Vous êtes sur la page 1sur 14

Sécurité des Systèmes d’Exploitation

MASSICO

Sécurité des Systèmes d’Exploitation MASSICO CHAPITRE 3 : SOLUTIONS DE SECURITE : 3.1 Les mécanismes et
Sécurité des Systèmes d’Exploitation MASSICO CHAPITRE 3 : SOLUTIONS DE SECURITE : 3.1 Les mécanismes et

CHAPITRE 3 : SOLUTIONS DE SECURITE :

3.1 Les mécanismes et protocoles de sécurisation réseau :

3.1.1 Les VPN

Les réseaux privés virtuels (VPN : Virtual Private Network) permettent à l’utilisateur de

créer un chemin virtuel sécurisé entre une source et une destination. Grâce à un principe

de tunnel (tunnelling) dont chaque extrémité est identifiée et les données transitent

après avoir été éventuellement chiffrées.

3.1.1.1 Principe de fonctionnement des VPN :

Le principe du VPN est basé sur la technique du tunnelling. Cela consiste à construire un

chemin virtuel après avoir identifié l’émetteur et le destinataire. La source peut ensuite

éventuellement chiffrer les données (on parle alors de VPN chiffrés) et les achemine en

empruntant ce chemin virtuel. Les données à transmettre peuvent appartenir à un

protocole différent d’IP. Dans ce cas le protocole de tunnelling encapsule les données en

rajoutant une entête qui permet le routage des trames dans le tunnel. Le tunneling est

l’ensemble des processus d’encapsulation, de transmission et de désencapsulation.

sulation, de transmission et de désencapsulation. Figure 22 : Mode de fonctionnement d’un tunnel IP 3.1.1.2

Figure 22 : Mode de fonctionnement d’un tunnel IP

3.1.1.2 Les différents protocoles utilisés pour l’établissement d’un VPN

Il existe quatre protocoles principaux permettant l’établissement d’un VPN :

le protocole PPTP (Point to Point Tunneling Protocol) créé par Microsoft ;

le protocole L2F (Layer Two Forwarding) mis au point par la société CISCO ;

le protocole L2TP (Layer Two Tunneling Protocol) proposé par l’IETF;

le protocole IPSEC.

Le protocole PPP :

PPP fut développé pour transférer des données sur des liens synchrones ou asynchrones

entre deux points en utilisant HDLC comme base d’encapsulation et un Frame Check

Sequence (FCS) HDLC pour la détection des erreurs. Cette liaison permet le full duplex et

garantit l’ordre d’arrivée des paquets. Une fonctionnalité intéressante de ce protocole

est le multiplexage simultané de plusieurs protocoles de niveau 3 du modèle OSI. Ce

Sécurité des Systèmes d’Exploitation

MASSICO

Sécurité des Systèmes d’Exploitation MASSICO protocole encapsule des paquets IP, IPX et NetBEUI, transmet ces paquets
Sécurité des Systèmes d’Exploitation MASSICO protocole encapsule des paquets IP, IPX et NetBEUI, transmet ces paquets

protocole encapsule des paquets IP, IPX et NetBEUI,

transmet ces paquets PPP encapsulés à travers la liaison point à point. PPP est donc utilisé entre un client distant et un serveur d’accès distant. Les protocoles de contrôle réseau (NCPs) :

Les protocoles de contrôle réseau (NCPs) sont des protocoles séparés qui fournissent les informations de configuration et de contrôle destinées aux protocoles de la couche réseau. PPP est conçu pour transmettre des données pour une multitude de protocoles réseau. NCP autorise la personnalisation de PPP de manière à exécuter uniquement cette

tâche. Chaque protocole de réseau (DECnet, IP, OSI,

NCP. Les différentes méthodes d’authentification PPP :

