Vous êtes sur la page 1sur 100

31/03/2011

Administration & Scurit des rseaux


Wafa KAMMOUN
2eme Ingnieurs

ISITCom H-SouSSe 2010 - 2011


1

Administration :

Plan de Cours

Introduction ladministration rseaux Rappel sur les Protocoles et services IP Administration des quipements (Firewall, routeur) Listes ACL Administration des serveurs DNS, DHCP Administration SNMP (Simple Network Management Protocol),.. Introduction la scurit informatique # types dattaques (Hacking) La cryptographie & lauthentification, Les DMZ et Firewalls VPN, SSL (Secure Socket Layer)

Scurit :

Rfrences:
http://www.itu.int/cybersecurity/ http://www.w3.org/P3P/ Stallings William, Scurit des rseaux, applications et standards, Vuibert, 2002, ISBN 978-2-71178653
2

31/03/2011

Quelques dfinitions
Administrateur :
Administrateur Systme:
Personne responsable de la totalit de la gestion du systme informatique. Il surveille et en assure la maintenance du systme de manire garantir un fonctionnement irrprochable. Veiller au bon fonctionnement des sauvegardes.

Administrateur rseau:
Charg de la gestion de tout type dquipements rseau. Il est responsable de bon fonctionnement configuration des quipements rseau, de la rpartition des droits daccs des utilisateurs accder aux serveurs. Lui seul a le droit dajouter des utilisateurs ou dannuler des autorisations daccs, ainsi que linstallation du SE rseau et de la scurit des donnes sur lensemble du rseau
3

Fonctions & Objectifs


Administration Administration des serveurs, Administration des quipements et des applications (FTP, Web, courrier,..) Dploiement, intgration, gestion des ressources rseaux mais aussi humaine Grer des 100 ou des 1000 dutilisateurs dans des systmes autonomes Surveillance, test de performance, daudit, de configuration du rseau valuation des ressources ncessaires Scurit: Protger le rseau contre les accs non autoriss, divulgations Contrle daccs: Les pare-feux (Firewalls) Cryptographie et authentification Rcuprer les donnes la suite dun vnement catastrophique La sauvegarde des donnes sur bande magntique (quotidienne, complte, incrmentielle,..) La configuration des disques de tolrance de pannes (Les techniques de redondance,..) Lutilisation des dispositifs dalimentation sans coupure Se protger contre les attaques (virus, trojan,..)

.. Et tout a pour un cot raisonnable !!!


4

31/03/2011

Buts
Le rseau est devenu une ressource indispensable (voire vitale) au bon fonctionnement dune entreprise,.. Ladministration du rseau met en uvre un ensemble de moyen pour :
offrir aux utilisateurs un service de qualit Permettre lvolution du systme en intgrant des nouvelles fonctionnalits Optimiser les performances des services pour les utilisateurs Permettre une utilisation maximale des ressources avec un cot minimal
5

Administration = Partie oprationnelle dun rseau


Les fonctions d'administration doivent permettre:
l'extraction des informations des lments du rseau au moyen d'outils (trace) => rcolte un grand nombre d'information, la rduction du volume d'information au moyen de filtres => slection d'information significatives (analyser), le stockage des informations retenues dans une base de donnes d'administration, des traitements sur ces informations, offrir des interfaces (utilisateur administration, oprateur rseau).
6

31/03/2011

Les attendus dune administration de rseau


Les 5 domaines fonctionnels de l'administration tel que dfinis dans l'OSI:
La gestion des pannes : permet la dtection, la localisation, la rparation de pannes et le retour une situation normale dans l'environnement. La comptabilit : permet de connatre les charges des objets grs, les cots de communication, ... Cette valuation est tablie en fonction du volume et de la dure de la transmission. Ces relevs s'effectuent deux niveaux : Rseau et Application. La gestion des configurations : permet d'identifier, de paramtrer les diffrents objets. Les procdures requises pour grer une configuration sont la collecte d'information, le contrle de l'tat du systme, la sauvegarde de l'tat dans un historique L'audit des performances : permet d'valuer les performances des ressources du systme et leur efficacit. Les performances d'un rseau sont values partir de quatre paramtres : le temps de rponse, le dbit, le taux d'erreur par bit et la disponibilit. La gestion de la scurit : une des fonctions de gestion concerne le contrle et la distribution des informations utilises pour la scurit. Un sous-ensemble de la MIB (Management Information Base) concerne les informations de scurit (SMIB). Il renferme le cryptage et la liste des droits d'accs.

Lorganisation dune administration


Qui a besoin d'administration et pour quoi faire ? Il existe diffrents types de dcision d'administration :
dcisions oprationnelles : dcision court terme, concernant l'administration au jour le jour et oprations temps rel sur le systme dcisions tactiques : dcision moyen terme concernant l'volution du rseau et l'application des politiques de long terme dcisions stratgiques : dcision de long terme concernant les stratgies pour le futur en exprimant les nouveaux besoins et dsirs des utilisateurs.

Ces niveaux dterminent diffrents niveaux d'administration:


le contrle oprationnel rseau pour les dcisions oprationnelles la gestion rseau pour les dcision tactiques l'analyse de rseau pour les dcision tactiques et stratgiques la planification pour les dcisions stratgiques
8

31/03/2011

Administration des rseaux


Protocoles TCP/IP et les protocoles dapplication Principe de routage (IP,ICMP, RIP,OSPF,..) Administration des serveurs :
Serveur de rsolution des noms, DNS Serveur de configuration dynamique, DHCP Serveur de transfert des fichiers, FTP Services pour accder des machines distantes, Telnet Serveur Web Protocole dadministration rseau, SNMP

Les domaines dactivits


La gestion des pannes:
Dtection, localisation, isolation, rparation

Gestion des configurations


Identification des ressources Installation, initialisation, paramtrage, reconfiguration. Collecte des informations utiles et sauvegarde dun historique.

Audit des performances


valuation: collecter les donnes et tablir des statistiques sur les performances (temps de rponse, taux dutilisation, dbit, taux derreur, disponibilit) Gestion de trafic : satisfaire les besoins des users ( qui attribuer un grand ddit)

10

31/03/2011

Les domaines dactivits


Gestion de la comptabilit:
Grer la charge des ressources pour empcher toute surcharge (congestion). Grer le cot dutilisation des ressources et les facturer Grer le quota dexploitation de la ressources ( imprimante, disques)

Gestion de la scurit
But: protger les ressources du rseau et du systme dadministration Commet: Assurer les services de la scurit (authentification, confidentialit, intgrit, disponibilit et non rpudiation). Moyen : cryptographie + logiciel de supervision + audit surveillance des journaux. Exemple : sous WinNT Server (journaux dvnements)
Journal de scurit Journal systme Journal application

11

Administrer un rseau IP
Un rseau IP est un ensemble dquipements:
Possdant chacun une ou plusieurs interfaces Relis entre eux par des supports physiques divers Gestion des pannes Gestion des configurations Audit des performances Gestion de la scurit

Administrer un rseau IP:


Dfinir un plan dadressage cohrent Affecter une adresse IP chaque interface Mettre en uvre le routage entre ces divers lments

12

31/03/2011

Dtecter un problme rseau :


PING : Permet de valider une connexion point point usage : ping xxx.xxx.xxx.xxx (x : adresse IP de la machine) TRACE ROUTE : Permet de donner les chemins de communication entre deux machines usage : tracert xxx.xxx.xxx.xxx (x : adresse IP de la machine) ARP : Permet d'obtenir l'adresse MAC (fabriquant) d'un pement usage : arp -a xxx.xxx.xxx.xxx (x : adresse IP de la machine) NBTSTAT : Permet d'obtenir le nom de l'utilisateur connect sur une machine usage : nbtstat -A xxx.xxx.xxx.xxx (x : adresse IP de la machine) nbtstat -a nom.domaine si l'on connait le nom de la station nbtstat -c pour afficher tout le cache Windows NT : IPCONFIG : Affiche la configuration IP UNIX : vmstat ps pstat netstat netstat -i +Ierrs : cable ? +Oerrs : Ctrl ? -a send_@ != 0 : Lan Overload -s Bad CRC != 0 : Router !LAN>= 0 retrans : timeout <5% = ok Et enfin pour ajouter une route:

route> add x.x.x.xequip MASK x.x.x.x sub x.x.x.xrouter -p


13

14

31/03/2011

Adressage IP
Une adresse IP est constitue de deux numros:
IP address = <network number><host number> Le numro de rseau identifie le rseau sur lequel est connect le nud. Ce numro doit tre unique. Le numro d'hte identifie le nud sur le rseau en question.

classe A : de 1 126 classe B : de 128.1. 191.254 classe C : de 192.0.1 223.255.254

15

16

31/03/2011

Les adresses Prives

17

18

31/03/2011

SR & Masque de SR
Le nombre croissant de rseaux, notamment sur Internet, a fini par poser problme, en particulier cause de la saturation du schma d'adressage. Le fractionnement d'un rseau en plusieurs rseaux permet de rduire le trafic sur chacun des rseaux ou d'isoler certains groupes de travail. <@-IP> = <netw.nr><subnet nr><host nr>
L'change de messages des stations situes sur deux sous-rseaux diffrents ne pourra se faire directement, mais uniquement par l'intermdiaire d'un routeur. Exemple Une classe A avec un masque de SR: 255.255.0.0 est dcoupe en 254 SR de 65534 stations.
Une classe A avec un masque de SR 255.240.0.0 (11111111 11110000 00000000 00000000) est dcoupe en 14 SR de 1 048 574 stations (4 bits permettent de coder 16 valeurs - 2 rserves).

19

20

10

31/03/2011

21

Mise en oeuvre
La mise en uvre de sous-rseaux passe par les tapes suivantes:
Dterminer le nombre de sous-rseaux adresser. Dterminer le nombre maximum d'htes sur chaque sous-rseau. Calculer le nombre de bits ncessaires pour les sous-rseaux et pour les stations (en prvoyant les volutions) Positionner le masque de sous-rseau. Lister les diffrents numros de sous-rseaux possibles en liminant les "tout 0" et les "tout 1".

Exemple : Un rseau d'adresse 160.16.0.0 est divis en 8 SR Chacun de ces SR accueille ont au moins 1000 htes.

22

11

31/03/2011

Solution
Pour adresser 8 sous-rseaux diffrents, il faut 8 numros. 3 bits permettent d'adresser 6 (8-2) sousrseaux et 4 bits permettent d'adresser 14 sousrseaux. Il faut donc prendre cette dernire solution. Il reste dans ce cas, 12 bits pour le numro d'hte ce qui permet 4094 numros d'htes. Le masque sera donc :
11111111 11111111 11110000 00000000 rseau SR hte soit en reprsentation dcimale : 255.255.240.0
23

Les listes ACL


Les listes de contrle daccs sont des instructions qui expriment une liste de rgles, Type de la liste imposs par ladministrateur, donnant un contrle supplmentaire sur les paquets reus et transmis par le routeur.
Il ne peut y avoir quune liste daccs par protocole par interface et par sens Une ACL est identifiable par son Nr. attribu suivant le protocole et suivant le type. Liste daccs standard Plage Nr.

