Vous êtes sur la page 1sur 10
Réseaux Info rm atiques : du Réseau Loc al à Internet Sécur it é Robert

Réseaux Informatiques :

du Réseau Local à Internet

Sécurité

Robert CHÉRAMY

robert@cheramy.net

Modules Thématiques – École Centrale Paris

http://robert.cheramy.net/ecp/

– École Centrale Paris http://robert.cheramy.net/ecp/ Robert CHÉRAMY <robert@cheramy.net> — lundi 18

Robert CHÉRAMY <robert@cheramy.net> — lundi 18 mars 2002

Réseaux Informatiques : Sécurité – p.1/10

Introduction

Premier gr os problème de sécurité (1988) :
Premier gr os problème de sécurité (1988) :

Premier gros problème de sécurité (1988) :

Premier gr os problème de sécurité (1988) :

The Internet Worm

Conséquence : création du CERT Coordination Centergr os problème de sécurité (1988) : The Inte rne t Worm Gros problèmes de sécurité

Gros problèmes de sécurité apparus depuis la popularisation d’Internett Worm Conséquence : création du CERT Coordination Center Quel que s bases de sécurité informatique

Quelque s bases de sécurité informatique orientée résea ux ques bases de sécurité informatique orientée réseaux

Mais il y a aussi d’autres domaines, comme : il y a aussi d’autres domaines, comme :

Sé cur ité physique

curité physique

Pro tec tion contre l’utilisateur

Protection contre l’utilisateur

Se nsi bilisation de l’utilisateur

Sensibilisation de l’utilisateur

Si la sé curité est trop contraignante, l’utilisateur se débrouillera pour la contourner curité est trop contraignante, l’utilisateur se débrouillera pour la contourner

Si la sé curité est trop contraignante, l’utilisateur se débrouillera pour la contourner
Si la sé curité est trop contraignante, l’utilisateur se débrouillera pour la contourner

Robert CHÉRAMY <robert@cheramy.net> — lundi 18 mars 2002

Réseaux Informatiques : Sécurité – p.2/10

Confidentialité des données

Confidentialité des données Par défaut, toutes les données transitent en clair Login / Mot de passe
Confidentialité des données Par défaut, toutes les données transitent en clair Login / Mot de passe

Par défaut, toutes les données transitent en clairConfidentialité des données Login / Mot de passe Données Comme une carte postale Possibilité d’écouter les

Login / Mot de passePar défaut, toutes les données transitent en clair Données Comme une carte postale Possibilité d’écouter

Donnéestoutes les données transitent en clair Login / Mot de passe Comme une carte postale Possibilité

Comme une carte postaledonnées transitent en clair Login / Mot de passe Données Possibilité d’écouter les données transitant sur

Possibilité d’écouter les données transitant sur le réseauclair Login / Mot de passe Données Comme une carte postale Solutions Protocole d’authentification sûr Cryptage

Solutionsd’écouter les données transitant sur le réseau Protocole d’authentification sûr Cryptage Kerberos

Protocole d’authentification sûr Cryptage Kerberos SecureIDles données transitant sur le réseau Solutions Cryptage des données confidentielles Robert CHÉRAMY

Cryptage des données confidentiellesd’authentification sûr Cryptage Kerberos SecureID Robert CHÉRAMY <robert@cheramy.net> — lundi 18

Kerberos SecureID Cryptage des données confidentielles Robert CHÉRAMY <robert@cheramy.net> — lundi 18
Kerberos SecureID Cryptage des données confidentielles Robert CHÉRAMY <robert@cheramy.net> — lundi 18
Kerberos SecureID Cryptage des données confidentielles Robert CHÉRAMY <robert@cheramy.net> — lundi 18
Kerberos SecureID Cryptage des données confidentielles Robert CHÉRAMY <robert@cheramy.net> — lundi 18

Robert CHÉRAMY <robert@cheramy.net> — lundi 18 mars 2002

Réseaux Informatiques : Sécurité – p.3/10

Usurpation d’identité

Usurpation d’identité Impossibilité d’identifier un interlocuteur Vol de connexion Solutions Connexion cryptée
Usurpation d’identité Impossibilité d’identifier un interlocuteur Vol de connexion Solutions Connexion cryptée

Impossibilité d’identifier un interlocuteurUsurpation d’identité Vol de connexion Solutions Connexion cryptée (impossiblité de s’immiscer dans la connexion)

Vol de connexionImpossibilité d’identifier un interlocuteur Solutions Connexion cryptée (impossiblité de s’immiscer

Solutions Connexion cryptée (impossiblité de s’immiscer dans la connexion) Certificats (clef asymétrique) Signature électronique (clef asymétrique) Firewall (IP spoofing)d’identifier un interlocuteur Vol de connexion Robert CHÉRAMY <robert@cheramy.net> — lundi 18