Le protocole d'authentification par mot de passe (PAP) est une méthode simple pour établir l'identité du site distant. Dans le cadre d’une authentification utilisant le protocole PAP, le client s'authentifie auprès du serveur en lui envoyant un paquet « Authentication‐Request » contenant l'identité du client et le mot de passe associé. Le serveur compare ces données à celle contenu dans son fichier d'authentification. L'inconvénient de cette technique est que le mot de passe transite « en clair » sur la liaison. Dans le cadre de l’utilisation du protocole CHAP, le serveur envoie au client un paquet contenant un challenge (mot de 16 bits) défini aléatoirement et son nom. Le client récupère dans sa table définie localement, à l'aide du nom du serveur, le secret correspondant. Le client combine le secret approprié avec le challenge, chiffre ce résultat et le résultat du chiffrement est retourné au serveur avec le nom du client. Le serveur effectue alors les mêmes opérations et si les deux résultats sont identiques la connexion du client est acceptée. Le protocole PPTP est un protocole de niveau 2 qui encapsule des trames PPP dans des datagrammes IP afin de les transférer sur un réseau IP. PPTP permet le chiffrement des données PPP encapsulées mais aussi leur compression. Le protocole L2F est un protocole développé par Cisco, Northern Telecom et Shiva. Il est décrit dans la RFC 2341. Le protocole L2F est un protocole de niveau 2 qui permet à un serveur d’accès distant de véhiculer le trafic sur PPP et transférer ces données jusqu’à un serveur L2F (routeur). Ce serveur L2F désencapsule les paquets et les envoie sur le

) possède son propre protocole

dans des trames PPP, puis

Sécurité des Systèmes d’Exploitation

MASSICO

Sécurité des Systèmes d’Exploitation MASSICO réseau. Il faut noter que contrairement à PPTP et L2TP, L2F
Sécurité des Systèmes d’Exploitation MASSICO réseau. Il faut noter que contrairement à PPTP et L2TP, L2F

réseau. Il faut noter que contrairement à PPTP et L2TP, L2F n’a pas besoin de client. Le

fonctionnement d’une communication basée sur le protocole L2F s’appuie sur :

la création d’un tunnel L2F entre les deux routeurs distants ;

une connexion PPP entre le client distant et le routeur distant que celui‐ci fait

suivre au serveur d’accès distant via le tunnel L2F.

Ce mode de fonctionnement peut être résumé par le schéma ci‐dessous :

peut ê tre résumé par le schéma ci‐des sous : Figure 2 : Mode de fonctionnement

Figure 2 : Mode de fonctionnement du protocole L2F Ce protocole est progressivement remplacé par le protocole L2TP.

3.1.2 Le protocole IPSEC :

Pour sécuriser les échanges ayant lieu sur un réseau TCP/IP, il existe plusieurs

approches :

niveau applicatif (PGP) ;

niveau transport (protocoles TLS/SSL, SSH) ;

niveau physique (boîtiers chiffrants).

IPsec, extension de sécurité pour le protocole IP, vise à sécuriser les échanges au niveau

de la couche réseau. Le protocole IPSec fournit ainsi des mécanismes :

de confidentialité et de protection contre l'analyse du trafic ;

d’authentification des données (et de leur origine) ;

garantissant l’intégrité des données (en mode non connecté) ;

de protection contre le rejeu ;

de contrôle d'accès.

Le protocole ESP :

Le protocole ESP peut assurer, au choix, un ou plusieurs des services suivants :

confidentialité des données et protection partielle contre l'analyse du trafic si l'on utilise

le mode tunnel ;

intégrité des données en mode non connecté et authentification de l'origine des

données, protection partielle contre le rejeu.

Contrairement au protocole AH, où l'on se contentait d'ajouter un en‐tête

supplémentaire au paquet IP, le protocole ESP fonctionne suivant le principe de

l'encapsulation : les données originales sont chiffrées puis encapsulées.