1 99

ACL Standard:
Permet dautoriser ou dinterdire des @ spcifiques ou

ACL tendu
un ensemble d@ ou de protocoles

Liste daccs tendues

100 199

24

12

31/03/2011

Le routeur dtermine sil doit acheminer ou bloquer un paquet en fonction de chaque instruction de condition dans lordre dans lequel les instructions ont t cres Si le paquet arrivant linterface du routeur satisfait une condition, il est autoris ou refus Si le paquet ne correspond aucune instruction dans la liste, celui-ci est rejet Le rsultat de linstruction implicite deny any Any: nimporte quelle @ (de 0.0.0.0 255.255.255.255) Host: abrviation du masque gnrique
Ex: host 172.16.33.5 quivaut 172.16.33.5 0.0.0.0

25

Liste standard, tendue..?!!


Liste standard:
Router (config)# access-list numr-liste {permit |deny} source {masque-source} Ex: access-list 1 deny 172.69.0.0 0.0.255.255

Liste tendue:
Router (config)# access-list numr-liste {permit|deny} protocole source {masque-source} destination {masquedesti} {oprateur oprande}[established..]

26

13

31/03/2011

Exemple:

ACL qui permet tout le rseau 205.7.5.0 laccs au rseau 192.5.5.0;

Rponse:
Router (config)# access-list 1 permit 205.7.5.0 0.0.0.255 Router (config)# int e0 Router (config-if)# access-group 1 out

27

Extrait de /etc/services :
/etc/services : ftp 21/tcp telnet 23/tcp smtp 25/tcp mail pop3 110/tcp # Post Office A consulter, /etc/inetd.conf ; rpertoire contient la liste des services activs sur une machine donne A Voir lExtrait de /etc/inetd.conf

28

14

31/03/2011

Les commandes ICMP


Les horloges de 2 machines qui diffrent de manire importante peuvent poser des problmes pour des logiciels distribus. Une machine peut mettre une demande dhorodatage (timestamp request) une autre machine susceptible de lui rpondre (timestamp reply) en donnant lheure darrive de la demande et lheure de dpart de la rponse. Lmetteur peut alors estimer le temps de transit ainsi que la diffrence entre les horloges locale et distante. Le champ de donnes spcifiques comprend lheure originale (originate timestamp) mis par le demandeur, lheure de rception (receive timestamp) du destinataire, et lheure de dpart (transmit timestamp) de la rponse.

29

Le protocole ICMP
Internet Control Message Protocol
TYPE CODE CHECKSUM HEAD-DATA 8 bits; type de message 8 bits; informations complmentaires 16 bits; champ de contrle en-tte datagramme + 64 premiers bits des donnes.

15 messages utiliss
10 informations
Ping Messages de routeurs Horodatage

TYPE Message ICMPV.4


0 Echo Reply 3 4 5 8 11 Destination Unreachable Source Quench Redirect (change a route) Echo Request Time Exceeded (TTL) Parameter Problem with a Datagram 13 Timestamp Request 14 Timestamp Reply 15 Information Request (obsolete)
30

5 erreurs
Destination inaccessible Temps dpass Divers Redirection

Utilis par les outils applicatifs tels: ping et traceroute.

15

31/03/2011

ICMP : les messages d erreurs


Lorsquune passerelle met un message ICMP de type destination inaccessible, le champ code dcrit la nature de lerreur :
0 1 2 3 4 5 6 7 8 9 10 11 12 Network Unreachable Host Unreachable Protocol Unreachable Port Unreachable Fragmentation Needed and DF set Source Route Failed Destination Network Unknown Destination Host Unknown Source Host Isolated
Communication with desination network administratively prohibited

Communication with desination host administratively prohibited Network Unreachable for type of Service Host Unreachable for type of Service

31

Paquets ICMPv6
Utiliser l'utilitaire ping6 (quivalent l'utilitaire ping) pour tester la prsence d'une machine sur le rseau en prenant une @IPv6 la longueur du message ICMPv6 est limite 1 280 octets, afin dviter les problmes de fragmentation, puisqu'il est difficilement envisageable de mettre en uvre la dcouverte du MTU
Type message
1 2 3 4 128 129 130 131 132 133 134 135 136 137

Meaning
Destination Unreachable Packet Too Big Time Exceeded Parameter Problem Echo Request Echo Reply Group Membership Query Group Membership Report Group Membership Reduction Router Solicitation Router Advertisement Neighbor Solicitation Neighbor Advertisement Redirect

32

16

31/03/2011

Exemples de gestion des erreurs

33

Administration des serveurs


2 types de rseaux:
Rseau dgal gal: rseau pour groupe de travail et conu pour un petit nombre de stations
Un nombre limit dutilisateurs Cration et exploitation peu coteuse Pas de ncessit de serveur ddi ou de logiciel supplmentaire
Inconvnients: aucun point central de gestion Si le # des users>10 un rseau dgal gal est un mauvais choix Ex: Windows for Workgroups, Win 98.

Rseau client-serveur: gestion centralise des utilisateurs, de la scurit et des ressources


Possibilit dutiliser des serveurs ddis pour fournir plus efficacement des ressources prcises aux clients Lutilisateur peut avoir accs aux ressources autorises laide dun ID rseau et dun mot de passe
Inconvnients: Exploitation et maintenance exige du personnel form Cot dexploitation est plus lev que les rseaux dgal gal Ex: Unix, Linux, Novell Netware et Win-NT/XP? WIN2K server, Win 2008.
34

17

31/03/2011

Web

Virtualisation

Scurit

Fondamentaux

Succession de 2003 Contient 4 piliers: built-in-web, Virtualization technologies. Peut assurer et produire une infrastructure rseau securise 35 avec des cots rduits, en augmentant la flexibilit dans une organisation

Plateformes
32 bits (x86) 64 bits (x64 et IA64*)

Versions classique et Server Core**


Web Standard Enterprise Datacenter
* Rles et fonctionnalits limits http://www.microsoft.com/windowsserver/bulletins/longhorn/itanium_bulletin.mspx

** uniquement sur Standard, Enterprise et Datacenter


36

18

31/03/2011

-Amlioration du dploiement, de la rcupration et de l'installation base sur une image source ; - Amlioration des outils de diagnostic, de supervision, de traabilit des vnements et de rapports ; -Apport de nouvelles fonctionnalits de scurit telles que Bitlocker (specification de protection des donnes, qui fournit le chiffrement par partition) et prsente une amlioration du Pare-feu - permet aux ressources systme d'tre partitionnes de faon dynamique l'aide du module Dynamic Hardware Partitioning (Gestion Dynamique du Partitionnement )

37

Option dinstallation minimale Surface dexposition rduite Interface en ligne de commande Ensemble de rles restreints Choix linstallation ! Nest pas une plateforme applicative

Rles du serveur
(en plus de ceux de la version Core)
TS IAS Web Server Share Point Etc

Server Core - Rles


DNS DHCP File & Print AD WSV AD LDS Media Server IIS

Server
Avec .Net 3.0, shell, outils, etc.

GUI, Shell, IE, Composants Scurit, TCP/IP, Systme de fichiers, RPC, Media, Frame, .Net plus dautre sous-systmes Core Server etc.
Il s'agit de la nouveaut la plus notable propose par Windows Server 2008 : loption 38 dinstallation Server Core installe uniquement le strict minimum

Server Core

19

31/03/2011

Fondamentaux

Installation
Cette installation apporte plusieurs avantages : - Rduction tout d'abord des ressources ncessaires ; - Rduction de la maintenance et de la gestion, puisque seuls les lments ncessaires pour les rles dfinis sont installer et configurer ; - Rduction enfin de la surface dexposition aux attaques, directement li au nombre rduit dapplications et services 39 excutes sur le serveur ;

Installation de Windows Server 2008


Installation
Par fichier image (fichier .wim) 2 modes
Classique Serveur Core

Configuration initiale
Initial Configuration Tasks

Administration du serveur
Server Manager
Gestion des rles Gestion des fonctionnalits
40

20

31/03/2011

Machine serveur Core


peut tre configure pour assurer plusieurs rles de base : Services de domaine Active Directory (AD DS) Services AD LDS (Active Directory Lightweight Directory Services) Serveur DHCP Serveur DNS Serveur de fichiers Serveur dimpression Services de diffusion multimdia en continu

Ainsi que les fonctionnalits facultatives suivantes :


Sauvegarde Chiffrement de lecteur BitLocker Clustering (grappe de serveur) avec basculement quilibrage de la charge rseau Stockage amovible Protocole SNMP (Simple Network Management Protocol) Sous-systme pour les applications UNIX Client Telnet Service WINS (Windows Internet Name Service)
41

Server Manager
Votre nouvel ami Rationnaliser les outils et disposer dun outil central permettant dajouter, de configurer et de grer les diffrents rles et fonctionnalits du serveur

Un seul outil pour configurer Windows Server 2008 Portail dadministration Ligne de commande servermanagercmd.exe

42

21

31/03/2011

Active Directory

Fondamentaux

Objectifs:
Disposer de mcanismes permettant une installation granulaire dActive Directory Amliorer la prise en charge des serveurs distribus gographiquement (agences) Optimiser la consommation de bande passante Elever le niveau de scurit
43

Active Directory : nomenclature


Active Directory Domain Controller Active Directory Domain Services

Active Directory Application Mode

Active Directory Lightweight Directory

Rights Management Services

Active Directory Rights Management

Windows Certificate Services

Active Directory Certificate Services

44

22

31/03/2011

Active Directory dans Windows Server 2008


Installation
Nouvel assistant de promotion en contrleur de domaine
Installation automatise amliore

Prise en charge du mode Server Core

Scurit
Authentification, autorisations et audit Contrleur de domaine en lecture seule

Performance
Rplication Sysvol diffrentielle

Administration
Active Directory sous forme de service Editeur dattributs Protection contre les suppressions accidentelles Administration des stratgies de groupe avec GPMC

45

Active Directory Domain Services


DCPROMO dans Windows Server 2008
Support du server core Utilise les crdentiels de lutilisateur connect pour la promotion Slection des rles : DNS (dfaut), GC (dfaut), RODC (Read Only Domain Controller) Mode avanc (/adv)
Slection du site (par dfaut : auto-dtection) Rplication AD durant la promotion: DC particulier, nimporte quel DC, mdia (sauvegarde AD)

Auto-configuration du serveur DNS Auto-configuration du client DNS Cration et configuration des dlgations DNS
46

23

31/03/2011

Politique de mots de passe multiples


Aujourdhui la politique des mots de passe applique se dfinit pour lensemble du domaine
Default Domain Policy dans un AD 2000/2003

Avec Windows Server 2008 : il devient possible de dfinir des politiques de comptes au niveau des utilisateurs et des groupes du domaine
Ne sapplique pas ni lobjet ordinateur ni aux comptes locaux (utilisateurs hors domaine) Ncessite un niveau fonctionnel de domaine Windows Server 2008