électronique (clef asymétrique) Firewall (IP spoofing) Robert CHÉRAMY <robert@cheramy.net> — lundi 18
électronique (clef asymétrique) Firewall (IP spoofing) Robert CHÉRAMY <robert@cheramy.net> — lundi 18
électronique (clef asymétrique) Firewall (IP spoofing) Robert CHÉRAMY <robert@cheramy.net> — lundi 18
électronique (clef asymétrique) Firewall (IP spoofing) Robert CHÉRAMY <robert@cheramy.net> — lundi 18
électronique (clef asymétrique) Firewall (IP spoofing) Robert CHÉRAMY <robert@cheramy.net> — lundi 18

Robert CHÉRAMY <robert@cheramy.net> — lundi 18 mars 2002

Réseaux Informatiques : Sécurité – p.4/10

Accès à une ressource privée

Tout ordinateur connecté à Internet peur accéder à un Protection des ressources mises à disposition
Tout ordinateur connecté à Internet peur accéder à un Protection des ressources mises à disposition

Tout ordinateur connecté à Internet peur accéder à un

Protection des ressources mises à dispositionTout ordinateur connecté à Internet peur accéder à un

Tout ordinateur connecté à Internet peur accéder à un Protection des ressources mises à disposition

autre ordinateur connecté à Internet

Accès au travers de disfonctionnements logicielsmises à disposition autre ordinateur connecté à Internet Solutions Protection par mot de passe (le plus

Solutions Protection par mot de passe (le plus souvent utilisé,Internet Accès au travers de disfonctionnements logiciels mais insufisant) Certificats Firewall ou filtre plus

Solutions Protection par mot de passe (le plus souvent utilisé,
Solutions Protection par mot de passe (le plus souvent utilisé,
Solutions Protection par mot de passe (le plus souvent utilisé,
Solutions Protection par mot de passe (le plus souvent utilisé,
Solutions Protection par mot de passe (le plus souvent utilisé,

mais insufisant) Certificats

Firewall ou filtre plus simple (Protection par IP)

Combinaison de ces trois solutions

Mises à jour locigielles

Firewall ou filtre plus simple (Protection par IP) Combinaison de ces trois solutions Mises à jour
Firewall ou filtre plus simple (Protection par IP) Combinaison de ces trois solutions Mises à jour

Robert CHÉRAMY <robert@cheramy.net> — lundi 18 mars 2002

Réseaux Informatiques : Sécurité – p.5/10

Déni de Service

DoS : Denial of Service
DoS : Denial of Service

DoS : Denial of Service

DoS : Denial of Service

Empêcher la victime de fonctionner normalementDoS : Denial of Service Solutions Au cas par cas Firewall Mise à Jour logicielles  

Solutions Au cas par casof Service Empêcher la victime de fonctionner normalement Firewall Mise à Jour logicielles   Correction au

Solutions Au cas par cas
Solutions Au cas par cas
Solutions Au cas par cas

Firewall

Mise à Jour logicielles

Solutions Au cas par cas Firewall Mise à Jour logicielles   Correction au niveau du FAI
 
Correction au niveau du FAI (smurf, flood) Correction à la source (smurf)

Correction au niveau du FAI (smurf, flood) Correction à la source (smurf)

cas Firewall Mise à Jour logicielles   Correction au niveau du FAI (smurf, flood) Correction à
cas Firewall Mise à Jour logicielles   Correction au niveau du FAI (smurf, flood) Correction à

Robert CHÉRAMY <robert@cheramy.net> — lundi 18 mars 2002

Réseaux Informatiques : Sécurité – p.6/10

Firewall

Gérer la sécurité de quelques machines
Gérer la sécurité de quelques machines

Gérer la sécurité de quelques machines

Gérer la sécurité de quelques machines

Gérer la sécurité d’un parc de machinesGérer la sécurité de quelques machines Se protéger des attaques extérieures Se protéger des attaques intérieures

Se protéger des attaques extérieuresmachines Gérer la sécurité d’un parc de machines Se protéger des attaques intérieures Un seul équipement

Se protéger des attaques intérieuresparc de machines Se protéger des attaques extérieures Un seul équipement à surveiller ? filtrage sur

Un seul équipement à surveiller ?attaques extérieures Se protéger des attaques intérieures filtrage sur différentes couches (physique, réseau,

filtrage sur différentes couches (physique, réseau, transport, applicatif) IP source & destinationattaques intérieures Un seul équipement à surveiller ? Protocole de transport, port associé Ouverture de connexion

filtrage sur différentes couches (physique, réseau, transport, applicatif) IP source & destination
filtrage sur différentes couches (physique, réseau, transport, applicatif) IP source & destination
filtrage sur différentes couches (physique, réseau, transport, applicatif) IP source & destination

Protocole de transport, port associé

Ouverture de connexion

Attention Doit être administré et surveillé convenablement Doit être administré et surveillé convenablement

Attention Doit être administré et surveillé convenablement
Attention Doit être administré et surveillé convenablement