Sécurité des Systèmes d’Exploitation

MASSICO

Sécurité des Systèmes d’Exploitation MASSICO 3.2 Les protocoles de sécurisation applicatifs : 3.2.1 Les
Sécurité des Systèmes d’Exploitation MASSICO 3.2 Les protocoles de sécurisation applicatifs : 3.2.1 Les

3.2 Les protocoles de sécurisation applicatifs :

3.2.1 Les infrastructures de gestion de clés (IGC) :

Les techniques utilisées en cryptographie ont évoluées, passant de procédés gardés

secrets à des algorithmes mathématiques connus utilisant des paramètres secrets que

l'on a nommés « clés ». Actuellement, la cryptographie classique (dite symétrique ou à

clé secrète) repose sur ce principe.

Il existe deux systèmes de chiffrement :

le chiffrement symétrique,

le chiffrement asymétrique.

3.2.1.1 Le chiffrement symétrique :

Ils reposent sur le partage entre deux interlocuteurs en communication, d'une même clé

secrète S qui sert à paramétrer un algorithme à la fois pour le chiffrement d'un message

et pour son déchiffrement. La clé S doit faire l'objet d'un échange physique

préalablement à toute communication. Parmi les algorithmes de chiffrement, on peut

citer :

Le chiffre de César

Le chiffre de Vigenère :

L’algorithme de Vernam :

L’algorithme DES :

L’algorithme Triple – DES :

L’algorithme AES :

Le chiffrement symétrique des données, s’il présente l’avantage d’être rapide, présente

néanmoins un certain nombre d’inconvénients :

le nombre de clés secrètes à posséder augmente de façon exponentielle en

fonction du nombre d’interlocuteurs ;

le changement de clé doit être fréquent de manière à éviter une compromission

de clés ;

un mécanisme d’échange de clés de façon sécurisée doit être mis en place.

3.2.1.2 Le chiffrement asymétrique :

Afin de chiffrer un message à l’intention d’un utilisateur, l’idée consiste à utiliser la clé

publique du destinataire alors que le déchiffrement nécessite la connaissance de la clé

privée. Ce concept naturel permet de communiquer de manière confidentielle sans avoir

Sécurité des Systèmes d’Exploitation

MASSICO

Sécurité des Systèmes d’Exploitation MASSICO à partager la moindre information secrète initialement. La cryp
Sécurité des Systèmes d’Exploitation MASSICO à partager la moindre information secrète initialement. La cryp

à partager la moindre information secrète initialement. La cryptologie asymétrique

permet notamment d’assurer l’authentification de l’émetteur et d’assurer la

confidentialité des données. Il existe plusieurs algorithmes de chiffrement parmi

lesquels :

L’algorithme de Diffie‐Hellman ;

L’algorithme RSA.

3.2.1.3 Chiffrement symétrique versus chiffrement asymétrique :

Comme les algorithmes à clé publique sont lents à exécuter, on chiffre toujours les

messages avec des algorithmes à clé symétrique, et on utilise le dispositif à clé

asymétrique pour chiffrer la clé de session générée aléatoirement, comme dans le cas

des systèmes à clé secrète.

3.2.2 ­ SSH

SSH est un équivalent sécurisé par chiffrement des protocoles standard Telnet , rlogin ,

rsh et des commandes rcp. Le client et le serveur SSH chiffrent tous deux les sessions au

moyen d’un système cryptographique à clé publique. Les techniques mises en œuvre

dans SSH font que ce mécanisme d’accès interactif et sécurisé à un système distant doit

impérativement remplacer l’ensemble des protocoles standard sur tout système dont on

cherche à protéger les ressources. Il est à noter que si ce produit est aujourd’hui

commercialisé, ses spécifications publiques ont permis le développement de nombreux

logiciels client/serveur compatibles avec SSH ainsi qu’une version OpenSSH développée

dans le cadre du projet de système d’exploitation OpenBSD totalement compatible SSH .