Le schma doit tre en version 2008


Utilisation dune nouvelle classe dobjets msDs-PasswordSettings

47

Read-Only DC
Authentification

Hub
Hub WS 2008 DC

Branch

1. AS_Req vers le RODC (requte pour TGT) 2. RODC: regarde dans sa base: Je nai pas les crdentiels de lutilisateur"

Read Only DC
3 2

3. Transmet la requte vers un Windows Server 2008 DC 4. Windows Server 2008 DC authentifie la demande
1

5 6

7 7

5. Renvoi la rponse et la TGT vers le RODC (Hub signed TGT) 6. RODC fournit le TGT lutilisateur et met en queue une demande de rplication pour les crdentiels 7. Le Hub DC vrifie la politique de rplication des mots de passe pour savoir sil peut tre rpliqu
48

24

31/03/2011

Administration du Serveur
Fondamentaux

Objectifs: Rationaliser les outils dadministration Elargir les possibilits offertes en terme dadministration locale et distante Dployer plus rapidement de nouveaux systmes (postes et serveurs)
49

Administration et Windows Server 2008


Le Server Manager Windows PowerShell Active Directory redmarrable Administrateurs locaux sur RODC Stratgies de groupes (GPO) (GPMC, admx/adml) Journaux et structure des vnements Planificateur de tches Administration Windows distance WinRM Sauvegarde / restauration Outils de diagnostics Outils en ligne de commande

50

25

31/03/2011

Server Core - Administration


Locale ou distante en ligne de commande
Outils basiques WinRM et Windows Remote Shell pour lexcution distance WMI et WMIC (locale et distance)

Terminal Services ( distance) Microsoft Management Console ( distance)


RPC, DCOM

SNMP Planificateur de tches Evnements et transfert dvnements Pas de support du code manag donc pas de support de Windows PowerShell
51

Services de dploiement Windows


(Windows Deployment Services)
Solution de dploiement pour Windows Server 2008
Nouvelles technologies : WIM, IBS, WinPE

Ensemble doutils pour personnaliser linstallation


Dmarrage distance dun environnement de pr-installation (WinPE) Notion de serveur PXE Support du multicast

Administration graphique et en ligne de commande


Wdsutil.exe

52

26

31/03/2011

Domain Name System :DNS


Pourquoi un systme de rsolution des noms ?
Communications sur lInternet bases sur les adresses IP Communications humaines bases sur des noms Besoin dun mcanisme pour faire correspondre des adresses IP avec des noms dhtes => service DNS

Domain Name System (DNS)


Base de donnes hirarchique distribue

Le systme DNS permet didentifier une machine par un nom reprsentatif de la machine et du rseau sur lequel elle se trouve. Le systme est mis en uvre par une base de donnes distribue au niveau mondial. DNS fournit un niveau dadressage indirect entre un nom dhte et sa localisation gographique
53

Fonctionnalits du service DNS


Espace des noms de domaines = arborescence hirarchique
Arborescence indpendante de la topologie rseau et|ou de la gographie

Architecture de stockage distribue


Zones affectes des serveurs de noms dans larborescence hirarchique Serveurs de sauvegarde pour la redondance et la disponibilit

Administration rpartie suivant la hirarchie des noms


Rle le plus simple : client DNS ou Resolver

Protocole client/serveur communicant sur le port n 53


Protocole UDP utilis par les clients Protocole TCP prconis pour les changes entre serveurs

54

27

31/03/2011

Hirarchie des noms de domaines

Arborescence limite 128 niveaux Un domaine est un sous-ensemble de larborescence Aucune possibilit de doublon
hte : cooper, domaine : ups-tlse, gTLD : fr Fully Qualified Domain Name : cooper.ups-tlse.fr

Conventions sur les noms de domaines Top Level Domains (TLD)


.com, .net, .org, .edu, .mil, .gov, .int, .biz

Geographical Top Level Domains (gTLD)


.tn, .de, .fr, .uk, .jp, .au

Nom du Domain: chaque nud possde une tiquette (label): max 63 caract.
Hte: correspond une machine

55

DNS
Hirarchie des serveurs Serveurs distribus dans larborescence hirarchique
Un serveur ne maintient quun sous-ensemble de larborescence On parle dautorit sur une zone : Authoritative Name Server

Chaque serveur contient tous les enregsitrements dhtes dans sa zone


Enregistrement = Resource Record (RR)

Chaque serveur a besoin de connatre les autres serveurs responsables des autres parties de larborescence
Chaque serveur connat la liste des Root Servers Chaque Root Server connat tous les TLDs et gTLDs Un serveur racine peut ne pas connatre le serveur qui a autorit sur une zone Un serveur racine peut connatre un serveur intermdiaire contacter pour connatre le serveur qui a autorit sur une zone
56

28

31/03/2011

Exemple de requte DNS


Requte du poste Asterix : Adresse IP du site www.stri.net ?
Asterix contacte le serveur local Cooper.upstlse.fr Cooper.ups-tlse.fr contacte un serveur racine : J.ROOT-SERVERS.NET J.ROOT-SERVERS.NET contacte un serveur du domaine .net : G.GTLD-SERVERS.NET G.GTLD-SERVERS.NET contacte le serveur qui a autorit sur la zone stri.net : full1.gandi.net Cooper.ups-tlse.fr renvoie la rponse vers Asterix

Gestion du cache
Cooper.ups-tlse.fr conserve la rponse dans son cache Cooper.ups-tlse.fr rpond directement toute nouvelle requte DNS www.stri.net

57

En mode interactif, on peut slectionner le type de requte l'aide de la commande set type=RR . Exemple: nslookup www.univ-evry.fr 194.199.90.1 En mode non interactif, on le prcise avec l'option -query-type=RR .
Exemple: pour obtenir les serveurs dns de la zone univ-evry.fr: nslookup -querytype NS univ-evry.fr .

Le tableau suivant,extrait de la documentation de windows Xp indique les types possibles :


A Spcifie l'adresse IP d'un ordinateur. ANY Spcifie tous les types de donnes. CNAME Spcifie un nom canonique d'alias. GID Spcifie un identificateur de groupe d'un nom de groupe. HINFO Spcifie le type de systme d'exploitation et d'unit centrale d'un ordinateur. MB Spcifie un nom de domaine d'une bote aux lettres. MG Spcifie un membre d'un groupe de messagerie. MINFO Spcifie des informations sur une liste de messagerie ou une bote aux lettres. MR Spcifie le nom de domaine de la messagerie renomme. MX Spcifie le serveur de messagerie. NS Spcifie un serveur de noms DNS pour la zone nomme.

Exercice: Utilisez la commande nslookup pour obtenir les informations correspondant au nom de la machine qui a comme adresse ip 192.168.202.2
58

29

31/03/2011

FQDN : Full Qualified Domain Name Le nom complet d'un hte, sur l'Internet, c'est--dire de la machine jusqu'au domaine, en passant par les sous-domaines. URL : Uniform Resource Locator C'est la mthode d'accs un document distant. Un lien hypertexte avec une syntaxe de la forme: <Type de connexion>://<FQDN>/[<sous-rpertoire>]/.../<nom du document> Exemple: http://www.ac-aix-marseille.fr/bleue/francais/nouveau.htm
http: Hyper Text Transfert Protocol www.ac-aix-marseille.fr: FQDN du serveur de pages personnelles /bleue/francais/: arborescence de rpertoires nouveau.htm: nom du document.

URI : Universal Resource Identifier. c'est la mme chose que l'URL. Le W3C (World Wide Web Consortium), garant de l'universalit de l'Internet, voudrait voir abandonner URL au profit d'URI. Notez la trs subtile divergence de sens, qui vaut bien, le changement.

59

DNSSEC
Implmentation de DNSSEC sous Windows 2008 serveur cot serveur:
Distribution des trust anchors ; Dploiement des certificats pour les serveurs DNS ; Dploiement de la politique de scurit dIPSEC sur le Serveur DNS ; Dploiement de la politique de scurit dIPSEC sur un poste client
http://www.labo-microsoft.org/articles/DNSSECPRES/3/Default.asp
Dployer les certificats pour lauthentification du Serveur DNS
60

30

31/03/2011

Dynamic Host Configuration Protocol


Objectifs : obtenir automatiquement tous les paramtres de configuration rseau
@ IP Adresse de diffusion Masque rseau Passerelle par dfaut Domaine DNS Adresse IP du serveur de noms DNS

Dynamic Host Configuration Protocol (DHCP)


Service Internet => couche application RFCs 2131 et 2132 en 1997 Communications sur les ports UDP 67 (ct client) et le 68 (ct serveur)
61

DHCP
L @ IP est alloue selon les critres suivants:
Ne pas tre dj alloue une autre station La mme station reoit toujours la mme adresse Cette adresse est alloue pendant une priode dtermine (bail) Le client vrifie la validit de l@

62

31

31/03/2011

DHCP Discover
Client DHCP envoie une trame "DHCPDISCOVER", destine trouver un serveur DHCP. Cette trame est un "broadcast", donc envoy l'adresse 255.255.255.255. N'ayant pas encore d@ IP, il fournit aussi son @ MAC

63

Les Commandes DHCP


Client DHCP envoie une trame "DHCPDISCOVER", destine trouver un serveur DHCP. Cette trame est un "broadcast", donc envoy l'adresse 255.255.255.255. N'ayant pas encore d@ IP, il fournit aussi son @ MAC Le serveur DHCP qui reoit cette trame va rpondre par un "DHCPOFFER". Cette trame contient une proposition de bail et la @-MAC du client, avec galement l@ IP du serveur. Le client rpond par un DHCPREQUEST au serveur pour indiquer quil accepte loffre Le serveur DHCP Concern rpond dfinitivement par un DHCPACK qui constitue une confirmation du bail. L'adresse du client est alors marque comme utilise et ne sera plus propose un autre client pour toute la dure du bail.

64

32

31/03/2011

Serveur DHCP
Le serveur DHCP maintient une plage d@ distribuer ses clients. Il tient jour une BD des @ dj utilises et utilises il y a peu (c.a.d que l'on rcupre souvent la mme @, le DHCP ayant horreur des changements ) Lorsqu'il attribue une adresse, il le fait par l'intermdiaire d'un bail. Ce bail a normalement une dure limite Aprs expiration du bail, ou rsiliation par le client, les informations concernant ce bail restent mmorises dans la BD du serveur pendant un certain temps. Bien que l'adresse IP soit disponible, elle ne sera pas attribue en priorit une autre machine. C'est ce qui explique que l'on retrouve souvent la mme adresse d'une session l'autre.

