex. : la biomtrie (empreinte digitale, oculaire ou vocale)
Dans le domaine des communications, on authentifie l'metteur du message. Si l'on considre les (deux) extrmits d'une communication il faut effectuer un double authentification
Par ex. pour lutter contre le "phishing"
La protection physique : peut fournir une protection totale, mais qui peut tre excessive. Par ex. isoler compltement son systme est une solution qui peut tre trop radicale.
22
11
Les mcanismes de scurit peuvent formellement tablir la confiance Cration d'un chane de confiance Problme du point de dpart de la chane de confiance Renforcement de la confiance, au cours des changes Rvocation de la confiance accorde
Scurit des rseaux informatiques 23
24
12
Politique de scurit
Une politique de scurit ce n'est pas seulement : Les paramtres de scurit
Une fois une politique de scurit dfinie, sa mise en oeuvre (utilisation d'outils appropris) et sa bonne gestion (maintien de la cohrence) sont des points critiques
Scurit des rseaux informatiques 25
longueur des clefs, choix des algorithmes, frquence de changement des "passwords", etc.
Le processus de scurit
Evaluation/audit Politique Implmentation/(In)Formation Evaluation
Evaluation/audit
Implmentation/(In)Formation
Politique
26
13
Charte du bon comportement de l'employ Procdures d'intgration et de dpart des employs Politique de mise jour des logiciels Mthodologie de dveloppement des logiciels Dfinition des responsabilits (organigramme) Etc.
27
Le facteur humain
Le facteur humain est souvent prpondrant:
Respect des rgles de scurit Comprhension de l'utilit des rgles, Surcharge induit par les moyens de scurit
L'ingnierie sociale
28
14
Elments d'architecture
Pare-feu DMZ IDS Log VPN
29
Elments d'architecture
DMZ IDS Serveur externe Serveur interne Hub/switch Firewall log Routeur
Internet
30
15
Le rseau virtuel est un moyen d'accder des services (extension au rseau de la notion de contrle d'accs aux fichiers) On limite dlibrment la capacit d'interconnexion totale propose par l'Internet Le nombre des rseaux virtuels dpend du nombre des types d'agents (et donc des services accessibles chaque type d'agent)
Scurit des rseaux informatiques 31
Rseau virtuel
Il existe de nombreuses implmentations du concept de rseau virtuel :
Au niveau 2 : VLAN
Les trames Ethernet sont compltes par un VID
Au niveau 3 : IPsec+
Accompagn d'une phase d'authentification (serveur d'authentification) Les paquets sont chiffrs (serveurs de scurit)
32
16
Rseaux virtuels
Rseau d'entreprise Station distante log Serveur 2 Serveur 1
Routeur 2 Internet
33
Rseaux virtuels
Serveur 1
34
17
Conclusion
Prsentation des risques (attaques), services et mcanismes de scurit Introduction la politique et architecture de scurit
35
18