3.3 Les mécanismes d’authentification sécurisée :

Les mécanismes d’authentification sont des moyens de contrôler l’accès à des

ressources. Les protocoles mis en œuvre couvrent trois aspects (les trois AAA) :

les aspects d’authentification (Authentication) regroupant l’ensemble des

mécanismes permettant d’authentifier un utilisateur. Cette identification passe

par la présentation de l’identité de l’utilisateur, information non secrète et propre

à chaque utilisateur ;

les aspects d’autorisation (Autorisation) regroupant l’ensemble des mécanismes

permettant de déterminer les droits réels de l’utilisateur authentifié ;

Sécurité des Systèmes d’Exploitation

MASSICO

Sécurité des Systèmes d’Exploitation MASSICO les aspects de rapports d’activi té (Accounting) permettant de m
Sécurité des Systèmes d’Exploitation MASSICO les aspects de rapports d’activi té (Accounting) permettant de m

les aspects de rapports d’activité (Accounting) permettant de mesurer et

d’enregistrer un certain nombre d’informations sur l’utilisateur autorisé ou

authentifié.

3.3.1 Le protocole TACACS+

Le protocole TACACS+ est la dernière version du protocole TACACS mis au point par la

société CISCO. Ce protocole utilise la couche de transport TCP et gère séparément les

trois fonctions AAA. Les implémentations TACACS+ peuvent aussi bien utiliser des

techniques d’authentification classiques type login/mot de passe statique, ou bien des

procédés plus évolués à base de challenge avec authentification réciproque, par

exemple.

3.3.2 Le standard RADIUS (RFC 2138 ­ 2139)

Le protocole RADIUS permet une authentification utilisateur/mot de passe ou

utilisateur/challenge/réponse ou les deux, qui peut être configurée spécifiquement pour

chaque utilisateur. La vérification est réalisée par le serveur RADIUS, qui retourne alors

un “authentication reply” au client qui a émis la requête.

Il est important de noter que contrairement au protocole TACACS +, il n’est pas possible

de chiffrer l’intégralité des paquets RADIUS (chiffrement du mot de passe uniquement).

3.3.3 KERBEROS

Le protocole Kerberos est basé sur un algorithme d’authentification fondé sur une cryptographie. L’utilisation de cet algorithme ne permet pas à une personne malveillante qui écoute le dialogue d’un client à l’insu de ce dernier de se faire passer pour lui plus tard. Ce système permet à un processus client travaillant pour un utilisateur donné de prouver son identité vis-à-vis d’un serveur sans envoyer de données dans le réseau permettant à un tiers de découvrir le code d’authentification.

3.4 Les DMZ :

La DMZ (Zone Démilitarisée) est un concept qui a été introduit pour créer un espace

sécurisé entre le monde extérieur (en général l'internet) et le système d'information de

l'entreprise (en général l'intranet). Les composants de sécurité principaux que l’on

retrouve au sein d’une DMZ sont les suivants :

des firewalls ou coupe‐feu ;

des sondes de détection d’intrusion ;

des hyperviseurs de sécurité.

Sécurité des Systèmes d’Exploitation

MASSICO

Sécurité des Systèmes d’Exploitation MASSICO 3.4.1 Les Firewalls : Les firewalls (coupe‐feu) constituent un type
Sécurité des Systèmes d’Exploitation MASSICO 3.4.1 Les Firewalls : Les firewalls (coupe‐feu) constituent un type

3.4.1 Les Firewalls :

Les firewalls (coupe‐feu) constituent un type de sécurité par réseau très efficace. Dans le

bâtiment un coupe‐feu est conçu pour éviter qu’un incendie ne se répande d’une partie

de l’immeuble aux autres. En théorie un firewall sert à la même chose : il empêche les

attaques provenant d’une zone non sure de se répandre à l’intérieur du réseau interne. Il

répond aux objectifs suivants :

Il restreint l’accès à un point précis ;

Il empêche les agresseurs de s’approcher des autres défenses ;

Il restreint la sortie à un point précis.