65

Dtails sur le bail


Dans le bail, il y a non seulement une @ IP pour le client, avec une dure de validit, mais galement d'autres informations de configuration comme:
L@ d'un ou de plusieurs DNS (Rsolution de noms) L@ de la passerelle par dfaut L@ du serveur DHCP

le client peut renouveler le bail, en s'adressant directement au serveur qui le lui a attribu. Il n'y aura alors qu'un DHCPREQUEST et un DHCPACK.
66

33

31/03/2011

Avantages
L'avantage de DHCP rside essentiellement dans la souplesse de configuration des htes :
allocation dynamique des adresses avec rduction des risques de conflit dfinition d'un nombre important de paramtres (masque de SR, passerelle par dfaut...) possibilit d'avoir plus d'htes que d'adresses.

67

Inconvnients
Sur un rseau constitu de plusieurs SR, interconnect par des routeurs, DHCP prsente une limitation d'utilisation. Le mcanisme de fonctionnement utilise des broadcasts qui ne passent pas les routeurs. Puisque requte de diffusion ne passe pas par un routeur, un client DHCP ne pourra pas recevoir d'adresse DHCP d'un serveur situ derrire un routeur. Dans ce cas:
installer un serveur DHCP par SR installer un agent relais DHCP. Un agent relais DHCP prsent sur le rseau du poste client peut transmettre la requte au(x) serveur(s) DHCP

68

34

31/03/2011

Accs distance Telnet


Protocole trs utilis pour laccs distance (tests dapplication rparties, tests de fonctionnement en mode manuel des protocoles HTTP, SMTP,..) Permet de se connecter une machine distante Accs distance Telnet:
Le client Telnet transmet les caractres entrs sur le terminal local vers le serveur distant Le fonctionnement est bidirectionnel: on supporte le mme change dans les 2 sens Ex: Client Telnet :
Telnet <site distant> <port>

Telnet 192.168.19.100 23 commande permet la cration dune connexion TCP avec le serveur de la machine distante Le serveur Telnet: Le serveur sexcute sur la machine distante sinon le service nest pas disponible

Client Telnet

Serveur Telnet

TCP IP

TCP IP
69

SNMP (Simple Network Management Protocol)


SNMP permet de: Visualiser une quantit impressionnante dinformations concernant le matriel, les connexions rseau, leur tat de charge. Modifier le paramtrage de certains composants. Alerter ladministrateur en cas dvnement grave.
70

35

31/03/2011

Le concept SNMP
Protocole d'administration de machine supportant TCP/IP
Conu en 87-88 par des administrateurs de rseau

Permet de rpondre un grand nombre de besoins :


disposer d'une cartographie du rseau fournir un inventaire prcis de chaque machine mesurer la consommation d'une application signaler les dysfonctionnements

Avantages :
protocole trs simple, facile d'utilisation permet une gestion distance des diffrentes machines le modle fonctionnel pour la surveillance et pour la gestion est extensible indpendant de l'architecture des machines administres
71

Le Modle SNMP
L'utilisation de SNMP suppose que tous les agents et les stations d'administration supportent IP et UDP.
Ceci limite l'administration de certains priphriques qui ne supportent pas la pile TCP/IP. De plus, certaines machines (ordinateur personnel, station de travail, contrleur programmable, ... qui implantent TCP/IP pour supporter leurs applications, mais qui ne souhaitent pas ajouter un agent SNMP.
=> utilisation de la gestion mandataire (les proxies)

Un protocole activ par une API permet la supervision, le contrle et la modification des paramtres des lments du rseau.
72

36

31/03/2011

Le modle SNMP
Une administration SNMP est compose de trois types d'lments:
La station de supervision (appele aussi manager) excute les applications de gestion qui contrlent les lments rseaux. Physiquement, la station est un poste de travail. Station de gestion capable dinterpreter les donnes La MIB (Management Information Base) est une collection d'objets rsidant dans une base d'information virtuelle. Ces collections d'objets sont dfinies dans des modules MIB spcifiques. Le protocole, qui permet la station de supervision d'aller chercher les informations sur les lments de rseaux et de recevoir des alertes provenant de ces mmes lments.

73

74

37

31/03/2011

Les types de requtes:


4 types de requtes: GetRequest, GetNextRequest, GetBulk, SetRequest.
La requte GetRequest permet la recherche d'une variable sur un agent. La requte GetNextRequest permet la recherche de la variable suivante. La requte GetBulk permet la recherche d'un ensemble de variables regroupes. La requte SetRequest permet de changer la valeur d'une variable sur un agent.

Les rponses de SNMP la suite de requtes, l'agent rpond toujours par GetResponse. Toutefois si la variable demande n'est pas disponible, le GetResponse sera accompagn d'une erreur noSuchObject. Les alertes (Traps, Notifications) Les alertes sont envoyes quand un vnement non attendu se produit sur l'agent. Celui-ci en informe la station de supervision via une trap. Les alertes possibles sont: ColdStart, WarmStart, LinkDown, LinkUp, AuthentificationFailure.
75

Les commandes SNMP

Les commandes get-request, get-next-request et set-request sont toutes mises par le manager destination d'un agent et attendent toutes une rponse get response de la part de l'agent. La commande trap est une alerte. Elle est toujours mise par l'agent destination du manager, et n'attend pas de rponse. 76

38

31/03/2011

MIB
La MIB (Management Information base) est la base de donnes des informations de gestion maintenue par l'agent, auprs de laquelle le manager doit sinformer. 2 MIB publics ont t normalises: MIB I et MIB II Un fichier MIB est un document texte crit en langage ASN.1 (Abstract Syntax Notation 1) qui dcrit les variables, les tables et les alarmes gres au sein d'une MIB. La MIB est une structure arborescente dont chaque nud est dfini par un nombre ou OID (Object Identifier). Elle contient une partie commune tous les agents SNMP d'un mme type de matriel et une partie spcifique chaque constructeur. Chaque quipement superviser possde sa propre MIB.
77

Structure de la MIB

78

39

31/03/2011

La MIB (Management Information Base)


MIB = Collection structure dobjets
chaque noeud dans le systme doit maintenir une MIB qui reflte l'tat des ressources gres une entit d'administration peut accder aux ressources du noeud en lisant les valeurs de l'objet et en les modifiant.

Larborescence MIB:
Les informations stockes dans la MIB sont ranges dans une arborescence. MIB dispose d'objets supplmentaires. Elle constitue une branche du groupe iso.org.dod.internet.mgmt .

79

Groupe
system interfaces at

Commentaires
Informations gnrales sur le systme. Informations sur les interfaces entre le systmes et les sous-rseaux. Table de traduction des adresses entre internet et les sous-rseaux. Informations relatives l'implantation et l'xcution d'IP (Internet Protocol). Informations relatives l'implantation et l'xcution de ICMP (Internet Control Message Protocol). Informations relatives l'implantation et l'xcution de TCP (Transmission Control Protocol). Informations relatives l'implantation et l'xcution de UDP (User Datagram Protocol). Informations relatives l'implantation et l'xcution de EGP (Exterior Gateway Protocol). Informations sur la transmission et sur les protocoles utiliss par chaque interface. Informations relatives l'implantation et l'xcution de SNMP. 80

ip

icmp

tcp

udp

egp

transmission snmp

40

31/03/2011

Object identifier
Les variables de la MIB-2 sont identifies par le chemin dans l'arborescence, not de deux faons:
l'aide des noms de groupes : iso.org.dod l'aide des numros des groupes: 1.3.6. Les identifiants sont dfinis l'aide du langage SMI. Ex:
Dfinition SMI
mgmt OBJECT IDENTIFIER ::= { internet 2} mib OBJECT IDENTIFIER ::= { mgmt 1 }

Notation par "point"


1.3.6.1.2

Notation par nom


iso.org.dod.internet.mgmt iso.org.dod.internet.mgmt.mib

1.3.6.1.2.1

interfaces OBJECT IDENTIFIER ::= { mib 2}

1.3.6.1.2.1.2

iso.org.dod.internet.mgmt.mib. interface

Ex: On utilisera l'OID (Object Identification) qui dsigne l'emplacement de la variable consulter dans la MIB. On aura par ex. sur un commutateur Nortel Passport l'OID .1.3.6.1.4.1.2272.1.1.20 dsignant le taux de charge du CPU. 81

Fonctions assures

Primitives
GetRequest GetNextRequest SetRequest GetResponse Trap

Descriptions
le manager demande une information l'agent le manager demande l'information suivante l'agent le manager initialise une variable de l'agent l'agent retourne l'information ladministrateur interruption - l'agent envoie une information ladministrateur
82

41

31/03/2011

83

La scurit des rseaux

84

42

31/03/2011

Introduction la scurit
La scurit d'un rseau est un niveau de garantie que l'ensemble des machines du rseau fonctionnent de faon optimale et que les utilisateurs possdent uniquement les droits qui leur ont t octroys Il peut s'agir :
d'empcher des personnes non autorises d'agir sur le systme de faon malveillante d'empcher les utilisateurs d'effectuer des oprations involontaires capables de nuire au systme de scuriser les donnes en prvoyant les pannes de garantir la non-interruption d'un service

85

Les causes dinscurit


On distingue gnralement deux types d'inscurit :
l'tat actif d'inscurit: la non-connaissance par l'utilisateur des fonctionnalits du systme, dont certaines pouvant lui tre nuisibles (ex: la nondsactivation de services rseaux non ncessaires l'utilisateur), ou lorsque l'administrateur (ou l'utilisateur) d'un systme ne connat pas les dispositifs de scurit dont il dispose l'tat passif d'inscurit
86

43

31/03/2011

Menaces de scurit
Attaques passives:
Capture de contenu de message et analyse de trafic coutes indiscrtes ou surveillance de transmission

Attaques actives:
Mascarade, modifications des donnes, dni de service pour empcher lutilisation normale ou la gestion de fonctionnalits de communication

87

Le but des agresseurs


Les motivations des agresseurs que l'on appelle "pirates" peuvent tre multiples :
l'attirance de l'interdit le dsir d'argent (ex: violer un systme bancaire) le besoin de renomme (impressionner des amis) l'envie de nuire (dtruire des donnes, empcher un systme de fonctionner)

Le but des agresseurs est souvent de prendre le contrle d'une machine afin de pouvoir raliser les actions qu'ils dsirent. Pour cela il existe diffrents types de moyens :
l'obtention d'informations utiles pour effectuer des attaques utiliser les failles d'un systme l'utilisation de la force pour casser un systme
88

44

31/03/2011

Le Hacking (attaques)
Cest lensemble des techniques visant attaquer un rseau un site ou un quipement Les attaques sont divers on y trouve:
Lenvoie de bombe logiciel, chevaux de Troie La recherche de trou de scurit Dtournement didentit Les changements des droits daccs dun utilisateur dun PC Provocation des erreurs

Les buts dun Hacker:


La vrification de la scurisation dun systme La vol dinformations, terrorisme (Virus), espionnage Jeux; pour apprendre

Les attaques et les mthodes utilises peuvent tre offensives ou passives:


Les attaques passives consistent couter une ligne de communication et interprter les donnes quils interceptent et Les attaques offensives peuvent tre regrouper en : Les attaques directes: cest le plus simple des attaques, le Hacker attaque directement sa victime partir de son ordinateur. Dans ce type dattaque, il y a possibilit de pouvoir remonter lorigine de lattaque et identifier lidentit du Hacker Les attaques indirectes (par ruban): passif, cette attaque prsente 2 avantages: Masquer lidentit (@ IP du Hacker) ventuellement utiliser les ressources du PC intermdiaire
89

Les Menaces: Contexte gnral

90

45

31/03/2011

Attaques,services et mcanismes
Ladministrateur doit tenir compte des 3 aspects de la scurit de linformation:
Service de scurit: pour contrer les attaques de scurit et amliorer la scurit des SI Mcanisme de scurit: pour dtecter, prvenir ou rattraper une attaque de scurit
Usage des techniques cryptographiques

Protger contre Attaque de scurit: une action qui compromet la scurit de linformation possd par une organisation
Obtenir un accs non-autoris, modifier,

91

Les menaces

92

46

31/03/2011

Mme le site de CIA a t attaqu !