Ne résoud pas tous les problèmes (smurf,

utilisateurs

utilisateurs

)

utilisateurs )

Robert CHÉRAMY <robert@cheramy.net> — lundi 18 mars 2002

Réseaux Informatiques : Sécurité – p.7/10

DMZ

DeMilitarized Zone
DeMilitarized Zone

DeMilitarized Zone

DeMilitarized Zone

Zone tampon entre Réseau Local et ExtérieurDeMilitarized Zone 2 firewall Serveurs accessibles depuis l’extérieur et depuis l’intérieur Proxy Serveur http, ftp

2 firewallZone Zone tampon entre Réseau Local et Extérieur Serveurs accessibles depuis l’extérieur et depuis

Serveurs accessibles depuis l’extérieur et depuis l’intérieur ProxyZone tampon entre Réseau Local et Extérieur 2 firewall Serveur http, ftp Serveur de messagerie externe

Serveurs accessibles depuis l’extérieur et depuis l’intérieur Proxy
Serveurs accessibles depuis l’extérieur et depuis l’intérieur Proxy
Serveurs accessibles depuis l’extérieur et depuis l’intérieur Proxy

Serveur http, ftp

Serveur de messagerie externe

Droits d’accès strictement contrôlésServeurs accessibles depuis l’extérieur et depuis l’intérieur Proxy Serveur http, ftp Serveur de messagerie externe

et depuis l’intérieur Proxy Serveur http, ftp Serveur de messagerie externe Droits d’accès strictement contrôlés
et depuis l’intérieur Proxy Serveur http, ftp Serveur de messagerie externe Droits d’accès strictement contrôlés

Robert CHÉRAMY <robert@cheramy.net> — lundi 18 mars 2002

Réseaux Informatiques : Sécurité – p.8/10

NAT Network Address Translator Proxy à la volée Modifie les adresses sources et destination des

NAT

Network Address Translator Proxy à la volée

NAT Network Address Translator Proxy à la volée Modifie les adresses sources et destination des paquets
NAT Network Address Translator Proxy à la volée Modifie les adresses sources et destination des paquets

Modifie les adresses sources et destination des paquetsNAT Network Address Translator Proxy à la volée Plan d’adressage privé en interne Pas de renumérotation

Plan d’adressage privé en interne Pas de renumérotation lors d’un changement de FAI Nombre d’adresses privées utilisées restreintModifie les adresses sources et destination des paquets Technique Pool d’adresses publiques : une adresse publique

Technique Pool d’adresses publiques : une adresse publique est affectée à une adresse privée le temps de la connexion Une seule adresse publique : renumérotation des numéros de ports avec mémorisation correspondance numéro de port / adresse privée Combinaison des deuxde FAI Nombre d’adresses privées utilisées restreint Robert CHÉRAMY <robert@cheramy.net> — lundi 18

numéro de port / adresse privée Combinaison des deux Robert CHÉRAMY <robert@cheramy.net> — lundi 18
numéro de port / adresse privée Combinaison des deux Robert CHÉRAMY <robert@cheramy.net> — lundi 18
numéro de port / adresse privée Combinaison des deux Robert CHÉRAMY <robert@cheramy.net> — lundi 18
numéro de port / adresse privée Combinaison des deux Robert CHÉRAMY <robert@cheramy.net> — lundi 18
numéro de port / adresse privée Combinaison des deux Robert CHÉRAMY <robert@cheramy.net> — lundi 18
numéro de port / adresse privée Combinaison des deux Robert CHÉRAMY <robert@cheramy.net> — lundi 18

Robert CHÉRAMY <robert@cheramy.net> — lundi 18 mars 2002

Réseaux Informatiques : Sécurité – p.9/10

NAT Problèmes Impossible pour un site multidomicilié (deux sorties) Recalcul systématique des checksum (IP,

NAT

Problèmes

Problèmes

Impossible pour un site multidomicilié (deux sorties)Problèmes Recalcul systématique des checksum (IP, TCP, UDP) Problème avec les protocoles de niveau supérieur se

Recalcul systématique des checksum (IP, TCP, UDP)Impossible pour un site multidomicilié (deux sorties) Problème avec les protocoles de niveau supérieur se

Problème avec les protocoles de niveau supérieur sesorties) Recalcul systématique des checksum (IP, TCP, UDP) transmettant une IP (ICMP, FTP, ICQ ) Authentification

transmettant une IP (ICMP, FTP, ICQ

)

Authentification de bout en boutsupérieur se transmettant une IP (ICMP, FTP, ICQ ) Redémarage NAT = connexions perdues   Résiste

Redémarage NAT = connexions perdues 

 

Résiste mal aux facteurs d’échelleune IP (ICMP, FTP, ICQ ) Authentification de bout en bout Redémarage NAT = connexions perdues

 
 

Robert CHÉRAMY <robert@cheramy.net> — lundi 18 mars 2002

Réseaux Informatiques : Sécurité – p.10/10