Un firewall est le plus souvent installé au point ou le réseau interne est connecté à

Internet mais il peut également servir à protéger une ressource critique de l’entreprise

des attaques en provenance du réseau interne. Tout le trafic provenant ou partant du

réseau interne passe ainsi à travers le firewall qui a ainsi la possibilité de vérifier que le

trafic est acceptable, c'est‐à‐dire que celui‐ci est conforme à la politique de sécurité du

site. Le firewall se comporte comme un séparateur, un limiteur et un analyseur de flux. Il

s’agit la plupart du temps d’un ensemble de composants matériels et logiciels.

3.4.1.1 Les différents types de firewall

Les Firewalls à filtrage de paquets :

Ce type de firewalls travaille sur la composition même des paquets réseaux (couche

réseau du modèle OSI).Ces firewalls analysent les paquets entrants/sortants suivant

leur type, leurs adresses source et destination ainsi que les ports utilisés. Travaillant

directement sur la couche IP, ils sont très peu gourmands en mémoire. Les firewalls à

filtrage de paquets peuvent être soit stateless (pas de suivi des connexions) ou stateful

(suivi des connexions TCP/IP).

Les Firewalls Proxy :

Les firewalls proxy (ou firewalls applicatifs) ont un mode de fonctionnement différent

des firewalls à filtrage de paquets. Chaque requête traversant le firewall sera prise en

compte par le firewall qui se chargera d’aller chercher l’information. Ces firewalls

permettent l’authentification des utilisateurs mais nécessitent une configuration

spécifique sur chaque client.

Proxy « SOCKS » :

Ce type de firewall ne travaille pas sur les flux applicatifs mais rétablisse, à chaque

connexion, la connexion vers l'extérieur. Ce type de firewall est peu utilisé désormais. Il

Sécurité des Systèmes d’Exploitation

MASSICO

Sécurité des Systèmes d’Exploitation MASSICO est à noter que ces firewalls ne réalisent pas d’authentificati on
Sécurité des Systèmes d’Exploitation MASSICO est à noter que ces firewalls ne réalisent pas d’authentificati on

est à noter que ces firewalls ne réalisent pas d’authentification des utilisateurs même

s’ils ont la capacité d’enregistrer les coordonnées de l'utilisateur qui a demandé la

connexion.

3.4.1.2 Les possibilités d’un firewall

Le firewall est au centre des décisions de sécurité :

Le firewall se comporte comme un goulet d’étranglement et tout le trafic entrant et

sortant doit passer par ce point de contrôle. Le firewall permet de concentrer les

mesures de sécurité en un point unique.

Le firewall permet de renforcer le règlement de sécurité :

Le firewall joue le rôle d’un agent de circulation pour l’ensemble des flux. Il applique la

politique de sécurité de l’entreprise et ne permet qu’aux services « approuvés » de

traverser et uniquement dans le cadre des règles qui leur ont été affectées.

Le firewall permet d’enregistrer l’activité :

Le firewall constitue un bon lieu de collecte d’informations sur l’utilisation des systèmes

et du réseau. Le firewall, point d’accès unique peut enregistrer ce qui se produit entre le

réseau protégé et l’extérieur.

3.4.1.3 Ce qu’un firewall ne peut pas faire

La protection contre la menace interne :

S’il est vrai qu’un firewall peut permettre de protéger l’entreprise d’une attaque externe,

les utilisateurs internes ayant accès à une ressource non protégée peuvent voler ou

détruire des données sans jamais approcher du firewall. C’est pourquoi toutes les

ressources internes sensibles doivent faire l’objet d’une protection par firewall !

La protection contre des connexions ne passant pas par le firewall :

Un firewall ne peut contrôler efficacement que le trafic qui passe par lui : il ne peut

systématiquement rien faire contre les connexions qui lui échappent.

La protection contre les menaces nouvelles :

Un firewall est destiné à protéger le réseau de l’entreprise contre des menaces connues.