93

Mme ..

94

47

31/03/2011

95

Problmes de scurit
Les problmes de scurit des rseaux peuvent tre classs en 4 catgories:
La confidentialit: seuls les utilisateurs autoriss peuvent accder linformation Contrle dintgrit: comment tre sr que le message reu est bien celui qui a t envoy (celui-ci na pas t altr et modifi) Lauthentification: avoir la certitude que lentit avec laquelle on dialogue est bien celle que lon croit Non-rpudiation: concerne les signatures

96

48

31/03/2011

Objectifs de la scurit
Identification indique qui vous prtendez tre (username) Authentification valide lidentit prtendue (password) Autorisation dtermine les actions et ressources auxquelles un utilisateur identifi et autoris a accs Non-rpudiation garantie quun message a bien t envoy par un metteur authentifi Traabilit permet de retrouver les oprations ralises sur les ressources (logs)

97

Les services de scurit


Confidentialit des messages transmis: est la protection contre les attaques passives Authentification des interlocuteurs: pour assurer que le destinataire reoive le msg dorigine mis par la source Intgrit et non rpudiation des messages: assure que les messages envoys seront aussitt reus sans duplication ni modification Non-rpudiation: empche tant lexpditeur que le receveur de nier avoir transmis un message. Ainsi que le message envoy a t bien reu Disponibilit et contrle daccs (les personnes doivent pouvoir schanger des messages): est la facult de limiter et de contrler laccs aux systmes et aux applications (droits daccs)
98

49

31/03/2011

confidentialit : Protection de linformation dune divulgation non autorise l'intgrit : Protection contre la modification non autorise de linformation Disponibilit : Sassurer que les ressources sont accessibles que par les utilisateurs lgitimes Authentification
Authentification des entits (entity authentication) procd permettant une entit dtre sre de lidentit dune seconde entit lappui dune vidence corroborante (certifiant, ex.: prsence physique, cryptographique, biomtrique, etc.). Le terme identification est parfois utilis pour dsigner galement ce service. Authentification de lorigine des donnes (data origine authentication) procd permettant une entit dtre sre quune deuxime entit est la source original dun ensemble de donnes. Par dfinition, ce service assure galement lintgrit de ces donnes.

non-rpudiation: Offre la garantie quune entit ne pourra pas nier tre implique dans une transaction Non-Duplication: Protection contre les copie illicites
99

Dangers et Attaques
Services
Confidentialit Intgrit

Dangers
fuite dinformations

Attaques
masquerade, coutes illicites, analyse du trafic cration, altration ou destruction illicite virus, accs rpts visant inutiliser un systme

modification de linformation

Disponibilit

denial of service, usage illicite


accs non autoriss

Auth. dentits

masquerade, vol de mot de passe, faille dans le protocole dauth. falsification de signature, faille dans le protocole dauth. prtendre un vol de cl ou une faille dans le protocole de signature falsification, imitation
100

Auth. de donnes Non-rpudiation

falsification dinformations

nier la participation une transaction

Non-duplication

duplication

50

31/03/2011

Mcanismes de protection
Services Confidentialit Intgrit Mcanismes classiques
scells, coffre-forts, cadenas encre spciale, hologrammes contrle daccs physique, surveillance vido prsence, voix, pice didentit, reconnaissance biomtrique sceaux, signature, empreinte digitale sceaux, signature, signature notariale, envoi recommand encre spciale, hologrammes, tatouage

Mcanismes digitaux
cryptage, autorisation logique fonctions sens unique + cryptage contrle daccs logique, audit, anti-virus secret + protocole dauth., adresse rseau + userid carte puce + PIN fonctions sens unique + cryptage fonctions sens unique + cryptage + signature digitale

Disponibilit

Auth. dentits

Auth. de donnes Nonrpudiation Nonduplication

tatouage digital (watermarks), verrouillage cryptographique 101

Problmatique: Authentification

But: Bob veut prouver son identit Alice


rencontre physique : son apparence au tlphone : sa voie la douane : son passeport

Intgrit des messages


Signatures lectroniques
102

51

31/03/2011

Cryptographie: La science du secret !!

103

Cryptographie
Dfinition
Science du chiffrement Meilleur moyen de protger une information = la rendre illisible ou incomprhensible

Bases
Une cl = chane de nombres binaires (0 et 1) Un Algorithme = fonction mathmatique qui va combiner la cl et le texte crypter pour rendre ce texte illisible

104

52

31/03/2011

Encryption Process

105

Quelques dfinitions
Cryptage: permet lencodage des informations. Il interdit la lecture dinformations par des personnes non autorises On distingue 2 procds de cryptage:
Procds de transposition, qui modifie la succession des caractres laide dun algorithme. Procds de substitution, qui remplace les caractres dorigine par dautres prlevs dans une liste Rgle ou cl de cryptage sappelle Code Ex: PGP (Pretty Good Privacy): progr. Destin au cryptage des messages lectroniques (conu par Philip Zimmermann 1991)

Cryptanalyse: analyse de donnes cryptes


106

53

31/03/2011

Application de la cryptographie
Commerce lectronique Protection de la confidentialit de correspondance Protection des bases de donnes contre les intrusions et la d vulgarisation des tiers non autoriss Transmission scurise des donnes sensibles travers les rseaux internationaux
Preuve informatique: Identification et authentification

107

Cryptographie
Ensemble de processus de cryptage visant protger les donnes contre laccs non autoriss Repose sur lemploi des formules mathmatiques et des algorithmes complexes afin de coder linformation Il existe 2 systmes de cryptographie:
Les systmes symtriques: la mme cl utilis pour coder et dcoder (DES: Data Encryption standard)) Les systmes asymtriques: la cl qui sert coder est diffrente de celle qui peut dchiffrer (RSA:Rivest Shamir Adelmann 77)

108

54

31/03/2011

Principe de cryptage
Tout systme de cryptage est compos dun algorithme de codage La Crypt. ncessite 2 fonctions essentielles:
Le message M est crypt par une fonction de cryptage E(M)=C Le cryptogramme C est dcrypt par le destinataire par une fonction de dcryptage D(C)=D(E(M)) = M

109

Systme de chiffrement
Dfinition: Un systme de chiffrement ou crypto systme est un 5tuple (P,C,K,e,D) ayant les proprits suivantes: 1. P est un ensemble appel lespace des messages en clair. Un lment de P sappelle message en clair (Plaintext) 2. C est un ensemble appel lespace des messages chiffrs. Un lment de C sappelle un message chiffr ou cryptogramme (cyphertext) 3. K est un ensemble appel lespace des cls, ses lments sont les cls. 4. e={ek : k K } est une famille de fonctions:
ek : P C, ses lments sont les fonctions de chiffrement 5. D={Dk : k K } est une famille de fonctions Dk : C P, ses lments sont les fonctions de dchiffrement

6. A chaque cl e K est associ une cl d K/


D d (ee(p))=p pour tout message p P
110

55

31/03/2011

Alice utilise un systme de chiffrement pour envoyer un message confidentiel m Bob. Elle utilise la cl de chiffrement e et Bob utilise la cl de dchiffrement d qui lui correspond.

Alice calcule C= Ee(m) et lenvoie Bob qui reconstitue m= Dd(C), en gardant la cl de chiffrement secrte Ex: lalphabet: A B C Z et 0 1 2 25
Correspondance entre lettres et nombres, la fonction de chiffrement Ee associ e Z26 est: Ee: x (x+e) mod 26 Dd: x (x-d) mod 26 lorsque d=e cryptage symtrique.

Exemple: En appliquant le chiffre de Csar, au mot CRYPTOGRAPHIE, la cl e = 5, fournit le cryptogramme suivant : HWDUYTLWFUMNJ qui est facile casser.
111

Cryptographie
Chiffrement Symtrique Les Algorithmes utilisant ce systme :
DES (Data Encryption Standard, trs rpandu) : les donnes sont dcoupes en blocs de 64 bits et codes grce la cl secrte de 56 bits propre un couple dutilisateurs IDEA, RC2, RC4

Avantage :
Rapide

Inconvnients :
Il faut autant de paires de cls que de couples de correspondants La non-rpudiation nest pas assure. Mon correspondant possdant la mme cl que moi, il peut fabriquer un message en usurpant mon identit Transmission de cl
112

56

31/03/2011

Ex. de Chiffrement cl symtrique


Encryptage par substitution
poque romaine (Code de Csar)
Texte en clair : abcdefghijklmnopqrstuvwxyz Texte crypt : mnbvcxzasdfghjklpoiuytrewq

Exemple :
Texte en clair: bob. i meat you. alice Texte crypt: nkn. s hcmu wky. mgsbc Difficult ? 1026 combinaisons possibles.... mais par l'utilisation de rgles statistiques on trouve facilement la cl ... ... naissance il y a 500 ans du chiffrement polyalphabtique

113

Algorithmes de cryptographie
Par substitution
On change les lettres suivant une rgle prcise (ex: A D la cl est : 3)

Par Transposition
La position des caractres est modifie. Pour crypter un message on lcrit en colonne de taille fixe et on lit les colonnes Ex: Nombre de colonne ici 6 Texte crypt: TRLFAOREFMDSNZOCAZIASPZT NU..

B 1 T R L F A O R E

R 5 R E L R N M O P

I 3 A Z I A S P Z T

Q 4 N U O N M T E A

U 7 S N N C O E R B

E 2 F M D S N Z O C

S 6 E I E D C E S D
114

57

31/03/2011

Table de Vigenre

115

Exemple

CRYPTOGRAPH IE MATMATMATMATM O?? ? ????? ?? ??

116

58

31/03/2011

Chiffrement de Vigenre
Le chiffre de Vigenre est la premire mthode de chiffrement poly alphabtique, c'est dire qui combine deux alphabets pour crypter une mme lettre. Ce chiffrement introduit la notion de cl, qui se prsente gnralement sous la forme d'un mot ou d'une phrase. Pour pouvoir chiffrer notre texte, chaque caractre nous utilisons une lettre de la cl pour effectuer la substitution Mathmatiquement, on considre que les lettres de l'alphabet sont numrotes de 0 25 (A=0, B=1 ...). La transformation lettre par lettre se formalise simplement par : Chiffr = (Texte + Cl) mod 26

117

Chiffrement cl symtrique: DES


Data Encryption Standard (1977 par IBM) Principe :
dcoupe le message en clair en morceau de 64 bits auxquelles on applique une transposition cl de 64 bits (56 bits de cl + 8 bits de parit impaire)

Difficult et limites?
concours organis par RSA Data Security 1997 : 4 mois pour casser le code DES 56 bits en brute force par des amateurs 1999 : 22 h pour casser DESIII solution pour le rendre plus sur .... Passer l'algorithme DES plusieurs fois sur le message avec chaque fois des cls diffrentes (ex : 3DES)
118

59

31/03/2011

Schma de 3DES:

La solution a t dans l'adoption du triple DES: trois applications de DES la suite avec 2 cls diffrentes (d'o une cl de 112 bits)

119

DES (IBM 77)


Data Encryption Standard Principe :
dcoupe le message en clair en morceau de 64 bits auxquelles on applique une transposition cl de 64 bits (56 bits de cl+8 bits de parit impaire) La recherche exhaustive sur 56 bits (256) est maintenant raliste. Mars 2007 : 6:4 j, COPACOBANA (utilisation de FPGA) par luniversit de Bochum et Kiel (cot 10 000 $)
120

60

31/03/2011

Cryptographie
Chiffrement Asymtrique

Algorithmes utilisant ce systme :


RSA (Rivest, Shamir, Adelman) DSA

El-Gamal Diffie-Helmann

Avantage :
pas besoin de se transmettre les cls au dpart par un autre vecteur de transmission.

Inconvnient :
Lenteur
121

Algorithme RSA

Dvelopp par: Ron Rivest, Adi Shamir et Leonard Adleman en 1977 repose sur des fonctions mathmatique Le RSA est un systme qui repose intgralement sur la difficult de factoriser de grands nombres entiers (au moins 100 chiffres actuellement).
122

61

31/03/2011

Cryptographie cl publique: RSA


Ron Rivest, Adi Shamir et Leonard Adleman (Dvelopp en 1977 repose sur des fonctions math. De puissance et exponentielles appliqus aux grands nombres) Algorithme de slection des cls : 1) Slection de 2 grands nombres premiers p et q (1024 bit par ex) 2) Calculer n=pq et z=(p-1)(q-1) 3) Choisir un e (e<n) qui n'a pas de facteur commun avec z. (e et z premier entre eux) 4) Trouver un d tel que ed-1 est exactement divisible par z (ed mod z =1) 5) Cl public est : (n,e) Cl priv est : (n,d)

123

Ex: RSA, chiffrement, dchiffrement


1) Cl public est : (n,e) Cl priv est : (n,d) 2) Alice veut envoyer un nombre m Bob : c = me mod n 3) Bob reoit le message c et calcule : m = cd mod n

Exemple :
p = 5, q = 7 donc n = 35 et z = 24 Bob choisit e = 5 et d = 29 ALICE : (chiffrement) m = 12 me=248832 et c = me mod n = 17 BOB : (dchiffrement) c = 17 , m = cd mod n = 12 Cl public est : (35, 5) Cl priv est : (35, 29)

124

62

31/03/2011

Logiciel de chiffrement PGP


PGP (Pretty Good Privacy) tait considr aux USA, comme une arme et interdit l'exportation L'algorithme utilis par PGP, le RSA, permet de chiffrer des informations de manire tellement efficace qu'aucun gouvernement n'est en mesure d'en lire le contenu. Comme toute invention "dangereuse", incontrlable et susceptible d'tre utilise contre la mre-patrie, le gouvernement amricain en a interdit l'exportation et a class PGP et le RSA dans la catgorie "armes". Le code est crit en Perl

125

Cette restriction l'exportation de la cryptographie a eu diverses consquences:


Pendant longtemps, les navigateurs tels qu'Internet Explorer ont t limits 40 bits pour tous les "trangers". Seuls les amricains pouvaient tlcharger la version 128 bits. Si on ajoute cela que l'algorithme RSA tait brevet jusqu'en septembre 2000, il n'en a pas fallu plus aux internautes pour crer GPG (Gnu Privacy Guard), un logiciel compatible avec PGP et utilisant Diffie-Hellman la place de RSA, et hors de contrle du gouvernement amricain puisque cr en Europe.
126

63

31/03/2011

How PGP encryption works?

127

How PGP decryption works?

128

64

31/03/2011

Chiffrement du message avec PGP


- Il gnre lui mme une cl alatoire (cest la cl de session). - Il chiffre le message avec la cl de session selon un algorithme cl priv (DES par exemple) - Il chiffre la cl de session grce lalgorithme cl publique (RSA par exemple) avec la cl publique du destinataire. -Il assemble message chiffr et cl chiffre en un message prt lexpdition. -..\MM-scurit\TD\Le logiciel PGP.htm

129

Algorithme de chiffrement asymtrique: Diffie Hellman


Algorithme de scurisation des changes des cls Apparition suite au problme de lchange des cls de la cryptographie symtrique (coursier malhonnte) Alice veut transmettre une cl Bob pour pouvoir changer un document confidentiel Alice chiffre une cl par une autre cl garde secrte Alice envoie la cl chiffre Bob Bob surchiffre la cl chiffre avec sa cl secrte puis la transmet Alice Alice opre alors un dchiffrement de sa partie du chiffrement de la cl et lenvoie a Bob Bob dchiffre la cl chiffre avec sa cl secrte Ils disposent ainsi tous les deux dune cl qui na aucun moment circul en clair

130

65

31/03/2011

Ex. dAlgorithme de Diffie Hellman

131

Algorithme de Hachage
Usages de lalgorithme de hachage
Alice veut transmettre un document Bob en lui garantissant son intgrit Alice calcule lempreinte de son fichier et lenvoie simultanment avec le document Bob recalcule lempreinte du document et la compare celle que lui a envoy Alice Sils ne sont pas exacts cest que ve a intercept le document et la chang

Notons que le document chang nest pas chiffr


ve peut prendre connaissance de son contenu
132

66

31/03/2011

Authentification
Dfinition

La personne qui j'envoie un message crypt est-elle bien celle laquelle je pense ? La personne qui m'envoie un message crypt est-elle bien celle qui je pense ?

133

Authentification
Technique dIdentification
Prouveur
Celui qui sidentifie, qui prtend tre

Vrifieur
Fournisseur du service

Challenge
Le Vrifieur va lancer un challenge au prouveur que ce dernier doit raliser

134

67

31/03/2011

Technique A Cl Publique
Principe

Algorithme RSA = Rversible ((Mess)CPu)CPr = ((Mess)CPr)CPu Confidentialit Authentification

135

Signature lectronique (1)


Comment savoir que le message na pas t altr ?

Fonction de hachage

algorithmes de hachage les plus utiliss: MD5 (128 bits) et SHA (160 bits)
136

68

31/03/2011

Signature lectronique (2)


Pb du hachage : on nest pas sr de lexpditeur Scellement des donnes

137

Rcapitulatif
Cryptographie symtrique rpond au besoin de la confidentialit
DES, 3DES, AES, Blowfish, RC2, RC4, RC5 et DEA

Diffie-Hellman rpond au besoin de la confidentialit de lchange des clefs


Diffie Hellman Key Exchange

Algorithmes de hachage rpond au besoin de lintgrit des documents


MD4, MD5 et SHA1

Cryptographie asymtrique rpond au besoin de la confidentialit, authentification et non-rpudiation


RSA, ElGamal et DSA
138

69

31/03/2011

Societ Mondiale des Intrusions HACKERS Criminalit organise


(Challenge)
(Outil descroquerie)

Societ Mondiale de lInformation Terrorisme (Warefare) Espionnage


(Arme) (Outil)

Impunit

Intenet = Espace Sans Loi + Difficult de retraage


139

Les virus
Quest ce quun virus?
Un petit programme ou un lment d'un programme, dvelopps des fins nuisibles, qui s'installe secrtement sur des ordinateurs et parasite des programmes.

Certains virus, apparus rcemment, sont trs perfectionns, qui dans la plupart des cas, exploitent les erreurs commises par les utilisateurs peu informs ou les failles des logiciels. Les utilisateurs domicile ne sont pas les seuls tre exposs au danger. Les entreprises et autres organisations peuvent galement tre victimes d'attaques cibles, menes par des cybercriminels qui tirent parti d'informations drobes aux employs.

Les traces

Les virus infectent des applications, copient leur code dans ces programmes. Pour ne pas infect plusieurs fois le mme fichier ils intgrent dans lapplication infecte une signature virale.
140

70

31/03/2011

Quest ce quun ver


Programme capable de se copier vers un autre emplacement par ses propres moyens ou en employant d'autres applications. Sert dgrader les performances du rseau dans une entreprise. Comme un virus, un ver peut contenir une action nuisible du type destruction de donnes ou envoi d'informations confidentielles. Ex: E-mail Worms
un outil de collecte d'adresses e-mail dans la machine infecte et un outil d'envoie du courrier lectroniques

IRC Worms
zones de chat..., Ver est class "IRC Worm
141

Exemple : Koobface
Ver informatique dcouvert en Novembre 2008 par McAfee, qui svit sur le site communautaire Facebook. Le ver Koobface se propage en envoyant des e-mails aux amis des personnes dont l'ordinateur a t infect, si lutilisateur a la malheureuse ide de tlcharger le programme, son ordinateur va tre infect et dirigera ses utilisateurs sur des sites contamins lors de recherches sur Google, Yahoo ou encore MSN. Il serait galement capable de drober des informations de nature personnelle comme un numro de carte de crdit. Une raction officielle par la voix de Barry Schnitt, porte-parole de Facebook a communiqu que : "quelques autres virus ont tent de se servir de Facebook de manire similaire pour se propager mais jamais aussi important", Concernant la scurit des informations personnelles de plus de 200 millions de personnes, une enqute au sein du FBI a t mise en place.
142

71

31/03/2011

Les bombes logiques


Les bombes logiques sont programmes pour s'activer quand survient un vnement prcis. De faon gnrale, les bombes logiques visent faire le plus de dgt possible sur le systme en un minimum de temps.

143

Keylogger :
Un Keylogger est un programme parasite qui se propage souvent grce des virus, vers ou spywares. Sa principale fonction est d'espionner toutes les actions effectues sur votre ordinateur (saisie au clavier, ouverture d'applications, dplacement de fichiers...). Les traces de ces actions sont stockes dans un emplacement prcis puis envoyes vers une bote aux lettres ou sur un site web. Certaines de vos donnes les plus confidentielles peuvent ainsi vous tre soutires l'insu de votre plein gr.
144

72

31/03/2011

Comment sen protger ??


La plupart des keyloggers sont maintenant reconnus par les logiciels antivirus, condition que ceux-ci soient correctement mis jour. Certains keyloggers sont par contre identifis comme spywares; le recours un logiciel antispyware est donc ncessaire.