S’il est bien conçu, il peut également protéger contre de nouvelles menaces (en

interdisant par exemple tous les services sauf ceux considérés surs). Aucun firewall ne

peut cependant défendre un site contre toutes les nouvelles menaces qui apparaissent.

Les agresseurs découvrent régulièrement de nouvelles manières d’attaquer. La mise en

Sécurité des Systèmes d’Exploitation

MASSICO

Sécurité des Systèmes d’Exploitation MASSICO place d’un firewall doit impérativement s’accompagner d’une pol
Sécurité des Systèmes d’Exploitation MASSICO place d’un firewall doit impérativement s’accompagner d’une pol

place d’un firewall doit impérativement s’accompagner d’une politique de mise à jour

régulière.

La protection contre les virus :

L’examen des flux traversant un firewall s’effectue surtout par examen des adresses

source et destination ainsi que des numéros de port mais pas sur le détail des données.

Même avec un filtrage de paquets sophistiqués la protection contre les virus à l’aide d’un

firewall est difficilement réalisable : le nombre de virus existants ainsi que le nombre de

façons de se camoufler au sein des données est trop important. La détection d’un virus

par examens des paquets transitant au travers d’un firewall demanderait de savoir :

que le paquet fait partie d’un programme exécutable ;

à quoi le programme non infesté devrait ressembler ;

que le changement est du à un virus.

Cette détection étant quasiment impossible à réaliser (et non réalisé à ce jour), la mise

en place d’un firewall doit s’accompagner de la mise en place d’anti‐virus spécifiques à

chacun des flux traversant le firewall et pouvant servir de support à virus.

3.4.2 Les sondes de détection d’intrusion

Les sondes de détection d’intrusion constituent le complément du firewall. Elles

permettent d’analyser les actions ou les flux pour y détecter une tentative d’intrusion.

Ces sondes remontent un certain nombre d’alertes de sécurité. Compte tenu de la

multiplication des offres, la mise en place de sondes de détection d’intrusion

s’accompagne souvent de la mise en place d’hyperviseurs de sécurité, véritables nœuds

focaux de remontée de l’information. Pour classer les systèmes de détection

d'intrusions, on peut se baser sur plusieurs variables.

3.4.2.1 Les principes

Dans les traces d'audit, on peut chercher deux choses différentes. La première

correspond à l'approche comportementale, c'est‐à‐dire qu'on va chercher à savoir si un

utilisateur a eu un comportement déviant par rapport à ses habitudes. La deuxième

chose que l'on peut chercher dans les traces d'audit est une signature d'attaque. Cela

correspond à l'approche par scénarios. Les attaques connues sont répertoriées et les

actions indispensables de cette attaque forment sa signature. On compare ensuite les

actions effectuées sur le système avec ces signatures d'attaques. Si on retrouve une

Sécurité des Systèmes d’Exploitation

MASSICO

Sécurité des Systèmes d’Exploitation MASSICO signature d'attaque dans les actions d'un utilisateur, on peut
Sécurité des Systèmes d’Exploitation MASSICO signature d'attaque dans les actions d'un utilisateur, on peut

signature d'attaque dans les actions d'un utilisateur, on peut en déduire qu'il tente

d'attaquer le système par cette méthode.

Plusieurs méthodes différentes peuvent être mises en oeuvre pour détecter le

comportement déviant d'un individu par rapport à un comportement antérieur

considéré comme normal par le système. La méthode statistique se base sur un profil du

comportement normal de l'utilisateur au vu de plusieurs variables aléatoires. Les

systèmes experts, eux, visent à représenter le profil d'un individu par une base de règles

créée en fonction de ses précédentes activités et recherchent un comportement déviant

par rapport à ces règles. Les signatures d'attaques peuvent être également vues comme

une séquence de changements d'états du système. Chacune des deux approches a ses

avantages et ses inconvénients, et les systèmes de détection d'intrusions implémentent

généralement ces deux aspects.