145

Spyware
Les logiciels espions (spyware) : ils sont souvent cachs dans certains graticiels (freeware, mais pas dans les logiciels libres), partagiciels (shareware) et pilotes de priphriques, pour s'installer discrtement afin de collecter et envoyer des informations personnelles des tiers. Ex: GATOR, appel aussi GAIN (Gator Advertising and Information Network) est un type de spyware qui fournit l 'option de se rappeler le nom de lutilisateur et les mots de passe. Soyez donc vigilants, Il peut aussi se prsenter sous la forme d'une fentre d'installation de Plug-in sous Internet Explorer. Dans ce cas, refusez catgoriquement... de logiciels connus pour embarquer un ou plusieurs spywares : Babylon Translator, GetRight, Go!Zilla, Download Accelerator, Cute FTP, PKZip, KaZaA ou encore iMesh.
146

73

31/03/2011

Phishing
Appel aussi l'hameonnage peut se faire par courrier lectronique, par des sites Web falsifis ou autres moyens lectroniques Cest une technique utilise par des fraudeurs pour obtenir des renseignements personnels consiste faire croire la victime qu'elle s'adresse un tiers de confiance (ex: banque, administration, etc.) afin de lui soutirer des renseignements personnels : mot de passe, numro de carte de crdit, date de naissance, etc. forme d'attaque informatique reposant sur l'ingnierie sociale

147

Phishing
Tout commence par la rception d'un mail. Vous recevez de votre banque, de votre fournisseur d'accs ou d'un cyber marchant un message de forme tout fait habituelle (avec le logo et les couleurs de l'entreprise) vous informant qu'un regrettable incident technique a effac vos coordonnes. Vous tes invit cliquer sur un lien vous menant au site de l'entreprise en question pour ressaisir soit votre numro de carte bleue, vos identifiants et mot de passe de connexion. Vous tes en confiance et suivez attentivement les consignes
148

74

31/03/2011

phishing = spam + mail spoofing + social engineering + URL spoofing +..


La pratique du phishing consiste attirer l'internaute laide d'e-mails non sollicits (Spam) comme envoys d'adresses officielles (mail_spoofing), incitant la victime, cliquer sur un lien propos dans le message. Ce lien est en ralit malicieux et conu pour usurper une destination de confiance (URL_spoofing), Ce qui a pour consquence de conduire linternaute sur un site Web visuellement identique au site officiel mais dont la vritable adresse est dissimule aux yeux de linternaute victime. 149

Les tapes de scurit

Prendre des mesures


150

75

31/03/2011

Comment se protger?
Pare-feu Mises jour de votre PC Logiciels: anti-virus, antispyware, anti-spam,..

151

Stratgies
Approche locale
Poste client

Approche globale
Poste serveur

Ces deux solutions sont complmentaires et doivent faire appel des moteurs antiviraux de fournisseurs diffrents

152

76

31/03/2011

Approche antivirale locale/globale


Mise jour de la table de dfinitions de virus sur chaque poste client Solution automatique ou manuelle
(localement)
Requte de mise jour planifie Tlchargement des mises jour En cas de mise jour, Notification aux clients prsents Interrogation du serveur chaque dmarrage des clients Puis tlchargement des mises jour
153 Serveur antivirus

Les attaques: imitation malicieuse


Tout quipement connect un rseau injecte des datagrammes IP
@ IP de l'expditeur + donnes de couche suprieure

Si l'utilisateur peut intervenir sur les logiciels ou son systme d'exploitation il peut inscrire une @ IP factice (IP spoofing)
permet au pirate responsable de DoS de dissimuler leur identit car il est trs difficile de remonter la source d'un datagramme portant une fausse @ IP

Contre-Mesure : (ingress filtering)


les routeurs vrifient si l'@ IP des paquets entrant font partie des @ IP accessibles via cette interface.
154

77

31/03/2011

Les attaques: Les DOS


Denial Of Service (DoS)
rend un rseau, un hte ou autre inutilisable pour ses utilisateurs lgitimes. bas sur la production d'un volume de donnes suprieur la capacit de traitement de l'entit cible. exemple :
SYN flooding avec des @ IP factices : accumulation d'un gd nb de connexions partiellement ouvertes envoie de fragments IP sans les fragments de terminaison attaque smurf : envoie de paquets de requte d'chos ICMP en masse

Distributed Denial of Service (DDos)


Le pirate obtient un grand nombre de comptes utilisateurs (sniffing ou brute force) Il installe et excute un logiciel esclave au niveau de chaque hte qui attend les ordres en provenance d'un logiciel matre Puis le pirate ordonne tous ses logiciels esclaves de lancer une attaque DoS contre le mme hte cibl 155

Les outils
Web Server File Server Web Server Via Web Page Workstation Via Email

Workstation

Anti Virus Firewall Intrusion Detection Vulnerability Management

Workstation

Internet Mail Server Mail Gateway 156

78

31/03/2011

Ex: Serveur Symantec Client Security


Un serveur Symantec Client Security peut envoyer des mises jour de configuration et des fichiers de dfinitions de virus des clients SymantecClient security protge les ordinateurs sur lesquels il sexcute Le programme client Symantec Client Security fournit une protection antivirus, pare-feu et contre les intrusions aux ordinateurs rseau et autonomes Alert Management System2 (AMS2). AMS2 assure la gestion des urgences et prend en charge les alertes issues de serveurs et des postes de travail
157

Firewall
Le pare-feu est un systme permettant de filtrer les paquets de donnes changs avec le rseau, il s'agit ainsi d'une passerelle filtrante comportant au minimum les interfaces rseau suivante : une interface pour le rseau protger (rseau interne) une interface pour le rseau externe Un systme pare-feu contient un ensemble de rgles prdfinies permettant : D'autoriser la connexion (allow) De bloquer la connexion ( deny) De rejeter la demande de connexion sans avertir l'metteur (drop).
158

79

31/03/2011

Contrle daccs: Les pare-feux


Un pare-feu isole le rseau de lorganisation du reste de lInternet en laissant pntrer certains paquets et en bloquant dautres Il existe 2 types de pare-feux:
Filtrage simple des paquets (Ex: liste ACL) Filtrage applicatif (niv. Application)

159

Rle du pare-feux
Les firewall protgent les installations informatiques des intrusions surveille (autoriser/denier) les communications d'un PC vers Internet et vice versa Prvenir les attaques du type Denial Of Service
Inondation des messages SYN avec des @IP dorigine factices, qui paralyse lhte. Les tampons de lhte sont remplis de messages factices, ce qui ne laissent plus de place pour les vrais messages Prvenir les modifications de donnes internes Ex: changer la page Web de lentreprise Empcher les pirates daccder des donnes sensibles, Analyser, bloquer ou autoriser les communications via les ports UDP et TCP

160

80

31/03/2011

Filtrage de paquets
Le rseau interne est quip dune passerelle le reliant son FAI. On se faire le filtrage des paquets Filtrage bas sur ltude des en-tte de paquet
@ IP dorigine et de destination Des types des messages ICMP Des datagrammes de connexion et dinintialisation utilisant les bits TCP SYN ou Ack Ex/ filtre les segments UDP et les connexions Telnet (segment TCP avec Port 23). vite toute intrusion trangre via une session Telnet.

Mise en place d'une passerelle d'application (gateway) Serveur spcifique aux applications que toutes les donnes d'applications doivent traverser avant de quitter ou d'entrer dans le rseau
161

Filtrage applicatif
Appel aussi passerelle applicative ou proxy le filtrage applicatif permet la destruction des en-ttes prcdant le message applicatif, ce qui permet de fournir un niveau de scurit supplmentaire. En contrepartie, une analyse fine des donnes applicatives requiert une grande puissance de calcul et se traduit donc souvent par un ralentissement des communications, chaque paquet devant tre finement analys. Afin de limiter les risques le proxy doit ncessairement tre en mesure d'interprter une vaste gamme de protocoles et doit connatre les failles affrentes pour tre efficace.

162

81

31/03/2011

Limitations des pare-feux


Usurpation didentit (IP spoofing) le routeur est impuissant face ce type dattaque Si chaque application ncessite un traitement particulier Il faut une passerelle par application Les client de ces applications doivent pouvoir configurer les logiciels (ex: navigateur avec les proxy) Les filtres sont trs grossiers: Les spyware et adware (des progr. Commerciaux sont nuisibles ne sont pas dtects par les anti-virus) utilisant le port 80 ne sont donc en aucun cas pris en compte par un firewall hardware. il est ncessaire d'administrer le pare-feu et notamment de surveiller son journal d'activit afin d'tre en mesure de dtecter les tentatives d'intrusion et les anomalies.
163

Zone Dmilitarise DMZ


Il est ncessaire de mettre en place des architectures de systmes pare-feux permettant d'isoler les diffrents rseaux de l'entreprise: on parle ainsi de cloisonnement des rseaux (isolation) Zone DMilitarise ( DMZ pour DeMilitarized Zone) pour dsigner cette zone isole hbergeant des applications mises disposition du public

164

82

31/03/2011

Architecture DMZ
Les serveurs situs dans la DMZ sont appels bastions en raison de leur position d'avant poste dans le rseau de l'entreprise. La DMZ possde donc un niveau de scurit intermdiaire, mais son niveau de scurisation n'est pas suffisant pour y stocker des donnes critiques pour l'entreprise.

165

Politique de scurit
La politique de scurit mise en oeuvre sur la DMZ est gnralement la suivante :
Traffic du rseau externe vers la DMZ autoris ; Traffic du rseau externe vers le rseau interne interdit ; Traffic du rseau interne vers la DMZ autoris ; Traffic du rseau interne vers le rseau externe autoris ; Traffic de la DMZ vers le rseau interne interdit ; Traffic de la DMZ vers le rseau externe refus.
166

83

31/03/2011

NAT
Le principe du NAT consiste raliser, au niveau de la passerelle de connexion internet, une translation entre l'adresse interne (non routable) de la machine souhaitant se connecter et l'adresse IP de la passerelle. Le terme NAT reprsente la modification des adresses IP dans l'en-tte d'un datagramme IP effectue par un routeur. SNAT : @source du paquet qui est modifie (altre) DNAT : @destination qui est modifie (altre)

167

Network Address Translation: NAT


Fonctionnement du NAT:
Translation des @IP de len tte Recalcul et vrification du checksum Recalcul et modification du checksum TCP NAT cache lidentit relle des Hosts Tout paquet de donnes qui doit tre translater doit passer par un routeur NAT permet de scuriser le rseau interne tant donn qu'il camoufle compltement l'adressage interne. Pour un observateur externe au rseau, toutes les requtes semblent provenir de la mme adresse IP.