3.4.2.2 Les sondes de détection d’intrusion actuelles

Modèle de base :

Du système surveillé, un module s'occupe de la collecte d'informations d'audit, ces

données étant stockées quelque part. Le module de traitement des données interagit

avec ces données d'audit et les données en cours de traitement, ainsi qu'avec les

données de référence (signatures, profils) et de configuration entrées par

l'administrateur du système de sécurité. En cas de détection, le module de traitement

remonte une alarme vers l'administrateur du système de sécurité ou vers un module.

Imperfections dans les implémentations actuelles :

Dans la plupart des cas, les systèmes de détection d'intrusions sont faits d'un seul bloc

ou module qui se charge de toute l'analyse. L'aspect monolithique de ce système, outre

le problème de forte consommation des ressources de la machine surveillée, pose

également des problèmes de mises à jour et constitue un point d'attaque unique pour

ceux qui veulent s'introduire dans le système d'informations. D'autres imperfections

plus générales sont relevables dans les systèmes de détection d'intrusions actuels :

même en implémentant les deux types d'approches, certaines attaques sont

indécelables et les systèmes de détection sont eux‐mêmes attaquables ;

les groupes de travail sur ce sujet sont relativement fermés et il n'y a pas de

méthodologie générique de construction ;

les mises à jour de profils, de signatures d'attaques ou de façon de spécifier des

règles sont généralement difficiles ;

Sécurité des Systèmes d’Exploitation

MASSICO

Sécurité des Systèmes d’Exploitation MASSICO les systèmes de détection sont généralement écrits pour un seul
Sécurité des Systèmes d’Exploitation MASSICO les systèmes de détection sont généralement écrits pour un seul

les systèmes de détection sont généralement écrits pour un seul environnement et ne s'adaptent pas au système surveillé alors que les systèmes d'informations sont, la plupart du temps, hétérogènes et utilisés de plusieurs façons différentes ; Aucune donnée n'a été pour l'instant publiée pour quantifier la performance d'un système de détection d'intrusions. De plus, pour tester ces systèmes, les attaques sont de plus en plus difficiles à simuler. Conditions de fonctionnement des systèmes de détection d'intrusions Il est important de noter qu’un système de détection d'intrusions vise à augmenter la fiabilité d'un réseau et en devient donc un composant critique. Un système de détection d'intrusions, quelque soit son architecture, doit répondre aux contraintes suivantes :

être capable de fonctionner en permanence sans superviseur humain ; être tolérant aux fautes et résister aux attaques ; utiliser un minimum de ressources du système surveillé ; détecter les déviations par rapport à un comportement normal ; être facilement adaptable à un réseau spécifique ; s'adapter aux changements avec le temps ; être difficile à tromper. Les conditions à appliquer aux systèmes de détection d'intrusions peuvent être classées en deux parties :

les conditions fonctionnelles : ce que le système de détection se doit de faire ; les conditions de performances : comment il se doit de le faire. Un système de détection d'intrusions se doit de présenter les caractéristiques suivantes :

être en mesure d’effectuer une surveillance permanente et d'émettre une alarme en cas de détection ; fournir suffisamment d'informations pour réparer le système et déterminer l'étendu des dommages et la responsabilité de l'intrus. être modulable et configurable pour s'adapter aux plates‐formes et aux architectures réseaux. être en mesure d’assurer sa propre défense, comme supporter que tout ou partie du système soit hors service. avoir un faible taux de faux positifs. être en mesure de tirer les leçons de son expérience et être fréquemment mis à jour avec de nouvelles signatures d'attaques.

Sécurité des Systèmes d’Exploitation

MASSICO

Sécurité des Systèmes d’Exploitation MASSICO être en mesure de gérer les informations apportées par chacune des
Sécurité des Systèmes d’Exploitation MASSICO être en mesure de gérer les informations apportées par chacune des

être en mesure de gérer les informations apportées par chacune des différentes

machines et discuter avec chacune d'entre elles.

être capable d'apporter une réponse automatique en cas d’attaques, même

coordonnées ou distribuées.

être en mesure de travailler avec d'autres outils, et notamment ceux de

diagnostic de sécurité du système.

être en mesure de retrouver les premiers évènements de corruption pour

réparer correctement le système d'informations.

ne pas créer de vulnérabilités supplémentaires.

surveiller l'administrateur système.

3.4.3 Les agents mobiles

Une alternative à l'utilisation d'un module monolithique pour la détection d'intrusions

est la mise en oeuvre de processus indépendants.

3.4.3.1 Définition d’un agent mobile :

Un agent mobile est un programme autonome qui peut se déplacer de son propre chef,

de machine en machine sur un réseau hétérogène dans le but de détecter et combattre

les intrusions. Cet agent mobile doit être capable de s'adapter à son environnement, de

communiquer avec d'autres agents, de se déplacer et de se protéger. Pour ce dernier

point, une des fonctions de l'agent doit être l'identification et l'authentification pour

donner l'emplacement et l'identité de celui qui l'a lancé. Chaque agent est un programme

léger, insuffisant pour faire un système de détection d'intrusions entier car il n'a qu'une

vision restreinte du système. Si plusieurs agents coopèrent, un système de détection

plus complet peut être construit, permettant l'ajout et le retrait d'agents sans

reconstruire l'ensemble du système.

3.4.3.2 7.4.3.B - Avantages et inconvénients :

Si les agents n'apportent pas fondamentalement de nouvelles capacités, ils apportent

néanmoins des réponses aux imperfections soulignées précédemment. Les principaux

avantages des agents mobiles peuvent être classés en quatre grandes classes :

flexibilité : il est possible d'adapter le nombre d'agents à la taille du système

d'informations ainsi que d'avoir des agents entraînés en fonction du système

surveillé ;

Sécurité des Systèmes d’Exploitation

MASSICO

Sécurité des Systèmes d’Exploitation MASSICO efficacité : les agents affectent moins les performances de chaque
Sécurité des Systèmes d’Exploitation MASSICO efficacité : les agents affectent moins les performances de chaque

efficacité : les agents affectent moins les performances de chaque machine puisqu'ils se contentent de travailler sur des ressources ciblées. Il est à noter que le gain en trafic réseau est particulièrement important. fiabilité : en cas de mise hors service d’un agent, d’autres agents peuvent se reproduire. portabilité : les agents supportent plus facilement les systèmes distribués. Il est à noter que ce système permet de détecter les attaques distribuées, c'est‐à‐dire dues aux attaques simultanées de plusieurs personnes réparties sur un réseau. L'architecture par agents mobiles est naturelle et présente une plus grande résistance aux attaques puisqu'elle se base sur un système autre que hiérarchique. Enfin, les agents mobiles présentent la capacité de s'adapter dynamiquement aux changements et peuvent donc réagir plus rapidement. Ces mécanismes d’agents mobiles commencent à faire leur apparition au sein des successeurs des sondes de détection d’intrusion : les IPS (Intrusion Prevention Systems).

Sécurité des Systèmes d’Exploitation

MASSICO

Sécurité des Systèmes d’Exploitation MASSICO BIBLIOGRAPHIE [1] Autopsy of a successful in trusion (well, two
Sécurité des Systèmes d’Exploitation MASSICO BIBLIOGRAPHIE [1] Autopsy of a successful in trusion (well, two

BIBLIOGRAPHIE

[1] Autopsy of a successful intrusion (well, two actually)

http://www.oocities.com/floydian_99/autopsy.html

[2] Invisible file extensions on Windows

http://www.oocities.com/floydian_99/invisible.html

[3] Configuring ZoneAlarm securely

http://online.securityfocus.com/guest/11486

[4] NSA Windows 2000 Security Recommendation Guides

http://nsa1.www.conxion.com/win2k/index.html