168

84

31/03/2011

Les diffrents types de NAT


On distingue deux types diffrents de NAT: NAT statique NAT dynamique

169

Principe de NAT
Le principe du NAT statique:
consiste associer une @IP publique une @IP prive interne au rseau. Le routeur (passerelle) permet donc d'associer une @IP prive (ex: 192.168.0.1) une @IP publique routable sur Internet et de faire la traduction, dans un sens comme dans l'autre, en modifiant l@ dans le paquet IP. La translation d@-statique permet ainsi de connecter des machines du rseau interne internet de manire transparente

NAT dynamique
permet de partager une @IP routable entre plusieurs machines en @ priv. Ainsi, toutes les machines du rseau interne possdent virtuellement, vu de l'extrieur, la mme @IP. C'est la raison pour laquelle le terme de mascarade IP (IP masquerading ) est parfois utilis pour dsigner le mcanisme de translation d'adresse dynamique.

170

85

31/03/2011

10.0.0.12/24 (@ interne)

10.0.0.12/24 193.22.35.42/24 (@ externe)

Internet

171

Les avantages et Inconvnients du NAT Statiques


NAT statique a permis de rendre une machine accessible sur Internet alors qu'elle possdait une adresse prive. la NAT statique permet de rendre disponible une application sur Internet ( serveur web, mail ou serveur FTP). Le principe du NAT statique ne rsout pas le problme de la pnurie d'adresse puisque n adresses IP routables sont ncessaires pour connecter n machines du rseau interne.

172

86

31/03/2011

Avantages NAT Dynamique


Le NAT dynamique permet de partager une adresse IP routable (ou un nombre rduit d'adresses IP routables) entre plusieurs machines en adressage priv. NAT dynamique utilise la translation de port (PAT Port Address Translation) Elle permet dconomiser les adresse IP. cela permet de rpondre au problme de pnurie d'adresses. Elle permet une scurit accrue, car il n'existe aucun moyen pour quelqu'un de l'extrieur, d'accder aux machines internes.
173

Les inconvnients
Elle est donc utile pour partager un accs Internet, mais pas pour rendre un serveur accessible. IPSec est totalement incompatible avec le NAT La NAT dynamique seule ne peut pas tre considre comme une scurit suffisante. Il est indispensable d'utiliser un filtrage si l'on veut obtenir un bon niveau de scurit.

174

87

31/03/2011

Architecture IPsec
1. Introduction 2. Services IPsec 3. Modes dutilisation

175

IPsec : Introduction
On a conu IPSec (Internet Protocol Security) pour scuriser le protocole IPv6. La lenteur de dploiement de ce dernier a impos une adaptation dIPSec lactuel protocole IPv4. Plusieurs RFC successives dcrivent les diffrents lments dIPSec : RFC 2401, 2402, 2406, 2408

176

88

31/03/2011

IPsec : Introduction
Internet Protocol Security est un ensemble de protocoles (couche 3 modle OSI) utilisant des algorithmes permettant le transport de donnes scurises sur un rseau IP. Composante indissociable dIPV6, optionnelle en IPV4 Composant de VPN Permet ltablissement de communication scurise Les services et algorithmes utiliss sont paramtrables.

177

IPsec : 4 services
Authentification des donnes :
chaque paquet chang a bien t mis par la bonne machine et quil est bien destination de la seconde machine

Confidentialit des donnes changes :


chiffrer le contenu des paquets IP pour empcher quune personne extrieure ne le lise

Intgrit des donnes changes :


sassurer quaucun paquet na subit une quelconque modification durant son trajet.

Protection contre lanalyse de trafic :


chiffrer les adresses relles de lexpditeur et du destinataire, ainsi que tout len-tte IP correspondant. Cest le principe de base du tunneling.

178

89

31/03/2011

Fonctionnement
On tablit un tunnel entre deux sites: IPSec gre lensemble des paramtres de scurit associs la communication. Deux machines passerelles, situes chaque extrmit du tunnel, ngocient les conditions de lchange des informations :
Quels algorithmes de chiffrement, quelles mthodes de signature numrique ainsi que les cls utilises pour ces mcanismes. La protection est apporte tous les trafics et elle est transparente aux diffrentes applications.
179

IPSec prvoit la dfinition de la politique de scurit avec le choix des algorithmes utiliss et leur porte. Une fois quune politique est dfinie, il y a change des cls avec un mcanisme IKE (Internet Key Exchange) [utilisant le port 500 et le transport UDP]. On peut mettre en oeuvre lauthentification soit en supposant que les deux extrmits se partagent dj un secret pour la gnration de cls de sessions, soit en utilisant des certificats et des signatures RSA. Les machines passerelles traitent ensuite les donnes avec la politique de scurit associe. IPSec propose ensuite deux mcanismes au choix pour les donnes de lchange : ESP (Encapsulating Security Payload) et AH (Authentication Header). ESP fournit lintgrit et la confidentialit, AH ne fournit que lintgrit.

180

90

31/03/2011

IPsec : Atouts et limites


Atouts :la richesse de son offre de services de scurit qui :
Est exploitable dans les couches hautes de TCP-IP. Est ouvert tous les quipements. Peut intervenir dans diffrentes configurations.

Un point faible de IPSec : la gestion des cls solution un PKI (Public Key Infrastructure).

181

IPsec : Architecture
Ensemble de protocoles couvrant deux aspects
Encapsulation des datagrammes IP dans dautres datagrammes IP
services de scurit (intgrit, confidentialit, etc.)

Ngociation des cls et des associations de scurit


utilises lors de l encapsulation

182

91

31/03/2011

IPsec : Architecture
2 protocoles dfinis pour lencapsulation
Authentication Header (AH) Encapsulating Security Payload (ESP)

1 protocole pour lchange de cls


Internet Key Exchange (IKE)

183

DOI IPsec -RFC 2407: Architecture

184

92

31/03/2011

AH
Les algorithmes d'authentification utilisables avec AH sont rpertoris dans le DOI IPsec; il existe notamment HMAC-MD5 et HMAC-SHA-1. Assure lauthentification de la source
Protection contre source spoofing

Assure lintgrit des donnes


Algorithme dhachage 96 bits Utilise une cryptographie cl symtrique HMAC-SHA-96, HMAC-MD5-96

Protection contre le rejeu


Utilise un mcanisme anti-rejeu (nombre de squence)

Non rpudiation
Utilisation du RSA

Aucune protection de confidentialit


Donnes signes et non chiffres

185

Selon les modes de fonctionnement choisis (transport ou tunnel) la position de l'en tte d'authentification AH est la suivante : Les algorithmes dauthentification utilisables avec AH sont lists dans le DOI IPsec (RFC 2407).

Position de AH en mode transport.

186 Position de AH en mode tunnel.

93

31/03/2011

ESP
ESP assure quant lui la confidentialit des donnes mais peut aussi assurer leur intgrit en mode non connect et l'authentification de leur origine. A partir du datagramme IP classique, un nouveau datagramme dans lequel les donnes et ventuellement l'en tte originale sont chiffres, est cre. C'est une relle encapsulation entre un en tte et un trailer. La protection contre le rejeu est fournie grce un numro de squence si les fonctions prcdentes ont t retenues Idem plus la confidentialit des donnes
utilise une encryption cls symtrique

187

Suivant les modes de fonctionnement choisis (transport ou tunnel) la position de ESP est la suivante :
Position de ESP en mode transport.

Position de ESP en mode tunnel .

188

94

31/03/2011

IPsec : Architecture
IPsec assure la scurit en trois situations
Hte hte Routeur routeur Hte routeur

IPsec opre en deux mode


Mode transport Mode tunnel (VPN)

189

Mode transport
Transport
Utilis uniquement entre deux machines qui elles-mmes responsable du chiffrement/dchiffrement . Seulement les donnes qui sont chiffres. Les en-tte IP sont conservs

VPN
Workstation A

Server B

In te rn e t
Security gateway 1 encrypted A B data
190

Security gateway 2

95

31/03/2011

Mode tunnel
Tunnel
Le flux est entre deux machines qui se trouvent derrire deux passerelles faisant le chiffrement/dchiffrement En-tte IP et donnes sont chiffrs et un nouveau en-tte est gnr avec ladresse IP du serveur VPN.

VPN
Workstation A

Server B A B data

Inte rnet
source A destination B data Security gateway 1 encrypted 1 2 A B data
191

Security gateway 2

Capture ISAKMP: Internet Security Association and Key Management Protocol

Capture dcran laide de Wireshark ralise dans la sance de TP avec IPSEC. On peut voir le dploiement de lISAKMP lors de lchange

192

96

31/03/2011

193

Quest ce quun VPN ?


VPN,acronyme de Virtual Private Network, ou Rseau Priv Virtuel. Ce rseau est dit virtuel car il relie des rseaux "physiques" (rseaux locaux) via un rseau public, en gnral Internet, et priv car seuls les ordinateurs des rseaux locaux faisant partie du VPN peuvent accder aux donnes. Cette technique assure lauthentification en contrlant laccs, lintgrit des donnes et le chiffrage de celles-ci.
194

97

31/03/2011

195

VPN
La mise en place d'un rseau priv virtuel permet de connecter de faon scurise des ordinateurs distants au travers d'une liaison non fiable (Internet), comme s'ils taient sur le mme rseau local. Ce procd est utilis par de nombreuses entreprises afin de permettre leurs utilisateurs de se connecter au rseau d'entreprise hors de leur lieu de travail. On peut facilement imaginer un grand nombre d'applications possibles :
Accs au rseau local (d'entreprise) distance et de faon scurise pour les travailleurs nomades Partage de fichiers scuriss Jeu en rseau local avec des machines distantes

196

98

31/03/2011

Les Protocoles de Tunnelisation


Les principaux protocoles de tunneling sont :
PPTP (Point-to-Point tunneling Protocol) est un protocole de niveau 2 dvelopp par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics. L2F (Layer Two Forwarding) est un protocole de niveau 2 dvelopp par Cisco Systems, Northern Telecom (Nortel) et Shiva. L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF (RFC 2661) pour faire converger les fonctionnalits de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP. IPsec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des donnes chiffres pour les rseaux IP. SSL/TLS offre une trs bonne solution de tunneling. L'avantage de cette solution est d'utiliser un simple navigateur comme client VPN. SSH Initialement connu comme remplacement scuris de telnet, SSH offre la possibilit de tunneliser des connections de type TCP.

197

Une entreprise Multi-site dsire de plus en plus ouvrir son rseau ses employs travaillant distance, en toute scurit. Cest lenjeu auquel rpond efficacement une 198 solution de type VPN

99

31/03/2011

SSL : Secure Socket Layer


C'est un systme qui permet d'changer des informations entre 2 ordinateurs de faon sre. SSL assure 3 aspects: Confidentialit: Il est impossible d'espionner les informations changes. Intgrit: Il est impossible de truquer les informations changes. Authentification: Il permet de s'assurer de l'identit du programme, de la personne ou de l'entreprise avec laquelle on communique. SSL est un complment TCP/IP et permet (potentiellement) de scuriser n'importe quel protocole ou programme utilisant TCP/IP. SSL a t cr et dvelopp par la socit Netscape et RSA Security.

199

Rcapitulatif
Accs non autoris Authentification Confidentialit Chiffrement Virus Antivirus Intrusion IDS/IPS Firewall Modification Hachage consiste verrouiller les donnes laide des composants matriels: clipper-chips
200

100